Якщо ви створюєте гаджет, який підключається до Інтернету, і продаєте його у Сполученому Королівстві, ви більше не можете зробити пароль за замовчуванням “пароль”. Насправді, ви взагалі не повинні мати паролі за замовчуванням.
Набула чинності нова редакція Закону про безпеку продуктів і телекомунікаційну інфраструктуру (PTSI) від 2022 року, яка охоплює майже все, що споживач може купити через підключення до Інтернету. Відповідно до вказівок, навіть найменша плата Wi-Fi повинна або мати випадковий пароль, або генерувати пароль під час ініціалізації (через додаток для смартфона чи іншим способом). Цей пароль не може бути додатковим (“password1”, “password54”) і не може бути “очевидним чином пов’язаним із загальнодоступною інформацією”, такою як MAC-адреси чи назви мереж Wi-Fi. Пристрій має бути достатньо стійким проти атак грубої сили доступу, включаючи введення облікових даних, і має мати «простий механізм» для зміни пароля.
Оголошення
Є більше, і це так само очевидно, киваючи головою. Компоненти програмного забезпечення, де це доцільно, «повинні мати можливість безпечного оновлення», фактично перевіряти наявність оновлень і оновлюватися автоматично або у спосіб, «простий для застосування користувачем». Можливо, найважливіше те, що власники пристроїв можуть повідомляти про проблеми з безпекою та сподіватися отримати відповідь про те, як обробляється це повідомлення.
Порушення нових законів про пристрої можуть призвести до штрафів у розмірі до 10 мільйонів фунтів стерлінгів (приблизно 12,5 мільйонів доларів США) або чотирьох відсотків відповідного світового доходу, залежно від того, що більше.
Крім надання споживачам кращих пристроїв, ці правила прямо спрямовані проти зловмисного програмного забезпечення, такого як Mirai, яке може залучати такі пристрої, як маршрутизатори, кабельні модеми та відеореєстратори, до армій, здатних виконувати розподілені атаки відмови в обслуговуванні (DDoS) на різні цілі.
Додаткова інформація
Cyber Trust Mark — це добровільна позначка IoT, яка з’явиться у 2024 році. Що це означає?Як зазначає The Record, Закон Європейського Союзу про кібернетостійкість сформовано, але ще не прийнято та не набуло чинності, і навіть якщо воно буде прийнято, воно не набуде чинності до 2027 року. У США існує Cyber Trust Mark, який принаймні надасть клієнтам можливість купувати надійно захищені або добродушно покинуті пристрої . Але деталі цієї мітки є предметом дебатів і, здається, шляхи від реалізації. На федеральному рівні законопроект 2020 року доручив Національним інститутам стандартів і технологій застосовувати відповідні стандарти до підключених пристроїв, які розгорнули федерали.
