英国已成为第一个通过法律强制物联网设备网络安全标准的国家。新法律于今日生效,旨在保护消费者免受网络威胁,并增强国家抵御日益增多的网络犯罪的能力。
根据产品安全和电信基础设施 (PSTI) 制度,制造商将被依法要求为任何具有互联网连接的产品建立安全保护措施。诸如“admin”或“12345”等容易被猜到的默认密码将被禁止,以防止过去攻击中利用的漏洞,例如 2016 年毁灭性的 Mirai 僵尸网络事件。
网络部长卡姆罗斯子爵表示:“从今天起,消费者可以更加放心,他们的智能设备将受到保护,免受网络犯罪分子的侵害,因为我们将推出世界首创的法律,确保他们的个人隐私、数据和财务安全。”
此类保护措施的紧迫性显而易见。根据消费者权益保护组织 Which? 的说法,典型的智能家居一周内可能面临超过 12,000 次黑客攻击,仅在五台设备上就有近 2,700 次尝试猜测弱密码。99% 的英国成年人拥有至少一台智能设备,家庭平均拥有 9 台联网产品,不安全的物联网技术会带来重大风险。
NCSC 网络安全机构经济与社会副主任 Sarah Lyons 表示:“企业在保护公众方面发挥着重要作用,确保智能产品能够持续提供网络攻击防护。这项具有里程碑意义的法案将帮助消费者做出明智的决定。”
除了禁止使用容易猜测的密码外,新制度还要求制造商:
- 发布漏洞披露政策,报告安全漏洞
- 规定提供安全更新的最短期限
- 提供安全更新软件的机制
“Which? 在推动这些法律的通过方面发挥了重要作用,这些法律旨在为消费者提供至关重要的保护,防止黑客窃取个人信息,”该组织的政策主管 Rocio Concha 表示。“但我们希望品牌从第一天起就为客户做好事。”
网络安全标准是英国 26 亿英镑国家网络战略的一部分。随着网络威胁和物联网普及率的提高,这些标准反映了政府致力于将英国打造为全球最安全的在线活动场所的决心——目前,超过一半的英国家庭拥有智能电视,而约一半的家庭拥有语音助手或可穿戴设备。
虽然汽车行业最初被纳入其中,但政府目前正在推行针对联网汽车的替代网络安全法规。
咨询公司 Copper Horse 的首席执行官戴维·罗杰斯对这些标准表示欢迎:“制造商不应该提供如此脆弱和不安全的产品,以致于很容易被黑客入侵和接管。现在就应该停止这种做法。”
官员们表示,行业合作是制定“变革性保护措施”的关键。消费者还可以向监管机构举报不合规产品。然而,执法将是关键。
康查警告说:“OPSS 必须提供明确的指导,并对违反法律的制造商采取强有力的措施。”
英国的立法可能为其他寻求立法保护物联网设备消费者网络保护措施的国家树立先例。