Bekeményítenek IoT-biztonságban a britek
A jövőben szigorúbb biztonsági kritériumoknak kell majd megfelelniük a Nagy-Britanniában forgalomba hozott, internetre köthető eszközöknek - egy rövidesen hatályba lépő törvény három előírással igyekszik biztosítani, hogy a fogyasztókhoz és a cégekhez kerülő berendezéseket nehezebben lehessen feltörni.
Új eszközzel igyekszik megvédeni a lakosság és a cégek szenzitív adatait a brit kormány, mely tegnap a Parlament elé terjesztett új törvényjavaslatával az internetre csatlakozó eszközök biztonsági védvonalaival kapcsolatban fogalmaz meg előírásokat. A Product Security and Telecommunications Infrastructure (PSTI) nevű törvény kifejezetten kemény, akár tízmillió angol fontos (átszámítva kb. 4,3 milliárd forint) büntetéseket helyez kilátásba az új követelmények megsértése esetén.
A hosszú konzultációs folyamat és viták árán megszületett törvényjavaslat így három szinten próbálja körbebástyázni a legkülönfélébb okoseszközök védvonalait. Így a törvény előírja például, hogy a jövőben nem lehet az eszközök adminisztráció felületét könnyen kitalálható, egyszerű felhasználói név és jelszó párossal védeni (tipikus példa erre az admin/admin vagy admin/1234 kombó), illetve az eszközök gyári visszaállítása után is csak egyedi bejelentkezési adatokkal lehessen csak elérni a felületet.
A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.
Az eszközök gyártóinak emellett eladáskor jelezniük kell, hogy az adott berendezés meddig részesül majd biztonsági javításokban, illetve ha nem tervez ilyent kiadni a gyártó, azt is tudatni kell a fogyasztókkal - áll a törvényjavaslatban. Végül a gyártónak kötelező lesz egy kifejezetten biztonsági incidensek és potenciális sebezhetőségek jelentésére szolgáló elérhetőséget is biztosítaniuk.
A brit kormány szerint az internetre kötött (okos)eszközök számának drasztikus növekedésével a háztartásokat és cégeket érő támadások száma is burjánzani kezdett. A kormányzat így a törvény előterjesztésekor felhívta rá a figyelmet, hogy csak 2021 első felében 1,5 milliárd alkalommal próbáltak kompromittálni különféle IoT-alapú berendezéseket, emellett egy kutatás szerint egy több okoseszközzel ellátott háztartást hetente átlagosan 12 ezer támadás érhet az internet felől.
Akit érdekel, hogy milyen IoT eszközök lógnak védtelenül az interneten, annak javasoljuk a HWSW free! meetupon idén nyáron rögzített videó megtekintését, melyben Balázs Zoltán, a CUJO AI szakértője árul el részleteket a témáról.