浅析欧盟对无人机、扫地机器人产品网络安全的基本要求

2023-03-24林奕翔李炯彬付彦志张斌韩宇

消费电子 2023年11期

林奕翔李炯彬付彦志张斌韩宇

引言

近年来，无人机、扫地机器人等联网产品以及其他涉及用户位置信息和个人信息的产品受到网络攻击的情况越来越严重。例如，联网产品具备的监控功能使用麦克风和扬声器，可以实时监控个人；无人机、扫地机器人等联网设备长期连接到互联网；对于广域连接的无人机、扫地机器人可借助无线电设备进行远程操控，这些应用都容易受到网络攻击。需要注意的是，在欧盟法律体系下，具有无线电功能的设备属于无线电设备指令（RED）[1]范围，而RED需涵盖该设备的全面技术要求。因此，产品必须符合第3.3条适用的条款以证明其具有网络安全性，而不仅仅是符合无线电性能要求。这是委托法规(EU) 2022/30[2]技术要求出台的主要原因。

一、委托法规（EU）2022/30简述

（一）产品范围及实施时间

委托法规（EU）2022/30适用于任何连接到互联网的设备，无论是直接连接还是间接连接。包括：

1.可穿戴技术或带有无线电功能的便携式设备，包括可由人员佩戴或携带的无线电设备或放在其衣服中的设备。

2.用于转移货币或虚拟货币的设备。

3.带有无线电功能的儿童玩具或其他用于儿童保育的设备，例如儿童监护器。即使此类设备没有互联网连接，也适用于该法规。

综合上述规定，联网无人机、扫地机器人产品属于法规适用的产品类型。2023年7月20日，欧盟委员会发布更新信息[3]，将法规延期到2025年8月1日起强制执行。

（二）网络安全评价要求

1.RED第3.3条评价要求主要包括以下三方面内容：

第3.3（d）条无线电设备不会损害网络或其功能，也不会滥用网络资源从而导致服务不可接受的降级。

该条款适用于直接或间接地连接到互联网的设备。

无线设备应：

a.包括监控和控制网络流量的元素，包括传输出站数据；

b.设计以减轻持续的拒绝服务攻击的影响；

c.实施适当的身份验证和访问控制机制；

d.在风险基础上提供最新的软件和硬件，这些软件和硬件在上市时不包含公开已知的可利用漏洞，涉及对网络或其功能的损害或滥用网络资源；

e.如果产品漏洞被利用可能导致无线电设备损害网络或其功能或滥用网络资源，应提供自动化和安全的软件或固件更新机制，允许在必要时减轻漏洞影响；

f.保护暴露的攻击面并令成功的攻击影响最小化。

2.第3.3（e）条无线电设备应包含保障措施，以确保用户和订户的个人数据和隐私得到保护。

该条款适用于能够处理个人数据、流量数据和位置数据的设备。此外，还包括专门用于儿童保育的设备、可以佩戴在头部或身体的任何部位（包括服装）以及其他连接到互联网的设备。

无线电设备应：

a.保护存储、传输或以其他方式处理的个人数据，防止意外或未经授权的处理，包括存储、访问、披露、销毁、丢失或更改或缺乏可用性；

b.实施适当的身份验证和访问控制机制；

c.在风险基础上提供最新的软件和硬件，这些软件和硬件在上市时不包含公开已知的可利用漏洞，涉及数据保护和隐私；

d.如果产品漏洞被利用可能导致未经授权的处理，包括存储、访问、披露、销毁、丢失、更改或缺乏可用性的个人数据，应提供自动化和安全的软件或固件更新机制，允许在必要时减轻漏洞影响；

e.包括通知用户可能影响数据保护和隐私的更改的功能；

f.记录可能对数据保护和隐私产生影响的内部活动；

g.允许用户轻松删除其存储的个人数据，使得可以处理或更换设备而不会有暴露个人数据的风险；

h.保护暴露的攻击面并令成功的攻击影响最小化。

3.第3.3（f）条无线电设备支持某些功能，以防止欺诈。

该条款适用于直接或间接地连接到互联网的设备，允许用户转移货币、货币价值或虚拟货币。

无线电设备应：

a.保护存储、传输或以其他方式处理的财务或货币数据，防止意外或未经授权的处理，包括存储、访问、披露、销毁、丢失或更改或缺乏可用性；

b.实施适当的身份验证和访问控制机制；

c.在风险基础上提供最新的软件和硬件，这些软件和硬件在上市时不包含公开已知的可利用漏洞，涉及财务或货币数据；

d.如果产品漏洞被利用可能导致未经授权的处理，包括存储、访问、披露、销毁、丢失或更改或缺乏可用性的财务或货币数据，应提供自动化和安全的软件或固件更新机制，允许在必要时减轻漏洞影响；

e.记录可能对财务或货币数据产生影响的内部活动；

f.保护暴露的攻击面并令成功的攻击影响最小化。

二、相关技术标准分析

欧盟RED指令下尚无网络安全的协调标准，当前阶段根据ETSI TS 103 929技术要求，主要使用的标准有ETSI EN 303 645[4]及IEC 62443-4-2[5]。IEC 62443-4-2主要面向工业用产品设备，与无人机、扫地机器人产品的关联度不大，本文主要针对ETSI EN 303 645进行分析。

