• Законопроект, направленный на лучшую защиту смартфонов, телевизоров, динамиков, игрушек и других цифровых устройств от хакеров.
• Предотвращает продажу в Великобритании подключаемых к потребителю продуктов, не отвечающих базовым требованиям безопасности.
• Как показывают исследования, четыре из пяти производителей подключаемых устройств не применяют соответствующие меры безопасности.
• Включает планы штрафов до 10 миллионов фунтов стерлингов или до 4 процентов от общемирового дохода для фирм, не соблюдающих требования.

Новый закон потребует от производителей, импортеров и дистрибьюторов цифровых технологий, которые подключаются к Интернету или другим продуктам, убедиться, что они соответствуют новым жестким стандартам кибербезопасности - с большими штрафами для тех, кто не соблюдает их.

Безопасность продукта и Телекоммуникационная инфраструктура Билл (PSTI) внес на рассмотрение парламента сегодня, позволит правительству запретить универсальные пароли по умолчанию, силовые фирмы должны быть прозрачными для клиентов о том, что они делают , чтобы бреши безопасности починки в соединяемых продуктов, и создать лучшее система публичной отчетности об уязвимостях, обнаруженных в этих продуктах.

Законопроект также ускорит развертывание более быстрых и надежных широкополосных и мобильных сетей, упростив операторам обновление и совместное использование инфраструктуры. Реформы будут способствовать более быстрым и более совместным переговорам с землевладельцами, у которых установлено оборудование, чтобы уменьшить количество длительных судебных разбирательств, препятствующих улучшению цифровой связи.

Министр СМИ, данных и цифровой инфраструктуры Джулия Лопес заявила:

Каждый день хакеры пытаются взломать умные устройства людей. Большинство из нас полагает, что если товар выставлен на продажу, он безопасен и надежен. Однако многие этого не делают, что подвергает слишком многих из нас риску мошенничества и кражи.

Наш законопроект установит брандмауэр вокруг повседневных технологий, от телефонов и термостатов до посудомоечных машин, радионяни и дверных звонков, и увидит огромные штрафы для тех, кто нарушает новые жесткие стандарты безопасности.

Владение и использование подключенных технических продуктов резко возросло за последние годы. В среднем их девять в каждом британском домохозяйстве, при этом прогнозы предполагают, что к 2030 году их количество может достигнуть 50 миллиардов во всем мире. Подавляющее большинство людей полагают, что эти продукты безопасны, но только каждый пятый производитель принимает соответствующие меры безопасности для своих подключаемых продуктов.

Киберпреступники все чаще используют эти продукты. Недавнее исследование , с помощью которого? Обнаруженный дом, заполненный интеллектуальными устройствами, может подвергнуться более чем 12 000 взломов или неизвестных сканирующих атак со всего мира за одну неделю.

А в первой половине 2021 года было совершено 1,5 миллиарда попыток взлома устройств Интернета вещей (IoT), что вдвое больше, чем в 2020 году. Национальный центр кибербезопасности Великобритании на прошлой неделе сообщил, что за последний год он столкнулся с беспрецедентным количеством киберинцидентов.

В настоящее время производители продуктов цифровых технологий должны соблюдать правила, чтобы они не причиняли людям физический вред от таких проблем, как перегрев, острые компоненты или поражение электрическим током. Но нет никаких правил для защиты потребителей от вреда, причиненного кибер-нарушениями, которые могут включать мошенничество и кражу личных данных.

Закон о PSTI будет противодействовать этой угрозе, предоставив министрам новые полномочия по введению более жестких стандартов безопасности для производителей устройств. Это включает:

• Запрет на легко угадываемые стандартные паспорта, которые предварительно загружаются на устройства, такие как «пароль» или «администратор», которые являются целью хакеров. Все пароли, которые поставляются с новыми устройствами, должны быть уникальными и не сбрасываться до универсальных заводских настроек.

