英国推出了产品安全和电信基础设施 (PSTI) 保护物联网设备的法案。
安全方面有很多“智能”设备名不副实。随着制造商急于推出物联网设备,安全性往往成了事后的想法。
媒体、数据和数字基础设施部长 Julia Lopez 说:
“每天都有黑客试图入侵人们的智能设备。我们大多数人认为,如果一个产品要出售,它必须安全可靠。然而,许多设备并非如此,这使得我们中的太多人面临欺诈和盗窃的风险。我们的法案将为从手机和恒温器到洗碗机、婴儿监视器和门铃的日常技术设置防火墙,并对违反新安全标准的组织处以巨额罚款。”
默认密码通常用于任何不明智的安全实践。
您可以访问某人设备的登录页面,并使用默认密码访问该页面,以窃取公司秘密、勒索、侵犯隐私和收集敏感数据。
经验丰富的黑客可以扫描易受攻击的设备,并将其添加到臭名昭著的默认密码中Mirai等待僵尸网络。
这种僵尸网络使用物联网设备 DDoS 服务提供前所未有的广泛流量分布,造成巨大破坏。2016年 10月 DNS 提供商 Dyn 引人注目的攻击导致许多知名网站停机,包括 GitHub、Twitter、Reddit、Netflix、Airbnb 等。
PSTI法案禁止使用默认密码。所有设备必须有唯一的密码,不能重置为任何一般的工厂设置。
制造商还将被要求在销售网点提醒客户,并让他们知道产品将在多长时间内获得重要的安全更新和补丁。
另一个关键规则是,安全研究人员和其他人在发现产品缺陷和错误时更容易提供联系信息。
执法将由一个尚未确定的监管机构执行,该机构有权对其全球营业额高达1000万英镑或4%的非法公司处以罚款。他们还将能够对持续的违规行为处以最高限额2万 英镑/天的罚款。
任何“可连网”所有的产品都将受到新规则的限制。唯一的主要豁免是台式机和笔记本电脑,因为它们是由成熟的防病毒软件市场提供的。
国家网络安全中心技术总监 Ian Levy 博士评论说:
“我很高兴引入这项法案,它将确保网络消费设备的安全,并让设备制造商承担维护基本网络安全的责任。该法案的要求是由DCMS和NCSC在行业咨询的基础上,标志着确保市场上连网设备符合公认安全标准的开始。"
然而,并非没有批评者。
毕马威英国网络主管 Martin Tyley 表示:
“由于公司目前面临过多的网络风险,PSTI法案只是给CISO另一项任务被添加到待办事项清单中。”
“制造商一直在努力避免恶意行为者,并遵守现有的立法——增加组合中的另一项监管只会进一步给他们带来压力。因此,我认为所有的网络安全法规和立法都必须附带指导方针,并为期望遵守这些指导方针的行业提供支持。”
“监管机构和英国政府对这些组织面临的网络威胁的看法远远超出了业内任何公司的预期。因此,有责任解释它为什么生效,以及如何考虑它的影响。”
“我们最终可能会看到CISO别无选择,只能遵守这些新的物联网安全规则,而不是更全面地考虑它们的安全状况。如果他们没有为未来做好充分的准备,这最终可能会威胁到他们的客户关系、利润潜力和市场地位。”
“对于那些无法在网络安全功能上投入更多资金的小组织来说,这将是最具破坏性的。”
经法案批准后,相关行业参与者将至少有12个月的时间遵守新规则。