Bağlı cihazlara yönelik yeni güvenlik düzenlemeleri ve ilgili kılavuzlar, Birleşik Krallık’ta Nisan ayının sonunda yürürlüğe girecek. Birleşik Krallık Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasası, tüketiciye yönelik akıllı (örneğin, Nesnelerin İnterneti veya IoT) ürünler için temel güvenlik beklentilerini belirler.
HackerOne, bu düzenlemelerin geliştirilmesi sırasında Birleşik Krallık hükümetinin aktif katılımını sağladı ve siber güvenlik ekosistemi için güçlü güvenlik açığı açıklama politikalarının (VDP’ler) benimsenmesinin önemini vurguladı.
PSTI kimleri düzenliyor?
Yönetmelik esas olarak internete bağlanabilen ve Birleşik Krallık’ta satılan tüketici ürünlerinin (yani akıllı veya IoT cihazları) cihaz üreticileri için geçerlidir. Belirli akıllı ölçüm cihazları, akıllı şarj noktaları, tıbbi cihazlar ve bilgisayar türleri gibi muaf tutulan bazı ürünler bulunmaktadır.
PSTI ne yapmayı amaçlıyor?
PSTI, özellikle Bölüm 1’de, Birleşik Krallık’taki tüketicilere satış yapan üreticilerin temel güvenlik gereksinimlerine uymasını sağlayarak tüketici akıllı ürünlerinin güvenliğini artırmayı amaçlıyor. Bu temeller, Tüketici Nesnelerin İnterneti (IoT) Güvenliği için gönüllü Uygulama Kurallarında yer alan ilk üç ilkeye benzer.
PSTI’nin güvenlik gereksinimleri nelerdir?
Gereksinimler genellikle tüketici akıllı cihazlarına yönelik temel siber güvenlik için yaygın olarak kullanılan bir standardın bölümlerini yansıtıyor.
Yönetmelikteki temel güvenlik gereklilikleri şunları içerir:
- Benzersiz Şifreler: Her cihazın yazılımının benzersiz varsayılan şifreleri olmalı veya kullanıcılar kendi şifrelerini ayarlayabilmelidir. Bu şifreler, kolayca tahmin edilebilecek veya basit türetmelerden (artışlarla sayma gibi) kaçınmalıdır.
- Güvenlik Sorunlarını Bildirmek: Üreticiler, kişilerin güvenlik açıklarını üreticiye nasıl bildirebilecekleri konusunda açık, erişilebilir ve şeffaf bilgiler yayınlamalıdır (örneğin, bir güvenlik açığı açıklama programı veya VDP). Bu süreç, onay ve çözüm güncellemeleri için beklenen zaman çizelgelerini içermeli ve raporu hazırlayan kişinin kişisel bilgilerini talep etmemelidir.
- Güvenlik Güncellemesi Bilgileri: Üreticiler, bitiş tarihi de dahil olmak üzere cihaz için güvenlik güncellemelerinin sağlanacağı minimum süre hakkında net ve erişilebilir bilgiler sağlamalıdır.
Kapsam dahilindeki bir ürün üreticisi uyumluluğu nasıl gösterir ve uyumlu olmazsa ne olur?
PSTI’ye tabi olanlar, ürün ve üretici hakkındaki temel bilgilere uygunluk beyanı sunmalıdır. PSTI ayrıca üreticilere, olası uyumluluk hatalarını araştırmak, uyumluluk başarısızlığıyla ilgili olarak harekete geçmek ve uyumlulukla ilgili kayıtları tutmak da dahil olmak üzere çeşitli ek görevler yüklemektedir.
PSTI’ya uyulmaması, (a) 10 milyon £ veya (b) en son hesap dönemi için dünya çapındaki nitelikli gelirin %4’üne kadar bir cezayla sonuçlanabilir.
Bu gereksinimler ne zaman yürürlüğe girer?
29 Nisan 2024.
Bu yeni gereksinimlerin olası etkisi nedir?
Benzersiz parolalar gibi daha güçlü varsayılan güvenlik uygulamalarıyla, tüketici akıllı cihazları kutudan çıktığı andan itibaren daha dayanıklı olacaktır. Güvenlik desteği tarihiyle ilgili şeffaflık, tüketicilerin bilinçli satın alma kararları almasına yardımcı olacak ve güvenliğe dayalı ek pazar rekabetini teşvik edecek. Gereksinimler aynı zamanda cihaz güvenliğine daha standartlaştırılmış bir yaklaşımın önünü açmaya yardımcı olarak farklı üreticiler arasındaki güvenlik uygulamalarındaki parçalanmayı potansiyel olarak azaltır.
Daha spesifik olarak, kuruluşların güvenlik açıklarını tespit edecek ve düzeltecek bir sürece sahip olmasını sağlamak, halihazırda en yaygın şekilde benimsenen siber güvenlik çerçeveleri ve standartlarının çoğu tarafından önerilen en iyi uygulamadır. VDP’ler, güvenlik araştırmacılarının, tüketicilerin ve üreticilerin ürün güvenliğini geliştirmek için birlikte çalıştığı işbirliğine dayalı bir ortamı teşvik eder. Güvenlik açığının erken açıklanması, potansiyel siber tehditlerin daha büyük güvenlik olaylarına dönüşmeden önce azaltılmasına yardımcı olur. Üreticilerin güvenlik açıklarını bildirmek için açık kanallar sağlamasını zorunlu kılan düzenleme, güvenlik kusurlarının daha hızlı tanımlanmasına ve çözülmesine yardımcı olacak ve sonuçta tüketicileri koruyacak.
Bu yeni gereksinimlere tabi olabiliriz; ne yapmalıyız?
Son teslim tarihi hızla yaklaşırken, mevcut güvenlik programınızı gözden geçirmeli ve henüz uyum sağlamadığınız temel güvenlik gereksinimlerinden herhangi birini güncellemeli veya uygulamaya başlamalısınız.
HackerOne platformundaki bir güvenlik açığı açıklama programı, sektörün en güvenilir ve saygın etik korsanlarına erişimle birlikte gelen güvenlik açığı açıklamalarını almanın, yönetmenin ve izlemenin kolaylaştırılmış bir yoludur. Daha fazla bilgi edinmek için HackerOne ile iletişime geçin.