Ситуация с киберрисками быстро меняется по мере того, как все больше устройств подключаются через Интернет вещей. В 2023 году во всем мире насчитывалось более 16 миллиардов подключенных устройств, и ожидается, что эта цифра будет расти в геометрической прогрессии с каждым годом. Эта тенденция подчеркивает значимость законопроекта PSTI BIll и мер безопасности Интернета вещей.
Поскольку эта тенденция сохраняется, правительства во всем мире усиливают свою приверженность защите конфиденциальности и безопасности конечных пользователей, вводя множество информационной безопасности рамки и меры.
Одной из таких инициатив является британский законопроект о безопасности продуктов и телекоммуникационной инфраструктуре (PSTI).
Законопроект был впервые внесен в парламент в 2021 году, а Министерство науки, инноваций и технологий Великобритании объявило, что он вступит в силу 29 апреля 2024 года.
Но что такое законопроект PSTI и как он меняет безопасность Интернета вещей? На кого это будет распространяться и как это потенциально повлияет на ваш бизнес?
Мы даем ответы на эти и многие другие вопросы.
Что такое законопроект PSTI?
Законопроект состоит из двух основных частей:
- Часть 1. Меры безопасности продукта
- Содержит нормативную базу, позволяющую справиться с быстро меняющейся ситуацией в мире. кибер-угрозы
- Часть 2 – Меры в области телекоммуникационной инфраструктуры
- Описаны амбиции правительства Великобритании по обеспечению более быстрого Интернета и меры для поставщиков услуг по реализации этих амбиций.
В этой статье мы сосредоточимся исключительно на Части 1 — Мерах безопасности продукта.
Кратко говоря, часть 1 законопроекта представляет собой ряд положений в четырех главах.
- Глава 1: Контуры важны требования безопасности и продукты, к которым они относятся
- Глава 2: Указывает на то, что ключевые участники должны соблюдать эти требования безопасности.
- В этом случае «актеры» распространяются на производителей, импортеров и дистрибьюторов подключенных устройств.
- Глава 3: Описаны правоприменительные меры в случаях несоблюдения требований и соответствующие ведомства, которые будут нести ответственность за выполнение этих правоприменительных мер.
- Глава 4: Содержит дополнительную информацию и приложения.
Хотя для некоторых законопроект PSTI может стать неожиданностью, он соответствует текущим и будущим основам кибербезопасности IoT в глобальном законодательном процессе.
Некоторые из них включают, среди прочего, Закон ЕС о киберустойчивости, NIS2 в США, Закон о кибербезопасности в Сингапуре и Закон о реализации Канадской цифровой хартии.
Почему необходим законопроект PSTI?
Недавнее исследование правительства Великобритании показало, что только каждый пятый производитель встраивает базовые требования безопасности в подключаемые продукты. Это означает, что почти 1 процентов всех подключенных потребительских товаров (т. е. умных часов, телефонов, телевизоров, холодильников и т. д.) подвергаются вредоносным атакам из-за использования паролей по умолчанию, включая такие примеры, как следующие:
- Пароль
- Администратор
- 1234
- Установка
- маршрутизатор
- пользователь
До принятия законопроекта PSTI существовало необоснованное ожидание, что обычные пользователи возьмут на себя бремя безопасности IoT. Таким образом, поставщики услуг также не несут никакой ответственности за предотвращение нарушений конфиденциальности и персональных данных.
Однако, поскольку массовое внедрение Интернета вещей набирает обороты и становится нормой, этот законопроект появился как нельзя кстати.
Что Являются ли требования PSTI?
Три основы безопасности PSTI заключаются в следующем:
- Больше не нужно полагаться на заводские пароли по умолчанию, поскольку пароли должны быть уникальными для каждого устройства;
- Продукты должны иметь четкую политику раскрытия уязвимостей для сообщения о недостатках или ошибках;
- Прозрачность относительно продолжительности времени, в течение которого продукт будет получать важные обновления безопасности.
Эти положения охватывают как «продукты, подключаемые к Интернету», так и «продукты, подключаемые к сети», которые могут отправлять и получать данные без подключения к Интернету.
Почему это похоже на Кодекс практики и ETSI EN 303 645?
Даже когда в 2012 году был опубликован первый проект GDPR, в Великобритании уже велись дискуссии о безопасности продуктов Интернета вещей.
В результате этих обсуждений в 2018 году ЕС и Великобритания опубликовали Кодекс практики («Кодекс»). В этом Кодексе изложены 13 положений, позволяющих производителям обеспечить большую кибербезопасность подключенных продуктов.
Следовательно, этот Кодекс также повлиял на стандарты, разработанные Европейским институтом телекоммуникационных стандартов (ETSI): ETSI EN 303 645 Стандарт кибербезопасности для потребительских устройств IoT.
Опубликованный в 2021 году стандарт ETSI EN 303 645 стал первым глобальным стандартом кибербезопасности для потребительских продуктов Интернета вещей. В нем представлен ряд из 68 обязательных и рекомендуемых положений для создания надежной глобальной основы безопасности для всей кибербезопасности Интернета вещей, связанной с потребителями.
На кого повлияет законопроект PSTI?
Как упоминалось ранее, согласно пункту 7 части 1 Законопроекта о PSTI, три организации несут обязательства по соблюдению требований.
К ним относятся производители, импортеры и дистрибьюторы соответствующих подключаемых продуктов.
Пункты 8–24 Законопроекта определяют основные обязанности этих лиц, в том числе:
- Знать и соблюдать любые регламентированные требования безопасности;
- Предоставление сертификатов соответствия;
- Расследование и устранение нарушений требований;
- Передача подробной информации о сбоях и способах их устранения потребителям и органам власти;
- Ведение учета сбоев и последующих расследований
Как правило, импортеры и дистрибьюторы несут те же обязанности, что и производители, но с некоторыми дополнительными обязанностями. Если будет обнаружено, что продукт содержит уязвимости, эти субъекты также несут ответственность за предотвращение его продажи в Великобритании. Кроме того, импортеры и/или дистрибьюторы должны связаться с производителями, базирующимися за пределами Великобритании, если они не соблюдают какое-либо из положений.
Несоблюдение может повлечь за собой различные штрафы, определенные Министерством науки, информации и технологий. Каждое наказание будет соответствовать степени вреда, причиненного конечному пользователю.
Основные меры принуждения включают в себя уведомления о прекращении и отзыве и/или публичные объявления о несоблюдении требований стороной-нарушителем. Дальнейшее несоблюдение может также привести к значительным финансовым штрафам, включая потенциальные максимальные штрафы в размере 10 миллионов фунтов стерлингов, или 4% от глобального дохода бизнеса.
Как вы можете улучшить безопасность Интернета вещей?
Будьте в курсе нормативных изменений, сделав безопасность Интернета вещей и конфиденциальность данных приоритетом.
Эти правила требуют ощутимых изменений в управлении и принятии решений внутри предприятий, выходящих за рамки исполнительного руководства. Таких мер можно добиться, приняв более активный подход к мерам обеспечения безопасности, что позволит вам предвидеть проблемы и минимизировать сбои в работе.
Организациям также следует разработать и обеспечить соблюдение четких политик и стратегий безопасности, чтобы стимулировать развитие организационной культуры, которая ценит кибербезопасность. Таким образом, ИТ-команды больше не могут оставаться изолированными и должны постоянно работать вместе с руководством над внедрением необходимых изменений.
Вместо того, чтобы рассматривать множество законов как бремя, вы также можете рассматривать их как возможность повысить безопасность клиентов и расставить приоритеты сетевой безопасности.
За пределами Великобритании международная нормативно-правовая база постоянно адаптируется для поддержания эффективного законодательства в условиях быстрого технологического прогресса.
Поскольку правила кибербезопасности и конфиденциальности данных становятся более строгими, воспользуйтесь возможностью привить культуру безопасности в вашей организации уже сегодня.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill