消费者在购物过程中已经习惯了产品上的各种标签和认证标志,从能源之星到可持续发展标准。接下来,消费者应该做好准备,迎接联邦政府为家用小工具和电器颁发的黑客安全认证。
去年 7 月,拜登政府和联邦通信委员会提议创建美国网络信任标识计划,这是一项自愿性网络安全产品标签计划,旨在帮助消费者选择经制造商认证的互联网连接设备,以防黑客、骗子和其他网络犯罪分子入侵。
该计划的最终细节仍有待确定,但根据建议,该计划将要求参与计划的智能物联网(IoT)设备制造商(包括门铃摄像头、声控扬声器、婴儿监视器、电视、厨房电器、恒温器和健身追踪器)满足美国国家标准与技术研究院(NIST)制定的一系列网络安全标准。这些标准包括唯一密码、数据保护、软件补丁和更新以及事件检测能力。
目前该计划不包括智能手机、个人电脑、路由器和某些与互联网连接的医疗设备,如智能体温计和 CPAP 机,这些设备受到联邦药品管理局法规的保护。此外,机动车及其存储的数据也不包括在内,这些数据由美国国家公路交通安全管理局(National Highway Traffic Safety Administration)监管,数据隐私问题在这些领域日益受到关注。
该计划将依靠公私合作,由联邦贸易委员会负责监督和执法,经批准的第三方标签管理机构负责管理评估产品应用、授权使用标签和消费者教育等活动。合规性测试将由经认可的实验室负责。
符合标准的产品包装上将印有美国网络信任标志(U.S. Cyber Trust Mark)的盾牌标识,标识上印有二维码,消费者可以用智能手机扫描二维码,获得有关该特定设备的最新详细安全信息。FCC 主席杰西卡-罗森沃塞尔(Jessica Rosenworcel)表示,就像 "能源之星"(Energy Star)标识帮助消费者了解哪些设备具有能源效率一样,"网络信任标识 "也将帮助消费者在购买设备时对设备的隐私和安全性做出更明智的决定。
迄今为止,亚马逊、百思买、谷歌、LG Electronics U.S.A.、罗技和三星电子已承诺参与该计划,但这些公司中还没有一家使用该标志。
今年 3 月,联邦通信委员会投票批准了该计划,并计划于今年晚些时候启动。今年 5 月,在华盛顿奥本大学麦克拉里研究所(Auburn University's McCrary Institute)举行的一次网络安全小组讨论会上,白宫负责网络政策和项目的助理国家网络主任尼古拉斯-莱森(Nicholas Leiserson)说:"我们希望,到了假期,就能开始看到有这种[网络信任标识]的设备了。
尽管政府的意图是好的,但消费者最快也要到明年初才能看到标有该标志的产品。在一封询问推出时间表的电子邮件中,联邦通信委员会发言人没有提供任何具体日期。
发言人说,我们正在尽快制定这项综合计划。目前,该计划正在接受标准的政府间审查程序,这是此类新规则所要求的。一旦该程序完成,我们将就下一步措施进行公开沟通。
代表 1000 多家科技公司的美国消费技术协会(Consumer Technology Association)负责政策和监管事务的副总裁大卫-格罗斯曼(David Grossman)说,与此同时,制造商也在等待明确的规定。他说,一旦制造商获得信任标识认证,他们将需要更多的时间来重新调整包装,并将更新后的产品从制造商运送到零售商手中。
虽然该计划的具体细节还在商讨之中,但值得关注的是,为什么消费者需要它所提供的保护。根据研究公司 Statista 的数据,到 2024 年,美国将有近 7000 万户家庭积极使用智能设备,比去年增长超过 10%。预计到 2028 年,这一数字将达到 1 亿个家庭。此外,美国家庭平均拥有约 25 台联网设备。
其中许多设备以及连接这些设备的 Wi-Fi 网络和路由器都缺乏足够的安全保障。研究公司 Park Associates 2023 年的一项研究发现,近 75% 有互联网服务的美国家庭担心个人数据的安全,54% 的家庭表示在过去 12 个月中遇到过数据隐私或安全问题,比五年前增加了 50%。
《消费者报告》的工作人员参加了白宫的一次会议,会上宣布了 "网络信任标志 "计划。该组织随后进行了一项美国体验调查,其中包括有关该计划的问题以及消费者在购买智能设备前希望获得的数据保护信息类型。
约三分之二的受访者(69%)表示,了解收集到的数据与谁共享或出售给谁非常重要,92%的受访者表示这些信息非常重要或比较重要。四分之三的受访者表示,这些设备的制造商有责任向消费者提供隐私和安全信息,只有 8%的受访者表示政府有责任。
网络安全专家、《消费者报告》撰稿人斯泰西-希金博瑟姆(Stacey Higginbotham)说,为物联网设备制定一个消费者可识别的标准非常重要,因为现在这完全是一个狂野的西部。消费者非常关心这类信息,所以我们需要这个项目。
希金博瑟姆指出,拟议计划的范围很广,不仅对设备本身,而且对连接设备的互联网服务和存储个人数据的云网络都提出了更严格的网络安全要求。她还高兴地看到,该计划包含了保证支持时限,规定了产品制造商持续提供软件安全更新和补丁的年限。
一个批评意见是,该计划对制造商来说是自愿的。希金博瑟姆说,我很希望这是一项强制性计划,但美国的现实情况是,它必须是一项自愿性计划。
如果要参与,就必须满足 FCC 规定的要求。格罗斯曼说,设备制造商不希望该机构规定诸如包装上赛博信任标识的尺寸或必须显示的具体位置等事项。你需要的是消费者容易识别的标识,但同时也要确保制造商的灵活性。
格罗斯曼说,这意味着如果最终提案的规定性太强,企业可能会望而却步。他说,如果要求过于繁琐,我不认为企业会那么热衷于参与进来。
网络安全供应商 Forescout Technologies 首席执行官 Barry Mainz 说,他是网络信任标识的忠实粉丝。他说,这是朝正确方向迈出的好一步,让进入这些设备变得更复杂一些。尽管如此,他还是担心现在人们家中数以百万计的物联网设备很容易受到网络攻击,而且无法追溯获得标签。他说,制造这些设备的公司有什么责任呢?美因茨说,一些更受欢迎的产品,如智能电视和门锁,其制造商可以自愿升级以防止黑客攻击,以此作为一种善意的措施,让那些没有能力去购买新东西的人们可以确保他们的安全。
在网络信任标识计划启动之前,消费者现在就可以采取一些行动来加强网络安全。也许最需要关注的是无线设备互联的路由器。这些路由器在出厂时都带有默认密码,黑客可以通过更改密码来监视你或访问网络连接硬盘上的文件。立即为路由器和每个连接的设备创建一个自己的强大而独特的密码,如果有双因素验证,请使用双因素验证。如果路由器上有访客网络,请为其设置单独的密码。还要确保路由器的软件是最新的,通常是通过激活自动更新功能,不过也可以查看制造商的网站,下载并安装补丁程序。
当然,你也可以采取 "鲁德式 "的做法,避开所有物联网技术和设备。但是,对于数百万拥抱智能家居的消费者来说,网络信任标识(Cyber Trust Mark)一旦到位,就能提供更高的网络安全措施,让他们领先一步,或至少在与坏人的竞争中胜出一筹。