[[436957]]

英國(guó)推出了產(chǎn)品安全和電信基礎(chǔ)設(shè)施 (PSTI) 法案，以保護(hù)物聯(lián)網(wǎng)設(shè)備。

在安全性方面，許多“智能”設(shè)備名不副實(shí)。隨著制造商急于推出物聯(lián)網(wǎng)設(shè)備，安全性往往成了事后的想法。

媒體、數(shù)據(jù)和數(shù)字基礎(chǔ)設(shè)施部長(zhǎng) Julia Lopez 說(shuō)：

“每天都有黑客試圖入侵人們的智能設(shè)備。我們大多數(shù)人都認(rèn)為，如果一個(gè)產(chǎn)品要出售，那么它一定是安全可靠的。然而，許多設(shè)備并非如此，這讓我們中太多的人面臨欺詐和盜竊的風(fēng)險(xiǎn)。我們的法案將為從手機(jī)和恒溫器到洗碗機(jī)、嬰兒監(jiān)視器和門鈴等的日常技術(shù)設(shè)置防火墻，并對(duì)違反新安全標(biāo)準(zhǔn)的組織處以巨額罰款。”

在常見的任何不明智的安全實(shí)踐中，通常使用默認(rèn)密碼。

您不必是經(jīng)驗(yàn)豐富的黑客，即可訪問(wèn)某人設(shè)備的登錄頁(yè)面，并使用默認(rèn)密碼訪問(wèn)該頁(yè)面，以達(dá)到竊取公司機(jī)密、勒索、侵犯隱私、收集敏感數(shù)據(jù)等目的。

經(jīng)驗(yàn)豐富的黑客可以掃描易受攻擊的設(shè)備，并使用默認(rèn)密碼將其添加到臭名昭著的Mirai等僵尸網(wǎng)絡(luò)中。

此類僵尸網(wǎng)絡(luò)利用物聯(lián)網(wǎng)設(shè)備為 DDoS 服務(wù)提供前所未有的廣泛分布的流量并造成巨大破壞。2016 年 10 月對(duì) DNS 提供商 Dyn 的一次引人注目的攻擊導(dǎo)致多個(gè)知名網(wǎng)站宕機(jī)，包括 GitHub、Twitter、Reddit、Netflix、Airbnb 等。

PSTI法案禁止使用默認(rèn)密碼。所有設(shè)備必須具有唯一的密碼，并且不能重置為任何通用的出廠設(shè)置。

制造商還將被要求在銷售網(wǎng)點(diǎn)提醒客戶，并讓他們了解產(chǎn)品將在多長(zhǎng)時(shí)間內(nèi)收到重要的安全更新和補(bǔ)丁。

另一個(gè)關(guān)鍵規(guī)則是必須提供一個(gè)聯(lián)系方式，以便安全研究人員和其他人在發(fā)現(xiàn)產(chǎn)品有缺陷和錯(cuò)誤時(shí)更容易進(jìn)行報(bào)告。

執(zhí)法將由一個(gè)尚未確定的監(jiān)管機(jī)構(gòu)進(jìn)行，該機(jī)構(gòu)將有權(quán)對(duì)違規(guī)公司處以高達(dá)1000萬(wàn)英鎊或其全球營(yíng)業(yè)額4%的罰款。他們還將能夠?qū)Τ掷m(xù)的違規(guī)行為處以最高 20,000 英鎊/天的罰款。

任何“可連網(wǎng)”的產(chǎn)品都將受到新規(guī)則的約束。唯一的主要豁免是臺(tái)式機(jī)和筆記本電腦，因?yàn)樗鼈冇沙墒斓姆啦《拒浖袌?chǎng)提供服務(wù)。

國(guó)家網(wǎng)絡(luò)安全中心技術(shù)總監(jiān) Ian Levy 博士評(píng)論說(shuō)：

“我對(duì)這項(xiàng)法案的出臺(tái)感到高興，該法案將確保連網(wǎng)消費(fèi)設(shè)備的安全，并讓設(shè)備制造商承擔(dān)維護(hù)基本網(wǎng)絡(luò)安全的責(zé)任。該法案提出的要求是由DCMS和NCSC在行業(yè)咨詢的基礎(chǔ)上共同制定的，標(biāo)志著確保市場(chǎng)上的連網(wǎng)設(shè)備符合公認(rèn)的安全標(biāo)準(zhǔn)之旅的開始。"

然而，該法案并非沒(méi)有批評(píng)者。

畢馬威英國(guó)網(wǎng)絡(luò)主管 Martin Tyley 表示：

“由于公司目前面臨過(guò)多的網(wǎng)絡(luò)風(fēng)險(xiǎn)，PSTI法案只是給CISO不斷增加的待辦事項(xiàng)清單中增加了另一項(xiàng)任務(wù)。”

“制造商已經(jīng)在努力避開惡意行為者，并遵守現(xiàn)有立法——在組合中增加另一項(xiàng)監(jiān)管只會(huì)進(jìn)一步給他們制造壓力。因此，我認(rèn)為，所有網(wǎng)絡(luò)安全法規(guī)和立法都必須附帶指導(dǎo)方針，并為期望遵守這些指導(dǎo)方針的行業(yè)提供支持。”

“監(jiān)管機(jī)構(gòu)和英國(guó)政府對(duì)這些組織所面臨的網(wǎng)絡(luò)威脅的看法遠(yuǎn)遠(yuǎn)超出了業(yè)內(nèi)任何一家公司的預(yù)期。因此，有責(zé)任解釋為什么它會(huì)生效，以及如何考慮它的影響。”

“我們最終可能會(huì)看到CISO別無(wú)選擇，只能遵守這些新的物聯(lián)網(wǎng)安全規(guī)則，而不是更全面地考慮其安全態(tài)勢(shì)。如果他們沒(méi)有為未來(lái)做好充分準(zhǔn)備，這可能最終威脅到他們的客戶關(guān)系、利潤(rùn)潛力和市場(chǎng)地位。”

“這對(duì)于那些沒(méi)有能力在網(wǎng)絡(luò)安全功能上投入更多資金的小型組織來(lái)說(shuō)將是最具破壞性的。”

該法案獲得批準(zhǔn)后，相關(guān)行業(yè)參與者將至少有12個(gè)月的時(shí)間來(lái)遵守新規(guī)則。