Đạo luật Cơ sở hạ tầng viễn thông và an ninh sản phẩm (PSTI) được chờ đợi từ lâu năm 2022 cuối cùng đã có hiệu lực, đặt ra các nghĩa vụ pháp lý mới đối với các nhà sản xuất thiết bị điện tử và nhà thông minh để bảo vệ người tiêu dùng và doanh nghiệp trên khắp Vương quốc Anh khỏi các hành vi vi phạm quyền riêng tư dữ liệu và tấn công mạng bằng cách thực hiện các biện pháp tối thiểu. tiêu chuẩn bảo mật cơ bản trong sản phẩm của họ.
Được Westminster công nhận là đạo luật đầu tiên trên thế giới, Đạo luật PSTI ra đời cách đây hơn 5 năm kể từ khi ban hành Quy tắc thực hành Internet vạn vật (IoT) vào tháng 10 năm 2018, do Trung tâm An ninh Mạng Quốc gia (NCSC) cùng phát triển và những gì lúc đó là Cục Kỹ thuật số, Văn hóa, Truyền thông và Thể thao (DCMS). Hành trình của Đạo luật PSTI thông qua Nghị viện bắt đầu vào tháng 11 năm 2021 và nó đã nhận được sự đồng ý của Hoàng gia từ Vua Charles III vào ngày 6 tháng 12 năm 2022.
Luật cấm các thiết bị chấp nhận mật khẩu mặc định hoặc dễ đoán, không an toàn, buộc nhà sản xuất phải công bố chi tiết liên hệ để có thể báo cáo lỗi và sự cố, đồng thời buộc cả nhà sản xuất và nhà bán lẻ phải cởi mở với người tiêu dùng trong thời gian tối thiểu mà họ có thể mong đợi. nhận các bản cập nhật bảo mật và bản vá phần mềm.
Mặc dù hầu hết các thiết bị trong phạm vi đều được sản xuất bên ngoài Vương quốc Anh, Đạo luật PSTI cũng áp dụng cho bất kỳ tổ chức nào nhập khẩu hoặc bán lẻ sản phẩm ở Vương quốc Anh nếu không tuân thủ sẽ cấu thành tội hình sự và bị phạt lên tới 10 triệu bảng Anh hoặc 4% số tiền đủ điều kiện. doanh thu toàn cầu, tùy theo mức nào cao hơn.
Westminster cho biết luật này đánh dấu một “bước quan trọng” hướng tới việc thúc đẩy khả năng phục hồi của xã hội trước tội phạm mạng – 99% người trưởng thành ở Anh hiện được cho là sở hữu ít nhất một thiết bị thông minh và nói chung, mỗi hộ gia đình trong nước sở hữu trung bình chín thiết bị. Họ cho biết chế độ mới sẽ mang lại cho người dùng niềm tin rằng họ có thể mua và sử dụng các sản phẩm thông minh một cách an toàn, từ đó giúp phát triển nền kinh tế.
Bộ trưởng mạng Jonathan Berry cho biết: “Khi cuộc sống hàng ngày ngày càng phụ thuộc vào các thiết bị được kết nối, các mối đe dọa do Internet tạo ra sẽ tăng lên gấp bội và thậm chí còn trở nên lớn hơn”.
“Kể từ hôm nay, người tiêu dùng sẽ yên tâm hơn rằng các thiết bị thông minh của họ được bảo vệ khỏi tội phạm mạng, khi chúng tôi đưa ra những luật đầu tiên trên thế giới nhằm đảm bảo quyền riêng tư, dữ liệu và tài chính cá nhân của họ được an toàn.
Ông nói: “Chúng tôi cam kết biến Vương quốc Anh thành nơi trực tuyến an toàn nhất trên thế giới và những quy định mới này đánh dấu một bước nhảy vọt đáng kể hướng tới một thế giới kỹ thuật số an toàn hơn”.
Phó giám đốc NCSC phụ trách kinh tế và xã hội, Sarah Lyons, cho biết thêm: “Các thiết bị thông minh đã trở thành một phần quan trọng trong cuộc sống hàng ngày của chúng ta, cải thiện khả năng kết nối ở nhà và tại nơi làm việc; tuy nhiên, chúng tôi biết sự phụ thuộc này cũng tạo cơ hội cho tội phạm mạng.
“Các doanh nghiệp có vai trò quan trọng trong việc bảo vệ công chúng bằng cách đảm bảo các sản phẩm thông minh mà họ sản xuất, nhập khẩu hoặc phân phối cung cấp khả năng bảo vệ liên tục trước các cuộc tấn công mạng và đạo luật mang tính bước ngoặt này sẽ giúp người tiêu dùng đưa ra quyết định sáng suốt về tính bảo mật của sản phẩm họ mua,” cho biết Lyon.
Bà nói thêm: “Tôi khuyến khích tất cả các doanh nghiệp và người tiêu dùng đọc tờ rơi tại điểm bán hàng của NCSC, trong đó giải thích quy định PSTI mới ảnh hưởng đến họ như thế nào và cách sử dụng các thiết bị thông minh một cách an toàn”.
Chào mừng pháp luật
Trong số những người thực hành an ninh mạng, Đạo luật PSTI đã được hoan nghênh rộng rãi, đặc biệt là những phần liên quan đến việc vệ sinh mật khẩu kém, thường là yếu tố góp phần gây ra các cuộc tấn công mạng, chẳng hạn như những cuộc tấn công được dàn dựng thông qua mạng botnet Mirai khét tiếng vào cuối năm 2016.
Cuộc tấn công Mirai đã chứng kiến hàng trăm nghìn thiết bị thông minh bị đưa vào một mạng botnet được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và là một trong những sự cố bảo mật lớn đầu tiên nêu bật mức độ dễ bị tấn công của các thiết bị thông minh không bảo mật. những kẻ tấn công.
Người đứng đầu Tập đoàn NCC phụ trách thị trường Vương quốc Anh, Matt Thomas, nằm trong số những người ủng hộ luật này.
Thomas cho biết: “Ngành công nghiệp an ninh mạng từ lâu đã kêu gọi tăng cường bảo vệ pháp lý cho các thiết bị được kết nối và luật ngày nay đánh dấu một bước ngoặt quan trọng trong việc theo đuổi việc đảm bảo tương lai được kết nối của chúng ta”.
“Vì hầu hết người trưởng thành ở Vương quốc Anh đều sở hữu ít nhất một thiết bị thông minh nên tác động của luật này sẽ rất sâu rộng và cho thấy chính phủ rất nghiêm túc trong việc tăng cường khả năng phục hồi không gian mạng của Vương quốc Anh. Chúng tôi rất vui khi thấy Vương quốc Anh cũng có ý định dẫn đầu về vấn đề này trên phạm vi toàn cầu, thông qua luật đầu tiên trên thế giới để bảo vệ quyền riêng tư, dữ liệu và tài chính của người tiêu dùng.
“Mặc dù luật pháp còn hạn chế trong việc bảo vệ trước nguy cơ xảy ra các cuộc tấn công có độ phức tạp cao, chẳng hạn như chuỗi cung ứng và nhà nước quốc gia, nhưng nó sẽ giúp ngăn chặn nhiều cuộc tấn công lan rộng hơn, ít phức tạp hơn. Đó chắc chắn là một bước đi đúng hướng.”
Kevin Curran, giáo sư về an ninh mạng của Đại học Ulster và là thành viên cấp cao của Viện Kỹ sư Điện và Điện tử (IEEE), cho biết: “Mọi người đều hiểu rằng càng nhiều thiết bị kết nối với Internet thì nguy cơ bị hack càng cao. Điều đó có nghĩa là bạn có nhiều khả năng có các thiết bị bị bỏ quên, không được cập nhật và do đó dễ bị tấn công hơn. Quy mô triển khai các thiết bị này trong các hộ gia đình và khu vực công cộng tạo ra những con đường mới cho các cuộc tấn công. Ngoài ra còn có lo ngại về ‘hiệu ứng domino’, trong đó việc xâm phạm một thiết bị có thể dễ dàng lan rộng ra toàn bộ mạng.
“IoT khiến tất cả chúng ta gặp rủi ro ở một mức độ nào đó. Bất chấp sự đơn giản được nhận thấy, những thiết bị này có sức mạnh bất ngờ có thể gây gián đoạn khi không được vá hoặc quản lý kém. Việc sử dụng rộng rãi mật khẩu mặc định của các nhà sản xuất thường dẫn đến các vấn đề nghiêm trọng và tin tặc ngày càng khai thác lỗ hổng này. Thật đáng khích lệ khi thấy sự chú trọng ngày càng tăng trong việc triển khai các biện pháp thực hành tốt nhất trong việc bảo mật các thiết bị IoT trước khi chúng rời khỏi nhà máy.
“Cũng như mật khẩu mạnh hơn, điều cần thiết là phải thiết lập các biện pháp kiểm soát phòng ngừa, phát hiện và khắc phục toàn diện thông qua sự kết hợp của các chính sách, tiêu chuẩn, thủ tục, cơ cấu tổ chức, công nghệ phần mềm và cơ chế giám sát. Những biện pháp này rất quan trọng để giảm thiểu rủi ro liên quan đến tính bảo mật, tính toàn vẹn và tính sẵn có của tài sản thông tin trong một tổ chức.”