• Требование к производителям подключаемых продуктов сообщать покупателям в точках продажи и держать их в курсе минимального времени, в течение которого продукт будет получать жизненно важные обновления безопасности и исправления. Если продукт не поставляется с обновлениями безопасности, о которых необходимо сообщить. Это повысит осведомленность людей о том, когда продукты, которые они покупают, могут стать уязвимыми, чтобы они могли принимать более обоснованные решения о покупке. Почти 80 процентов этих фирм не имеют такой системы.

• Новые правила, требующие от производителей предоставлять общедоступные контактные данные, чтобы исследователям безопасности и другим лицам было проще сообщать об обнаружении недостатков и ошибок в продуктах.

Законопроект возлагает на охватываемые им предприятия обязанности по расследованию нарушений нормативно-правового соответствия, составлению заявлений о соответствии и ведению соответствующих записей.

Этот новый режим кибербезопасности будет контролироваться регулирующим органом, который будет назначен после вступления законопроекта в силу и будет иметь право штрафовать компании за несоблюдение требований в размере до 10 миллионов фунтов стерлингов или четырех процентов их глобального оборота, поскольку а также до 20 000 фунтов стерлингов в день в случае продолжающегося нарушения.

Регулирующий орган также сможет направлять компаниям уведомления, требующие, чтобы они соблюдали требования безопасности, отзывали свою продукцию или полностью прекращали ее продажу или поставку. По мере появления новых угроз или разработки стандартов министры будут иметь право предписывать компаниям дополнительные требования безопасности посредством вторичного законодательства.

Новые законы будут применяться не только к производителям, но и к другим предприятиям, включая как физические магазины, так и интернет-магазины, которые позволяют продавать миллионы дешевых импортных технологий в Великобританию.

Розничным продавцам будет запрещено продавать продукты покупателям из Великобритании, если они не соответствуют требованиям безопасности, и они будут обязаны передавать клиентам важную информацию об обновлениях безопасности.

Законопроект распространяется на «подключаемые» продукты, которые включают все устройства, которые могут получить доступ к Интернету, такие как смартфоны, смарт-телевизоры, игровые консоли, камеры наблюдения и системы сигнализации, умные игрушки и радионяни, концентраторы для умного дома и голосовые помощники и умная бытовая техника, такая как стиральные машины и холодильники.

Это также относится к продуктам, которые могут подключаться к нескольким другим устройствам, но не напрямую к Интернету. Примеры включают умные лампочки, умные термостаты и переносные фитнес-трекеры.

Технический директор NCSC д-р Ян Леви сказал:

Я рад представлению этого законопроекта, который обеспечит безопасность подключенных потребительских устройств и заставит производителей устройств нести ответственность за обеспечение базовой кибербезопасности.

Введенные этим законопроектом требования, которые были разработаны совместно DCMS и NCSC при консультациях с отраслью, знаменуют собой начало пути к обеспечению того, чтобы подключенные устройства на рынке соответствовали стандарту безопасности, признанному хорошей практикой.

Всего одно уязвимое устройство может поставить под угрозу сеть пользователя. В 2017 году злоумышленникам удалось украсть данные из североамериканского казино через аквариум, подключенный к Интернету . В крайних случаях враждебные группы использовали слабые средства безопасности для доступа к веб-камерам людей .

Правительство намерено исключить некоторые продукты - например, если оно подвергнет их двойному регулированию или не приведет к существенному улучшению безопасности продукта или пользователей. Сюда входят автомобили, интеллектуальные счетчики, точки зарядки электромобилей и медицинские устройства.

Настольные и портативные компьютеры не входят в сферу охвата, потому что они обслуживаются развитым рынком антивирусного программного обеспечения, в отличие от умных динамиков и других развивающихся потребительских технологий. Операционные системы на ноутбуках и ПК уже включают функции безопасности, что означает, что они не подвержены одним и тем же угрозам и рискам.

Подержанные подключаемые продукты будут освобождены от уплаты налога из-за непрактичных обязательств, которые возлагают на потребителей и предприятия обязательства, несоразмерные с вероятными выгодами. Однако законопроект дает министрам полномочия расширять сферу действия законопроекта по мере изменения киберугроз и рисков в будущем.

Владельцам подключаемых к потребителю продуктов рекомендуется принять меры для обеспечения безопасного использования своих устройств, в том числе следовать руководству Cyber Aware по повышению безопасности в Интернете. NCSC также опубликовал руководство по безопасному использованию смарт-устройств в домашних условиях.

Росио Конча, какой? Директор по политике и пропаганде сказал:

Который? работал с сменяющими друг друга правительствами над тем, как бороться с потоком плохо спроектированных и небезопасных продуктов, которые делают потребителей уязвимыми для киберпреступников, поэтому положительно то, что этот законопроект вносится в парламент.

Правительству необходимо обеспечить применение этих новых законов к онлайн-торговым площадкам. Где Что? часто обнаруживает, что продукты, представляющие угрозу безопасности, продаются в больших масштабах, чтобы люди не покупали интеллектуальные устройства, что подвергало их мошенничеству и утечкам данных.

Реформы телекоммуникационной инфраструктуры

Сегодня правительство также опубликовало свой ответ на консультацию по предлагаемым изменениям в Кодекс электронных коммуникаций (ECC) .

Операторы связи и землевладельцы сталкиваются с трудностями при согласовании запросов на получение прав на установку, использование и модернизацию инфраструктуры связи. Эти проблемы замедлили развертывание лучшего покрытия мобильной и широкополосной связи для некоторых домов и предприятий, переговоры занимали больше времени, чем следовало бы, а некоторые дела заканчивались длительными и дорогостоящими судебными разбирательствами.

Дальнейшие проблемы включают в себя неспособность землевладельцев ответить на запросы о доступе к земле для развертывания сети и строгие ограничения на возможность операторов обновлять и совместно использовать свое оборудование, которые препятствуют максимально эффективному использованию существующих сетей.

Законопроект о PSTI решит многие из этих проблем с помощью ряда мер, призванных способствовать более тесному сотрудничеству и более быстрым переговорам, а также улучшению рабочих отношений между операторами мобильной связи и землевладельцами. Это включает:

• Новое требование к операторам связи рассматривать возможность использования альтернативного разрешения споров (ADR) - способа разрешения споров, не требующего обращения в суд, например, при посредничестве или арбитраже, - в случаях, когда возникают трудности с согласованием условий. Операторы также будут обязаны объяснять землевладельцам доступность ADR в качестве опции в своих уведомлениях.

• Новые автоматические права операторов на обновление и совместное использование подземной инфраструктуры, такой как оптоволоконные кабели, которые были проложены до реформ Кодекса 2017 года и в настоящее время не покрываются. Это в тех случаях, когда это не повлияет на частную землю или не повлияет на провайдера сайта.

• Новые правила, позволяющие операторам быстрее подавать заявки на ограниченный по времени доступ к определенным типам земель, если землевладелец не отвечает на повторные запросы о разрешении.

• Новые положения для ускорения переговоров о продлении соглашений. Операторы, у которых уже установлена инфраструктура по истекшему соглашению, будут иметь право либо продлить ее на условиях, аналогичных условиям для новых соглашений, либо запросить новую.

Эти меры имеют жизненно важное значение для государственной общей сельской сети стоимостью 1 миллиард фунтов стерлингов, которая обеспечит быстрое и надежное покрытие 4G на 95% территории Великобритании, а также достигнет цели правительства по охвату широкополосной связи с поддержкой гигабит на 85% к 2025 году. а к 2027 году большая часть населения будет доступна для доступа к сети 5G.

КОНЕЦ

Примечания для редакторов:

• Правительство также сегодня опубликовало свой ответ на Призыв предоставить доказательства в отношении правил доступа к инфраструктуре, который включает меры по упрощению использования существующих правил и внесения в них поправок в будущем.
• Требования безопасности, относящиеся к полномочиям, изложенным в Части 1 законопроекта, должны быть включены в нормативные акты и основаны на Кодексе норм безопасности потребительского Интернета вещей 2018 года и Европейском стандарте безопасности Интернета вещей ETSI EN 303. 645 , который включает тринадцать ориентированных на результат руководящих принципов, которые широко считаются передовой практикой в области безопасности Интернета вещей.