消費(fèi)者IoT安全新進(jìn)展����!白宮將推出以能源之星為藍(lán)本的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃
CyberScoop報(bào)道稱,一位要求匿名的白宮高級(jí)官員告訴該媒體����,白宮國(guó)家安全委員會(huì)周二(10月11日)宣布一項(xiàng)消費(fèi)品網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃的計(jì)劃�,該計(jì)劃旨在改善對(duì)互聯(lián)網(wǎng)連接設(shè)備的數(shù)字保護(hù)。 來(lái)自消費(fèi)品協(xié)會(huì)�����、制造公司和技術(shù)智囊團(tuán)的大約50名代表將于10月19日在白宮召開(kāi)會(huì)議專題討論����,預(yù)計(jì)2023年春季推出該計(jì)劃。
白宮在周二發(fā)布的一份文件中簡(jiǎn)要描述了這項(xiàng)工作��,該文件概述了各種網(wǎng)絡(luò)安全舉措����,主要包括十個(gè)方面的工作內(nèi)容,其中第七項(xiàng)就是網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃。
改善我們關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全���。
確保新的基礎(chǔ)設(shè)施是智能和安全的���。
加強(qiáng)聯(lián)邦政府的網(wǎng)絡(luò)安全要求,并通過(guò)政府的購(gòu)買力提高標(biāo)準(zhǔn)�。
反擊勒索軟件攻擊,保護(hù)美國(guó)網(wǎng)民���。
與盟友和伙伴合作�����,打造更安全的網(wǎng)絡(luò)空間����。
執(zhí)行國(guó)際公認(rèn)的網(wǎng)絡(luò)規(guī)范���。
開(kāi)發(fā)一個(gè)新的標(biāo)簽�����,幫助美國(guó)人知道他們的設(shè)備是安全的���。
建設(shè)國(guó)家網(wǎng)絡(luò)隊(duì)伍��,加強(qiáng)網(wǎng)絡(luò)教育�。
通過(guò)開(kāi)發(fā)抗量子加密技術(shù)保護(hù)未來(lái)——從在線商務(wù)到國(guó)家機(jī)密�����。
通過(guò)國(guó)家量子計(jì)劃和發(fā)布國(guó)家安全備忘錄-10(NSM-10)發(fā)展我們的技術(shù)優(yōu)勢(shì)���,促進(jìn)美國(guó)在量子計(jì)算領(lǐng)域的領(lǐng)導(dǎo)地位�,同時(shí)降低脆弱密碼系統(tǒng)的風(fēng)險(xiǎn)���。
政府計(jì)劃首先推薦三到四個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),制造商可以將這些標(biāo)準(zhǔn)用作標(biāo)簽的基礎(chǔ)����,以傳達(dá)與使用所謂的物聯(lián)網(wǎng)設(shè)備相關(guān)的風(fēng)險(xiǎn)。
這位高級(jí)政府官員說(shuō)�,負(fù)責(zé)網(wǎng)絡(luò)和新興技術(shù)的國(guó)家安全副顧問(wèn)Anne Neuberger是該計(jì)劃的帶頭人,該計(jì)劃以能源之星為藍(lán)本���。能源之星是環(huán)境保護(hù)署和能源部為提高能源效率而開(kāi)展的一項(xiàng)標(biāo)簽計(jì)劃�。
“今天人們購(gòu)買技術(shù)時(shí),他們購(gòu)買它是為了一個(gè)很酷的功能��,加快上市速度——網(wǎng)絡(luò)安全往往是事后才想到的��,”這位官員說(shuō)�����,他要求保持匿名�����,坦率地談?wù)撨@項(xiàng)工作�。“每個(gè)人都意識(shí)到這是一個(gè)時(shí)機(jī)成熟的想法。”
由于白宮希望帶有網(wǎng)絡(luò)安全標(biāo)簽的產(chǎn)品在全球銷售����,因此政府正在與歐盟合作制定標(biāo)準(zhǔn)。
這位官員說(shuō)�����,正在考慮的標(biāo)準(zhǔn)可以根據(jù)制造商為軟件漏洞部署補(bǔ)丁的頻率或設(shè)備是否在沒(méi)有口令的情況下連接到互聯(lián)網(wǎng)來(lái)對(duì)產(chǎn)品進(jìn)行評(píng)級(jí)���。目前尚不清楚誰(shuí)將核實(shí)公司的說(shuō)法�。
白宮希望該計(jì)劃能夠獎(jiǎng)勵(lì)投資于網(wǎng)絡(luò)安全的公司,同時(shí)幫助消費(fèi)者找到更安全的產(chǎn)品����。這位官員表示,產(chǎn)品快速上市���,讓消費(fèi)者蒙混過(guò)關(guān)或忽視產(chǎn)品的網(wǎng)絡(luò)安全功能的現(xiàn)狀是“不可持續(xù)的”���。
美國(guó)網(wǎng)絡(luò)安全日光浴室委員會(huì)在其最終報(bào)告中建議國(guó)會(huì)建立一個(gè)非營(yíng)利性的國(guó)家網(wǎng)絡(luò)安全認(rèn)證和標(biāo)簽機(jī)構(gòu),其任務(wù)是“建立和管理信息和通信技術(shù)的自愿網(wǎng)絡(luò)安全認(rèn)證和標(biāo)簽計(jì)劃”�,包括軟件、設(shè)備和工業(yè)控制系統(tǒng)���。
日光浴室委員會(huì)執(zhí)行董事 Mark Montgomery對(duì)白宮推行標(biāo)簽計(jì)劃的決定表示歡迎��,但警告說(shuō)這將很難設(shè)計(jì)和站起來(lái)�。
“我希望他們最初堅(jiān)持使用OT和物聯(lián)網(wǎng)產(chǎn)品而不是軟件��,因?yàn)檐浖碌膬A向?qū)⑹拐J(rèn)證管理變得具有挑戰(zhàn)性�����,”蒙哥馬利說(shuō)��。“聯(lián)邦政府應(yīng)該尋找一個(gè)非政府組織來(lái)執(zhí)行這項(xiàng)工作����,因?yàn)檎J(rèn)證需要敏捷性和持久性,而聯(lián)邦機(jī)構(gòu)很難滿足所有其他要求�。”
長(zhǎng)期以來(lái),連接設(shè)備中網(wǎng)絡(luò)安全保護(hù)措施不佳或不存在一直是消費(fèi)者和行業(yè)等問(wèn)題����。白宮的早期計(jì)劃包括在產(chǎn)品上創(chuàng)建類似條形碼的標(biāo)簽,消費(fèi)者可以用手機(jī)掃描以獲取更新的安全細(xì)節(jié)�。盡管對(duì)于政府將如何開(kāi)展這項(xiàng)工作仍有許多疑問(wèn),但這位官員表示�,白宮決心向前邁進(jìn),并研究了在新加坡和芬蘭實(shí)施的類似計(jì)劃��。
這位官員說(shuō)����,將使用美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院的標(biāo)準(zhǔn),并且需要為特定產(chǎn)品量身定制�。然而,NIST目前沒(méi)有針對(duì)物聯(lián)網(wǎng)設(shè)備的技術(shù)控制標(biāo)準(zhǔn)�,至少一位網(wǎng)絡(luò)安全專家表示,這一事實(shí)將使白宮的工作復(fù)雜化��,因?yàn)樵O(shè)計(jì)它們將非常耗時(shí)。(NIST發(fā)布了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南���。)
“今天人們購(gòu)買技術(shù)時(shí)��,他們購(gòu)買它是為了一個(gè)很酷的功能�����,加快上市速度——網(wǎng)絡(luò)安全通常是事后才考慮的�����。每個(gè)人都意識(shí)到這是一個(gè)時(shí)機(jī)成熟的想法�����。”
白宮官員淡化了這個(gè)問(wèn)題�,并表示一旦該計(jì)劃啟動(dòng)���,官員們就可以完善它�����。
“我們正在努力做的是與NIST合作����,以在安全性和沒(méi)有50個(gè)標(biāo)準(zhǔn)之間取得適當(dāng)?shù)钠胶猓?rdquo;這位官員說(shuō)�。“讓我們啟動(dòng)這個(gè)程序,并設(shè)定一個(gè)適用于許多設(shè)備的關(guān)鍵標(biāo)準(zhǔn)……我認(rèn)為完美將成為這方面的敵人�。”
這位政府官員說(shuō),白宮希望在下周三(10月19日)的會(huì)議結(jié)束后�����,關(guān)鍵公司承諾參與該計(jì)劃����。這位官員說(shuō),通過(guò)提早引入行業(yè)�,白宮希望“與正在建立的標(biāo)準(zhǔn)同時(shí)”提高產(chǎn)品安全標(biāo)準(zhǔn)。
該計(jì)劃的一些批評(píng)者稱其為誤導(dǎo)�,部分原因是美國(guó)并未制造美國(guó)消費(fèi)者購(gòu)買的大部分聯(lián)網(wǎng)產(chǎn)品。此外�,其他人表示,美國(guó)可以采取的類似政策努力正在英國(guó)��、歐盟和新加坡進(jìn)行���。
“NIST在物聯(lián)網(wǎng)方面做得很好���,”大西洋理事會(huì)網(wǎng)絡(luò)治國(guó)倡議主任Trey Her 說(shuō)�����。“如果政策制定者所能想象的只是將其轉(zhuǎn)變?yōu)榱硪环N自上而下的監(jiān)管計(jì)劃����,那將是一種恥辱����。”
Herr的團(tuán)隊(duì)最近發(fā)布了一份關(guān)于物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的報(bào)告,他說(shuō)他不理解政府對(duì)數(shù)字世界中面向消費(fèi)者的標(biāo)簽的關(guān)注��。
“標(biāo)簽是數(shù)據(jù)的門戶——驗(yàn)證透明和可審計(jì)的安全行為的方法�����,”他說(shuō)�。“這不是在商店的盒子上看到一些金星;這是關(guān)于安全研究人員、投資者和其他公司使用這些數(shù)據(jù)來(lái)追究供應(yīng)商的責(zé)任?��,F(xiàn)在的政策贏家是交易對(duì)手����,而不僅僅是消費(fèi)者�����。”
其他專家則更加謹(jǐn)慎��。
非營(yíng)利性研究組織Cyber Independent Testing Lab的首席科學(xué)家Sarah Zatko表示���,消費(fèi)者和網(wǎng)絡(luò)安全保險(xiǎn)提供商迫切需要提高軟件安全的透明度����,因?yàn)樗鼈兡壳叭狈τ行гu(píng)估物聯(lián)網(wǎng)領(lǐng)域風(fēng)險(xiǎn)的數(shù)據(jù)���。扎特科說(shuō)����,她理解白宮為何專注于紙質(zhì)標(biāo)簽——盡管它們“古怪”——因?yàn)橄M(fèi)者已經(jīng)習(xí)慣了這種格式�����,而且紙質(zhì)標(biāo)簽可以很容易地與在線存儲(chǔ)的更多動(dòng)態(tài)數(shù)據(jù)相關(guān)聯(lián)�����。
“紙質(zhì)標(biāo)簽包含可比較的信息,而不僅僅是一顆金星�,這一點(diǎn)至關(guān)重要,”Zatko 說(shuō)�,他的組織專注于為消費(fèi)者創(chuàng)建安全的軟件環(huán)境。
她說(shuō)����,通過(guò)/失敗標(biāo)準(zhǔn)只激勵(lì)公司不惜一切代價(jià)達(dá)到通過(guò)的最低要求,這將是一個(gè)錯(cuò)誤����。
“消費(fèi)者無(wú)法區(qū)分'勉強(qiáng)通過(guò)'和'通過(guò)出色的表現(xiàn)',”Zatko說(shuō)����。“我喜歡能源之星這樣的標(biāo)簽的部分原因是它以易于閱讀的方式展示了我可以比較的實(shí)際數(shù)據(jù),這鼓勵(lì)了供應(yīng)商之間的良性競(jìng)爭(zhēng)����。”
參考資源
1、https://www.cyberscoop.com/white-house-to-unveil-internet-of-things-labeling/
2�、https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/11/fact-sheet-biden-harris-administration-delivers-on-strengthening-americas-cybersecurity/
3、https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program/consumer-iot-cybersecurity
來(lái)源:網(wǎng)空閑話
在線咨詢
在線咨詢
0371-63319761