（一）ETSI EN 303 645标准

ETSI EN 303 645是目前欧盟标准中较接近以上网络安全要求的标准，可作为未来网络安全要求的参考。该标准技术要求主要包括消费物联网产品的网络安全要求和消费物联网产品的数据保护要求。消费物联网产品的数据保护要求主要有以下内容：

制造商应为消费者提供有关每个设备和服务处理哪些个人数据、如何使用、由谁使用以及出于何种目的的清晰透明的信息。这也适用于可能涉及的第三方，包括广告商。

在基于消费者同意处理个人数据的情况下，应以有效的方式获得同意。以“有效的方式”获得同意，通常涉及向消费者提供明确、明显的选择，即，是否可以将个人数据用于特定目的。

已同意处理其个人数据的消费者应随时具有撤回同意的能力。消费者希望通过适当配置物联网设备和服务功能来保护其隐私。

如果从消费者物联网设备和服务中收集遥测数据，则应将个人数据的处理保持在所需功能的最低限度内。

如果从消费者联网设备和服务中收集遥测数据，则应向消费者提供有关收集哪些遥测数据、如何使用、由谁使用以及出于何种目的的信息。

综合上述规定，联网无人机、扫地机器人产品应符合ETSI EN 303 645中的消费物联网产品的网络安全要求和消费物联网产品的数据保护要求。

（二）ETSI EN 303 645与我国现在标准的比较

ETSI EN 303 645是当前全球范围内物联网产品的基础标准，侧重处理当前普遍存在的网络安全缺陷和消费者相关隐患保护。ETSI EN 303 645基于物联网产品网络安全，条款包含身份鉴别机制、隐私策略信息、软件升级更新服务、加密存储与传输、个人信息删除及撤回处理、暴露接口安全等方面，在隐患保护方面与我国现有标准GB/T 35273-2020 《信息安全技术个人信息安全规范》、GB/T 34975-2017 《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》中条款具有部分共通点。在设备网络安全漏洞方面与我国标准GB/T 36951-2018 《信息安全技术物联网感知终端应用安全技术要求》、GB/T 37024-2018 《信息安全技术物联网感知层网关安全技术要求》、GB/T 37093-2018《信息安全技术物联网感知层接入通信网的安全要求》等存在部分共通点。

三、欧盟网络安全基本要求对我国企业的主要影响分析

（一）我国缺乏强制性标准，企业对网络安全重视程度不够，产品存在网络安全隐患

我国相关标准GB/T 35273-2020 《信息安全技术个人信息安全规范》、GB/T 34975-2017 《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》、GB/T 36951-2018 《信息安全技术物联网感知终端应用安全技术要求》、GB/T 37024-2018 《信息安全技术物联网感知层网关安全技术要求》、GB/T 37093-2018 《信息安全技术物联网感知层接入通信网的安全要求》均为推荐性标准，企业重视程度不够，产品可能会存在网络安全隐患，影响联网无人机、扫地机器人等产品进入欧盟市场。

（二）技术标准要求不明确，缺乏过渡期

目前供参考的标准ETSI EN 303 645、IEC 62443-4-2不是最终的欧盟协调标准，协调标准未发布的情况下，企业难以判断各产品类型目前的符合情况，以及满足合规的技术风险，企业难以依据标准要求对在售和研发中的联网无人机、扫地机器人等产品进行评估。

协调标准发布日期推迟到2024年6月，而产品网络安全要达到法规要求一般需要经过评估、改进、验证和认证等环节，欧盟标准实施时间表令制造商很难有充分时间准备检测认证工作以满足法规要求。

（三）检测认证资源紧缺

法规要求涉及的产品类型非常广泛，但是，目前仅有6家公告机构（Notified Body）具备RED 3.3 d～f条款的发证能力，具备检测能力的实验室也相对有限，制造商在法规实施过程中面临的资源问题将极为突出。

四、建议

（一）关注欧洲适用标准的制定情况

根据WTO/TBT协定第5.9款“各成员应在有关合格评定程序要求的公布和生效之间留出合理时间间隔，使出口成员、特别是发展中国家成员的生产者有时间使其产品和生产方法适应进口成员的要求”，鉴于网络安全要求的技术标准制定进度落后于计划，发布时间将极为接近法规要求生效日期，建议通过国家渠道促使欧盟在技术标准发布后提供12个月的过渡期。