जैसे-जैसे अधिक उपकरण इंटरनेट ऑफ थिंग्स के माध्यम से जुड़ते जा रहे हैं, साइबर जोखिम परिदृश्य तेजी से बदल रहा है। 2023 में, दुनिया भर में 16 बिलियन से अधिक कनेक्टेड डिवाइस थे और यह आंकड़ा हर साल तेजी से बढ़ने की उम्मीद है। यह प्रवृत्ति पीएसटीआई बिल और आईओटी सुरक्षा उपायों के महत्व पर जोर देती है।

जैसे-जैसे यह चलन जारी है, दुनिया भर की सरकारें अंतिम उपयोगकर्ताओं की गोपनीयता और सुरक्षा की रक्षा के लिए अपनी प्रतिबद्धता को मजबूत कर रही हैं साइबर सुरक्षा रूपरेखा और उपाय.

ऐसी ही एक पहल यूके का उत्पाद सुरक्षा और दूरसंचार अवसंरचना (पीएसटीआई) विधेयक है।

विधेयक को पहली बार 2021 में संसद में पेश किया गया था, यूके के विज्ञान, नवाचार और प्रौद्योगिकी विभाग ने घोषणा की थी कि यह 29 अप्रैल, 2024 को लागू होगा।

लेकिन PSTI बिल क्या है और यह IoT सुरक्षा को कैसे बदलता है? यह किस पर लागू होगा और यह संभावित रूप से आपके व्यवसाय को कैसे प्रभावित करेगा?

हम इन और अन्य प्रश्नों के उत्तर प्रदान करते हैं।

पीएसटीआई बिल क्या है?

विधेयक में दो प्रमुख भाग हैं:

• भाग 1 - उत्पाद सुरक्षा उपाय 
  • इसमें तेजी से बदलते परिदृश्य से निपटने के लिए एक नियामक ढांचा शामिल है साइबर खतरों
• भाग 2 - दूरसंचार अवसंरचना उपाय  
  • तेज़ इंटरनेट पाने की यूके सरकार की महत्वाकांक्षा और इस महत्वाकांक्षा को लागू करने के लिए सेवा प्रदाताओं के लिए उपायों की रूपरेखा

इस लेख के लिए, हम विशेष रूप से भाग 1 - उत्पाद सुरक्षा उपायों पर ध्यान केंद्रित करेंगे।

संक्षेप में कहें तो, विधेयक का भाग 1 चार अध्यायों में खंडों की एक श्रृंखला निर्धारित करता है।

• अध्याय 1: रूपरेखा आवश्यक सुरक्षा आवश्यकताएं और वे उत्पाद जिन पर वे लागू होते हैं
• अध्याय 2: बताते हैं कि प्रमुख अभिनेताओं को इन सुरक्षा आवश्यकताओं को पूरा करना होगा
  • इस मामले में, "अभिनेता" जुड़े उपकरणों के निर्माताओं, आयातकों और वितरकों तक फैला हुआ है
• अध्याय 3: गैर-अनुपालन के मामलों में प्रवर्तन कार्रवाइयों और संबंधित विभागों पर प्रकाश डाला गया है जो इन प्रवर्तनों को पूरा करने के लिए जिम्मेदार होंगे
• अध्याय 4: इसमें पूरक जानकारी और अनुलग्नक शामिल हैं

हालांकि पीएसटीआई विधेयक कुछ लोगों के लिए आश्चर्यचकित करने वाला हो सकता है, यह वैश्विक विधायी पाइपलाइन में वर्तमान और आगामी IoT साइबर सुरक्षा ढांचे के अनुरूप है।

इनमें से कुछ में यूरोपीय संघ का साइबर लचीलापन अधिनियम, संयुक्त राज्य अमेरिका में NIS2, सिंगापुर में साइबर सुरक्षा अधिनियम और कनाडाई डिजिटल चार्टर कार्यान्वयन अधिनियम शामिल हैं।

पीएसटीआई विधेयक की आवश्यकता क्यों?

यूके सरकार के हालिया शोध से पता चला है कि 1 में से केवल 5 निर्माता कनेक्ट करने योग्य उत्पादों में बुनियादी सुरक्षा आवश्यकताओं को शामिल करेगा। मतलब यह कि लगभग 80 प्रतिशत सभी कनेक्टेड उपभोक्ता उत्पाद (जैसे, स्मार्ट घड़ियाँ, फोन, टीवी, फ्रिज और बहुत कुछ) डिफ़ॉल्ट पासवर्ड से चिपके रहने के कारण दुर्भावनापूर्ण हमलों के संपर्क में आते हैं, जिनमें निम्नलिखित जैसे उदाहरण शामिल हैं:

• पासवर्ड
• व्यवस्थापक
• 1234
• व्यवस्था
• रूटर
• उपयोगकर्ता

पीएसटीआई विधेयक के आने से पहले, आम उपयोगकर्ताओं से IoT सुरक्षा का बोझ उठाने की अनुचित अपेक्षा थी। इस प्रकार, गोपनीयता और व्यक्तिगत डेटा उल्लंघनों को रोकने के लिए सेवा प्रदाताओं पर कोई जिम्मेदारी नहीं है।

हालाँकि, बड़े पैमाने पर IoT की तैनाती बढ़ने और आदर्श बनने के साथ, यह विधेयक इससे बेहतर समय पर नहीं आ सकता था।

क्या क्या पीएसटीआई की आवश्यकताएं हैं??

पीएसटीआई की तीन सुरक्षा नींव इस प्रकार हैं:

1. फ़ैक्टरी डिफ़ॉल्ट पासवर्ड पर अब निर्भरता नहीं है क्योंकि पासवर्ड प्रत्येक डिवाइस के लिए अद्वितीय होना चाहिए;
2. दोष या बग रिपोर्टिंग के लिए उत्पादों में स्पष्ट भेद्यता प्रकटीकरण नीति होनी चाहिए;
3. उत्पाद को महत्वपूर्ण सुरक्षा अद्यतन प्राप्त होने की अवधि के संबंध में पारदर्शिता

ये खंड "इंटरनेट-कनेक्टेबल उत्पाद" और "नेटवर्क-कनेक्टेबल उत्पाद" दोनों को कवर करते हैं जो इंटरनेट से जुड़े बिना डेटा भेज और प्राप्त कर सकते हैं।

ये अभ्यास संहिता और ईटीएसआई एन 303 645 की तरह क्यों लगते हैं?

यहां तक ​​कि जब जीडीपीआर का पहला मसौदा 2012 में प्रकाशित हुआ था, तब भी यूके में IoT उत्पाद सुरक्षा पर चर्चा पहले से ही चल रही थी।

इन चर्चाओं के परिणामस्वरूप यूरोपीय संघ और यूके दोनों ने 2018 में एक अभ्यास संहिता ("कोड") प्रकाशित की। इस संहिता ने निर्माताओं के लिए जुड़े उत्पादों की अधिक साइबर सुरक्षा सुनिश्चित करने के लिए 13 प्रावधानों की रूपरेखा तैयार की।

नतीजतन, इस कोड ने यूरोपीय दूरसंचार मानक संस्थान (ईटीएसआई) द्वारा उत्पादित मानकों को भी प्रभावित किया: उपभोक्ता आईओटी उपकरणों के लिए ईटीएसआई ईएन 303 645 साइबर सुरक्षा मानक।

2021 में प्रकाशित होने पर, ETSI EN 303 645 उपभोक्ता IoT उत्पादों के लिए पहला वैश्विक साइबर सुरक्षा मानक था। यह सभी उपभोक्ता-संबंधित IoT साइबर सुरक्षा के लिए एक अच्छी वैश्विक सुरक्षा आधार रेखा स्थापित करने के लिए 68 अनिवार्य और अनुशंसित प्रावधानों की एक श्रृंखला प्रस्तुत करता है।

पीएसटीआई बिल किसको प्रभावित करेगा?

जैसा कि पहले उल्लेख किया गया है, पीएसटीआई विधेयक के भाग 7 के खंड 1 के अनुसार, तीन संस्थाओं को अनुपालन दायित्वों का सामना करना पड़ता है।

इनमें प्रासंगिक कनेक्टेबल उत्पादों के निर्माता, आयातक और वितरक शामिल हैं।

विधेयक के खंड 8-24 में इन संस्थाओं के लिए प्रमुख कर्तव्य निर्धारित किए गए हैं जिनमें शामिल हैं:

• किसी भी विनियमित सुरक्षा आवश्यकताओं के प्रति जागरूक और अनुपालनशील होना;
• अनुपालन प्रमाणपत्र प्रदान करना;
• अनुपालन विफलताओं की जांच करना और उनका समाधान करना;
• उपभोक्ताओं और अधिकारियों को विफलताओं और समाधानों का विवरण संप्रेषित करना;
• विफलताओं और उसके बाद की जांचों का रिकॉर्ड बनाए रखना

आम तौर पर, आयातक और वितरक कुछ अतिरिक्त कर्तव्यों के साथ निर्माताओं के समान जिम्मेदारियां निभाते हैं। यदि यह पता चलता है कि उत्पाद में कमजोरियाँ हैं, तो ये अभिनेता इसे यूके में बेचने से रोकने के लिए भी जिम्मेदार हैं। इसके अलावा, आयातकों और/या वितरकों को यूके के बाहर स्थित निर्माताओं से संपर्क करना चाहिए यदि वे किसी भी खंड का अनुपालन करने में विफल रहते हैं।

गैर-अनुपालन के परिणामस्वरूप विज्ञान, सूचना और प्रौद्योगिकी विभाग द्वारा निर्धारित विभिन्न प्रकार के दंड हो सकते हैं। प्रत्येक जुर्माना अंतिम उपयोगकर्ता को होने वाले नुकसान की मात्रा के अनुरूप होगा।

प्रमुख प्रवर्तन कार्रवाइयों में उल्लंघन करने वाले पक्ष द्वारा रोक और वापस बुलाने के नोटिस और/या अनुपालन विफलताओं की सार्वजनिक घोषणाएं शामिल हैं। इसके अलावा गैर-अनुपालन के परिणामस्वरूप महत्वपूर्ण वित्तीय दंड भी हो सकता है, जिसमें £10 मिलियन का संभावित अधिकतम जुर्माना या व्यवसाय के वैश्विक राजस्व का 4% शामिल है।

आप अपनी IoT सुरक्षा कैसे सुधार सकते हैं?

IoT सुरक्षा और डेटा गोपनीयता को प्राथमिकता देकर नियामक परिवर्तनों से आगे रहें।

ये नियम कार्यकारी नेतृत्व टीम से परे व्यवसायों के भीतर शासन और निर्णय लेने में ठोस बदलाव की मांग करते हैं। इस तरह के उपायों को आपकी सुरक्षा प्रथाओं के प्रति अधिक सक्रिय दृष्टिकोण अपनाकर पूरा किया जा सकता है, जिससे आप चुनौतियों का अनुमान लगा सकते हैं और परिचालन संबंधी व्यवधानों को कम कर सकते हैं।

संगठनों को साइबर सुरक्षा को महत्व देने वाली संगठनात्मक संस्कृति के विकास को प्रोत्साहित करने के लिए स्पष्ट सुरक्षा नीतियों और रणनीतियों को भी स्थापित और लागू करना चाहिए। ऐसे में, आईटी टीमें अब अलग-थलग नहीं रह सकती हैं और उन्हें आवश्यक बदलाव लाने के लिए प्रबंधन के साथ मिलकर लगातार काम करना चाहिए।

विभिन्न कानूनों को एक बोझ के रूप में देखने के बजाय, आप उन्हें ग्राहक सुरक्षा में सुधार और नेटवर्क सुरक्षा को प्राथमिकता देने के अवसर के रूप में भी मान सकते हैं।

यूके से परे, अंतर्राष्ट्रीय नियामक परिदृश्य तेजी से तकनीकी प्रगति के बावजूद प्रभावी कानून बनाए रखने के लिए लगातार अनुकूलन कर रहा है।

जैसे-जैसे साइबर सुरक्षा और डेटा गोपनीयता नियम अधिक मजबूत होते जा रहे हैं, आज ही अपने संगठन में सुरक्षा की संस्कृति स्थापित करने का अवसर लें।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill