作者:赵小飞
物联网智库 原创
2024年美国大选终于在上周落下帷幕,美国共和党总统候选人特朗普在2024年总统选举中获胜,4年后将再次重返白宫。在上一个任期中,特朗普针对科技行业推动了诸多政策的制定和出台,对全球科技行业产生重大影响,业界也在深入分析和预测其重新当选总统后各领域的走势。
物联网作为科技行业的一部分,在过去几年中也受到了一定程度的影响,形成新的走势。在第一个任期的末期,即2020年12月4日,特朗普正式签署了《物联网网络安全改进法案》,促成美国首个全国性的物联网安全法出台和实施。今天,我们不妨回顾一下特朗普曾经签署的这一物联网安全法案,在下一个任期中,美国针对物联网的相关政策的延续,这一法案是一个研究的基础。
美国首部物联网安全法案立法历程
早在2016年前后,多个震惊全球的网络安全事件的发生,包括僵尸网络攻击导致热门网站和平台瘫痪,引发了人们对物联网网络安全需求的高度关注,美国立法者也意识到,随着物联网设备连接数快速增长,安全性的保证必不可少,必须出台专门针对物联网领域的安全立法。
2017年,在大西洋理事会和哈佛大学的帮助下,美国弗吉尼亚州民主党参议员和科罗拉多州共和党参议员提出一个法案,即《物联网网络安全改进法案》,该法案试图建立一个框架,要求联邦政府的设备供应商遵循行业范围内的安全实践,例如确保可穿戴设备、智能传感器等设备能修复漏洞、更新密码、推向市场时不存在已知安全漏洞。该法案目的是期望阻止美国联邦政府购买存在少数几种明显安全漏洞的联网设备,但该法案最终因多方面原因并未通过。
2019年3月,美国立法者向国会重新提出了该法案,法案编号为HR 1668。该法案提出,其目的是通过为美国政府机构购买的所有物联网设备设定最低安全标准的方式,来解决其相关网络安全风险。此法案被重新提出后,得到了民主党和共和党多为议员的支持,形成了《物联网网络安全改进法》的原始版本。
2020年9月14日,美国众议院通过了《物联网网络安全改进法案》,并提交参议院审议。2020年11月17日,参议院未经修改通过了该法案,并将该法案呈交给白宫,供总统签署。2020年12月4日,时任总统特朗普正式签署《物联网网络安全改进法》,使其成为法律。
对于物联网安全的全国性立法,在美国具有一定的基础。在此之前,美国多个州政府也针对物联网安全推动相关州法案的立法,最为典型的是加利福尼亚州。2018年9月,加州批准通过了《物联网设备网络安全法》,虽然只是加州的法律,但已是美国推出的首部物联网安全专门的立法,具有划时代意义,标志着对物联网安全监管取得实质性进展。此后,俄勒冈州也发布了类似的州立法,并于2020年1月开始实施。而《物联网网络安全改进法案》则是美国历史上首个全国性物联网安全法案,其里程碑意义更加明显。
《物联网网络安全改进法案》的主要内容
法案规定,物联网设备至少有一个传感器或执行器,用于与物理世界直接交互,且至少有一个网络接口,能够独立运行,而不是仅作为更大系统的一部分。法案也进一步限定了物联网设备的范围,智能手机、笔记本电脑和其他电子设备不在该法规范围内。
法案要求美国国家标准技术研究院(NIST)发布联邦政府使用物联网设备的标准和指南,并指示白宫管理和预算办公室(OMB)审查政府政策,以确保它们符合NIST指南,联邦机构将不得购买不符合安全要求的物联网设备。
同时,法案规定了保护联邦机构免受网络攻击的责任等级,执行部门、管理和预算办公室、国土安全部部长以及各个此类机构的负责人共同负责监督美国国家标准技术研究院(NIST)制定的物联网安全标准。
该法案适用于由连接到联邦信息系统的机构拥有或控制的物联网设备,NIST将其定义为“由行政机构、行政机构的承包商或代表行政机构的其他组织使用或运营的信息系统。” 美国联邦机构和供应商仅使用符合规定标准的设备,并将影响设备的已知漏洞通知机构等。
在这一法案实施过程中,NIST发挥了重要作用。NIST为了推动法案实施,于2021年12月发布了“联邦机构物联网网络安全指南的最终版本- NIST SP 800-213系列”,其中包括:
