Conto alla rovescia per la legge PSTI (Product Security & Telecommunications Infrastructure)

Il panorama del rischio informatico sta cambiando rapidamente poiché sempre più dispositivi vengono connessi tramite l’Internet delle cose. Nel 2023, c’erano oltre 16 miliardi di dispositivi connessi in tutto il mondo e si prevede che la cifra crescerà esponenzialmente ogni anno. Questa tendenza sottolinea l’importanza delle misure di sicurezza PSTI BIll e IoT.

Mentre questa tendenza continua, i governi di tutto il mondo stanno rafforzando il loro impegno a proteggere la privacy e la sicurezza degli utenti finali introducendo una serie di sicurezza informatica quadri e misure.

Una di queste iniziative è la legge PSTI (Product Security and Telecommunications Infrastructure) del Regno Unito.

Il disegno di legge è stato presentato per la prima volta al Parlamento nel 2021, con il Dipartimento britannico per la scienza, l’innovazione e la tecnologia che ha annunciato che entrerà in vigore il 29 aprile 2024.

Ma cos’è la legge PSTI e come cambia la sicurezza dell’IoT? A chi si applicherà e in che modo influirà potenzialmente sulla tua attività?

Forniamo risposte a queste domande e altro ancora.

Cos'è la legge PSTI?

Il disegno di legge si compone di due parti principali:

Parte 1 – Misure di Sicurezza del Prodotto
- Contiene un quadro normativo per far fronte al panorama in rapida evoluzione minacce informatiche
Parte 2 – Misure per le infrastrutture di telecomunicazione
- Delinea l'ambizione del governo britannico di ottenere una connessione Internet più veloce e le misure per i fornitori di servizi per realizzare questa ambizione

Per questo articolo ci concentreremo esclusivamente sulla Parte 1 – Misure di sicurezza del prodotto.

In breve, la Parte 1 del disegno di legge prevede una serie di clausole suddivise in quattro capitoli.

Capitolo 1: Contorni essenziali requisiti di sicurezza e i prodotti a cui si applicano
Capitolo 2: Sottolinea che gli attori chiave devono soddisfare questi requisiti di sicurezza
- In questo caso, per “attori” si intendono produttori, importatori e distributori di dispositivi connessi
Capitolo 3: Evidenzia le azioni di applicazione in caso di non conformità e i dipartimenti competenti che saranno responsabili dell'attuazione di tali applicazioni
Capitolo 4: Contiene informazioni supplementari e allegati

Sebbene il disegno di legge PSTI possa sorprendere alcuni, è in linea con i quadri di sicurezza informatica dell'IoT attuali e futuri nel processo legislativo globale.

Alcuni di questi includono il Cyber Resilience Act dell’UE, il NIS2 negli Stati Uniti, il Cybersecurity Act di Singapore e il Canadian Digital Charter Implementation Act, tra gli altri.

Perché la necessità di una legge PSTI?

Una recente ricerca condotta dal governo britannico ha scoperto che solo 1 produttore su 5 incorporerà i requisiti di sicurezza di base nei prodotti collegabili. Ciò significa che quasi l'80% di tutti i prodotti di consumo connessi (ad esempio orologi intelligenti, telefoni, TV, frigoriferi e altro) sono esposti ad attacchi dannosi attenendosi a password predefinite, inclusi esempi come i seguenti:

Password
Admin
1234
Impostare
router
Utente

Prima dell’introduzione della legge PSTI, vi era un’aspettativa irragionevole che gli utenti comuni si facessero carico dell’onere della sicurezza dell’IoT. Pertanto, non vi è alcun obbligo per i fornitori di servizi di prevenire violazioni della privacy e dei dati personali.

Tuttavia, con l’incremento delle implementazioni dell’IoT di massa che stanno diventando la norma, questo disegno di legge non sarebbe potuto arrivare in un momento migliore.

Che Sono i Requisiti del PSTI?

I tre fondamenti di sicurezza del PSTI sono i seguenti:

Non è più necessario fare affidamento sulle password predefinite in fabbrica poiché le password dovrebbero essere univoche per ciascun dispositivo;
I prodotti devono avere una chiara politica di divulgazione delle vulnerabilità per la segnalazione di difetti o bug;
Trasparenza riguardo al periodo di tempo durante il quale il prodotto riceverà aggiornamenti di sicurezza vitali

Queste clausole riguardano sia i “prodotti collegabili a Internet” che i “prodotti collegabili alla rete” che possono inviare e ricevere dati senza essere connessi a Internet.

Perché sembrano simili al Codice di condotta e alla norma ETSI EN 303 645?

Anche quando è stata pubblicata la prima bozza del GDPR nel 2012, nel Regno Unito erano già in corso discussioni sulla sicurezza dei prodotti IoT.

Queste discussioni hanno portato sia l’UE che il Regno Unito a pubblicare nel 2018 un codice di condotta (“Codice”). Questo codice delinea 13 disposizioni che consentono ai produttori di garantire una maggiore sicurezza informatica dei prodotti connessi.

Di conseguenza, questo Codice ha influenzato anche gli standard prodotti dall’ETSI (European Telecommunication Standards Institute): ETSI EN 303 645 Cybersecurity Standard for Consumer IoT Devices.

Quando è stato pubblicato nel 2021, ETSI EN 303 645 è stato il primo standard globale di sicurezza informatica per i prodotti IoT di consumo. Presenta una serie di 68 disposizioni obbligatorie e raccomandate per stabilire una buona base di sicurezza globale per tutta la sicurezza informatica IoT relativa ai consumatori.

Chi influenzerà la legge PSTI?

Come accennato in precedenza, secondo la clausola 7 della parte 1 della legge PSTI, tre entità sono soggette a obblighi di conformità.

Questi includono produttori, importatori e distributori di prodotti collegabili pertinenti.

Le clausole 8-24 del disegno di legge stabiliscono i compiti chiave per queste entità, tra cui:

Essere consapevoli e conformi a tutti i requisiti di sicurezza regolamentati;
Fornitura di certificati di conformità;
Indagare e risolvere i problemi di conformità;
Comunicare i dettagli dei guasti e dei rimedi ai consumatori e alle autorità;
Conservazione dei registri dei guasti e delle successive indagini

In generale, importatori e distributori hanno le stesse responsabilità dei produttori con alcuni obblighi aggiuntivi. Se si scopre che il prodotto contiene vulnerabilità, questi attori sono anche responsabili di impedirne la vendita nel Regno Unito. Inoltre, gli importatori e/o i distributori devono contattare i produttori con sede al di fuori del Regno Unito se non rispettano una qualsiasi delle clausole.

La non conformità potrebbe comportare una serie di sanzioni determinate dal Dipartimento per la scienza, l'informazione e la tecnologia. Ciascuna sanzione corrisponderà al grado di danno causato all'utente finale.

Le principali azioni esecutive consistono in avvisi di fermo e richiamo e/o annunci pubblici di inadempienze da parte della parte offensiva. Ulteriori inadempienze potrebbero anche comportare sanzioni finanziarie significative, comprese potenziali multe massime di 10 milioni di sterline, o il 4% delle entrate globali dell’azienda.

Come puoi migliorare la tua sicurezza IoT?

Mantieni il passo con le modifiche normative rendendo la sicurezza IoT e la privacy dei dati una priorità.

Queste normative richiedono cambiamenti tangibili nella governance e nel processo decisionale all’interno delle aziende che vanno oltre il team di leadership esecutiva. Tali misure possono essere realizzate adottando un approccio più proattivo alle pratiche di sicurezza, consentendoti di anticipare le sfide e ridurre al minimo le interruzioni operative.

Le organizzazioni dovrebbero inoltre stabilire e applicare politiche e strategie di sicurezza chiare per incoraggiare lo sviluppo di una cultura organizzativa che valorizzi la sicurezza informatica. Pertanto, i team IT non possono più rimanere isolati e dovrebbero collaborare continuamente con il management per attuare i cambiamenti necessari.

Invece di considerare la serie di leggi come un peso, potresti anche considerarle come opportunità per migliorare la sicurezza dei clienti e dare priorità alla sicurezza della rete.

Al di fuori del Regno Unito, il panorama normativo internazionale si adatta continuamente per mantenere una legislazione efficace a fronte del rapido progresso tecnologico.

Man mano che le normative sulla sicurezza informatica e sulla privacy dei dati diventano più rigorose, cogli l’opportunità di instillare oggi stesso una cultura della sicurezza nella tua organizzazione.

Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
Fonte: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill

Intelligenza generativa dei dati

Conto alla rovescia per la legge PSTI (Product Security & Telecommunications Infrastructure).

Cos'è la legge PSTI?

Perché la necessità di una legge PSTI?

Che Sono i Requisiti del PSTI?

Perché sembrano simili al Codice di condotta e alla norma ETSI EN 303 645?

Chi influenzerà la legge PSTI?

Come puoi migliorare la tua sicurezza IoT?

Guida semplice per addestrare Llama 2 con AWS Trainium su Amazon SageMaker | Servizi Web di Amazon

🔴ETF Ethereum in ritardo | Questa settimana in Crypto – 11 marzo 2024

L'ultima intelligenza

I giochi mensili PS Plus di maggio includono Tunica, EA Sports FC 24 e altro ancora – PlayStation LifeStyle

I migliori tre contatori Rek'Sai League of Legends

Anticipato l'alterazione della leggenda dei viaggi dimensionali di Apex Legends

A cosa serve il giocattolo della giraffa in COD MWZ – GamersHeroes

La stima di crescita del PILNow della Fed di Atlanta per il secondo trimestre scende al 2% dal 3.3% | Forexlive

Per riferimento: ecco la dichiarazione del FOMC del 20 marzo | Forexlive