Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasası bugün yürürlüğe girdi ve Birleşik Krallık’ta satılan tüketici sınıfı IoT ürünleri üreticilerinin tahmin edilebilir varsayılan şifreleri kullanmayı bırakmasını ve bir güvenlik açığı açıklama politikasına sahip olmasını gerektiriyor.
“Akıllı cihazların çoğu Birleşik Krallık dışında üretiliyor, ancak PSTI yasası aynı zamanda Birleşik Krallık pazarına ürün ithal eden veya perakende satış yapan tüm kuruluşlar için de geçerli. Yasaya uymamak, 10 milyon £’a kadar veya dünya çapındaki gelirin %4’üne kadar (hangisi daha yüksekse) kadar para cezası gerektiren bir suçtur,” diye belirtti Ulusal Siber Güvenlik Merkezi Vatandaş Dayanıklılığı Sorumlusu Carla V.
Mevzuat hakkında
PSTI Yasası, “akıllı” olanlar da dahil olmak üzere internete ve ağa bağlanabilen ürünleri kapsar:
- TV’ler, akış cihazları, hoparlörler
- Oyun konsolları, akıllı telefonlar, tabletler
- Baz istasyonları ve hub’lar
- Ev otomasyonu ve alarm sistemleri
- “Giyilebilir cihazlar”: akıllı saatler, fitness takipçileri vb.
- Ev aletleri (termostatlar, çamaşır makineleri, ampuller, buzdolapları, ev yardımcıları vb.)
- Güvenlik cihazları (kapı zilleri, güvenlik kameraları, bebek telsizleri vb.)
- Çocuk oyuncakları
Yasaya göre, her ürün, kamuya açık bilgilerden veya benzersiz ürün tanımlayıcılarından türetilen veya artan sayaçlara dayanmayan ve kolayca tahmin edilemeyen benzersiz bir parola ile “kullanıma hazır” olarak güvence altına alınmalıdır. Kullanıcıların da bunu değiştirebilmesi gerekir.
“Üretici, ürünleriyle ilgili güvenlik sorunlarını kendilerine nasıl bildireceği konusunda bilgi sağlamalıdır. Üretici ayrıca, raporu hazırlayan kişi tarafından rapor edilen güvenlik sorunlarının çözümüne kadar raporun alındığına ilişkin onayın ve durum güncellemelerinin beklenebileceği zaman çizelgeleri hakkında da bilgi sağlamalıdır. Bu bilgiler önceden talep edilmeden İngilizce olarak ücretsiz olarak sağlanmalıdır. Aynı zamanda erişilebilir, açık ve şeffaf olmalıdır” diye açıklıyor Birleşik Krallık Bilim, Yenilik ve Teknoloji Bakanlığı.
Son olarak üreticiler, ürünün güvenlik güncellemelerini ne kadar süreyle alacağına ilişkin bilgiyi “İngilizce, ücretsiz ve önceden teknik bilgisi olmayan bir okuyucunun anlayabileceği şekilde” sunmalıdır.
Rocio Concha, “Tüketicilerin, güvenliklerini tehdit eden ve onları başka şekilde kullanılabilir ürünleri değiştirme ihtiyacına yol açabilecek internet bağlantılı cihazları satın almasını önlemek için, bu mevzuatın artık, güvenli olmayan ürünlerle dolup taşan çevrimiçi pazar yerlerine karşı da dahil olmak üzere güçlü yaptırımlarla desteklenmesi gerekiyor” dedi. Birleşik Krallık’ın tüketici şampiyonunun Politika ve Savunuculuk Direktörü Hangisi?
İş ve Ticaret Bakanlığı’nın bir parçası olan Ürün Güvenliği ve Standartları Ofisi (OPSS), Yasanın uygulanmasından sorumlu olacak.
AB ve ABD’deki IoT siber güvenlik yasaları
Sabit kodlu şifrelere sahip “güncellenemeyen” IoT cihazlarını bir botnet’te toplayan kötü niyetli kişiler tarafından 2016 yılında Dyn’e yapılan yıkıcı DDoS saldırısının, PSTI Yasası gibi mevzuata duyulan ihtiyacın bariz hale geldiği an olduğu iddia edilebilir.
O zamandan beri çeşitli hükümet ve standart kuruluşları, IoT üreticilerinin ürünlerinin siber güvenliğini iyileştirmeleri için kılavuzlar ve öneriler yayınladı, ancak bu, güvenlikle ilgili belirli iyileştirmeleri zorunlu kılan ilk ulusal yasadır.
Avrupa’da Siber Güvenlik Yasası (2019), BİT ürünleri, hizmetleri ve süreçleri için gönüllü siber güvenlik sertifikasyon programları uygulamaya koydu, ancak yaklaşan Siber Dayanıklılık Yasası’nın (CRA) zorunlu siber güvenlik gereklilikleri getirmesi bekleniyor.
ABD’de, 2019 tarihli IoT Siber Güvenliği İyileştirme Yasası, federal hükümet tarafından kullanılan IoT cihazları için minimum güvenlik standartlarını belirledi ve Kaliforniya ve Oregon, bu eyaletlerde satılan İnternet bağlantılı cihaz üreticilerinin bunları “makul düzeyde” donatmalarını gerektiren bir eyalet yasasını kabul etti. benzersiz bir varsayılan şifre gibi güvenlik özellikleri”.
Bu yasaların sadece ilki olduğunu ve yıllar içinde güçlendirileceğini umuyoruz. IoT cihazlarını güvende tutma sorumluluğu nihayet kısmen üreticilere devrediliyor.