Japan Cybersecurity Label

【日本資安】日本推出 JC-STAR 物聯網安全評級制度,歐恩壹全力提供協助。

/在: /通過:

JC-STAR 物聯網安全評級制度

日本資訊處理推進機構 (IPA) 近期推出了一項名為 JC-STAR (Japan Cyber-Security Technical Assessment Requirements) 的物聯網安全評級制度,旨在提升物聯網產品的安全性,並為消費者提供清晰的產品安全資訊。 該制度與 ETSI EN 303 645 和 NISTIR 8425 等國際標準相協調,為日本國內物聯網產品的安全建立了一套獨有的評估標準

JC-STAR 制度簡介

JC-STAR 制度是一個基於安全技術要求,用以評估和標示物聯網產品符合安全基準的制度。 該制度根據不同的安全水準設定了不同的安全技術要求,並透過標籤 (labeling) 的方式,讓消費者可以直觀地了解產品的安全程度
  • 目前推出的 「★1」等級是該制度的入門級別,旨在建立一個廣泛適用於各種物聯網產品的基本安全標準確保這些產品具備最低限度的防禦能力,以抵禦常見的網路攻擊
  • 「★1」等級的重點是防止物聯網設備感染惡意軟體並成為殭屍網路的一部分抵禦來自網際網路的遠程攻擊,並明確說明產品缺陷和漏洞的應對和支援政策
  • 此外,「★1」等級也確保在設備報廢或轉售時,可以適當地刪除設備運行過程中產生的數據。

制度適用產品

JC-STAR 「★1」等級主要適用於以下所有條件都滿足的物聯網產品
  • 產品包含硬體設備,標籤將貼在設備上,不包含設備的軟體或雲端服務
  • 設備具有使用網際協定 (IP) 發送和接收數據的功能
  • 設備無論是直接還是間接連接,都可能連接到網際網路
  • 設備難以或無法在購買後添加新的安全功能(除了通過更新添加的功能)
例如常見設備如個人電腦、智慧型手機和平板電腦通常不符合第四條件 ,因此原則上不屬於「★1」等級的適用範圍。 此外,透過物理隔離或完全邏輯斷開與網際網路隔離的設備,亦不屬於「★1」等級的適用範圍

制度申請要求及流程

「★1」等級的評估採用自我宣告的方式,製造商需要自行評估產品是否符合安全標準。 申請流程如下:
  • 準備證明文件: 雖然提交申請時不需要提供證明文件,但在評估過程中,需要準備證明文件,以證明產品符合安全標準。 這些文件可以是技術文件、內部文件、規章制度等
  • 填寫「適合評估清單」: 根據準備好的證明文件,仔細填寫「適合評估清單」,確保每個評估項目的評估結果準確無誤
  • 提交「適合評估清單」: 填寫完成後,只需提交「適合評估清單」即可完成申請
  • IPA 審核: IPA 收到申請後,會對「適合評估清單」進行審核
  • 可能需要提交證明文件: 在評級有效期內,或者 IPA 對申請內容產生疑問時,可能需要提交證明文件以供審核
在申請過程中,您可以選擇使用外部機構 (例如 JC-STAR 評估機構或 JC-STAR 驗證事業者) 協助您進行評估和填寫「適合評估清單」。 此外,即使簽署了保密協議 (NDA),IPA 仍然保留要求申請者提供證明文件的權利。 製造商需要確保所提供的資料真實準確,並積極配合 IPA 的審核要求。

歐恩壹為您提供★1服務

歐恩壹可以為您的產品提供申請的服務。
  • 協助文件準備
  • 進行產品評估
  • 按照制度要求來執行需要的測試以便作為評估證明。
  • 提出申請

如有任何需求或查詢,歡迎賜函給我們。

Mail: Charles.liao@theonelab.co

Phone: 02-8601-2828

RED

EN 18031 解讀:歐恩壹為您解說重點

/在: /通過:

EN 18031 解讀:歐恩壹為您解說重點

RED 網路安全要求

歐盟於2022年及2023年分別發佈了RED指令的補充授權法案 (EU) 2022/30 和 (EU) 2023/2444,要求製造商在產品設計及生產中遵循三項網路安全要求。該規定自2025年8月1日起強制執行。

  • Article 3.3(d):
    無線電設備不得損害網路或其功能,也不得濫用網路資源,以免造成不可接受的服務降級。
  • Article 3.3(e):
    無線電設備需內建保障措施,以保護用戶和訂閱者的個人資料與隱私。
  • Article 3.3(f):
    無線電設備需支援特定功能,確保防範欺詐行為。

覆蓋範圍與豁免範圍

覆蓋範圍

  • Article 3.3(d) 適用於任何可透過互聯網進行通信的無線電設備,包括直接或透過其他聯網設備進行通信的裝置。
  • Article 3.3(e) 適用於能處理個人資料、流量資料或位置資料的無線電設備,包括互聯網連接的設備、兒童看護設備、大多數無線玩具(根據2009/48/EC指令)、以及佩戴在人體或衣服上的無線裝置。
  • Article 3.3(f) 適用於允許用戶轉移貨幣、金融價值或虛擬貨幣的聯網無線電設備。

豁免範圍

  • Article 3.3 (d)、(e)、(f) 不適用於 (EU) 2017/745 和 (EU) 2017/746 條例所監管的醫療設備。
  • Article 3.3 (e) 和 (f) 不適用於以下設備:
    • (EU) 2018/1139 條例監管的遠端控制無人機設備及非機載特定無線電設備;
    • (EU) 2019/2144 條例監管的機動車輛及相關系統部件;
    • (EU) 2019/520 指令監管的道路收費系統。

 

EN 18031

EN 18031 系列標準包含三部分(EN 18031-1、EN 18031-2 和 EN 18031-3),分別對應 RED 指令的不同網路安全要求:

  • EN 18031-1: 確保無線電設備不會對網路或其運作造成不利影響,並防止濫用網路資源導致服務嚴重受損。適用於任何可透過互聯網進行通信的無線電設備。
  • EN 18031-2: 確保設備具有保護用戶及訂閱者個人資料和隱私的安全措施。適用於處理個人資料的設備,例如互聯網連接設備、兒童護理設備、無線玩具及可穿戴設備。
  • EN 18031-3: 確保允許用戶轉移貨幣或虛擬貨幣的聯網無線電設備具有防範欺詐的功能。

資產類型與評估
EN 18031 以資產為基礎,劃分為四類:安全資產、網路資產、隱私資產和金融資產。安全資產在三個標準中均需考量,其餘三類資產則分別對應各標準,根據類型側重不同。評估方式採用機制概念指導安全措施的應用,並通過機制評估解決適用性與適當性問題。

接下來,我們將逐一深入解析 EN 18031-1、-2 和 -3 的重點內容,請密切關注我們的更新!

 

如有任何跟資安有關的查詢,歡迎與我們的專員 Charles 聯繫 charles.liao@theonelab.co

NCCS

印度電信管理局(TEC)於10月30日發佈了最新通知,涉及「IP路由器和Wi-Fi CPE產品的安全認證」

/在: /通過:

印度電信管理局(TEC)於10月30日發佈了最新修訂版的MTCTE通知,內容涉及「IP路由器和Wi-Fi CPE產品的安全認證」。

這些設備用於網絡用途,各自具有不同的功能與特性。路由器旨在在計算機網絡之間傳遞數據包,而客戶端設備(CPE)則用於將客戶端位置連接至服務提供商的網絡。儘管路由器有時可以集成於CPE設置中,但其主要功能並不相同。

自去年首次提議將這些產品納入MTCTE通知後,TEC已兩次延後強制認證日期。初始截止日期設為今年4月1日。隨後,在2024年4月16日,全國通信安全中心(NCCS)發佈通知,將設備分為兩類,分別標記為S No.1和S No.2。聯合的MTCTE與NCCS平台設定於7月1日接受S No.1的安全認證申請,並於10月1日接受S No.2的申請。

