Великобритания представила законопроект о безопасности продуктов и телекоммуникационной инфраструктуры (PSTI), который обещает защитить устройства IoT.
Многие «умные» устройства не соответствуют своему названию, когда дело касается безопасности. Поскольку производители стремятся идти в ногу со спросом на устройства IoT, безопасность слишком часто оказывается второстепенной.
Джулия Лопес, министр СМИ, данных и цифровой инфраструктуры, сказала:
«Каждый день хакеры пытаются взломать умные устройства людей. Большинство из нас полагает, что если товар выставлен на продажу, он безопасен и надежен. Однако многие этого не делают, что подвергает слишком многих из нас риску мошенничества и кражи.
Наш законопроект установит брандмауэр вокруг повседневных технологий, от телефонов и термостатов до посудомоечных машин, радионянь и дверных звонков, и назначит огромные штрафы для тех, кто нарушает новые жесткие стандарты безопасности».
Среди обычных приемов безопасности, которые не требуются, - это использование паролей по умолчанию.
Вам не нужно быть опытным хакером, чтобы получить доступ к странице входа на чье-то устройство и использовать пароль по умолчанию для таких целей, как кража секретов компании, шантаж, вторжение в частную жизнь, сбор конфиденциальных данных и многое другое.
Опытные хакеры могут сканировать уязвимые устройства и использовать пароли по умолчанию, чтобы добавлять их в бот-сети, такие как печально известный Mirai.
IoT-устройства, которые становятся жертвами Mirai, идентифицируются путем асинхронной отправки TCP SYN-зондов на псевдослучайные IPv4-адреса на TCP-портах telnet 23 и 2323. Если устройство IoT отвечает, выполняется попытка установления telnet-соединения с использованием заранее определенных пар имени пользователя и пароля из списка известные учетные данные по умолчанию.
Такие бот-сети используют беспрецедентные объемы широко распределенного трафика, который устройства Интернета вещей предоставляют службам DDoS, и наносят огромный ущерб. Одна громкая атака на DNS-провайдера Dyn в октябре 2016 года привела к отключению нескольких известных веб-сайтов, включая GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.
Счет PSTI запрещает использование паролей по умолчанию. Все устройства должны поставляться с уникальными паролями и не могут быть сброшены на какие-либо универсальные заводские настройки.
Производители также будут обязаны предупреждать клиентов в точках продажи и держать их в курсе о том, как долго продукт будет получать важные обновления безопасности и исправления. Если таких планов нет, это также должно быть раскрыто.
Еще одно ключевое правило состоит в том, что необходимо предоставить контактную информацию, чтобы исследователям безопасности и другим лицам было легче сообщать об обнаружении недостатков и ошибок в продуктах.
Правоприменение будет осуществляться еще не определенным регулирующим органом, который будет иметь право штрафовать компании за несоблюдение требований в размере до 10 миллионов фунтов стерлингов или четырех процентов их глобального оборота. Они также смогут оштрафовать до 20 000 фунтов стерлингов в день за продолжающиеся правонарушения.
На любой «подключаемый» продукт будут распространяться новые правила. Единственное существенное исключение – для настольных и портативных компьютеров, поскольку они обслуживаются развитым рынком антивирусного программного обеспечения.
Д-р Ян Леви, технический директор Национального центра кибербезопасности, прокомментировал:
«Я рад представлению этого законопроекта, который обеспечит безопасность подключенных потребительских устройств и заставит производителей устройств нести ответственность за обеспечение базовой кибербезопасности.
Требования, которые вводятся в этом законопроекте, которые были разработаны DCMS и NCSC совместно с отраслевыми консультациями, знаменуют собой начало пути к обеспечению того, чтобы подключенные устройства на рынке соответствовали стандарту безопасности, который признан хорошей практикой».
Однако законопроект не обошелся без критиков.
Мартин Тайли, глава кибер-отдела KPMG UK, сказал:
«Поскольку компании в настоящее время сталкиваются с множеством киберрисков, законопроект о PSTI просто добавляет еще одну задачу к постоянно растущему списку задач CISO.
Производители уже изо всех сил пытаются предотвратить участников угроз и соблюдать существующее законодательство – добавление еще одного нормативного акта только еще больше сокрушит их. Поэтому я считаю, что все правила и законы в области кибербезопасности должны сопровождаться соответствующими руководящими принципами и поддержкой отраслей, которые, как ожидается, будут им соответствовать.
Регулирующие органы и правительство Великобритании оценивают киберугрозы, с которыми сталкиваются эти организации, и выходят далеко за рамки того, что может понять любой игрок отрасли. Следовательно, есть обязанность объяснить, почему он вступает в силу и как рассматривать его последствия.
В конечном итоге мы можем увидеть, что у руководителей по информационной безопасности нет иного выбора, кроме как соблюдать эти новые правила безопасности Интернета вещей на индивидуальной основе, вместо того, чтобы думать об их состоянии безопасности более целостным образом. Это может в конечном итоге поставить под угрозу их отношения с клиентами, потенциальную прибыль и положение на рынке, если они не будут хорошо подготовлены к будущему.
Это нанесет наибольший ущерб небольшим организациям, у которых нет средств, чтобы еще больше инвестировать в свою функцию кибербезопасности. Именно эти производители упускают из виду безопасность и конфиденциальность продукции и могут рисковать потерять долю рынка в пользу конкурентов, которые все сделают правильно».
После того, как законопроект получит королевское согласие, соответствующим игрокам отрасли будет дано не менее 12 месяцев на соблюдение новых правил.
Источник:
https://iottechnews.com/news/2021/nov/25/uk-introduces-psti-bill-to-protect-iot-devices/