一是《联邦政府物联网设备网络安全指南:建立物联网设备网络安全要求》,根据利益相关方的反馈进行了修订,以使联邦机构可能感兴趣的物联网设备的功能范围更加清晰、更加可用、更加兼容。
二是对《物联网设备网络安全要求目录》进行了修订,使其在表述上更加一致,在技术和非技术方面更加平衡,并且更易于参考,该目录也包括了物联网网络安全配置文件。
这项立法的目的是让NIST为联邦政府采购的物联网设备设定最低标准,以便有可能利用联邦政府的采购权来保护物联网设备,禁止联邦机构在2022年12月4日之后采购或使用被认为不符合NIST标准的物联网设备。
实际上,美国政府多年来一直依赖物联网设备来改善其设施和降低成本,因此在遭受越来越多的攻击后,通过立法来保护其购买和连接的物联网设备就不足为奇。例如,在智能建筑领域,已有80多座高能耗政府建筑安装了低成本的联网传感器;政府服务管理局使用远程信息技术来跟踪、定位和监控20多万辆汽车的排放,以确保遵守政府到2025年将温室气体排放量减少30%的要求;国防部等其他联邦机构使用联网设备上的RFID标签和传感器来跟踪和管理军用物资,如服装、建筑材料和医疗用品,这些设备使国防后勤局和美国运输司令部能够监控国防部后勤系统和商业运输公司每月数十亿次的交易。
美国政府也考虑到,目前的物联网系统正在与其他系统集成,成为“系统中的系统”。通过这种整合,网络安全发展成为一个更广泛的信任概念,不仅包括数据、连接和设备的完整性,还包括结果的可靠性。
法案的后续影响
《物联网网络安全改进法案》立法只是对联邦政府使用的物联网设备的最低标准,还没形成有面向全国范围的物联网网络安全监管框架和标准,但开启了政府对于物联网安全专门关注和重视之门,对于后续全球物联网安全的走势影响深远。
2021年,美国总统拜登签发了《关于改善国家网络安全行政令》,是美国在网络安全方面最详细的行政命令之一,概述了美国联邦政府机构为提高其机构网络安全能力而需要采取的55项行动。在该行政令中,特意强调了改善物联网安全的必要性,成为《物联网网络安全改进法案》的进阶行动,对于物联网安全主要包括:
(1)物联网设定安全标准:该行政令授权对于联邦政府拥有和运营的物联网设备设立最低安全标准,确保这些设备免受网络威胁。
(2)启动面向消费者的网络安全标签计划:行政令中包括为物联网设备开发一个标签计划,以告知消费者这些产品的安全功能,类似于电器上的能效标签。
(3)机构责任:要求各机构加强网络安全,包括物联网设备在其软件供应链中的安全性,使其成为联邦采购和运营的优先事项。
(4)零信任架构:鼓励各机构采用零信任原则,特别是与政府网络内物联网设备的安全部署和管理相关的原则。
可以看出,《关于改善国家网络安全行政令》不仅限于针对联邦政府的物联网应用安全性要求,也正式启动了针对消费者使用物联网设备安全的工作。近年来,包括美国、欧洲、新加坡、德国等发达经济体针对消费物联网开启的网络安全标签计划,正是落实对消费者使用物联网设备安全的工作。
对于美国来说,消费物联网安全标签计划已经搭建起了完整的实施架构,落地时间越来越近,同时也和欧洲、新加坡等地开展标签互认工作,意欲将这一计划上升为全球事实标准。另外,近期美国商务部物联网咨询委员会呼吁政府机构和国会要求汽车经销商在车辆挡风玻璃上显著展示汽车隐私披露信息,作为针对有关物联网设备的广泛建议的一部分,对于汽车领域也即将开启物联网安全标签计划。
特朗普上一任期最后一个月签署了《物联网网络安全改进法案》,在此后的4年中,物联网安全相关政策从联邦政府采购的设备已扩展到了消费物联网、车联网等领域,或许未来特朗普的第二任总统任期中,物联网安全政策覆盖范围会进一步扩展,涵盖经济社会所有需要用到物联网设备的领域。届时,全球物联网产业会面临新的挑战和变革要求,产品的网络安全、数据安全的设置成为进入全球市场的必选项。