在最新通知中,TEC進一步將S No.2產品的申請截止日期延長至11月30日。此類產品包括「已通過MTCTE ER認證並已部署於持牌人(TSP)網絡中的IP路由器和Wi-Fi CPE設備,且計劃進行硬體或軟體更動」。

申請流程為基於文件的自我聲明,符合印度電信安全保證要求(ITSAR)。通知中已附上聲明格式。在提交申請後,將發放一張「臨時證書」(Pro Tem Certificate),有效期為六個月,以便在正式認證完成前能持續供應此類產品。

如需了解更多有關項目及提交要求的詳情,請聯繫charles.liao@theonelab.co

欲進一步瞭解來自NCCS的詳情,請查閱官方文件

EU CRA

歐盟 CRA 法規簡介——歐盟 RED 以外之資安法規

/在: /通過:

歐盟 CRA 法規簡介

「網路韌性法(Cyber Resilience Act, CRA)是歐盟於2022年提出並在今年10月通過的法規,目的是確保連網產品的網路安全性。CRA為所有數位產品設立了嚴格的網路安全要求,特別針對可能連接至網際網路的設備與軟體。法規的重點是確保這些產品在整個生命周期中保持安全,以減少潛在的網路威脅和漏洞風險。 

CRA的重要時間點 

·         20229:歐盟執委會提出《資安韌性法》草案,旨在為所有進入歐盟市場的物聯網(IoT)設備提供資安指引與規範。 

·         202410:歐盟理事會正式採納該法案,為數位產品設立新的安全要求。 

·         202411月:預計法案會在歐盟官方公報上發布。法規發布後的20天內開始生效,並且企業有36個月來準備遵守新規定。 

主要內容與要求 

CRA 包含多項重要的網路安全要求,主要涉及以下幾個方面: 

1.      設計安全:產品從設計到生產階段就要內建安全功能,防止網路攻擊。 

2.      持續更新:連網產品必須支援定期安全更新和漏洞修補,保持長期安全性。 

3.      資訊透明:製造商需提供產品安全資訊,包括安全設計、已知風險和更新政策。 

4.      監管與罰則:市場監管機構會檢查產品的安全性,不合規定者可能會被罰款或下架。 

CRA涵蓋哪些產品? 

CRA 的範圍非常廣,主要是包含所有能連網的數位設備,例如: 

1.  智慧家居產品:像智慧冰箱、電視、音響、門鎖、監控攝影機、智慧玩具等。 

2.  穿戴式裝置:智慧手錶、健康監測器等,因能連接手機或網路而納入規範。 

3.  日常IoT設備:包括智慧燈泡、連網插座、家用安全防護系統等。 

4.  工業IoT設備:如工廠的監控系統、自動化設備等,為了保障工業網路安全也涵蓋在內。 

哪些產品不受CRA影響? 

CRA 對所有數位產品都有影響嗎?不完全是!以下類別因有其他專門法規保護,所以不在CRA的適用範圍內: 

·         醫療設備:已經有更嚴格的醫療法規確保安全。 

·         航空設備:飛機和相關系統都受航空法規監管。 

·         汽車:歐盟車輛安全法已經為汽車的安全性上了雙重保險。 

此外,開源軟體在非商業用途下的部分也被豁免,不用擔心這些開源社群被 CRA 壓得喘不過氣來。 

CRA 的願景 

CRA 就像歐盟為數位世界建設的安全防護牆,確保每一件產品的安全。當我們在日常生活中使用各種智慧設備時,CRA 就在幕後默默地為我們的隱私和安全把關。對企業來說,這不僅僅是一個新的合規挑戰,更是提升產品可信度與市場競爭力的機會! 

如果您對 CRA 有任何需求或疑問,或是需要進一步的測試與合規協助,歡迎隨時聯繫歐恩壹資安實驗室!我們將竭誠為您服務,確保您的產品符合最新的網路安全法規標準。

RED——EN 303 645 & EN 18031 series

/在: /通過:

歐恩壹是一家純資安的實驗室,其中歐規的資安標準是我們重點發展跟專注的領域。
《無線電設備指令》 (RED) 的全新資安要求將於 2025 年 8 月正式實施,以下為大家介紹一下針對這份指令中的資安要求所發布的兩份標準。

 

ETSI EN 303 645

在 2019 年 ETSI TC CYBER 發佈第一個消費性 IoT 產品資安標準,在吸收多方意見後演變為 ETSI EN 303 645。ETSI EN 303 645 旨在透過為消費性 IoT 產品建立資安基礎要求。它提供了 13 項資安指引共 68 條條款來防止針對智慧型裝置的大規模攻擊,並為未來的物聯網認證計畫提供基礎。

ETSI EN 303 645 主要提供資安指引,另外 ETSI 也撰寫了 ETSI TS 103 701 為測試及評估的具體方法。ETSI EN 303 645 已經過多年實測證明其行之有效,而且廣泛的資安指引亦為其他類型電子產品的資安測試評估提供了方向。因此很多其他國家在撰寫資安標準也有高度參考 ETSI EN 303 645 ,例如英國的 PSTI 及新加坡的 Cybersecurity Labelling Scheme 等。

EN 18031 series

資安標準 EN 18031 系列完全是針對 RED 即將實施的新要求而撰寫,目標是成為滿足 RED 的資安統一標準 (harmonized standard)。未來的 Cyber Resilient Act (CRA) 也有可能採用 EN 18031 系列作為其基礎要求。

目前,EN 18031 系列已獲歐盟投票核准成為正式的 EN 標準。與僅適用於 IoT 產品的 ETSI EN 303 645 不同,EN 18031 系列涵蓋所有可連網的無線電設備,包括筆記型電腦、智能手機和路由器等,並提供更為明確的評估測試方法。

歐恩壹的能力

歐恩壹已經取得EN 303645的TAF認證,並且預計於2025年Q1取得EN18031的認證。我們有完整的能力及解決方法可以提供給不同IoT產品的客戶,因此歡迎您就您的產品向我們提出您的疑惑,以幫助您們及早規劃歐洲資安的市場。

【合作】恭喜歐恩壹與歐陸電檢簽署資安合作備忘錄

/在: /通過:

熱烈慶祝歐恩壹與歐陸電檢達成合作協議。

我們決心以歐恩壹的資安技術配合歐陸電檢龐大的客戶市場,共同為不同的電子業界夥伴提供最優質的資安測試服務。

這也表達我們歐恩壹實驗室的實力達到世界水平,可以與跨國企業建立具深度之合作關係。

 

簽署協議當日,歐恩壹以資安實驗室總監阮先生(Norton)為代表,與Eurofins 德國NB Mr.Thami、Euofins 台灣電檢代表Ethan共同簽署資安合作。

透過這個合作協議,我們會堅定的為客戶提供最專業的檢測及客戶服務,使您的產品可以完成資安認證銷售到世界各地。

 

假如您也有電子產品需要外銷,卻不肯定是否需要通過資安認證,誠摯邀請您來函 service@theonelab.co 向我們查詢。

IoT cybersecurity

【EDM】IoT產品的新挑戰

/在: /通過:

IoT cybersecurity

在物聯網(IoT)市場迅速擴張的同時,資安風險也隨之增加。世界各國今年陸續開始為IoT產品制定嚴格的資安法規,其中包括:

l   英國的PSTI2024 429已執行)

l   歐洲的RED —— EN 303645EN1803120258月)

l   美國的CyberTrust Mark計劃(已在規劃)

l   印度的BIS中的網路安全要求(已推出CCTV、錄像機等等的要求)

這意味著,各IoT產品生產商將需要迅速應對這個重大的需求,以免在相關強制期因未能達到標準而影響市場銷售,甚至被罰。

我們的價值

歐恩壹資安實驗室正是為此而生,作為領先的IoT資安專家,我們致力於為您提供最前沿的安全解決方案,助您在新法規環境下輕鬆應對挑戰,保護您的產品和用戶免受網絡威脅。

歐恩壹資安實驗室的創立源於我們對數字安全日益增加的需求的深刻認識。隨著物聯網設備在全球範圍內的普及,這些設備也成為了網絡攻擊的主要目標。為了應對這一挑戰,我們匯集了一支由資深資安專家、工程師和研究人員組成的團隊,致力於開發和提供符合最高安全標準的解決方案。

我們的服務

我們的服務範圍涵蓋了廣泛的IoT產品資安需求,無論是家庭自動化設備、智能家電、聯網產品等等,歐恩壹資安實驗室都能提供專業的安全評估和解決方案。我們的工作基於嚴格的國際標準,並通過財團法人全國認證基金會(TAF)的認可(編號:4248),以確保我們的安全措施達到並超過業界最嚴格的要求。

在全球市場中,我們的服務範圍不僅限於歐洲,還涵蓋了東南亞、美國、印度等地。我們的團隊深入了解各地市場的特殊需求和安全挑戰,並為此制定了針對性的安全策略,確保我們的客戶在任何市場中都能保持領先地位。

我們誠摯地邀請您了解更多關於歐恩壹資安實驗室的信息,並期待有機會與您合作,共同推動IoT產品安全的未來。

如需更多資訊或合作洽談,請隨時與我們聯繫。歐恩壹團隊隨時為您服務。

UK PSTI

資安新聞-英國《產品安全和電信基礎設施法案》( PSTI )的最新要求

/在: /通過:

英國 PSTI

UK PSTI

英國《產品安全和電信基礎設施法案》( PSTI )主要針對智能設備的網絡安全要求,此強制性要求已於2024年4月實施。
以下是需要進行 PSTI 檢測的產品類型例外情況以及如何滿足 PSTI 要求的詳細說明。

PSTI檢測適用於廣泛的互聯網連接設備,包括但不限於:

  • 智能家居設備(如智能燈泡、智能鎖、智能恒溫器)
  • 消費類電子產品(如智能電視、智能揚聲器、智能手表)
  • 互聯玩具和嬰兒監控器
  • 互聯健康和健身設備(如智能手環)
  • 其他具有互聯功能的設備
製造商應根據PSTI的具體條款,針對其產品進行網絡安全風險評估,並採取必要的技術措施來減輕這些風險。通過遵循這些步驟和要求,製造商可以確保其產品符合PSTI的網絡安全標
準,為消費者提供更安全的使用體驗。

例外情況

以下類別的設備不在PSTI檢測範圍內:
  • 企業級網絡設備
  • 工業控制系統
  • 僅具備簡單功能且無互聯網連接能力的設備
  • 個人電腦和筆記本電腦
這些產品通常有專門的安全標準和監管機構進行檢測和認證,因此不需要符合PSTI的要求。

PSTI的要求

要滿足PSTI的要求,製造商應遵循以下步驟:
  1. 固件更新機制:確保設備能夠接收並自動安裝安全更新,以修補已知的漏洞。
  2. 唯一預設密碼:每個設備應使用唯一的預設密碼,或要求用戶在首次使用時設置強密碼。
  3. 漏洞報告通道:建立易於訪問的漏洞報告機制,允許用戶和安全研究人員報告設備的安全問題。

歐恩壹的資安測試實驗室具備提供滿足最新PTSI資安方面要求的測試及認證服務。我們會持續關注法規最新的實施狀況,並按法規發展提供適切的資安測試服務,為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co

Cyber Resilience Act

資安資訊- Cyber Resilience Act(CRA)法案最新進展

/在: /通過:

