特朗普签署最新行政令,物联网安全标签获得进一步支持
美国时间6月6日,特朗普签署了一项总统行政令,加强美国国家网络安全并重新确定网络安全工作的优先级,该行政令包括对奥巴马和拜登时代的行政命令相关条款进行修订、指示联邦政府推进安全的软件开发、将人工智能网络安全工作的重点重新放在识别和管理漏洞上等。
物联网相关内容也包含在本行政令中,总体来看并未否定拜登政府对物联网所做的工作,而且对于一些方向进一步做了强调。可以看出,物联网安全同样是特朗普政府关心的网络安全重要事项之一,而且会继续支持拜登政府期间推出的物联网安全标签计划。
特朗普政府对物联网安全标签计划也形成共识
拜登于2025年1月签署了其任期最后一份行政令《关于加强和促进国家网络安全创新的行政命令》,本次特朗普签署的行政令,正是和拜登这份行政令针锋相对,修订了多个条款。虽然特朗普此前明确提出,在上任后将废除拜登宣布的每一项行政命令,但对于物联网安全标签方面的条款,并未否认此前拜登行政令的内容,而且还进一步要求美联邦采购法规委员会修订采购法规来配合物联网安全标签计划的实施。
具体来说,特朗普本次签署的行政令提出要颁布相关安全技术政策,包括机器可读和本质可信的物联网标准,以确保美国人能够知道他们的个人和家庭设备符合基本的安全原则,并要求美联邦采购法规委员会在1年内修订采购法规,以达到2027年1月4日前向联邦政府提供消费者物联网产品的供应商获得物联网安全标签的目标。
比较明确的是,物联网安全标签计划不会是一个“虎头蛇尾”的政策,特朗普政府会进一步推动该计划实施。美国联邦通讯委员会(FCC)委员Simington近期撰文对拜登政府推出的物联网安全标签计划表示高度认可,而该委员是共和党代表,也是特朗普上一任期结束前任命的FCC委员,其表态在一定程度上代表了特朗普对这一计划的态度。
Simington撰文指出,拜登政府开发物联网安全标签计划试图应对物联网发展带来的前所未有的网络安全挑战,虽然共和党对该政府更广泛的监管议程的许多要素提出异议,但物联网安全标签计划代表了一个罕见的智能、市场一致的治理案例。他认为,与严厉的联邦授权不同,物联网安全标签计划尊重消费者的选择,赋予企业问责制,并为一种基于安全风险的新型采购方式打开了大门,从而从头开始加强国家网络安全。物联网安全标签计划不是灵丹妙药,但它是朝着正确方向迈出的明智一步,即一个保守派如何在不牺牲有限的政府或市场自由的情况下应对新出现的威胁的模式,这证明,并非每个挑战都需要行政命令和控制来解决。
在笔者看来,特朗普对于物联网安全标签计划的支持,也是其上一任期结束前签署的《物联网网络安全改进法案》的延续。2020年12月4日,特朗普正式签署了《物联网网络安全改进法案》,促成美国首个全国性的物联网安全法出台和实施。
法案要求美国国家标准技术研究院(NIST)发布联邦政府使用物联网设备的标准和指南,并指示白宫管理和预算办公室(OMB)审查政府政策,以确保它们符合NIST指南,联邦机构将不得购买不符合安全要求的物联网设备。
同时,法案规定了保护联邦机构免受网络攻击的责任等级,执行部门、管理和预算办公室、国土安全部部长以及各个此类机构的负责人共同负责监督美国国家标准技术研究院(NIST)制定的物联网安全标准。
该法案适用于由连接到联邦信息系统的机构拥有或控制的物联网设备,NIST将其定义为“由行政机构、行政机构的承包商或代表行政机构的其他组织使用或运营的信息系统。” 美国联邦机构和供应商仅使用符合规定标准的设备,并将影响设备的已知漏洞通知机构等。
本次特朗普签署的行政令,明确提出2027年1月4日后所有为向联邦政府提供消费者物联网产品的供应商必须获得物联网安全标签,正是《物联网网络安全改进法案》中确保联邦政府购买的物联网设备符合安全要求的具体举措。从这个角度来看,物联网安全标签计划也得到了特朗普政府的认可。
物联网安全标签计划虽是自愿性项目,但已具备了强制性事实特点
特朗普签署的行政令要求联邦政府采购的消费物联网产品必须获得物联网安全标签,至少在政府采购这个层面,让物联网安全标签这一自愿性项目编程带有强制性的特点。实际上,随着物联网安全标签计划的推进,在得到更多国家和更广泛市场认可的情况下,该计划开始具备了一定的强制性特点。
近日,新加坡政府在对公众咨询的一封回信中提出,供应商可能需要先获得网络安全认证,然后才能获得许可或竞标某些政府合同。这一回信是新加坡金融管理局(MAS)和新加坡网络安全局(CSA)共同发出的,他们正在考虑要求供应商获得的国家网络安全认证是Cyber Essentials()或Cyber Trust Mark,然后才能获得许可或竞标涉及访问敏感数据或系统的政府合同。
其中,Cyber Trust Mark就是新加坡版的物联网安全标签计划。可以看出,新加坡政府正在评估将物联网安全标签计划作为寻求获得许可或参与涉及敏感数据系统的政府采购供应商的强制性要求可能性。市场分析认为,如果新加坡政府机构最终要求供应商获得这些认证,这将代表物联网安全标签计划从自愿认证向强制性认证的重大转变。
总体来看,物联网安全标签计划已成为主要发达经济体的共识,对于物联网产品尤其是消费物联网产品全球市场带来明显的影响,同时对我国出口的物联网产品提出无形的要求,需要高度关注这一领域的变化。再次呼吁,应尽快启动中国版物联网安全标签计划,明确物联网安全标签计划的定位和路径,加快推动物联网安全标签的国家标准制定,并加快物联网安全消费者教育,倒逼物联网厂商对标签计划进行深入了解并加入该计划。
