Със значителна стъпка към укрепване на киберсигурността Обединеното кралство въведе Закона за сигурността на продуктите и телекомуникационната инфраструктура (PSTI). Това ново законодателство установява нови строги стандарти за свързаните с интернет устройства. От началото на юни производителите са длъжни да гарантират, че техническите джаджи се предлагат с уникални пароли по подразбиране или позволяват на потребителите да задават свои собствени.
Това новаторско законодателство има за цел да ограничи уязвимостите в сигурността, които засягат много от потребителската електроника, като направи много по-трудно за хакерите да проникват в интелигентните устройства.
Решаване на проблема с паролите
Паролите по подразбиране отдавна са слабото звено във веригата на сигурността. Често тези пароли са лесни за отгатване (“password”). Освен това те са широко известни – повечето производители публикуват пароли по подразбиране онлайн в помощната си документация. И двата фактора правят устройствата по-податливи на хакерски атаки.
Съгласно новия закон всяко устройство трябва да има уникална парола по подразбиране при доставката му. Или потребителят трябва да бъде подканен да създаде сигурна такава по време на първоначалната настройка. Тази промяна е насочена към широк спектър от устройства, свързани с интернет на нещата (IoT). Като например интелигентни телевизори, WiFI щепсели и интелигентни високоговорители. Които са се превърнали в неразделна част от съвременния начин на живот, но често стават обект на нападения поради лоши практики за сигурност.
Веднъж компрометирани, интелигентните домашни устройства могат да бъдат използвани за атака на други устройства в домашната мрежа или за присъединяване към зомби ботнет за други киберпрестъпни дейности.
Докладване и отчетност
Актуализираният закон също така задължава производителите да улеснят собствениците на устройства да докладват за проблеми със сигурността. Компаниите вече трябва да предоставят ясни насоки за това как потребителите могат да докладват за уязвимости и какво могат да очакват да направи производителят. Това трябва да помогне за създаването на по-прозрачна и отзивчива екосистема. При която компанията своевременно решава проблемите със сигурността и информира потребителите, когато станат налични кръпки и поправки.
Строги санкции за неспазване на изискванията
Законът налага строги санкции на компаниите, които не го спазват. Те могат да бъдат глобени с до 10 млн. британски лири (приблизително 12,5 млн. щатски долара). или 4% от глобалните им приходи, в зависимост от това коя от двете суми е по-висока. Създателите на тези високи глоби целят да стимулират производителите да отдадат приоритет на сигурността и да инвестират в надеждни защити за своите устройства, които да предпазват по-добре потребителите.
По-голямата картина: Сигурност на интернет на нещата
Макар че новият закон е насочен към всички свързани с интернет устройства, джаджите IoT са основен фокус. Тези устройства, особено най-евтините варианти с бял етикет, в миналото са били лесни мишени за кибератаки. Прословутата атака на ботнета Mirai, която използва компрометирани IoT устройства, за да започне масирана атака за отказ на услуга (DDoS), подчерта катастрофалния потенциал на незащитените устройства.
Чрез премахването на паролите по подразбиране Обединеното кралство се надява да намали донякъде тези рискове и да повиши цялостната киберсигурност.
Глобални усилия
Проактивната позиция на Обединеното кралство по отношение на сигурността на устройствата е част от по-широки глобални усилия. В Съединените щати Федералната комисия по комуникациите (FCC) въвежда програмата Cyber Trust Mark. Подобно на добре познатата програма Energy Star. Тази инициатива ще осигури на продуктите, които отговарят на строги стандарти за сигурност, включително силни пароли по подразбиране, нов етикет, предназначен да помогне на потребителите да направят информиран избор.
Предстоящи предизвикателства
Въпреки тези законодателни усилия, предизвикателствата остават. За разлика от програмата Energy Star, която предлага ясни ползи като намаляване на сметките за комунални услуги. Предимствата на повишената киберсигурност не са толкова осезаеми за средния потребител. Много хора може да не разберат веднага как една сигурна интелигентна крушка е от съществено значение за защитата на останалата част от домашната им мрежа. Тази липса на осведоменост може да повлияе на ефективността на програми като Cyber Trust Mark, към които производителите се присъединяват напълно доброволно.
Стъпка в правилната посока
Законът PSTI е важна стъпка напред в борбата срещу киберзаплахите. Чрез премахването на паролите по подразбиране и насърчаването на прозрачността при отчитането на сигурността законът ще създаде по-безопасна цифрова среда – у дома и в целия интернет. Тъй като технологиите продължават да се развиват, подобни мерки са от съществено значение за защитата на огромната мрежа от свързани устройства, които са гръбнакът на съвременния ни живот.