安規話題:

美國聯邦通信委員會（FCC）於2023年8月10日發佈了有關物聯網（IoT）設備安全標籤(Cybersecurity Labeling for Internet of Things ) 的提案（NPRM），目的為連網智慧型裝置實施首個自願網路安全標籤計畫;即美國網路信任標誌計劃（U.S. Cyber Trust Mark Program ） 。

就像「能源之星」標誌可以幫助消費者了解哪些設備是節能的一樣，美國網路信任標誌計劃將幫助消費者在設備隱私和安全方面做出更明智的購買決策，標誌中可能包含關於設備遵守網絡安全協議的關鍵信息的QR碼來協助消費者 。

根據2023年8月25日刊登在聯邦紀事報中的正式通知，意見反饋的正常30天期限將在2023年9月25日之前截止，回覆意見的截止日期則為2023年10月10日。 如果你是製造商、測試實驗室或認證機構，你可能會對這個提案感興趣。

NPRM中包含了大量有關IoT市場狀況的信息。根據NPRM中提到的，到2030年，將有超過250億台設備連接到互聯網，這對於試圖破壞物聯網的完整性的“惡意”行為者來說是很大的潛力市場。

NPRM的很大一部分提供了有關技術狀況的有用背景和觀點，對於需要了解有關IoT設備的漏洞和安全問題的人來說，這會是很好的補充閱讀資料。提案的目標是“通過這個提案，採取措施提高消費者對其連接設備安全性的信心和理解”。

NPRM中概述的方法看來在很大程度上已經制定好了，也就是說，委員會在一般方法上已經有了明確想法，而評論是為了提供觀點和對最終規則進行微調。根據往常經驗，評論將被審查、考慮，並在官方回覆中評論。最重要的問題是決定是否適用供應商符合聲明（SDoC）的認證（附帶相關第三方審查）。

FCC初步得出結論，委員會有權採納所提出的IoT標籤計劃。特別是，通信法第302（a）條賦予FCC權力，‘與公共利益、方便和必要性一致，制定合理的規定，規定操作中能夠以足夠程度的無線電頻率能量通過輻射、傳導或其他手段發射無線電頻率能量，以對無線電通信造成有害干擾的設備的干擾潛力...’”。此外，FCC還討論了入侵者/僵屍網絡/惡意行為者可能試圖影響設備操作並對通信造成干擾的潛在風險。可以想象，一個惡意的組織可能會滲透到WiFi路由器網絡中，關閉它們（或更糟的是，使用有缺陷的代碼摧毀它們），切斷了美國和其他地方數百萬/數十億用戶所急需的訪問權限。

其中一個擔憂是更大型的“僵屍網絡”可能使用被入侵的設備作為干擾發生器。來自尼桑·西明頓專員的聲明中提到：“惡意軟體僵屍網絡在其巔峰時期由超過60萬個受損設備組成，協同執行、增長大規模的網絡攻擊，通過掃描互聯網尋找未修補的漏洞設備(如IP攝像機和路由器)，並控制它們。”

並且NPRM中概述了一些行業內普遍存在的弱點包括“使用默認密碼、缺乏定期的安全更新以及弱加密和不安全的身份驗證”。

這項計劃中提出了“CyberLAB”（網絡安全實驗室）的概念，描繪一旦物聯網設備和產品開發完成，就可以利用此類計劃的組織結構(具有安全和合規性測試專業知識的第三方)來評估其是否符合物聯網網路安全標準。

“CyberLAB”（網絡安全實驗室）並非新概念，但NPRM提出了一套明確的標準，CyberLAB的資格要求包括：

1. CyberLAB在IoT設備和產品的網絡安全測試和符合性評估方面具有技術專業知識。
2. 資源：CyberLAB具備進行IoT設備和產品的網絡安全測試和符合性評估所需的設備、設施和人員。
3. 程序：CyberLAB擁有文件化的符合性評估程序。
4. 持續的能力：一旦獲得認可或認證，CyberLAB將定期接受審核和評估，以確保他們繼續符合IoT安全標準和測試程序。

互聯設備產業的快速創新及其伴隨著快速創新而來的自由放任態度，現在威脅到了這個產業需在更高的風險中取得進展。隨著我們把越來越多的責任交給科技，包括我們的金錢、隱私、個人安全和公共秩序，我們需要對其安全性有更大的信心。否則，日益嚴重的網絡攻擊將破壞對自動化系統的信任，阻礙我們實現技術革命所承諾的生產力和生活質量的全面提升。

相信這項計劃將能使製造商繼續致力、費心完善可控的風險並帶給廣大消費者助益。

如您對於此文章內容有興趣，亦可以參訪此FCC 23– 65 (NPRM)深入了解，亦歡迎您聯繫我們做相關討論。

CSA台北辦公室   台中辦公室  林口實驗室
886-70-1011-7123