英国推出了产品安全和电信基础设施 (PSTI) 法案,以保护物联网设备。
在安全性方面,许多“智能”设备名不副实。随着制造商急于推出物联网设备,安全性往往成了事后的想法。
媒体、数据和数字基础设施部长 Julia Lopez 说:
“每天都有黑客试图入侵人们的智能设备。我们大多数人都认为,如果一个产品要出售,那么它一定是安全可靠的。然而,许多设备并非如此,这让我们中太多的人面临欺诈和盗窃的风险。我们的法案将为从手机和恒温器到洗碗机、婴儿监视器和门铃等的日常技术设置防火墙,并对违反新安全标准的组织处以巨额罚款。”
在常见的任何不明智的安全实践中,通常使用默认密码。
您不必是经验丰富的黑客,即可访问某人设备的登录页面,并使用默认密码访问该页面,以达到窃取公司机密、勒索、侵犯隐私、收集敏感数据等目的。
经验丰富的黑客可以扫描易受攻击的设备,并使用默认密码将其添加到臭名昭著的Mirai等僵尸网络中。
此类僵尸网络利用物联网设备为 DDoS 服务提供前所未有的广泛分布的流量并造成巨大破坏。2016 年 10 月对 DNS 提供商 Dyn 的一次引人注目的攻击导致多个知名网站宕机,包括 GitHub、Twitter、Reddit、Netflix、Airbnb 等。
PSTI法案禁止使用默认密码。所有设备必须具有唯一的密码,并且不能重置为任何通用的出厂设置。
制造商还将被要求在销售网点提醒客户,并让他们了解产品将在多长时间内收到重要的安全更新和补丁。
另一个关键规则是必须提供一个联系方式,以便安全研究人员和其他人在发现产品有缺陷和错误时更容易进行报告。
执法将由一个尚未确定的监管机构进行,该机构将有权对违规公司处以高达1000万英镑或其全球营业额4%的罚款。他们还将能够对持续的违规行为处以最高 20,000 英镑/天的罚款。
任何“可连网”的产品都将受到新规则的约束。唯一的主要豁免是台式机和笔记本电脑,因为它们由成熟的防病毒软件市场提供服务。
国家网络安全中心技术总监 Ian Levy 博士评论说:
“我对这项法案的出台感到高兴,该法案将确保连网消费设备的安全,并让设备制造商承担维护基本网络安全的责任。该法案提出的要求是由DCMS和NCSC在行业咨询的基础上共同制定的,标志着确保市场上的连网设备符合公认的安全标准之旅的开始。"
然而,该法案并非没有批评者。
毕马威英国网络主管 Martin Tyley 表示:
“由于公司目前面临过多的网络风险,PSTI法案只是给CISO不断增加的待办事项清单中增加了另一项任务。”
“制造商已经在努力避开恶意行为者,并遵守现有立法——在组合中增加另一项监管只会进一步给他们制造压力。因此,我认为,所有网络安全法规和立法都必须附带指导方针,并为期望遵守这些指导方针的行业提供支持。”
“监管机构和英国政府对这些组织所面临的网络威胁的看法远远超出了业内任何一家公司的预期。因此,有责任解释为什么它会生效,以及如何考虑它的影响。”
“我们最终可能会看到CISO别无选择,只能遵守这些新的物联网安全规则,而不是更全面地考虑其安全态势。如果他们没有为未来做好充分准备,这可能最终威胁到他们的客户关系、利润潜力和市场地位。”
“这对于那些没有能力在网络安全功能上投入更多资金的小型组织来说将是最具破坏性的。”
该法案获得批准后,相关行业参与者将至少有12个月的时间来遵守新规则。