يتغير مشهد المخاطر السيبرانية بسرعة مع اتصال المزيد من الأجهزة عبر إنترنت الأشياء. في عام 2023، كان هناك أكثر من 16 مليار جهاز متصل في جميع أنحاء العالم، ومن المتوقع أن ينمو هذا الرقم بشكل كبير كل عام. يؤكد هذا الاتجاه على أهمية التدابير الأمنية الخاصة بـ PSTI BIll وإنترنت الأشياء.

ومع استمرار هذا الاتجاه، تعمل الحكومات في جميع أنحاء العالم على تعزيز التزامها بحماية خصوصية المستخدمين النهائيين وسلامتهم من خلال تقديم مجموعة كبيرة من الإجراءات الأمن السيبراني الأطر والتدابير

إحدى هذه المبادرات هي مشروع قانون أمن المنتجات والبنية التحتية للاتصالات (PSTI) في المملكة المتحدة.

تم تقديم مشروع القانون لأول مرة إلى البرلمان في عام 2021، حيث أعلنت وزارة العلوم والابتكار والتكنولوجيا في المملكة المتحدة أنه سيدخل حيز التنفيذ في 29 أبريل 2024.

ولكن ما هو مشروع قانون PSTI وكيف يغير أمن إنترنت الأشياء؟ من سيطبق عليه وكيف سيؤثر على عملك؟

نحن نقدم إجابات لهذه الأسئلة وأكثر.

ما هو مشروع قانون PSTI؟

يتكون مشروع القانون من جزأين رئيسيين:

• الجزء 1 - تدابير أمن المنتج 
  • يحتوي على إطار تنظيمي للتعامل مع المشهد المتغير بسرعة تهديدات الإنترنت
• الجزء 2 - تدابير البنية التحتية للاتصالات  
  • يوضح طموح حكومة المملكة المتحدة في الحصول على إنترنت أسرع والتدابير اللازمة لمقدمي الخدمات لتنفيذ هذا الطموح

في هذه المقالة، سنركز حصريًا على الجزء الأول – إجراءات أمان المنتج.

باختصار، يتضمن الجزء الأول من مشروع القانون سلسلة من البنود في أربعة فصول.

• الفصل 1: الخطوط العريضة ضرورية متطلبات الأمن والمنتجات التي تنطبق عليها
• الفصل 2: يشير إلى أنه يتعين على الجهات الفاعلة الرئيسية تلبية هذه المتطلبات الأمنية
  • وفي هذه الحالة، يمتد "الجهات الفاعلة" إلى الشركات المصنعة والمستوردين والموزعين للأجهزة المتصلة
• الفصل 3: يسلط الضوء على إجراءات التنفيذ في حالات عدم الامتثال والإدارات ذات الصلة التي ستكون مسؤولة عن تنفيذ هذه الإجراءات
• الفصل 4: يحتوي على معلومات ومرفقات تكميلية

في حين أن مشروع قانون PSTI قد يكون بمثابة مفاجأة للبعض، إلا أنه يتماشى مع أطر الأمن السيبراني الحالية والقادمة لإنترنت الأشياء في المسار التشريعي العالمي.

وتشمل بعض هذه القوانين قانون المرونة السيبرانية للاتحاد الأوروبي، وNIS2 في الولايات المتحدة، وقانون الأمن السيبراني في سنغافورة، وقانون تنفيذ الميثاق الرقمي الكندي، من بين أمور أخرى.

لماذا الحاجة إلى مشروع قانون PSTI؟

كشفت الأبحاث الحديثة التي أجرتها حكومة المملكة المتحدة أن شركة واحدة فقط من بين كل 1 شركات مصنعة ستقوم بتضمين متطلبات الأمان الأساسية في المنتجات القابلة للاتصال. وهذا يعني أن ما يقرب من 5 بالمائة من جميع المنتجات الاستهلاكية المتصلة (مثل الساعات الذكية والهواتف وأجهزة التلفاز والثلاجات وغيرها) تتعرض لهجمات ضارة من خلال الالتزام بكلمات المرور الافتراضية، بما في ذلك أمثلة مثل ما يلي:

• كلمة المرور
• إداري
• 1234
• اقامة
• جهاز التوجيه
• المستخدم

قبل تقديم مشروع قانون PSTI، كانت هناك توقعات غير معقولة للمستخدمين العاديين لتحمل عبء أمن إنترنت الأشياء. وعلى هذا النحو، لا يوجد أيضًا أي مسؤولية على مقدمي الخدمة لمنع انتهاكات الخصوصية والبيانات الشخصية.

ومع ذلك، مع تزايد عمليات النشر الجماعي لإنترنت الأشياء وتحولها إلى القاعدة، لم يكن من الممكن أن يأتي مشروع القانون هذا في وقت أفضل.

ابحث عن هي متطلبات PSTI?

الأسس الأمنية الثلاثة لـ PSTI هي كما يلي:

1. لا مزيد من الاعتماد على كلمات المرور الافتراضية للمصنع حيث يجب أن تكون كلمات المرور فريدة لكل جهاز؛
2. يجب أن يكون لدى المنتجات سياسة واضحة للإفصاح عن الثغرات الأمنية للإبلاغ عن الأخطاء أو الأخطاء؛
3. الشفافية المحيطة بطول الفترة الزمنية التي سيتلقى خلالها المنتج تحديثات الأمان الحيوية

تغطي هذه البنود كلا من "المنتجات القابلة للاتصال بالإنترنت" و"المنتجات القابلة للاتصال بالشبكة" والتي يمكنها إرسال البيانات واستقبالها دون الاتصال بالإنترنت.

