Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasası bugün yürürlüğe girdi ve Birleşik Krallık’ta satılan tüketici sınıfı IoT ürünleri üreticilerinin tahmin edilebilir varsayılan şifreleri kullanmayı bırakmasını ve bir güvenlik açığı açıklama politikasına sahip olmasını gerektiriyor.
“Akıllı cihazların çoğu Birleşik Krallık dışında üretiliyor, ancak PSTI yasası aynı zamanda Birleşik Krallık pazarına ürün ithal eden veya perakende satış yapan tüm kuruluşlar için de geçerli. Yasaya uymamak, 10 milyon £’a kadar veya dünya çapındaki gelirin %4’üne kadar (hangisi daha yüksekse) kadar para cezası gerektiren bir suçtur,” Carla V, Ulusal Siber Güvenlik Merkezi Vatandaş Dayanıklılığı Görevlisi.
Mevzuat hakkında
PSTI Yasası “Akıllı” da dahil olmak üzere internete ve ağa bağlanabilen ürünleri kapsar:
- TV’ler, akış cihazları, hoparlörler
- Oyun konsolları, akıllı telefonlar, tabletler
- Baz istasyonları ve hub’lar
- Ev otomasyonu ve alarm sistemleri
- “Giyilebilir cihazlar”: akıllı saatler, fitness takipçileri vb.
- Ev aletleri (termostatlar, çamaşır makineleri, ampuller, buzdolapları, ev yardımcıları vb.)
- Güvenlik cihazları (kapı zilleri, güvenlik kameraları, bebek telsizleri vb.)
- Çocuk oyuncakları
Yasaya göre, her ürün, kamuya açık bilgilerden veya benzersiz ürün tanımlayıcılarından türetilen veya artan sayaçlara dayanmayan ve kolayca tahmin edilemeyen benzersiz bir parola ile “kullanıma hazır” olarak güvence altına alınmalıdır. Kullanıcıların da bunu değiştirebilmesi gerekir.
“Üretici, ürünleriyle ilgili güvenlik sorunlarını kendilerine nasıl bildireceği konusunda bilgi sağlamalıdır. Üretici ayrıca, raporu hazırlayan kişi tarafından rapor edilen güvenlik sorunlarının çözümüne kadar raporun alındığına dair onayın ve durum güncellemelerinin beklenebileceği zaman çizelgeleri hakkında da bilgi sağlamalıdır.
Bu bilgiler önceden talep edilmeden İngilizce olarak ücretsiz olarak sağlanmalıdır. Aynı zamanda erişilebilir, açık ve şeffaf olmalıdır.” Birleşik Krallık Bilim, Yenilik ve Teknoloji Bakanlığı açıklıyor.
Son olarak üreticiler, ürünün güvenlik güncellemelerini ne kadar süreyle alacağına ilişkin bilgiyi “İngilizce, ücretsiz ve önceden teknik bilgisi olmayan bir okuyucunun anlayabileceği şekilde” sunmalıdır.
“Tüketicilerin güvenliklerini tehdit eden ve onları başka şekilde kullanılabilir ürünleri değiştirme ihtiyacına maruz bırakabilecek internete bağlı cihazları satın almasını önlemek için bu mevzuatın artık, güvenli olmayan ürünlerle dolup taşan çevrimiçi pazar yerlerine karşı da dahil olmak üzere güçlü yaptırımlarla desteklenmesi gerekiyor.” söz konusu Rocio Concha, İngiltere’nin tüketici şampiyonu Hangisi Politika ve Savunuculuk Direktörü?
İş ve Ticaret Bakanlığı’nın bir parçası olan Ürün Güvenliği ve Standartları Ofisi (OPSS), Yasanın uygulanmasından sorumlu olacak.
AB ve ABD’deki IoT siber güvenlik yasaları
Dyn’e 2016 DDoS saldırısı Sabit kodlu şifrelere sahip “güncellenemeyen” IoT cihazlarını bir botnet’te toplayan kötü niyetli kişiler tarafından yapılan saldırı, PSTI Yasası gibi mevzuata duyulan ihtiyacın açıkça ortaya çıktığı andı.
O zamandan beri çeşitli hükümet ve standart kuruluşları, IoT üreticilerinin ürünlerinin siber güvenliğini iyileştirmeleri için kılavuzlar ve öneriler yayınladı, ancak bu, güvenlikle ilgili belirli iyileştirmeleri zorunlu kılan ilk ulusal yasadır.
Avrupa’da Siber Güvenlik Yasası (2019), BİT ürünleri, hizmetleri ve süreçleri için gönüllü siber güvenlik sertifikasyon programlarını uygulamaya koydu ancak yaklaşan Siber Dayanıklılık Yasası (CRA)’nın zorunlu siber güvenlik gereklilikleri getirmesi bekleniyor.
ABD’de, 2019 IoT Siber Güvenliği İyileştirme Yasası, federal hükümet tarafından kullanılan IoT cihazları için minimum güvenlik standartlarını belirledi ve Kaliforniya Ve oregon bu eyaletlerde satılan İnternet’e bağlı cihaz üreticilerinin, bunları benzersiz bir varsayılan şifre gibi “makul güvenlik özellikleriyle” donatmalarını gerektiren bir eyalet yasasını kabul etti.
Bu yasaların sadece ilki olduğunu ve yıllar içinde güçlendirileceğini umuyoruz. IoT cihazlarını güvende tutma sorumluluğu nihayet kısmen üreticilere devrediliyor.
