Відповідно до Закону про безпеку продукції та телекомунікаційну інфраструктуру 2023 року (PSTI), виданий Великобританією 29 квітня 2023 року, Велика Британія почне застосовувати вимоги безпеки мережі для підключених споживчих пристроїв з 29 квітня 2024 року, що стосується Англії, Шотландії, Уельсу та Північної Ірландії. Компанії-порушники будуть оштрафовані на суму до 10 мільйонів фунтів стерлінгів або 4% їхнього світового доходу.
1. Вступ до Закону про PSTI:
Політика безпеки продуктів Consumer Connect у Великій Британії набуде чинності 29 квітня 2024 року. Починаючи з цієї дати, закон вимагатиме від виробників продуктів, які можна підключити до британських споживачів, дотримання мінімальних вимог безпеки. Ці мінімальні вимоги безпеки ґрунтуються на Практичних рекомендаціях щодо безпеки споживчого Інтернету речей Великобританії, провідному світовому стандарті безпеки споживчого Інтернету речей ETSI EN 303 645 і рекомендаціях авторитетного органу Великої Британії з технологій кіберзагроз, Національного центру кібербезпеки. Ця система також гарантуватиме, що інші підприємства в ланцюзі постачання цих продуктів відіграватимуть роль у запобіганні продажу небезпечних споживчих товарів британським споживачам і підприємствам.
Ця система включає два законодавчі акти:
1) Частина 1 Закону про безпеку продукції та телекомунікаційну інфраструктуру (PSTI) від 2022 р.;
2) Закон про безпеку продукту та телекомунікаційну інфраструктуру (вимоги до безпеки для пов’язаних підключених продуктів) від 2023 року.
2. Закон PSTI охоплює асортимент продукції:
1) Асортимент продукції, що контролюється PSTI:
Він включає, але не обмежується, продукти, підключені до Інтернету. Серед типових продуктів: смарт-телевізор, IP-камера, маршрутизатор, інтелектуальне освітлення та товари для дому.
2) Продукти, що не підпадають під контроль PSTI:
Включаючи комп’ютери (a) настільні комп’ютери; (b) портативний комп’ютер; (c) Планшети, які не мають можливості підключення до стільникових мереж (спеціально розроблені для дітей віком до 14 років відповідно до призначення виробника, не є винятком), медичні вироби, інтелектуальні лічильники, зарядні пристрої для електромобілів і Bluetooth -продукти підключення «на одному». Зверніть увагу, що ці продукти також можуть мати вимоги щодо кібербезпеки, але вони не підпадають під дію Закону PSTI та можуть регулюватися іншими законами.
3. Закон PSTI має дотримуватися трьох ключових моментів:
Законопроект PSTI включає дві основні частини: вимоги щодо безпеки продукції та інструкції щодо телекомунікаційної інфраструктури. Для безпеки продукту є три ключові моменти, на які потрібно звернути особливу увагу:
1) Вимоги до пароля на основі нормативних положень 5.1-1, 5.1-2. Закон PSTI забороняє використання універсальних паролів за замовчуванням. Це означає, що продукт має встановити унікальний пароль за замовчуванням або вимагати від користувачів встановлення пароля під час першого використання.
2) Питання управління безпекою. Виходячи з нормативних положень 5.2-1, виробники повинні розробити та оприлюднити політику розкриття вразливостей, щоб гарантувати, що особи, які виявляють уразливості, можуть повідомити виробників, а також гарантувати, що виробники можуть негайно повідомити клієнтів і вжити заходів щодо їх усунення.
3) Цикл оновлення безпеки, заснований на нормативних положеннях 5.3-13, виробники повинні уточнити та розкрити найкоротший період часу, протягом якого вони надаватимуть оновлення безпеки, щоб споживачі могли зрозуміти період підтримки оновлень безпеки для своїх продуктів.
4. Закон PSTI та ETSI EN 303 645 Процес тестування:
1) Підготовка зразків даних: 3 набори зразків, включаючи хост і аксесуари, незашифроване програмне забезпечення, посібники користувача/специфікації/супутні послуги та дані облікового запису для входу
2) Створення тестового середовища: Створіть тестове середовище відповідно до посібника користувача
3) Виконання оцінки безпеки мережі: перевірка файлів і технічне тестування, перевірка анкет постачальників і надання відгуків
4) Усунення недоліків: надання консультаційних послуг для вирішення проблем із недоліками
5) Надайте звіт про оцінку PSTI або звіт про оцінку ETSI EN 303645
5. Документи PSTI Act:
1) Режим безпеки продукту та телекомунікаційної інфраструктури (Безпека продукту) Великобританії.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Закон про безпеку продукту та телекомунікаційну інфраструктуру 2022 р
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3)Положення про безпеку продукту та телекомунікаційну інфраструктуру (вимоги до безпеки для відповідних продуктів, що підключаються) 2023 р.
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
На даний момент залишилося менше 2 місяців. Рекомендується, щоб великі виробники, які експортують на британський ринок, пройшли сертифікацію PSTI якнайшвидше, щоб забезпечити безперебійний вихід на ринок Великобританії.
Час публікації: 11 березня 2024 р
