Nesnelerin İnterneti aracılığıyla daha fazla cihaz birbirine bağlandıkça siber risk ortamı hızla değişiyor. 2023 yılında dünya çapında 16 milyarın üzerinde bağlantılı cihaz vardı ve bu rakamın her yıl katlanarak artması bekleniyor. Bu eğilim, PSTI Bill ve IoT güvenlik önlemlerinin önemini vurgulamaktadır.
Bu eğilim devam ettikçe, dünya çapındaki hükümetler bir dizi güvenlik önlemi sunarak son kullanıcıların gizliliğini ve güvenliğini koruma konusundaki kararlılıklarını güçlendiriyor. siber güvenlik çerçeveler ve önlemler.
Böyle bir girişim, Birleşik Krallık'ın Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasa Tasarısı'dır.
Tasarı ilk kez 2021'de Parlamento'ya sunuldu ve Birleşik Krallık Bilim, Yenilik ve Teknoloji Bakanlığı yasanın 29 Nisan 2024'te yürürlüğe gireceğini duyurdu.
Peki PSTI Tasarısı nedir ve IoT güvenliğini nasıl değiştiriyor? Kimler için geçerli olacak ve işletmenizi potansiyel olarak nasıl etkileyecek?
Bu soruların yanıtlarını ve daha fazlasını sunuyoruz.
PSTI Tasarısı nedir?
Tasarı iki ana bölümden oluşuyor:
- Bölüm 1 – Ürün Güvenliği Önlemleri
- Hızla değişen dünya ortamıyla başa çıkabilmek için düzenleyici bir çerçeve içerir. siber tehditler
- Bölüm 2 – Telekomünikasyon Altyapı Tedbirleri
- Birleşik Krallık Hükümeti'nin daha hızlı internet elde etme hedefini ve hizmet sağlayıcıların bu hedefi hayata geçirmesi için alınacak önlemleri özetlemektedir
Bu makale için yalnızca Bölüm 1 – Ürün Güvenliği Önlemlerine odaklanacağız.
Kısaca söylemek gerekirse, Tasarının 1. Kısmı, dört bölüm üzerinden bir dizi maddeyi ortaya koyuyor.
- Bölüm 1: Ana hatlar önemli Güvenlik gereksinimleri ve bunların geçerli olduğu ürünler
- Bölüm 2: Kilit aktörlerin bu güvenlik gereksinimlerini karşılaması gerektiğine dikkat çekiyor
- Bu durumda "aktörler" bağlı cihazların üreticilerini, ithalatçılarını ve dağıtıcılarını da kapsar
- Bölüm 3: Uyumsuzluk durumunda uygulanacak yaptırımları ve bu yaptırımların uygulanmasından sorumlu olacak ilgili departmanları vurgular
- Bölüm 4: Ek bilgiler ve ekler içerir
PSTI Tasarısı bazılarına sürpriz gelse de, küresel yasama hattındaki mevcut ve gelecek IoT siber güvenlik çerçeveleriyle uyumludur.
Bunlardan bazıları arasında AB'nin Siber Dayanıklılık Yasası, ABD'deki NIS2, Singapur'daki Siber Güvenlik Yasası ve Kanada Dijital Şart Uygulama Yasası yer alıyor.
Neden PSTI Tasarısına İhtiyaç Var?
Birleşik Krallık hükümetinin yakın zamanda yaptığı araştırmalar, 1 üreticiden yalnızca 5'inin bağlanabilir ürünlere temel güvenlik gereksinimlerini dahil ettiğini ortaya çıkardı. Bu, tüm bağlı tüketici ürünlerinin (yani akıllı saatler, telefonlar, TV'ler, buzdolapları ve daha fazlası) neredeyse yüzde 80'inin, aşağıdaki gibi örnekler de dahil olmak üzere varsayılan şifrelere bağlı kalınarak kötü niyetli saldırılara açık kaldığı anlamına gelir:
- Şifre
- admin
- 1234
- Kurmak
- yönlendirici
- kullanıcı
PSTI Tasarısının yürürlüğe girmesinden önce, sıradan kullanıcıların IoT güvenliğinin yükünü omuzlamalarına yönelik mantıksız bir beklenti vardı. Bu itibarla, hizmet sağlayıcıların mahremiyet ve kişisel veri ihlallerini önleme konusunda da herhangi bir yükümlülüğü bulunmamaktadır.
Ancak kitlesel Nesnelerin İnterneti dağıtımlarının hızla artması ve norm haline gelmesiyle bu Tasarı bundan daha iyi bir zamanda gelemezdi.
Ne PSTI'nin Gereksinimleri Nelerdir??
PSTI'nin üç güvenlik temeli aşağıdaki gibidir:
- Şifrelerin her cihaz için benzersiz olması gerektiğinden, artık fabrika varsayılan şifrelerine güvenmenize gerek yok;
- Ürünler, kusur veya hataların raporlanması için açık bir güvenlik açığı açıklama politikasına sahip olmalıdır;
- Ürünün hayati önem taşıyan güvenlik güncellemelerini alacağı süreyi çevreleyen şeffaflık
Bu maddeler hem “internete bağlanabilen ürünleri” hem de internete bağlanmadan veri gönderip alabilen “ağa bağlanabilen ürünleri” kapsamaktadır.
Bunlar Neden Uygulama Kurallarına ve ETSI EN 303 645'e Benzer?
GDPR'nin ilk taslağı 2012'de yayınlandığında bile Birleşik Krallık'ta IoT ürün güvenliği tartışmaları zaten sürüyordu.
Bu tartışmalar, hem AB'nin hem de Birleşik Krallık'ın 2018'de bir Uygulama Kuralları ("Kurallar") yayınlamasıyla sonuçlandı. Bu Kurallar, üreticilere bağlı ürünlerin daha fazla siber güvenliğini sağlamak için 13 hükmün ana hatlarını çiziyordu.
Sonuç olarak, bu Kurallar aynı zamanda Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından oluşturulan standartları da etkilemiştir: ETSI EN 303 645 Tüketici IoT Cihazları için Siber Güvenlik Standardı.
ETSI EN 2021 303, 645'de yayınlandığında tüketici IoT ürünlerine yönelik ilk küresel siber güvenlik standardıydı. Tüketiciyle ilgili tüm IoT siber güvenliği için iyi bir küresel güvenlik temeli oluşturmak amacıyla 68 zorunlu ve önerilen hükümden oluşan bir dizi sunar.
PSTI Tasarısı Kimi Etkileyecek?
Daha önce de belirtildiği gibi, PSTI Tasarısının 7. Kısmının 1. Maddesine göre, üç kuruluş uyumluluk yükümlülükleriyle karşı karşıyadır.
Bunlara ilgili bağlanabilir ürünlerin üreticileri, ithalatçıları ve distribütörleri dahildir.
Tasarının 8 ila 24. Maddeleri bu kuruluşlar için aşağıdakiler de dahil olmak üzere temel görevleri ortaya koymaktadır:
- Düzenlenmiş güvenlik gerekliliklerinin farkında olmak ve bunlara uymak;
- Uygunluk sertifikalarının sağlanması;
- Uyumluluk hatalarını araştırmak ve çözmek;
- Arızaların ve çözüm yollarının ayrıntılarının tüketicilere ve yetkililere iletilmesi;
- Arızaların ve sonraki araştırmaların kayıtlarının tutulması
Genel olarak ithalatçılar ve distribütörler, bazı ek görevlerle birlikte üreticilerle aynı sorumlulukları taşırlar. Ürünün güvenlik açıkları içerdiğinin tespit edilmesi durumunda bu aktörler, ürünün İngiltere'de satılmasını engellemekten de sorumludur. Ayrıca ithalatçıların ve/veya distribütörlerin, maddelerden herhangi birine uymamaları durumunda Birleşik Krallık dışındaki üreticilerle iletişime geçmesi gerekir.
Uyumsuzluk, Bilim, Bilgi ve Teknoloji Bakanlığı tarafından belirlenen çeşitli cezalarla sonuçlanabilir. Her ceza, son kullanıcıya verilen zararın derecesine karşılık gelecektir.
Temel yaptırım eylemleri, durdurma ve geri çağırma bildirimlerinden ve/veya ihlalde bulunan tarafın uyumluluk başarısızlıklarına ilişkin kamuya duyurulmasından oluşur. Daha fazla uyumsuzluk, 10 milyon £'luk potansiyel maksimum para cezaları veya işletmenin küresel gelirinin %4'ü dahil olmak üzere ciddi mali cezalarla da sonuçlanabilir.
IoT Güvenliğinizi Nasıl Artırabilirsiniz?
Nesnelerin İnterneti güvenliğini ve veri gizliliğini öncelik haline getirerek mevzuat değişikliklerinin önünde yer alın.
Bu düzenlemeler, üst düzey liderlik ekibinin ötesine geçen işletmelerde yönetişim ve karar alma süreçlerinde somut bir değişiklik yapılmasını gerektiriyor. Bu tür önlemler, güvenlik uygulamalarınıza daha proaktif bir yaklaşım benimseyerek gerçekleştirilebilir; bu da zorlukları öngörmenize ve operasyonel kesintileri en aza indirmenize olanak tanır.
Kuruluşlar ayrıca siber güvenliğe değer veren bir kuruluş kültürünün geliştirilmesini teşvik etmek için açık güvenlik politikaları ve stratejileri oluşturmalı ve uygulamalıdır. Bu nedenle BT ekipleri daha fazla izole kalamaz ve gerekli değişiklikleri hayata geçirmek için sürekli olarak yönetimle birlikte çalışmalıdır.
Çok sayıda mevzuatı bir yük olarak görmek yerine, bunları müşteri güvenliğini artırma ve ağ güvenliğine öncelik verme fırsatları olarak da değerlendirebilirsiniz.
Birleşik Krallık'ın ötesinde, uluslararası düzenleyici ortam, hızlı teknolojik ilerleme karşısında etkin mevzuatı sürdürmek için sürekli olarak uyum sağlamaktadır.
Siber güvenlik ve veri gizliliği düzenlemeleri daha güçlü hale geldikçe, bugün kuruluşunuza bir güvenlik kültürü aşılama fırsatını değerlendirin.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill
