消费者IoT安全新进展！白宫将推出以能源之星为蓝本的网络安全标签计划

CyberScoop报道称，一位要求匿名的白宫高级官员告诉该媒体，白宫国家安全委员会周二（10月11日）宣布一项消费品网络安全标签计划的计划，该计划旨在改善对互联网连接设备的数字保护。 来自消费品协会、制造公司和技术智囊团的大约50名代表将于10月19日在白宫召开会议专题讨论，预计2023年春季推出该计划。

白宫在周二发布的一份文件中简要描述了这项工作，该文件概述了各种网络安全举措，主要包括十个方面的工作内容，其中第七项就是网络安全标签计划。

1. 改善我们关键基础设施的网络安全。
2. 确保新的基础设施是智能和安全的。
3. 加强联邦政府的网络安全要求，并通过政府的购买力提高标准。
4. 反击勒索软件攻击，保护美国网民。
5. 与盟友和伙伴合作，打造更安全的网络空间。
6. 执行国际公认的网络规范。
7. 开发一个新的标签，帮助美国人知道他们的设备是安全的。
8. 建设国家网络队伍，加强网络教育。
9. 通过开发抗量子加密技术保护未来——从在线商务到国家机密。
10. 通过国家量子计划和发布国家安全备忘录-10(NSM-10)发展我们的技术优势，促进美国在量子计算领域的领导地位，同时降低脆弱密码系统的风险。

政府计划首先推荐三到四个网络安全标准，制造商可以将这些标准用作标签的基础，以传达与使用所谓的物联网设备相关的风险。

这位高级政府官员说，负责网络和新兴技术的国家安全副顾问Anne Neuberger是该计划的带头人，该计划以能源之星为蓝本。能源之星是环境保护署和能源部为提高能源效率而开展的一项标签计划。

“今天人们购买技术时，他们购买它是为了一个很酷的功能，加快上市速度——网络安全往往是事后才想到的，”这位官员说，他要求保持匿名，坦率地谈论这项工作。“每个人都意识到这是一个时机成熟的想法。”

由于白宫希望带有网络安全标签的产品在全球销售，因此政府正在与欧盟合作制定标准。

这位官员说，正在考虑的标准可以根据制造商为软件漏洞部署补丁的频率或设备是否在没有口令的情况下连接到互联网来对产品进行评级。目前尚不清楚谁将核实公司的说法。

白宫希望该计划能够奖励投资于网络安全的公司，同时帮助消费者找到更安全的产品。这位官员表示，产品快速上市，让消费者蒙混过关或忽视产品的网络安全功能的现状是“不可持续的”。

美国网络安全日光浴室委员会在其最终报告中建议国会建立一个非营利性的国家网络安全认证和标签机构，其任务是“建立和管理信息和通信技术的自愿网络安全认证和标签计划”，包括软件、设备和工业控制系统。

日光浴室委员会执行董事 Mark Montgomery对白宫推行标签计划的决定表示欢迎，但警告说这将很难设计和站起来。

“我希望他们最初坚持使用OT和物联网产品而不是软件，因为软件更新的倾向将使认证管理变得具有挑战性，”蒙哥马利说。“联邦政府应该寻找一个非政府组织来执行这项工作，因为认证需要敏捷性和持久性，而联邦机构很难满足所有其他要求。”

长期以来，连接设备中网络安全保护措施不佳或不存在一直是消费者和行业等问题。白宫的早期计划包括在产品上创建类似条形码的标签，消费者可以用手机扫描以获取更新的安全细节。尽管对于政府将如何开展这项工作仍有许多疑问，但这位官员表示，白宫决心向前迈进，并研究了在新加坡和芬兰实施的类似计划。

这位官员说，将使用美国国家标准与技术研究院的标准，并且需要为特定产品量身定制。然而，NIST目前没有针对物联网设备的技术控制标准，至少一位网络安全专家表示，这一事实将使白宫的工作复杂化，因为设计它们将非常耗时。（NIST发布了物联网网络安全指南。）

“今天人们购买技术时，他们购买它是为了一个很酷的功能，加快上市速度——网络安全通常是事后才考虑的。每个人都意识到这是一个时机成熟的想法。”

白宫官员淡化了这个问题，并表示一旦该计划启动，官员们就可以完善它。

“我们正在努力做的是与NIST合作，以在安全性和没有50个标准之间取得适当的平衡，”这位官员说。“让我们启动这个程序，并设定一个适用于许多设备的关键标准……我认为完美将成为这方面的敌人。”

这位政府官员说，白宫希望在下周三(10月19日)的会议结束后，关键公司承诺参与该计划。这位官员说，通过提早引入行业，白宫希望“与正在建立的标准同时”提高产品安全标准。

该计划的一些批评者称其为误导，部分原因是美国并未制造美国消费者购买的大部分联网产品。此外，其他人表示，美国可以采取的类似政策努力正在英国、欧盟和新加坡进行。

“NIST在物联网方面做得很好，”大西洋理事会网络治国倡议主任Trey Her 说。“如果政策制定者所能想象的只是将其转变为另一种自上而下的监管计划，那将是一种耻辱。”

Herr的团队最近发布了一份关于物联网网络安全的报告，他说他不理解政府对数字世界中面向消费者的标签的关注。 

“标签是数据的门户——验证透明和可审计的安全行为的方法，”他说。“这不是在商店的盒子上看到一些金星；这是关于安全研究人员、投资者和其他公司使用这些数据来追究供应商的责任。现在的政策赢家是交易对手，而不仅仅是消费者。”

其他专家则更加谨慎。

非营利性研究组织Cyber Independent Testing Lab的首席科学家Sarah Zatko表示，消费者和网络安全保险提供商迫切需要提高软件安全的透明度，因为它们目前缺乏有效评估物联网领域风险的数据。扎特科说，她理解白宫为何专注于纸质标签——尽管它们“古怪”——因为消费者已经习惯了这种格式，而且纸质标签可以很容易地与在线存储的更多动态数据相关联。

“纸质标签包含可比较的信息，而不仅仅是一颗金星，这一点至关重要，”Zatko 说，他的组织专注于为消费者创建安全的软件环境。 

她说，通过/失败标准只激励公司不惜一切代价达到通过的最低要求，这将是一个错误。

“消费者无法区分'勉强通过'和'通过出色的表现'，”Zatko说。“我喜欢能源之星这样的标签的部分原因是它以易于阅读的方式展示了我可以比较的实际数据，这鼓励了供应商之间的良性竞争。”  

参考资源：

1.https://www.cyberscoop.com/white-house-to-unveil-internet-of-things-labeling/

2.https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/11/fact-sheet-biden-harris-administration-delivers-on-strengthening-americas-cybersecurity/

3.https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program/consumer-iot-cybersecurity