لماذا تبدو هذه مثل قواعد الممارسة وETSI EN 303 645؟

حتى عندما تم نشر المسودة الأولى للقانون العام لحماية البيانات (GDPR) في عام 2012، كانت المناقشات المتعلقة بأمن منتجات إنترنت الأشياء جارية بالفعل في المملكة المتحدة.

أدت هذه المناقشات إلى قيام كل من الاتحاد الأوروبي والمملكة المتحدة بنشر مدونة قواعد الممارسة ("المدونة") في عام 2018. وقد حددت هذه المدونة 13 حكمًا للمصنعين لضمان قدر أكبر من الأمن السيبراني للمنتجات المتصلة.

وبالتالي، أثرت هذه المدونة أيضًا على المعايير التي أصدرها المعهد الأوروبي لمعايير الاتصالات (ETSI): ETSI EN 303 645 معيار الأمن السيبراني لأجهزة إنترنت الأشياء الاستهلاكية.

عند نشره في عام 2021، كان المعيار ETSI EN 303 645 أول معيار عالمي للأمن السيبراني لمنتجات إنترنت الأشياء الاستهلاكية. ويقدم سلسلة من 68 حكمًا إلزاميًا وموصى به لإنشاء خط أساس أمني عالمي جيد لجميع الأمن السيبراني لإنترنت الأشياء المتعلق بالمستهلك.

على من سيؤثر مشروع قانون PSTI؟

كما ذكرنا سابقًا، وفقًا للبند 7 من الجزء الأول من مشروع قانون PSTI، تواجه ثلاثة كيانات التزامات الامتثال.

ويشمل ذلك المصنعين والمستوردين والموزعين للمنتجات القابلة للتوصيل ذات الصلة.

تحدد المواد من 8 إلى 24 من مشروع القانون الواجبات الرئيسية لهذه الكيانات بما في ذلك:

• أن تكون على دراية بأي متطلبات أمنية منظمة ومتوافقة معها؛
• تقديم شهادات المطابقة؛
• التحقيق في حالات فشل الامتثال وحلها؛
• توصيل تفاصيل الإخفاقات والعلاجات إلى المستهلكين والسلطات؛
• الاحتفاظ بسجلات الفشل والتحقيقات اللاحقة

بشكل عام، يتحمل المستوردون والموزعون نفس المسؤوليات التي يتحملها المصنعون مع بعض الرسوم الإضافية. إذا تم اكتشاف أن المنتج يحتوي على نقاط ضعف، فإن هذه الجهات الفاعلة مسؤولة أيضًا عن منع بيعه في المملكة المتحدة. بالإضافة إلى ذلك، يجب على المستوردين و/أو الموزعين الاتصال بالمصنعين المقيمين خارج المملكة المتحدة إذا فشلوا في الالتزام بأي من البنود.

يمكن أن يؤدي عدم الامتثال إلى مجموعة متنوعة من العقوبات على النحو الذي تحدده وزارة العلوم والمعلومات والتكنولوجيا. تتوافق كل عقوبة مع درجة الضرر الذي يلحق بالمستخدم النهائي.

تتكون إجراءات التنفيذ الرئيسية من إشعارات الإيقاف والاسترداد و/أو الإعلانات العامة عن فشل الامتثال من قبل الطرف المخالف. قد يؤدي المزيد من عدم الامتثال أيضًا إلى فرض عقوبات مالية كبيرة، بما في ذلك الغرامات القصوى المحتملة التي تبلغ 10 ملايين جنيه إسترليني، أو 4% من الإيرادات العالمية للشركة.

كيف يمكنك تحسين أمان إنترنت الأشياء لديك؟

واكب التغييرات التنظيمية من خلال جعل أمان إنترنت الأشياء وخصوصية البيانات أولوية.

وتدعو هذه اللوائح إلى تغيير ملموس في الحوكمة وصنع القرار داخل الشركات بما يتجاوز فريق القيادة التنفيذية. يمكن تحقيق مثل هذه الإجراءات من خلال اتباع نهج أكثر استباقية في ممارساتك الأمنية، مما يسمح لك بتوقع التحديات وتقليل الاضطرابات التشغيلية.

يجب على المنظمات أيضًا إنشاء وتنفيذ سياسات واستراتيجيات أمنية واضحة لتشجيع تطوير ثقافة تنظيمية تقدر الأمن السيبراني. على هذا النحو، لا يمكن لفرق تكنولوجيا المعلومات البقاء معزولة لفترة أطول ويجب أن تعمل بشكل مستمر مع الإدارة لتفعيل التغييرات اللازمة.

وبدلاً من النظر إلى مجموعة التشريعات باعتبارها عبئًا، يمكنك أيضًا اعتبارها فرصًا لتحسين سلامة العملاء وإعطاء الأولوية لأمن الشبكة.

خارج المملكة المتحدة، يتكيف المشهد التنظيمي الدولي باستمرار للحفاظ على التشريعات الفعالة في مواجهة التقدم التكنولوجي السريع.

نظرًا لأن لوائح الأمن السيبراني وخصوصية البيانات أصبحت أكثر قوة، اغتنم الفرصة لغرس ثقافة الأمان في مؤسستك اليوم.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill