Bağlı cihazlar ve ilgili rehberlik için yeni güvenlik düzenlemeleri Nisan ayı sonunda Birleşik Krallık’ta yürürlüğe girer. İngiltere Ürün Güvenliği ve Telekomünikasyon Altyapı (PSTI) Yasası, tüketici akıllı (örneğin, Nesnelerin İnterneti veya IoT) ürünleri için temel güvenlik beklentileri oluşturur.
Hackerone, bu düzenlemelerin geliştirilmesi sırasında İngiltere hükümetini aktif olarak ele aldı ve siber güvenlik ekosistemi için sağlam güvenlik açığı ifşa politikalarının (VDP) benimsenmesinin önemini vurguladı.
PSTI kimi düzenliyor?
Düzenleme esas olarak internete bağlanabilen ve İngiltere’de satılan (yani Smart veya IoT cihazları) tüketici ürünleri üreticileri için geçerlidir. Bazı akıllı ölçüm cihazları, akıllı şarj noktaları, tıbbi cihazlar ve bilgisayar türleri gibi bazı muaf ürünler vardır.
PSTI ne yapmayı amaçlıyor?
PSTI, özellikle Bölüm 1’de, İngiltere tüketicilerine satış yapan üreticileri temel güvenlik gereksinimlerine uymasını sağlayarak tüketici akıllı ürünlerin güvenliğini artırmayı amaçlamaktadır. Bu temel çizgiler, Tüketici İnterneti (IoT) güvenliği için gönüllü uygulama kurallarındaki ilk üç ilkeye benzer.
PSTI’nın güvenlik gereksinimleri nelerdir?
Gereksinimler genellikle tüketici akıllı cihazlar için temel siber güvenlik için yaygın olarak kullanılan bir standardın parçalarını yansıtır.
Yönetmelikteki temel güvenlik gereksinimleri şunları içerir:
- Benzersiz şifreler: Her cihaz için yazılım benzersiz varsayılan şifrelere sahip olmalıdır veya kullanıcıların kendilerini ayarlayabilmeleri gerekir. Bu şifreler kolayca tahmin edilebilir veya basit türevlerden kaçınmalıdır (artışlarda sayma gibi).
- Güvenlik sorunlarını raporlama: Üreticiler, kişilerin güvenlik açıklarını üreticiye nasıl bildirebilecekleri (örn. Bir güvenlik açığı açıklama programı veya VDP) hakkında net, erişilebilir ve şeffaf bilgiler yayınlamalıdır. Bu süreç, onay ve çözüm güncellemeleri için beklenen zaman çizelgelerini içermeli ve raporu yapan kişinin kişisel bilgilerini istememelidir.
- Güvenlik Güncelleme Bilgileri: Üreticiler, bir bitiş tarihi de dahil olmak üzere cihaz için güvenlik güncellemelerinin sağlanacağı minimum dönem hakkında net ve erişilebilir bilgiler sağlamalıdır.
Kapsanan bir ürün üreticisi uyumluluğu nasıl gösterir – ve uymazsa ne olur?
PSTI’ya tabi olanlar, ürün ve üretici hakkında temel bilgilere uygun bir tablo sunmalıdır. PSTI ayrıca, potansiyel uyumluluk başarısızlıklarını araştırmak, uyumluluk başarısızlığı ile ilgili harekete geçmek ve uyumluluğu ile ilgili kayıtları korumak da dahil olmak üzere üreticiler için birkaç ek görev getirir.
PSTI’ye uyulmaması, en son muhasebe dönemi için dünya çapında gelirin ((b)% 4’üne kadar (a) 10 milyon £ veya (b)% 4’üne kadar bir cezaya neden olabilir.
Bu gereksinimler ne zaman yürürlüğe girer?
29 Nisan 2024.
Bu yeni gereksinimlerin olası etkisi nedir?
Benzersiz şifreler gibi daha güçlü varsayılan güvenlik uygulamalarıyla, tüketici akıllı cihazları kutudan çıkarılacaktır. Güvenlik destek tarihi etrafındaki şeffaflık, tüketicilerin güvenilir satın alma kararları almalarına yardımcı olacak ve güvenliğe dayalı ek pazar rekabeti teşvik edecektir. Gereksinimler ayrıca, cihaz güvenliğine daha standart bir yaklaşımın yolunu açmaya yardımcı olur ve farklı üreticilerdeki güvenlik uygulamalarındaki parçalanmayı potansiyel olarak azaltır.
Daha spesifik olarak, kuruluşların güvenlik açıklarını alma ve düzeltme sürecine sahip olmalarını sağlamak, en yaygın olarak benimsenen siber güvenlik çerçevelerinin ve standartlarının birçoğu tarafından önerilen en iyi uygulamadır. VDP’ler, güvenlik araştırmacılarının, tüketicilerin ve üreticilerin ürün güvenliğini artırmak için birlikte çalıştıkları işbirlikçi bir ortam geliştirir. Erken güvenlik açığı açıklaması, daha büyük güvenlik olaylarına dönüşmeden önce potansiyel siber tehditlerin azaltılmasına yardımcı olur. Üreticilerin güvenlik açıklarını bildirmek için net kanallar sağlamalarını isteyerek, düzenleme, güvenlik kusurlarının daha hızlı tanımlanmasını ve çözülmesini sağlamaya ve sonuçta tüketicileri korumaya yardımcı olacaktır.
Bu yeni gereksinimlere tabi olabiliriz – ne yapmalıyız?
Son tarih hızla yaklaşırken, mevcut güvenlik programınızı gözden geçirmeli ve güncellemelisiniz veya henüz uyumlu olmadığınız temel güvenlik gereksinimlerini uygulamaya başlamalısınız.
Hackerone platformunda bir güvenlik açığı açıklama programı, endüstrinin en güvenilir ve saygın etik hacker’larına erişimi olan gelen güvenlik açığı açıklamalarını almanın, yönetmenin ve izlemenin kolaylaştırılmış bir yoludur. Daha fazla bilgi edinmek için hackerone ile iletişime geçin.