英國推出了產(chǎn)品安全和電信基礎(chǔ)設(shè)施 (PSTI) 法案,以保護物聯(lián)網(wǎng)設(shè)備。
在安全性方面��,許多“智能”設(shè)備名不副實��。隨著制造商急于推出物聯(lián)網(wǎng)設(shè)備��,安全性往往成了事后的想法。
媒體�����、數(shù)據(jù)和數(shù)字基礎(chǔ)設(shè)施部長 Julia Lopez 說:
“每天都有黑客試圖入侵人們的智能設(shè)備。我們大多數(shù)人都認為����,如果一個產(chǎn)品要出售��,那么它一定是安全可靠的。然而��,許多設(shè)備并非如此��,這讓我們中太多的人面臨欺詐和盜竊的風(fēng)險����。我們的法案將為從手機和恒溫器到洗碗機��、嬰兒監(jiān)視器和門鈴等的日常技術(shù)設(shè)置防火墻�����,并對違反新安全標準的組織處以巨額罰款?����!?/p>
在常見的任何不明智的安全實踐中��,通常使用默認密碼�����。
您不必是經(jīng)驗豐富的黑客����,即可訪問某人設(shè)備的登錄頁面,并使用默認密碼訪問該頁面,以達到竊取公司機密�����、勒索、侵犯隱私、收集敏感數(shù)據(jù)等目的��。
經(jīng)驗豐富的黑客可以掃描易受攻擊的設(shè)備�����,并使用默認密碼將其添加到臭名昭著的Mirai等僵尸網(wǎng)絡(luò)中��。
此類僵尸網(wǎng)絡(luò)利用物聯(lián)網(wǎng)設(shè)備為 DDoS 服務(wù)提供前所未有的廣泛分布的流量并造成巨大破壞。2016 年 10 月對 DNS 提供商 Dyn 的一次引人注目的攻擊導(dǎo)致多個知名網(wǎng)站宕機,包括 GitHub��、Twitter��、Reddit��、Netflix、Airbnb 等��。
PSTI法案禁止使用默認密碼�����。所有設(shè)備必須具有唯一的密碼�����,并且不能重置為任何通用的出廠設(shè)置。
制造商還將被要求在銷售網(wǎng)點提醒客戶,并讓他們了解產(chǎn)品將在多長時間內(nèi)收到重要的安全更新和補丁�����。
另一個關(guān)鍵規(guī)則是必須提供一個聯(lián)系方式��,以便安全研究人員和其他人在發(fā)現(xiàn)產(chǎn)品有缺陷和錯誤時更容易進行報告。
執(zhí)法將由一個尚未確定的監(jiān)管機構(gòu)進行����,該機構(gòu)將有權(quán)對違規(guī)公司處以高達1000萬英鎊或其全球營業(yè)額4%的罰款�����。他們還將能夠?qū)Τ掷m(xù)的違規(guī)行為處以最高 20,000 英鎊/天的罰款。
任何“可連網(wǎng)”的產(chǎn)品都將受到新規(guī)則的約束��。唯一的主要豁免是臺式機和筆記本電腦����,因為它們由成熟的防病毒軟件市場提供服務(wù)。
國家網(wǎng)絡(luò)安全中心技術(shù)總監(jiān) Ian Levy 博士評論說:
“我對這項法案的出臺感到高興,該法案將確保連網(wǎng)消費設(shè)備的安全��,并讓設(shè)備制造商承擔(dān)維護基本網(wǎng)絡(luò)安全的責(zé)任��。該法案提出的要求是由DCMS和NCSC在行業(yè)咨詢的基礎(chǔ)上共同制定的�����,標志著確保市場上的連網(wǎng)設(shè)備符合公認的安全標準之旅的開始?����!?/p>
然而����,該法案并非沒有批評者。
畢馬威英國網(wǎng)絡(luò)主管 Martin Tyley 表示:
“由于公司目前面臨過多的網(wǎng)絡(luò)風(fēng)險�����,PSTI法案只是給CISO不斷增加的待辦事項清單中增加了另一項任務(wù)��。”
“制造商已經(jīng)在努力避開惡意行為者�����,并遵守現(xiàn)有立法——在組合中增加另一項監(jiān)管只會進一步給他們制造壓力�����。因此����,我認為,所有網(wǎng)絡(luò)安全法規(guī)和立法都必須附帶指導(dǎo)方針��,并為期望遵守這些指導(dǎo)方針的行業(yè)提供支持��?���!?/p>
“監(jiān)管機構(gòu)和英國政府對這些組織所面臨的網(wǎng)絡(luò)威脅的看法遠遠超出了業(yè)內(nèi)任何一家公司的預(yù)期�����。因此����,有責(zé)任解釋為什么它會生效��,以及如何考慮它的影響��?���!?/p>
“我們最終可能會看到CISO別無選擇,只能遵守這些新的物聯(lián)網(wǎng)安全規(guī)則,而不是更全面地考慮其安全態(tài)勢。如果他們沒有為未來做好充分準備,這可能最終威脅到他們的客戶關(guān)系��、利潤潛力和市場地位����。”
“這對于那些沒有能力在網(wǎng)絡(luò)安全功能上投入更多資金的小型組織來說將是最具破壞性的��?���!?/p>
該法案獲得批準后,相關(guān)行業(yè)參與者將至少有12個月的時間來遵守新規(guī)則����。
鄭州博觀電子科技有限公司是一家提供科技類物聯(lián)網(wǎng)開發(fā)軟硬件定制化方案服務(wù)商�����、也是中原地區(qū)領(lǐng)先的物聯(lián)網(wǎng)終端設(shè)備解決方案提供商。致力共享換電柜����、智能充電樁����、共享洗車機����、物聯(lián)網(wǎng)軟硬件等服務(wù)平臺的方案開發(fā)與運維。總部位于河南省鄭州市高新區(qū),已取得國家高新技術(shù)企業(yè)認證證書。經(jīng)過10多年的業(yè)務(wù)開拓�����,公司已經(jīng)形成了以中原地區(qū)為中心��、業(yè)務(wù)遍布全國的經(jīng)營格局。
