英国出台产品安全和电信基础设施(PSTI)法案保护物联网设备。谈到安全性,许多“智能”设备并不名副其实。随着制造商急于推出物联网设备,安全性往往是事后才想到的。媒体、数据和数字基础设施部长朱莉娅·洛佩兹(JuliaLopez)表示:“黑客每天都在试图侵入人们的智能设备。我们大多数人都认为,如果要销售产品,就必须安全可靠。然而,许多设备并非如此。如此之多,以至于我们太多人都面临欺诈和盗窃的风险。我们的法案将在日常技术中设置防火墙,从手机和恒温器到洗碗机、婴儿监视器和门铃,并削弱对新安全的侵犯处以巨额罚款的标准组织。”与任何不明智的安全做法一样,通常使用默认密码。您不必是经验丰富的黑客就可以访问某人设备的登录页面并使用默认密码访问它,以达到窃取公司机密、敲诈勒索、侵犯隐私、收集敏感数据等目的。经验丰富的黑客可以扫描易受攻击的设备并将它们添加到僵尸网络,例如使用默认密码的臭名昭著的Mirai。此类僵尸网络利用物联网设备提供前所未有的广泛分布的流量,并对DDoS服务造成严重破坏。2016年10月,针对DNS提供商Dyn的高调攻击导致多个知名网站瘫痪,包括GitHub、Twitter、Reddit、Netflix、Airbnb等。PSTI法案禁止使用默认密码。所有设备都必须有一个唯一的密码,并且不能重置为任何通用出厂设置。制造商还将被要求在销售点提醒客户,让他们知道产品将在多长时间内收到重要的安全更新和补丁。另一个关键规则是必须提供联系人,以便安全研究人员和其他人在遇到错误和错误时更容易报告错误。执法将由一个尚未确定的监管机构执行,该监管机构将有权对违规公司处以最高1000万英镑或其全球营业额的4%的罚款。他们还将能够对持续的违规行为处以最高20,000英镑/天的罚款。任何“连接到互联网”的产品都将受到新规则的约束。唯一的主要豁免是台式机和笔记本电脑,因为它们由成熟的防病毒软件市场提供服务。国家网络安全中心技术总监IanLevy博士评论说:“我对这项法案的出台感到高兴,它将保护联网的消费设备,并让设备制造商承担维护基本网络安全的责任。该法案提出的要求是由DCMS和NCSC在行业咨询的基础上共同制定的,标志着确保市场上连接的设备满足公认安全标准的旅程的开始。”然而,该法案并非没有批评者。毕马威英国网络主管MartinTyley表示:“由于公司目前面临过多的网络风险,PSTI法案只是为CISO不断增长的待办事项清单增加了另一项任务”“制造商已经在努力避免恶意行为者。或者,并遵守现有立法——在组合中增加另一项法规只会给他们带来更大的压力。因此,在我看来,所有网络安全法规和立法都必须附有指导方针并提供指导对于那些希望遵守这些准则的人来说。行业是支持的。”“监管机构和英国政府对这些组织面临的网络威胁的看法远远超出了业内任何一家公司的预期。因此,有责任解释它为何有效以及应如何考虑其影响。”“我们最终可能会看到首席信息安全官别无选择,只能遵守这些新的物联网安全规则,而不是更全面地考虑他们的安全状况。如果他们没有为未来做好充分准备,这最终可能会威胁到他们的安全。客户关系、利润潜力和市场地位。”“这对没有能力在网络安全能力上进行更多投资的小型组织最具破坏性。”一旦该法案获得批准,相关行业参与者将有至少12个月的时间来遵守新规则。
