У адпаведнасці з Законам аб бяспецы прадукцыі і тэлекамунікацыйнай інфраструктуры 2023 г. (PSTI), выдадзены Вялікабрытаніяй 29 красавіка 2023 г., Вялікабрытанія пачне выконваць патрабаванні бяспекі сеткі для падключаных спажывецкіх прылад з 29 красавіка 2024 г., якія прымяняюцца да Англіі, Шатландыі, Уэльса і Паўночнай Ірландыі. Кампаніям-парушальнікам пагражае штраф у памеры да 10 мільёнаў фунтаў стэрлінгаў або 4% іх сусветнага даходу.
1. Уводзіны ў Закон PSTI:
Палітыка бяспекі прадуктаў Consumer Connect у Вялікабрытаніі ўступіць у сілу 29 красавіка 2024 г. Пачынаючы з гэтай даты закон будзе патрабаваць ад вытворцаў прадуктаў, якія можна падключаць да брытанскіх спажыўцоў, выконваць мінімальныя патрабаванні бяспекі. Гэтыя мінімальныя патрабаванні бяспекі заснаваны на рэкамендацыях Вялікабрытаніі па практыцы бяспекі спажывецкага Інтэрнэту рэчаў, вядучым сусветным стандарты бяспекі спажывецкага Інтэрнэту рэчаў ETSI EN 303 645 і рэкамендацыях аўтарытэтнага органа Вялікабрытаніі па тэхналогіі кіберпагроз, Нацыянальнага цэнтра кібербяспекі. Гэтая сістэма таксама гарантуе, што іншыя прадпрыемствы ў ланцужку паставак гэтых прадуктаў адыгрываюць ролю ў прадухіленні продажу небяспечных спажывецкіх тавараў брытанскім спажыўцам і прадпрыемствам.
Гэтая сістэма ўключае два заканадаўчыя акты:
1) Частка 1 Закона аб бяспецы прадукцыі і тэлекамунікацыйнай інфраструктуры (PSTI) 2022 г.;
2) Закон аб бяспецы прадуктаў і тэлекамунікацыйнай інфраструктуры (патрабаванні бяспекі для звязаных звязаных прадуктаў) 2023 г.
2. Закон аб PSTI ахоплівае асартымент прадукцыі:
1) Асартымент прадукцыі пад кантролем PSTI:
Ён уключае, але не абмяжоўваецца імі, прадукты, падлучаныя да Інтэрнэту. Да тыповых прадуктаў адносяцца: Smart TV, IP-камера, маршрутызатар, інтэлектуальнае асвятленне і бытавыя тавары.
2) Прадукты, якія не падпадаюць пад кантроль PSTI:
Уключаючы кампутары (а) настольныя кампутары; (b) партатыўны кампутар; (c) Планшэты, якія не маюць магчымасці падключэння да сотавай сеткі (распрацаваныя спецыяльна для дзяцей ва ўзросце да 14 гадоў у адпаведнасці з меркаваннем вытворцы, не выключэнне), медыцынскія вырабы, прадукты разумнага лічыльніка, зарадныя прылады для электрамабіляў і Bluetooth -on-one прадукты злучэння. Звярніце ўвагу, што гэтыя прадукты таксама могуць прад'яўляць патрабаванні кібербяспекі, але яны не падпадаюць пад дзеянне Закона PSTI і могуць рэгулявацца іншымі законамі.
3. Тры ключавых пункта, якіх павінен прытрымлівацца Закон PSTI:
Законапраект PSTI уключае дзве асноўныя часткі: патрабаванні бяспекі прадукцыі і рэкамендацыі па тэлекамунікацыйнай інфраструктуры. Для забеспячэння бяспекі прадукту ёсць тры асноўныя моманты, на якія трэба звярнуць асаблівую ўвагу:
1) Патрабаванні да пароля, заснаваныя на нарматыўных палажэннях 5.1-1, 5.1-2. Закон PSTI забараняе выкарыстанне універсальных пароляў па змаўчанні. Гэта азначае, што прадукт павінен усталёўваць унікальны пароль па змаўчанні або патрабаваць ад карыстальнікаў усталёўваць пароль пры першым выкарыстанні.
2) Праблемы кіравання бяспекай, заснаваныя на нарматыўных палажэннях 5.2-1, вытворцы павінны распрацаваць і публічна раскрыць палітыку раскрыцця ўразлівасцяў, каб гарантаваць, што асобы, якія выяўляюць уразлівасці, могуць паведаміць вытворцам і гарантаваць, што вытворцы могуць аператыўна апавяшчаць кліентаў і забяспечваць меры па выпраўленні.
3) Цыкл абнаўлення бяспекі, заснаваны на нарматыўных палажэннях 5.3-13, вытворцы павінны ўдакладніць і раскрыць найкарацейшы перыяд часу, калі яны будуць прадастаўляць абнаўленні бяспекі, каб спажыўцы маглі зразумець перыяд падтрымкі абнаўлення бяспекі для сваіх прадуктаў.
4. Закон PSTI і працэс тэсціравання ETSI EN 303 645:
1) Падрыхтоўка ўзораў даных: 3 наборы ўзораў, уключаючы хост і аксэсуары, незашыфраванае праграмнае забеспячэнне, кіраўніцтва карыстальніка/спецыфікацыі/сумежныя паслугі і інфармацыю аб уліковым запісе для ўваходу
2) Стварэнне тэставага асяроддзя: Стварэнне тэставага асяроддзя ў адпаведнасці з кіраўніцтвам карыстальніка
3) Выкананне ацэнкі бяспекі сеткі: агляд файлаў і тэхнічнае тэставанне, праверка анкет пастаўшчыкоў і прадастаўленне зваротнай сувязі
4) Рамонт слабых месцаў: прадастаўленне кансультацыйных паслуг для ліквідацыі праблем слабых месцаў
5) Прадстаўце справаздачу аб ацэнцы PSTI або справаздачу аб ацэнцы ETSI EN 303645
5. Дакументы аб PSTI Act:
1)Рэжым бяспекі прадукцыі і тэлекамунікацыйнай інфраструктуры Вялікабрытаніі (бяспека прадукцыі).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Закон аб бяспецы прадуктаў і тэлекамунікацыйнай інфраструктуры 2022 г
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Правілы 2023 г. аб бяспецы прадуктаў і тэлекамунікацыйнай інфраструктуры (Патрабаванні да бяспекі адпаведных падключаемых прадуктаў).
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
На дадзены момант засталося менш за 2 месяцы. Рэкамендуецца, каб асноўныя вытворцы, якія экспартуюць на рынак Вялікабрытаніі, прайшлі сертыфікацыю PSTI як мага хутчэй, каб забяспечыць бесперашкодны выхад на рынак Вялікабрытаніі.
Час публікацыі: 11 сакавіка 2024 г