Cyber Resilience Act

CRA網路韌性法案概述

網路韌性法案(Cyber Resilience Act,CRA)旨在提升歐盟市場上數位產品的網路安全水準,確保這些產品能夠抵禦網路攻擊並保護用戶數據安全。該法案提出了一系列標準和要求,涵蓋了產品的設計、開發、生產、運營和棄置等生命周期的各個環節。

立法過程和現狀

Cyber Resilience Act 法案的立法過程已經取得顯著進展。2023年4月17日,CRA的第二版草案標準化請求已經發布,要求在未來幾年內完成41項交付成果。目前,相關工作組正在積極討論CRA的框架提案,並在不斷改進和完善標準體系。

立法時間表

根據目前的立法進程,CRA的主要時間節點包括:

  • 2026/8/30

    完成2項水平流程標準

  • 2026/10/30

    完成26項垂直標準

    2026/10/30

  • 2027/10/30

    完成13項通用安全要求

水平流程標準、通用安全要求及垂直標準的介紹和解釋

  1. 水平流程標準

   水平流程標準是指適用於所有類型數位產品的基礎安全標準。這些標準涵蓋了跨產品的通用安全流程和措施,例如身份驗證、訪問控制、數據加密以及漏洞管理等。這些標準旨在確保所有數位產品在基本安全層面上達到一致的要求。

  1. 通用安全要求

   通用安全要求是針對所有數位產品所設定的共通安全規範,這些規範涵蓋了設備必須具備的基本安全功能,如安全通信協議、數據保護機制和系統完整性保護等。這些要求確保產品在市場上能夠提供基本的安全保障,防止常見的網路威脅和攻擊。

  1. 垂直標準

   垂直標準則是針對特定類型或行業的數位產品制定的專門安全標準。這些標準考量了不同類型產品的特定需求和風險,例如醫療設備、工業控制系統和智慧家居裝置等,針對這些設備的獨特環境和使用情境制定專屬的安全規範,以確保其能夠在特定應用場景中安全運行。

CRA對資通訊類產品的影響

CRA法案對包括消費者物聯網設備、智慧家居虛擬助手、工業網路交換機等資通訊類產品在內的各種數位產品提出了具體的安全要求。這些要求涵蓋了從產品設計階段的安全考量,到產品運行期間的漏洞處理和安全更新機制,確保這些產品能夠在面對網路威脅時保持高水準的安全性。

歐恩壹的資安測試實驗室會持續關注最新法規的立法狀況,並按法規發展提供適切的資安測試服務,為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co

發布日期:2024年5月30日

來源:REDCA(2024年5月17日更新報告)

RED

資安新聞-RED指令——Harmonized標準編寫狀況

/在: /通過:

歐盟RED

歐盟RED

針對RED的資安要求,Harmonized標準的編寫工作正在積極推進中。

標準化請求M585已於2022年8月5日正式接受,並計劃於2024年8月30日前完成最終文本。該標準將包括以下技術規範,以確保無線電設備符合RED指令的資安要求:

  • 監控和控制網絡流量的元素,包括傳輸的外發數據。
  • 減輕持續的拒絕服務攻擊影響的設計。
  • 適當的認證和訪問控制機制。
  • 在市場上投放時,具備無已知可利用漏洞的最新軟硬件。
  • 自動和安全的軟件或固件更新機制,以減輕潛在的漏洞風險。
  • 保護暴露的攻擊面,並減少成功攻擊的影響。
  • 保護儲存、傳輸或處理的數據免受未經授權的存取、處理、披露或毀壞。
  • 向用戶通報可能影響數據保護和隱私的變更的功能。
  • 記錄對數據保護和隱私有影響的內部活動。

這些標準的實施將大大提高無線電設備的安全性,為用戶提供更安全的使用環境。RED指令的新資安要求及其相關標準的推出,標誌著歐洲在保障網絡安全方面邁出了重要一步。

歐恩壹的資安測試實驗室具備提供滿足最新RED資安方面要求的測試及認證服務。我們會持續關注法規最新的實施狀況,並按法規發展提供適切的資安測試服務,為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co