Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), akıllı cihaz üreticilerini 29 Nisan 2024’ten itibaren geçerli olmak üzere varsayılan şifreleri kullanmalarını yasaklayan yeni mevzuata uymaya çağırıyor.
NCSC, “Ürün Güvenliği ve Telekomünikasyon Altyapısı Yasası (veya PSTI Yasası) olarak bilinen yasa, tüketicilerin siber saldırılara karşı sürekli koruma sağlamak üzere tasarlanmış akıllı cihazları seçmelerine yardımcı olacak” dedi.
Bu amaçla üreticilerin, tahmin edilebilir varsayılan şifreler kullanan cihazları sağlamamaları, güvenlik sorunlarını bildirmek için bir iletişim noktası sağlamaları ve cihazlarının önemli güvenlik güncellemelerini alması beklenen süreyi belirtmeleri gerekmektedir.
Varsayılan şifreler yalnızca çevrimiçi olarak kolayca bulunamaz, aynı zamanda tehdit aktörlerinin daha sonra istismar amacıyla cihazlara giriş yapmaları için bir vektör görevi de görür. Bununla birlikte, yasa uyarınca benzersiz bir varsayılan şifreye izin verilmektedir.
Genel olarak bir dizi minimum güvenlik standardını uygulamayı ve savunmasız cihazların Mirai gibi bir DDoS botnet’inde toplanmasını önlemeyi amaçlayan yasa, internete bağlanabilen aşağıdaki ürünler için geçerlidir:
- Akıllı hoparlörler, akıllı TV’ler ve akış cihazları
- Akıllı kapı zilleri, bebek telsizleri ve güvenlik kameraları
- Hücresel tabletler, akıllı telefonlar ve oyun konsolları
- Giyilebilir fitness takipçileri (akıllı saatler dahil)
- Akıllı ev aletleri (ampul, priz, su ısıtıcısı, termostat, fırın, buzdolabı, temizlik makinesi ve çamaşır makinesi gibi)
PSTI kanununun hükümlerine uymayan şirketler, geri çağırma ve parasal cezalarla karşı karşıya kalacak ve hangisinin daha yüksek olduğuna bağlı olarak 10 milyon £ (12,5 milyon $) veya küresel yıllık gelirlerinin %4’ü kadar para cezasına çarptırılacak.
Bu gelişme, Birleşik Krallık’ı, IoT cihazlarından varsayılan kullanıcı adlarını ve şifreleri yasaklayan dünyadaki ilk ülke haline getiriyor. Cloudflare’in 2024’ün ilk çeyreğine ilişkin DDoS tehdit raporuna göre, orijinal botnet 2016’da kaldırılmış olmasına rağmen Mirai tabanlı saldırılar yaygın olmaya devam ediyor.
Omer Yoachimik ve Jorge Pacheco, “Her 100 HTTP DDoS saldırısından dördü ve her 100 L3/4 DDoS saldırısından ikisi, Mirai değişkenli bir botnet tarafından başlatılıyor.” dedi. “Mirai’nin kaynak kodu kamuya açıklandı ve yıllar geçtikçe orijinalin birçok uyarlaması yapıldı.”
Bu aynı zamanda ABD Federal İletişim Komisyonu’nun (FCC) telekom operatörleri AT&T’ye (57 milyon dolar), Sprint’e (12 milyon dolar), T-Mobile’a (80 milyon dolar) ve Verizon’a (47 milyon dolar) yasa dışı müşteri paylaşımı nedeniyle verdiği 196 milyon dolarlık para cezasının ardından geldi. ‘ gerçek zamanlı konum verilerini toplayıcıların rızası olmadan toplayanlar, daha sonra bilgileri üçüncü taraf konum tabanlı hizmet sağlayıcılara satarlar.
2018’de uygulamayı açıklayan ABD Senatörü Ron Wyden, “Hücre planına kaydolan hiç kimse, telefon şirketlerinin hareketlerinin ayrıntılı bir kaydını kredi kartı olan herhangi birine satmasına izin verdiklerini düşünmüyordu” dedi. ifade.