Ситуация с киберрисками быстро меняется по мере того, как все больше устройств подключаются через Интернет вещей. В 2023 году во всем мире насчитывалось более 16 миллиардов подключенных устройств, и ожидается, что эта цифра будет расти в геометрической прогрессии с каждым годом. Эта тенденция подчеркивает значимость законопроекта PSTI BIll и мер безопасности Интернета вещей.

Поскольку эта тенденция сохраняется, правительства во всем мире усиливают свою приверженность защите конфиденциальности и безопасности конечных пользователей, вводя множество информационной безопасности рамки и меры.

Одной из таких инициатив является британский законопроект о безопасности продуктов и телекоммуникационной инфраструктуре (PSTI).

Законопроект был впервые внесен в парламент в 2021 году, а Министерство науки, инноваций и технологий Великобритании объявило, что он вступит в силу 29 апреля 2024 года.

Но что такое законопроект PSTI и как он меняет безопасность Интернета вещей? На кого это будет распространяться и как это потенциально повлияет на ваш бизнес?

Мы даем ответы на эти и многие другие вопросы.

Что такое законопроект PSTI?

Законопроект состоит из двух основных частей:

• Часть 1. Меры безопасности продукта 
  • Содержит нормативную базу, позволяющую справиться с быстро меняющейся ситуацией в мире. кибер-угрозы
• Часть 2 – Меры в области телекоммуникационной инфраструктуры  
  • Описаны амбиции правительства Великобритании по обеспечению более быстрого Интернета и меры для поставщиков услуг по реализации этих амбиций.

В этой статье мы сосредоточимся исключительно на Части 1 — Мерах безопасности продукта.

Кратко говоря, часть 1 законопроекта представляет собой ряд положений в четырех главах.

• Глава 1: Контуры важны требования безопасности и продукты, к которым они относятся
• Глава 2: Указывает на то, что ключевые участники должны соблюдать эти требования безопасности.
  • В этом случае «актеры» распространяются на производителей, импортеров и дистрибьюторов подключенных устройств.
• Глава 3: Описаны правоприменительные меры в случаях несоблюдения требований и соответствующие ведомства, которые будут нести ответственность за выполнение этих правоприменительных мер.
• Глава 4: Содержит дополнительную информацию и приложения.

Хотя для некоторых законопроект PSTI может стать неожиданностью, он соответствует текущим и будущим основам кибербезопасности IoT в глобальном законодательном процессе.

Некоторые из них включают, среди прочего, Закон ЕС о киберустойчивости, NIS2 в США, Закон о кибербезопасности в Сингапуре и Закон о реализации Канадской цифровой хартии.

Почему необходим законопроект PSTI?

Недавнее исследование правительства Великобритании показало, что только каждый пятый производитель встраивает базовые требования безопасности в подключаемые продукты. Это означает, что почти 1 процентов всех подключенных потребительских товаров (т. е. умных часов, телефонов, телевизоров, холодильников и т. д.) подвергаются вредоносным атакам из-за использования паролей по умолчанию, включая такие примеры, как следующие:

• Пароль
• Администратор
• 1234
• Установка
• маршрутизатор
• пользователь

До принятия законопроекта PSTI существовало необоснованное ожидание, что обычные пользователи возьмут на себя бремя безопасности IoT. Таким образом, поставщики услуг также не несут никакой ответственности за предотвращение нарушений конфиденциальности и персональных данных.

Однако, поскольку массовое внедрение Интернета вещей набирает обороты и становится нормой, этот законопроект появился как нельзя кстати.

Что Являются ли требования PSTI?

Три основы безопасности PSTI заключаются в следующем:

1. Больше не нужно полагаться на заводские пароли по умолчанию, поскольку пароли должны быть уникальными для каждого устройства;
2. Продукты должны иметь четкую политику раскрытия уязвимостей для сообщения о недостатках или ошибках;
3. Прозрачность относительно продолжительности времени, в течение которого продукт будет получать важные обновления безопасности.

