美國推出網宇信任標章 資策會科法所:物聯網產品分類分級已成為國際趨勢
(中央社訊息服務20240325 13:13:58)財團法人資訊工業策進會科技法律研究所(資策會科法所)指出,綜觀全球物聯網(Internet of Things,簡稱IoT)設備或產品蓬勃發展之浪潮,全球網路安全威脅也日益加增,各國為加強物聯網產品之資安防護,多採用檢驗制度並依風險將物聯網產品分類分級,確保物聯網產品安全,並同時提升消費者識別,藉以促進產業數位轉型之做法已成為國際趨勢。
美國近期推出標章制度
美國聯邦通訊委員會(Federal Communications Commission,FCC)於2023年7月18日發布了「美國網宇信任標章(U.S Cyber Trust Mark)」計畫,針對智慧裝置提倡了自願性網路安全標章計畫之大綱,並以5種不同色調之標章,呈現5種級別,並於2023年8月10日公布將依美國通訊法(The Communications Act)規定擬議制定標準,雖然相關標章等級定義仍未公布,但已規劃產品標章將用於符合標準之智慧裝置(Smart Devices)外盒包裝,並利用隨附QR Code型式,引導消費者至美國國家認證設備資料庫(National Registry of Certified Devices),取得更詳盡之資訊,以利消費者選購時識別符合網路安全標準之產品。
新加坡率先實施分類分級
新加坡網路安全局(Cyber Security Agency, CSA)於2020年10月開始實施資安標籤機制(Cybersecurity Labelling Scheme, CLS),主要將物聯網相關設備根據網路安全規定之級別進行評估分級,使消費者能於選購物聯網產品時,識別產品是否具備或符合更佳的網路安全規定或要求而做出明智的抉擇。該計畫將產品分為4個等級,第1級為產品須滿足相關之基本要求(如:密碼要求、提供軟體更新);第2級為產品須依使用安全設計原則進行開發(如:進行相關威脅評估、審驗程序);第3級為該產品須經過第三方測試實驗室評估;第4級為產品須經過第三方實驗室之滲透測試。值得注意的是,新加坡亦與德國、芬蘭簽署備忘錄,使得新加坡CLS資安標籤機制與德國的資安標籤制度(IT-Sicherheitskennzeichen)、芬蘭的資安標籤制度(Finnish Cybersecurity Label),可以互通使用。
我國現行做法與未來展望
我國現由「行動應用資安聯盟 (以下簡稱聯盟)」,負責執行物聯網資安認驗證制度及推廣工作,並委託相關執行單位,共同制訂《物聯網資安認驗證制度規章》,作為推動我國物聯網資安認驗證制度發展之依據,並附有資安標章以供企業或消費者識別,分別為1級(L1)、2級(L2)與3級(L3)。1級為適合一般家庭使用;2級為適合商業用途使用;3級為最高防護強度。
資策會科法所進一步指出,我國因政經情勢特殊,面臨的挑戰將更為嚴峻,現行物聯網產品之資安標章以使用用途區分,因此所適用之分類標準也並未明確,且較缺乏能使消費者取得識別產品風險資訊之管道,對於消費者可能仍有保護不周之虞。為此,未來可將一般消費者列為主要適用對象,訂定系統性風險評估要求或一致性標準,或將所適用之分類分級標準明確化,例如:消費者得以理解廠商已實施何種程度之檢驗、廠商於物聯網產品上已採取的防護設計…等選購時可供參考之基礎。此外,我國可持續將物聯網產品資安認驗證制度,藉由與他國官方或民間合作、交流建立互信機制,以符合行政院所提出之第六期國家資通安全發展方案(2021年至2024年)中,持續推動六大核心戰略產業—「資安卓越產業」之意旨,透過公私協力共創網安環境,使我國成為安全堅韌之智慧國家。
【新聞聯絡人】
資策會科法所 顏翩翩
Tel: (02) 6631-1084
Email: pienpienyen@iii.org.tw