Bối cảnh rủi ro mạng đang thay đổi nhanh chóng khi ngày càng có nhiều thiết bị được kết nối thông qua Internet of Things. Vào năm 2023, có hơn 16 tỷ thiết bị được kết nối trên toàn thế giới và con số này dự kiến ​​sẽ tăng theo cấp số nhân mỗi năm. Xu hướng này nhấn mạnh tầm quan trọng của các biện pháp bảo mật PSTI BIll và IoT.

Khi xu hướng này tiếp tục, các chính phủ trên toàn thế giới đang tăng cường cam kết bảo vệ quyền riêng tư và an toàn của người dùng cuối bằng cách giới thiệu một loạt các giải pháp an ninh mạng khuôn khổ và biện pháp.

Một sáng kiến ​​như vậy là Dự luật Cơ sở hạ tầng viễn thông và an ninh sản phẩm (PSTI) của Vương quốc Anh.

Dự luật lần đầu tiên được giới thiệu trước Quốc hội vào năm 2021, sau đó Bộ Khoa học, Đổi mới và Công nghệ Vương quốc Anh thông báo rằng dự luật sẽ có hiệu lực vào ngày 29 tháng 2024 năm XNUMX.

Nhưng Dự luật PSTI là gì và nó thay đổi bảo mật IoT như thế nào? Nó sẽ áp dụng cho ai và nó có khả năng ảnh hưởng đến doanh nghiệp của bạn như thế nào?

Chúng tôi cung cấp câu trả lời cho những câu hỏi này và hơn thế nữa.

Dự luật PSTI là gì?

Dự luật gồm 2 phần chính:

• Phần 1 – Các biện pháp bảo mật sản phẩm 
  • Bao gồm một khung pháp lý để đối phó với bối cảnh thay đổi nhanh chóng của mối đe dọa mạng
• Phần 2 – Các biện pháp cơ sở hạ tầng viễn thông  
  • Nêu tham vọng của Chính phủ Vương quốc Anh về việc có được Internet nhanh hơn và các biện pháp để các nhà cung cấp dịch vụ thực hiện tham vọng này

Đối với bài viết này, chúng tôi sẽ chỉ tập trung vào Phần 1 – Các biện pháp bảo mật sản phẩm.

Nói một cách ngắn gọn, Phần 1 của Dự luật đưa ra một loạt các điều khoản trong bốn chương.

• Chương 1: phác thảo cần thiết Yêu cầu bảo mật và các sản phẩm mà họ áp dụng
• Chương 2: Chỉ ra các tác nhân chính phải đáp ứng các yêu cầu bảo mật này
  • Trong trường hợp này, “tác nhân” mở rộng đến các nhà sản xuất, nhà nhập khẩu và nhà phân phối thiết bị được kết nối
• Chương 3: Nêu bật các biện pháp thực thi trong trường hợp không tuân thủ và các bộ phận liên quan sẽ chịu trách nhiệm thực hiện các biện pháp thực thi này
• Chương 4: Chứa thông tin bổ sung và phụ lục

Mặc dù Dự luật PSTI có thể gây ngạc nhiên cho một số người, nhưng nó phù hợp với các khuôn khổ an ninh mạng IoT hiện tại và sắp tới trong quy trình lập pháp toàn cầu.

Một số trong số này bao gồm Đạo luật về khả năng phục hồi mạng của EU, NIS2 ở Hoa Kỳ, Đạo luật an ninh mạng ở Singapore và Đạo luật thực thi điều lệ kỹ thuật số của Canada, cùng nhiều đạo luật khác.

Tại sao cần có Dự luật PSTI?

Nghiên cứu gần đây của chính phủ Anh đã phát hiện ra rằng chỉ 1 trong 5 nhà sản xuất sẽ đưa ra các yêu cầu bảo mật cơ bản trong các sản phẩm có thể kết nối. Có nghĩa là gần 80% tất cả các sản phẩm tiêu dùng được kết nối (ví dụ: đồng hồ thông minh, điện thoại, TV, tủ lạnh, v.v.) đều có nguy cơ bị tấn công độc hại bằng cách sử dụng mật khẩu mặc định, bao gồm các ví dụ như sau:

• Mật khẩu
• quản trị viên
• 1234
• Thành lập
• Router
• người sử dụng

Trước khi Dự luật PSTI được đưa ra, người dùng thông thường đã kỳ vọng một cách vô lý vào việc gánh vác gánh nặng bảo mật IoT. Do đó, các nhà cung cấp dịch vụ cũng không có trách nhiệm ngăn chặn vi phạm quyền riêng tư và dữ liệu cá nhân.

Tuy nhiên, với việc triển khai IoT hàng loạt ngày càng tăng và trở thành tiêu chuẩn, Dự luật này không thể đến vào thời điểm tốt hơn.

Điều gì Các yêu cầu của PSTI?

Ba nền tảng bảo mật của PSTI như sau:

1. Không còn phụ thuộc vào mật khẩu mặc định của nhà máy vì mật khẩu phải là duy nhất cho mỗi thiết bị;
2. Sản phẩm phải có chính sách tiết lộ lỗ hổng bảo mật rõ ràng đối với việc báo cáo lỗ hổng hoặc lỗi;
3. Tính minh bạch về khoảng thời gian mà sản phẩm sẽ nhận được các bản cập nhật bảo mật quan trọng

Các điều khoản này bao gồm cả “sản phẩm có thể kết nối internet” và “sản phẩm có thể kết nối mạng” có thể gửi và nhận dữ liệu mà không cần kết nối với internet.

Tại sao những điều này lại giống Quy tắc thực hành & ETSI EN 303 645?

Ngay cả khi bản dự thảo GDPR đầu tiên được xuất bản vào năm 2012, các cuộc thảo luận về bảo mật sản phẩm IoT đã được tiến hành ở Anh.

Các cuộc thảo luận này đã dẫn đến việc cả EU và Vương quốc Anh đều xuất bản Bộ quy tắc thực hành (“Bộ quy tắc”) vào năm 2018. Bộ quy tắc này nêu ra 13 điều khoản dành cho các nhà sản xuất để đảm bảo an ninh mạng tốt hơn cho các sản phẩm được kết nối.

Do đó, Bộ quy tắc này cũng ảnh hưởng đến các tiêu chuẩn do Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI) đưa ra: Tiêu chuẩn An ninh mạng ETSI EN 303 645 dành cho Thiết bị IoT tiêu dùng.

Khi được xuất bản vào năm 2021, ETSI EN 303 645 là tiêu chuẩn an ninh mạng toàn cầu đầu tiên dành cho các sản phẩm IoT tiêu dùng. Nó trình bày một loạt 68 điều khoản bắt buộc và được khuyến nghị nhằm thiết lập cơ sở bảo mật toàn cầu tốt cho tất cả an ninh mạng IoT liên quan đến người tiêu dùng.

Dự luật PSTI sẽ ảnh hưởng đến ai?

Như đã đề cập trước đó, theo Điều 7 Phần 1 của Dự luật PSTI, ba đơn vị phải đối mặt với nghĩa vụ tuân thủ.

Chúng bao gồm các nhà sản xuất, nhà nhập khẩu và nhà phân phối các sản phẩm có thể kết nối có liên quan.

Các khoản 8 – 24 của Dự luật đặt ra nhiệm vụ chính cho các đơn vị này bao gồm:

• Nhận thức và tuân thủ mọi yêu cầu bảo mật được quy định;
• Cung cấp giấy chứng nhận sự phù hợp;
• Điều tra và giải quyết các vi phạm tuân thủ;
• Truyền đạt thông tin chi tiết về các sai sót và biện pháp khắc phục cho người tiêu dùng và cơ quan chức năng;
• Lưu giữ hồ sơ về sự cố và điều tra tiếp theo

Nói chung, các nhà nhập khẩu và phân phối có trách nhiệm giống như nhà sản xuất với một số nghĩa vụ bổ sung. Nếu phát hiện sản phẩm có lỗ hổng, những tác nhân này cũng phải chịu trách nhiệm ngăn chặn sản phẩm được bán ở Anh. Ngoài ra, các nhà nhập khẩu và/hoặc nhà phân phối phải liên hệ với các nhà sản xuất có trụ sở bên ngoài Vương quốc Anh nếu họ không tuân thủ bất kỳ điều khoản nào.

Việc không tuân thủ có thể dẫn đến nhiều hình phạt khác nhau theo quy định của Bộ Khoa học, Thông tin và Công nghệ. Mỗi hình phạt sẽ tương ứng với mức độ tổn hại gây ra cho người dùng cuối.

Các hành động thực thi chính bao gồm các thông báo dừng và thu hồi và/hoặc thông báo công khai về việc không tuân thủ của bên vi phạm. Việc không tuân thủ hơn nữa cũng có thể dẫn đến các hình phạt tài chính đáng kể, bao gồm mức phạt tối đa có thể là 10 triệu bảng Anh, hoặc 4% doanh thu toàn cầu của doanh nghiệp.

Bạn có thể cải thiện bảo mật IoT của mình bằng cách nào?

Đi trước những thay đổi về quy định bằng cách ưu tiên bảo mật IoT và quyền riêng tư dữ liệu.

Những quy định này kêu gọi sự thay đổi rõ ràng trong quản trị và ra quyết định trong các doanh nghiệp vượt ra ngoài đội ngũ lãnh đạo điều hành. Những biện pháp như vậy có thể được thực hiện bằng cách áp dụng cách tiếp cận chủ động hơn đối với các biện pháp bảo mật của bạn, cho phép bạn lường trước những thách thức và giảm thiểu sự gián đoạn hoạt động.

Các tổ chức cũng nên thiết lập và thực thi các chính sách và chiến lược bảo mật rõ ràng để khuyến khích phát triển văn hóa tổ chức coi trọng an ninh mạng. Do đó, các nhóm CNTT không thể bị cô lập lâu hơn nữa và phải liên tục làm việc cùng với ban quản lý để đưa ra những thay đổi cần thiết.

Thay vì coi hàng loạt luật pháp là gánh nặng, bạn cũng có thể coi chúng là cơ hội để cải thiện sự an toàn của khách hàng và ưu tiên an ninh mạng.

Ngoài Vương quốc Anh, bối cảnh pháp lý quốc tế đang liên tục thích ứng để duy trì luật pháp hiệu quả trước sự tiến bộ nhanh chóng của công nghệ.

Khi các quy định về an ninh mạng và quyền riêng tư dữ liệu trở nên chặt chẽ hơn, hãy tận dụng cơ hội để thấm nhuần văn hóa bảo mật trong tổ chức của bạn ngay hôm nay.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill