より多くのデバイスがモノのインターネットを通じて接続されるようになるにつれて、サイバー リスクの状況は急速に変化しています。 2023 年には、世界中で 16 億台を超えるデバイスが接続されており、その数は毎年急激に増加すると予想されています。この傾向は、PSTI BIll と IoT セキュリティ対策の重要性を強調しています。
この傾向が続く中、世界中の政府は、多数のエンドユーザーのプライバシーと安全を保護する取り組みを強化しています。 サイバーセキュリティー 枠組みと対策。
そのような取り組みの 1 つが、英国の製品セキュリティおよび電気通信インフラストラクチャ (PSTI) 法案です。
この法案は2021年に初めて議会に提出され、英国科学イノベーション技術省は29年2024月XNUMX日に発効すると発表した。
しかし、PSTI 法案とは何であり、IoT のセキュリティにどのような変化をもたらすのでしょうか?それは誰に適用され、あなたのビジネスにどのような影響を与える可能性がありますか?
これらの質問などに対する回答を提供します。
PSTI 法案とは何ですか?
この法案は 2 つの主要な部分で構成されています。
- 第 1 部 – 製品のセキュリティ対策
- 急速に変化する世界情勢に対処するための規制枠組みが含まれています。 サイバー脅威
- 第2部 通信インフラ対策
- より高速なインターネットを実現するという英国政府の野心と、この野望を実現するためのサービス プロバイダーの対策の概要を説明します。
この記事では、パート 1 – 製品のセキュリティ対策にのみ焦点を当てます。
簡単に言えば、法案の第 1 部は XNUMX 章にわたる一連の条項を定めています。
- 章1: 概要は必須 セキュリティ要件 およびそれらが適用される製品
- 章2: 主要な関係者はこれらのセキュリティ要件を満たす必要があると指摘
- この場合、「関係者」は、接続されたデバイスの製造業者、輸入業者、販売業者にまで及びます。
- 章3: コンプライアンス違反の場合の執行措置と、これらの執行を担当する関連部門を強調します。
- 章4: 補足情報と付録が含まれています
PSTI 法案は一部の人にとって驚くかもしれませんが、世界的な立法パイプラインの現在および今後の IoT サイバーセキュリティ フレームワークと一致しています。
これらには、EU のサイバーレジリエンス法、米国の NIS2、シンガポールのサイバーセキュリティ法、カナダのデジタル憲章実施法などが含まれます。
なぜ PSTI 法案が必要なのでしょうか?
英国政府による最近の調査では、接続可能な製品に基本的なセキュリティ要件を組み込んでいるメーカーは 1 社に 5 社だけであることが判明しました。これは、すべての接続された消費者製品 (つまり、スマート ウォッチ、電話、テレビ、冷蔵庫など) のほぼ 80% が、デフォルトのパスワードを使用することによって悪意のある攻撃にさらされたままになっていることを意味します。これには、次のような例が含まれます。
- パスワード
- 1234
- ルータ
- user
PSTI 法案が導入される前は、一般のユーザーが IoT セキュリティの負担を負うという不当な期待がありました。したがって、サービスプロバイダーにはプライバシーや個人データの侵害を防ぐ責任もありません。
しかし、大規模な IoT の導入が加速し、標準化しつつある現在、この法案はこれ以上ないタイミングで提出されました。
この試験は PSTI の要件ですか?
PSTI の 3 つのセキュリティ基盤は次のとおりです。
- パスワードは各デバイスに固有である必要があるため、工場出荷時のデフォルトのパスワードに依存する必要はなくなります。
- 製品には、欠陥やバグを報告するための明確な脆弱性開示ポリシーが必要です。
- 製品が重要なセキュリティ更新プログラムを受信する期間に関する透明性
この条項は、「インターネット接続可能な製品」と、インターネットに接続せずにデータを送受信できる「ネットワーク接続可能な製品」の両方を対象としています。
これらが実践規範や ETSI EN 303 645 のように聞こえるのはなぜですか?
2012 年に GDPR の最初の草案が公開されたときでも、英国では IoT 製品のセキュリティに関する議論がすでに進行していました。
これらの議論の結果、EU と英国の両国は 2018 年に行動規範 (「規範」) を発行しました。この規範には、メーカーがコネクテッド製品のサイバーセキュリティを強化するための 13 の条項が概説されています。
その結果、この規範は、欧州電気通信標準協会 (ETSI) が作成した標準である ETSI EN 303 645 消費者向け IoT デバイスのサイバーセキュリティ標準にも影響を与えました。
2021 年に発行された ETSI EN 303 645 は、消費者向け IoT 製品向けの初のグローバル サイバーセキュリティ標準となりました。これは、すべての消費者関連の IoT サイバーセキュリティに対する優れたグローバル セキュリティ ベースラインを確立するための、68 の一連の必須および推奨規定を示しています。
PSTI 法案は誰に影響を与えますか?
前述したように、PSTI 法案の第 7 部の第 1 条によれば、XNUMX つの事業体が遵守義務を負っています。
これらには、関連する接続可能な製品のメーカー、輸入業者、販売業者が含まれます。
法案の第 8 条から第 24 条には、これらの組織に対する主な義務が規定されており、以下が含まれます。
- 規制されているセキュリティ要件を認識し、遵守すること。
- 準拠証明書の提供;
- コンプライアンス違反を調査して解決する。
- 失敗と救済策の詳細を消費者と当局に伝達する。
- 失敗とその後の調査の記録を維持する
一般に、輸入業者と販売業者は製造業者と同じ責任を負いますが、いくつかの追加関税が課されます。製品に脆弱性が含まれていることが判明した場合、これらの攻撃者は英国での製品の販売を阻止する責任もあります。さらに、輸入業者および/または販売業者は、いずれかの条項を遵守していない場合には、英国外に拠点を置く製造業者に連絡する必要があります。
違反した場合は、科学情報技術省の決定に応じてさまざまな罰則が科される可能性があります。各ペナルティは、エンドユーザーに生じる損害の程度に対応します。
主な執行措置は、違反当事者によるコンプライアンス違反の停止およびリコール通知および/または公表で構成されます。さらに違反した場合は、最大で企業の全世界収益の 10% に相当する 4 万ポンドの罰金を含む、重大な金銭的罰金が課せられる可能性があります。
IoT セキュリティを向上するにはどうすればよいでしょうか?
IoT セキュリティとデータ プライバシーを優先することで、規制の変更に先んじて対応します。
これらの規制は、経営幹部チームを超えて企業内のガバナンスと意思決定に具体的な変化を求めるものです。このような対策は、セキュリティ対策に対してより積極的なアプローチをとることで実現でき、課題を予測して運用の中断を最小限に抑えることができます。
また、組織は、サイバーセキュリティを重視する組織文化の発展を促進するために、明確なセキュリティ ポリシーと戦略を確立して施行する必要があります。そのため、IT チームはこれ以上孤立し続けることはできず、継続的に経営陣と協力して必要な変更を実施する必要があります。
多数の法律を重荷とみなすのではなく、顧客の安全性を向上させ、ネットワーク セキュリティを優先する機会とみなすこともできます。
英国を超えて、国際的な規制環境は、急速な技術進歩に直面しても効果的な法律を維持するために継続的に適応しています。
サイバーセキュリティとデータプライバシーの規制が強化されているため、今すぐこの機会を利用して組織にセキュリティの文化を浸透させてください。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill
