APP、web、互联网行业相关的隐私和安全问题如火如荼。并且有一定的防范技术,而数量更加庞大的物联网硬件设备,却是一个盲区。在互联网中,出现了隐私泄露、服务器被攻击、等安全问题,都会有反馈和通知,工程师至少知道出问题了,而物联网设备的安全方面出现问题时,工程师或许都不会知晓。亦或者想要检查新物联网设备的安全性和隐私条例时,他们甚至找不到最基本的相关信息。
然而直到最近,这个问题终于得到了解决!
为了解决这一问题,卡内基梅隆大学CyLab的研究人员开发了一个原型物联网安全和隐私“营养标签”,同时,这个新研发的“营养标签”在用户测试反馈中,表现良好,为了开发该“营养标签”,卡内基梅隆大学CyLab的一组研究人员与行业,政府和学术界的22名安全和隐私专家进行了广泛的磋商。
经济学人智库最近进行的一项调查发现,有89%的参与者对未经同意将其个人数据与第三方共享感到不满意。92%的参与者表示,他们认为企业在收集个人数据时告知消费者很重要。
Emami-Naeini说:“尽管存在这些担忧,但人们在购买时仍无法找到有关设备的隐私和安全惯例的信息。”
卡内基梅隆大学CyLab的研究人员还开发了一个IoT标签生成器,供物联网设备制造商用来为其设备创建标签。
该研究的作者,CyLab的Pardis Emami-Naeini对于这个项目是这样描述的:“经过我们调查结果表明,大多数人都开始关注物联网设备的安全性和隐私条例,因此我们需要向他们提供这样信息”。(这里的“这样的信息”是指物联网安全标签。)“隐私标签的信息应该简明易懂,类似于食品上的营养标签。”
该隐私标签黏贴在设备的外壳上,标签主要信息包括该设备收集的个人数据类型、目的、与谁共享数据。。
通过扫描标签上的二维码,消费者可以在线访问标签的第二层信息,例如设备保留数据的时间以及共享数据的频率。这两层信息合在一起显示了47条有关设备安全和隐私惯例的不同信息。
IoT物联网安全标签的开发基于这样的背景:各国隐私法规要求在收集和使用消费者数据方面提高透明度。其中美国的《网络盾牌法案》主张为物联网设备创建一套标准,并为符合这些标准的产品贴上标签。类似的工作也正在英国、芬兰和新加坡等国开展。
美国的《网络盾牌法案》,以下内容为机器自动翻译而成,原文请阅读该链接:https://www.congress.gov/bill/116th-congress/house-bill/4792/text?r=55&s=1
HR 4792
建立自愿性计划,以识别和推广符合行业领先的网络安全和数据安全标准,准则,最佳实践,方法,程序和过程以及用于其他目的的互联网连接产品。
在代表之屋
十月22,2019
加利福尼亚的泰德·列乌先生介绍了以下法案;已转交给能源和商业委员会
法案
建立自愿性计划,以识别和推广符合行业领先的网络安全和数据安全标准,准则,最佳实践,方法,程序和过程以及用于其他目的的互联网连接产品。
它是由美国参议院和众议院国会通过的,
部分1. 简称。
该法案可能被称为“ 2019年网络盾法案”。
SEC。2. 定义。
在该法令中—
(1)“咨询委员会”一词是指局长根据第3(a)条设立的Cyber Shield咨询委员会;
(2)“基准”一词是指标准,指南,最佳实践,方法论,程序和过程;
(3)“被盖产品”一词是指面向消费者的有形物体,可以—
(A)连接到互联网或其他网络;和
(B) (i)收集,发送或接收数据;要么
(ii)控制物理对象或系统的动作;
(4)“ Cyber Shield计划”一词是指局长根据第4(a)(1)条建立的自愿计划;和
(5)“秘书”一词是指商务部长。
SEC。3. CYBER SHIELD咨询委员会。
(a)设立 -在本法颁布之日后的90天内,秘书应建立Cyber Shield咨询委员会。
(b)中的职责 .-
(1)我 ñ总则-不本法颁布之日起不迟于1年后,咨询委员会应当向秘书长提出建议regarding-
(A)根据第4条要求建立的Cyber Shield标签的格式和内容;和
(B)识别,建立,报告,采用,维护和促进遵守第4节规定的自愿性网络安全和数据安全基准的过程。
(2)P RECOMMENDATIONS.-咨询委员会的UBLIC可用性予以公布,并为公众提供发表意见的机会上,根据第(1)向秘书提供的建议。
(c)中成员,椅子,和职责 .-
(1)一个要点—
(A)我 ñ总则-咨询委员会由局长从个人之间的委任议员谁是受过专业训练基础上,教育,培训,或这些人的经验,担任咨询委员会。
(B)- [R下(A)项中指定EPRESENTATION.-成员须包括
(i)涵盖产品行业的代表,包括小型,中型和大型企业;
(ii)网络安全专家,包括专门从事密码分析,硬件和软件安全,无线和网络安全,云安全和数据隐私等领域的独立网络安全研究人员;
(iii)公益倡导者;
(iv)根据《美国国家标准与技术协会法》(15 USC 278g-4(a))第21(a)条设立的信息安全和隐私咨询委员会的联络人,如本段所述,该第21(a)条的(3);
(v)具有认证,涵盖设备或网络安全方面的专业知识的联邦雇员,包括以下人员:
(I)商务部;
(II)国家标准技术研究院;
(III)联邦贸易委员会;
(IV)联邦通讯委员会;和
(V)消费品安全委员会;和
(vi)一名专家,该专家应确保在(e)款的规定下,咨询委员会符合并遵守《联邦咨询委员会法》(5 USC App。)的要求。
(C)大号 IMITATION.-在任命下(A)项成员,秘书须确保-
(i)(B)项第(i),(ii),(iii)和(v)项中所述的每个利益集团均在咨询委员会中按比例代表,包括:
(I)该款第(i)项所述的各种规模的业务;
(II)具有该款第(v)项所述的每个主题的专业知识的联邦雇员;和
(III)该款(v)项(I)至(V)所述各机构的联邦雇员;和
(ii)(B)项第(i),(ii),(iii)和(v)项中所述的单个利益集团都不代表咨询委员会的多数成员。
(2)Ç HAIR.-秘书应指定咨询委员会的成员,作为椅子。
(3)P咨询委员会的AY.成员的任期没有工资,但局长可允许成员,在参加咨询委员会或咨询委员会的一个小组委员会的会议,每日津贴,旅行和交通费用授权根据美国法典第5章第5703条。
(d)支助人员;行政服务 .-
(1)小号 UPPORT STAFF.-秘书应为咨询委员会提供技术支持人员。
(2)一个 DMINISTRATIVE SERVICES.,在咨询委员会的请求,秘书长应提供的任何信息,行政服务和耗材局长认为必要的咨询委员会履行的职责和咨询委员会的职权。
(e)不得终止。——《联邦咨询委员会法》(5 USC App。)第14节不适用于咨询委员会。
(f)拨款的授权。——有权拨出执行本条所需的款项。
SEC。4. CYBER SHIELD程序。
(a)中程序的建立 .-
(1)我 ñ总则,秘书应设立一个自愿性计划,通过自愿性认证和标识,以及其他形式的约,涵盖的产品和涵盖的产品的子集通信的识别和认证所涵盖的产品是符合业界领先的网络安全和数据安全基准,以增强网络安全性并保护数据。
(2)大号 ABELS.-标签施加到覆盖产品网络盾程序-下
(A)应为数字形式,并在可行的情况下为物理形式,并贴在所涵盖的产品或包装上;和
(B)可以采用不同等级的形式,显示受保护产品达到行业领先的网络安全和数据安全基准的程度。
(b)磋商。-部长应在本法颁布之日后90天之内,建立与利益相关方,卫生与公共服务局局长,食品与药品专员,国土局局长进行磋商的程序。安全性以及其他执行“网络盾牌”计划的联邦机构负责人。
(c)职责。-在执行“网络盾牌”计划时,局长-
(1)-
(A)通过召集并咨询有关方面和其他联邦机构的负责人,建立并维护带有Cyber Shield标签的涵盖产品的网络安全和数据安全基准,以确保这些涵盖产品的性能优于那些没有涵盖产品的同类产品带有Cyber Shield标签;和
(B)在执行(A)节中—
(i)进行公开的公众审查和评论过程;
(ii)与咨询委员会协商,基于每个此类子集,针对涵盖的产品的不同子集,确定并应用网络安全和数据安全基准,
(I)与子集中涵盖产品有关的任何网络安全和数据安全风险;
(II)涵盖产品在子集中收集,传输或存储的信息的敏感性;
(III)子集中涵盖产品的功能;
(IV)在开发和制造子集中涵盖产品时使用的安全措施和测试程序;
(V)负责该涵盖产品的网络安全的子集中的涵盖产品的制造商所雇用的员工的专业知识,资格和专业资格水平;和
(VI)咨询委员会和秘书确定的其他任何必要和适当标准;和
(iii)尽可能合并现有的网络安全和数据安全基准,例如由互联网安全委员会发布的题为“安全物联网设备的核心网络安全功能基准:物联网设备制造商的起点”的文档中定义的网络安全功能的基准。美国国家标准技术研究院(2019年7月)或之后
(2)不得建立第(1)款规定的任何网络安全和数据安全基准,该基准是任意的,反复无常的,滥用酌处权的,或者是其他违反法律的规定;
(3)应允许涵盖产品的制造商或分销商展示“网络盾牌”标签,以反映该涵盖产品达到根据第(1)款建立的网络安全和数据安全基准的程度;
(4)应当促进以下技术,实践和政策:
(A)符合根据第(1)款建立的网络安全和数据安全基准;和
(B)部长确定在以下方面,市场上首选的技术,做法和政策:
(i)加强网络安全;
(ii)确保将网络安全纳入涵盖产品生命周期的所有方面;和
(iii)保护数据;
(5)应当通过公众宣传,教育,研究和开发等方式,努力提高公众对“网络盾牌”标签的认识;
(6)应保留Cyber Shield标签的完整性;
(7)如果有助于履行第(6)款规定的义务,则可以选择不将涵盖产品视为通过Cyber Shield计划认证的涵盖产品,直到该涵盖产品符合适当的合格标准为止,其中包括:
(A)与根据Cyber Shield计划由认可的第三方认证实验室或其他实体进行测试有关的标准;和
(B)由(A)项所述的实验室或实体证明所涵盖的产品符合根据(1)项建立的适用网络安全和数据安全基准;
(8)在局长根据第(1)款为涵盖产品类别建立网络安全和数据安全基准之日之后,每年不少于一次,应审查并酌情更新网络安全和数据安全基准,涵盖产品类别;
(9)在建立或修订Cyber Shield涵盖的产品类别或网络安全和数据安全基准之前(或在建立或修订涵盖的产品类别或网络安全和数据安全的生效日期之前)应征求有关方面和咨询委员会的意见基准);
(10)在采用新的或经修订的涵盖产品类别或网络安全和数据安全基准时,应将有关涵盖产品类别或网络安全和数据安全基准的任何更改(包括生效日期)合理地通知有关各方,并—
(A)有关变更的说明;和
(B)适当时回应有关各方提交的意见;
(11)应在适用的生效日期之前提供适当的交货时间,以对涵盖的产品类别或网络安全和数据安全基准进行新的或重大的修订,并考虑到任何涵盖的制造,营销和分销过程的时间要求产品已解决;和
(12)如果认证涵盖产品的制造商不符合根据第(1)款为涵盖产品确定的基准,则可以将涵盖产品的认证删除为根据Cyber Shield计划认证的涵盖产品。秘书。
(d)截止日期。-局长应在本法颁布之日后不迟于2年,为(c)(1)款规定的涵盖产品建立网络安全和数据安全基准,该基准应不迟于60天生效在秘书确定网络安全和数据安全基准之日之后。
(e)行政管理。在以下情况下,秘书可与咨询委员会协商,与第三方订立合同来管理“网络盾牌”计划:
(1)第三方是公正的管理人;和
(2)签订合同可提高涵盖产品的网络安全性和数据安全性。
(六)计划评估 .-
(1)我 ñ总则-不晚于该司建立了网络安全和数据安全基准所涵盖的产品根据第(三)之日起3年(1),并不得少于此后每3年,检查员商务部部长应-
(A)评估Cyber Shield计划;和
(B)就根据(A)项进行的评估结果向以下人员提交报告:
(i)参议院的商业,科学和运输委员会;和
(ii)众议院能源和商务委员会。
(2)R要求。根据第(1)(A)款进行的评估,商务部监察长应:
(A)关于根据(c)(1)款建立的网络安全和数据安全基准,
(i)评估网络安全和数据安全基准解决网络安全和数据安全威胁的程度;和
(ii)评估网络安全和数据安全基准如何演变以应对新兴的网络安全和数据安全威胁;
(B)对涵盖产品进行秘密测试,以评估Cyber Shield计划下认证测试的完整性;
(C)评估制造参与Cyber Shield计划涵盖产品的企业的成本;
(D)评估制造涵盖产品的企业对Cyber Shield计划的参与程度;
(E)评估公众对“网络盾牌”标签的了解程度和消费者的了解程度;
(F)确定是否存在任何与Cyber Shield计划相当的私营部门或国际网络安全认证计划;和
(G)如果存在(F)项中所述的任何私营部门或国际网络安全认证计划,请评估每个此类私营部门或国际网络安全认证计划如何与Cyber Shield计划进行交互并与之比较。
(g)拨款的授权。——有权拨出执行本条所需的款项。
SEC。5. CYBERSHIELD数字覆盖产品门户。
(a)一般而言。秘书应以可搜索的格式在商务部的网站上公开提供以下信息:
(1)提供有关Cyber Shield程序信息的网页;
(2)通过Cyber Shield计划认证的涵盖产品的数据库;和
(3)每个经过Cyber Shield计划认证的涵盖产品制造商的联系信息,消费者可以使用该联系信息就问题或投诉与制造商联系。
(b)要求。根据第(a)(2)款建立的数据库应包括-
(1)根据第4(c)(1)条为每个涵盖产品类别建立的网络安全和数据安全基准;和
(2)对于通过Cyber Shield计划认证的所有涵盖产品,
(A)涵盖产品的认证;
(B)所涵盖产品的名称和制造商;
(C)涵盖产品制造商的联系信息;
(D)涵盖产品的功能;
(E)任何适用隐私政策的位置;和
(F)局长认为必要和适当的任何其他信息。
SEC。6. 施工规则。
涵盖产品的制造商决定不参加Cyber Shield计划,不会影响该制造商对于该涵盖产品的网络安全或数据安全性违约的责任。