Długo oczekiwany Bezpieczeństwo produktów i infrastruktura telekomunikacyjna (PSTI) Ustawa z 2022 r. wreszcie weszła w życie, umieszczając nowe obowiązki prawne nałożone na producentów urządzeń elektronicznych i inteligentnego domu aby chronić konsumentów i firmy w całej Wielkiej Brytanii przed naruszeniami prywatności danych i atakami cybernetycznymi poprzez wdrożenie minimalnych podstawowych standardów bezpieczeństwa w swoich produktach.
Zapowiadana przez Westminster jako pierwsza na świecie, geneza ustawy PSTI Act sięga ponad pięciu lat wstecz, od wprowadzenia Kodeks postępowania dotyczący Internetu rzeczy (IoT) w październiku 2018 r, który został opracowany wspólnie przez Narodowe Centrum Cyberbezpieczeństwa (NCSC) i ówczesny Departament Cyfryzacji, Kultury, Mediów i Sportu (DCMS). Podróż ustawy PSTI przez parlament rozpoczęło się w listopadzie 2021 ri otrzymał zgodę królewską od króla Karola III w dniu 6 grudnia 2022 r.
Przepisy zabraniają urządzeniom akceptowania domyślnych lub łatwych do odgadnięcia, niepewnych haseł, zmuszają producentów do publikowania danych kontaktowych, aby można było zgłaszać błędy i problemy, a także zmuszają zarówno producentów, jak i sprzedawców detalicznych do otwartego kontaktu z konsumentami przez minimalny czas, jakiego mogą się spodziewać otrzymywać aktualizacje zabezpieczeń i poprawki oprogramowania.
Chociaż większość urządzeń objętych tym zakresem jest produkowana poza Wielką Brytanią, ustawa PSTI ma również zastosowanie do wszelkich organizacji importujących lub sprzedających produkty detaliczne w Wielkiej Brytanii, a nieprzestrzeganie przepisów stanowi przestępstwo zagrożone karą grzywny w wysokości do 10 milionów funtów lub 4% kwalifikującej się kwoty. globalnego przychodu, w zależności od tego, która wartość jest wyższa.
Westminster stwierdził, iż ustawodawstwo stanowi „znaczący krok” w kierunku zwiększenia odporności społeczeństwa na cyberprzestępczość – w tej chwili uważa się, iż 99% dorosłych w Wielkiej Brytanii posiada co najmniej jedno inteligentne urządzenie, a łącznie każde gospodarstwo domowe w kraju posiada średnio dziewięć. Stwierdzono, iż nowy system da użytkownikom pewność, iż mogą bezpiecznie kupować i używać inteligentnych produktów, co z kolei pomoże w rozwoju gospodarki.
„W miarę jak życie codzienne staje się coraz bardziej zależne od podłączonych urządzeń, zagrożenia generowane przez Internet mnożą się i stają się jeszcze większe” – powiedział minister ds. cybernetyki Jonathan Berry.
„Od dziś konsumenci będą mieli większy spokój ducha, iż ich inteligentne urządzenia są chronione przed cyberprzestępcami, ponieważ wprowadzimy pierwsze na świecie przepisy, które zagwarantują bezpieczeństwo ich prywatności, danych i finansów.
„Dążymy do tego, aby Wielka Brytania stała się najbezpieczniejszym miejscem w Internecie na świecie, a te nowe przepisy stanowią znaczący krok w kierunku bezpieczniejszego cyfrowego świata” – powiedział.
Zastępca dyrektora NCSC ds. gospodarki i społeczeństwa, Sarah Lyons, dodała: „Inteligentne urządzenia stały się istotną częścią naszego codziennego życia, poprawiając naszą łączność w domu i w pracy; wiemy jednak, iż ta zależność stwarza również szansę dla cyberprzestępców.
„Firmy mają do odegrania główną rolę w ochronie społeczeństwa poprzez zapewnienie, iż inteligentne produkty, które wytwarzają, importują lub dystrybuują, zapewniają ciągłą ochronę przed cyberatakami, a ta przełomowa ustawa pomoże konsumentom podejmować świadome decyzje dotyczące bezpieczeństwa kupowanych przez nich produktów” – stwierdził. Lyon.
„Zachęcam wszystkie firmy i konsumentów do przeczytania ulotka dotycząca punktu sprzedaży NCSCktóry wyjaśnia, jak nowe rozporządzenie PSTI na nich wpływa i jak można bezpiecznie korzystać z inteligentnych urządzeń” – dodała.
Witamy w ustawodawstwie
Wśród praktyków zajmujących się bezpieczeństwem cybernetycznym ustawa PSTI została szeroko przyjęta z zadowoleniem, szczególnie w tych jej fragmentach, które dotyczą złej higieny haseł, która często była czynnikiem przyczyniającym się do cyberataków, takich jak te zorganizowane poprzez niesławny botnet Mirai pod koniec 2016 roku.
W wyniku ataku Mirai setki tysięcy inteligentnych urządzeń zostało włączonych do botnetu wykorzystywanego do przeprowadzania ataków typu rozproszona odmowa usługi (DDoS) i był jednym z pierwszych poważnych incydentów związanych z bezpieczeństwem, które uwypukliły, jak podatne są niezabezpieczone inteligentne urządzenia na porwanie przez cyberprzestępców. napastnicy.
Grupa NCK szef rynków brytyjskich Matt Thomas był jednym z tych, którzy poparli ustawodawstwo.
„Branża bezpieczeństwa cybernetycznego od dawna wzywa do zwiększenia ochrony prawnej podłączonych urządzeń, a dzisiejsze prawo stanowi najważniejszy punkt zwrotny w naszych dążeniu do zabezpieczenia naszej połączonej przyszłości” – powiedział Thomas.
„Ponieważ wszyscy dorośli w Wielkiej Brytanii z wyjątkiem kilku posiadają co najmniej jedno inteligentne urządzenie, skutki tego prawa będą dalekosiężne i pokażą, iż rząd poważnie podchodzi do zwiększania cyberodporności Wielkiej Brytanii. Cieszymy się, iż Wielka Brytania zamierza przewodzić w tej kwestii również na arenie międzynarodowej, uchwalając pierwsze na świecie prawo chroniące prywatność, dane i finanse konsumentów.
„Chociaż prawo ma ograniczone możliwości w zakresie ochrony przed ryzykiem bardzo złożonych ataków, takich jak łańcuch dostaw i ataki na państwo narodowe, pomoże ono powstrzymać wiele bardziej powszechnych i mniej złożonych ataków. To zdecydowanie krok we adekwatnym kierunku.”
Kevin Curran, Uniwersytet w Ulsterze profesor cyberbezpieczeństwa i starszy członek Instytutu Inżynierów Elektryków i Elektroników (IEEE), powiedział: „Powszechnie wiadomo, iż im więcej urządzeń łączy się z Internetem, tym większe ryzyko włamania. Oznacza to, iż istnieje większe prawdopodobieństwo, iż zaniedbujesz urządzenia, które nie są aktualizowane i przez to są bardziej podatne na ataki. Skala rozmieszczenia tych urządzeń w gospodarstwach domowych i miejscach publicznych stwarza nowe możliwości ataków. Istnieją również obawy dotyczące „efektu domina”, w przypadku którego naruszenie jednego urządzenia może łatwo rozprzestrzenić się na całą sieć.
„IoT naraża nas wszystkich na pewien stopień ryzyka. Pomimo pozornej prostoty, urządzenia te mają nieoczekiwaną moc zakłócania działania, jeżeli nie zostaną poprawione lub są źle zarządzane. Powszechne stosowanie domyślnych haseł od producentów zwykle prowadziło do poważnych problemów, a hakerzy coraz częściej wykorzystywali tę lukę. Zachęcające jest obserwowanie rosnącego nacisku na wdrażanie najlepszych praktyk w zakresie zabezpieczania urządzeń IoT przed opuszczeniem fabryki.
„Oprócz silniejszych haseł konieczne jest ustanowienie kompleksowych kontroli zapobiegawczych, wykrywających i naprawczych poprzez połączenie zasad, standardów, procedur, struktur organizacyjnych, technologii systemu i mechanizmów monitorowania. Środki te mają najważniejsze znaczenie dla ograniczenia ryzyka związanego z poufnością, integralnością i dostępnością zasobów informacyjnych w organizacji.”