Эти положения охватывают как «продукты, подключаемые к Интернету», так и «продукты, подключаемые к сети», которые могут отправлять и получать данные без подключения к Интернету.

Почему это похоже на Кодекс практики и ETSI EN 303 645?

Даже когда в 2012 году был опубликован первый проект GDPR, в Великобритании уже велись дискуссии о безопасности продуктов Интернета вещей.

В результате этих обсуждений в 2018 году ЕС и Великобритания опубликовали Кодекс практики («Кодекс»). В этом Кодексе изложены 13 положений, позволяющих производителям обеспечить большую кибербезопасность подключенных продуктов.

Следовательно, этот Кодекс также повлиял на стандарты, разработанные Европейским институтом телекоммуникационных стандартов (ETSI): ETSI EN 303 645 Стандарт кибербезопасности для потребительских устройств IoT.

Опубликованный в 2021 году стандарт ETSI EN 303 645 стал первым глобальным стандартом кибербезопасности для потребительских продуктов Интернета вещей. В нем представлен ряд из 68 обязательных и рекомендуемых положений для создания надежной глобальной основы безопасности для всей кибербезопасности Интернета вещей, связанной с потребителями.

На кого повлияет законопроект PSTI?

Как упоминалось ранее, согласно пункту 7 части 1 Законопроекта о PSTI, три организации несут обязательства по соблюдению требований.

К ним относятся производители, импортеры и дистрибьюторы соответствующих подключаемых продуктов.

Пункты 8–24 Законопроекта определяют основные обязанности этих лиц, в том числе:

• Знать и соблюдать любые регламентированные требования безопасности;
• Предоставление сертификатов соответствия;
• Расследование и устранение нарушений требований;
• Передача подробной информации о сбоях и способах их устранения потребителям и органам власти;
• Ведение учета сбоев и последующих расследований

Как правило, импортеры и дистрибьюторы несут те же обязанности, что и производители, но с некоторыми дополнительными обязанностями. Если будет обнаружено, что продукт содержит уязвимости, эти субъекты также несут ответственность за предотвращение его продажи в Великобритании. Кроме того, импортеры и/или дистрибьюторы должны связаться с производителями, базирующимися за пределами Великобритании, если они не соблюдают какое-либо из положений.

Несоблюдение может повлечь за собой различные штрафы, определенные Министерством науки, информации и технологий. Каждое наказание будет соответствовать степени вреда, причиненного конечному пользователю.

Основные меры принуждения включают в себя уведомления о прекращении и отзыве и/или публичные объявления о несоблюдении требований стороной-нарушителем. Дальнейшее несоблюдение может также привести к значительным финансовым штрафам, включая потенциальные максимальные штрафы в размере 10 миллионов фунтов стерлингов, или 4% от глобального дохода бизнеса.

Как вы можете улучшить безопасность Интернета вещей?

Будьте в курсе нормативных изменений, сделав безопасность Интернета вещей и конфиденциальность данных приоритетом.

Эти правила требуют ощутимых изменений в управлении и принятии решений внутри предприятий, выходящих за рамки исполнительного руководства. Таких мер можно добиться, приняв более активный подход к мерам обеспечения безопасности, что позволит вам предвидеть проблемы и минимизировать сбои в работе.

Организациям также следует разработать и обеспечить соблюдение четких политик и стратегий безопасности, чтобы стимулировать развитие организационной культуры, которая ценит кибербезопасность. Таким образом, ИТ-команды больше не могут оставаться изолированными и должны постоянно работать вместе с руководством над внедрением необходимых изменений.

Вместо того, чтобы рассматривать множество законов как бремя, вы также можете рассматривать их как возможность повысить безопасность клиентов и расставить приоритеты сетевой безопасности.

За пределами Великобритании международная нормативно-правовая база постоянно адаптируется для поддержания эффективного законодательства в условиях быстрого технологического прогресса.

Поскольку правила кибербезопасности и конфиденциальности данных становятся более строгими, воспользуйтесь возможностью привить культуру безопасности в вашей организации уже сегодня.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill