圈小蛙
英国正在立法取消不安全的默认密码。随着该国的产品安全和电信基础设施法案(PSTI)的更新于上月底生效,监管机构表示,能够连接到互联网或本地有线网络的技术设备必须具有唯一性的默认密码,或者可以由设备所有者定义。
英国的消费者可连接产品安全制度于2024年4月29日生效。这些产品供应链中的企业现在需要遵守法规。
该法律现在要求英国消费者可连接产品(或“智能”产品)的制造商遵守该法案中规定的相关义务,其中包括确保他们及其产品满足相关的最低安全要求。
该制度由两项立法组成:
2022 年产品安全和电信基础设施 (PSTI) 法案第 1 部分; 和
2023 年产品安全和电信基础设施(相关可连接产品的安全要求)法规。
PSTI 法案于 2022 年 12 月获得御准。政府于 2023 年 4 月发布了 PSTI(相关可连接产品的安全要求)法规的完整草案。这些法规于 2023 年 9 月 14 日签署成为法律。本指导页面重点介绍了关键条款 企业在寻求遵守该制度时应考虑。
《2022 年产品安全和电信基础设施法案》(第 2 号生效)《2023 年条例》第 3 条规定,该法案第 1 部分尚未生效的所有部分将于 2024 年 4 月 29 日生效。
2023 年 PSTI(相关可连接产品的安全要求)条例第 1 条规定,这些条例于 2024 年 4 月 29 日生效。
根据这次更新,制造商将必须简化人们报告安全问题的流程。PSTI 现在还要求他们为报告者提供明确的期望,告知他们何时可以期待得到回应和状态更新。违反法律的行为可能会导致高达 1000 万英镑(约合 1250 万美元)或其“合格全球收入”的 4%的罚款,视两者中的较高者而定。
这项法律将适用于广泛的产品,但主要目标很可能是物联网设备,如智能电视、智能插座或智能扬声器。其中许多设备,尤其是最便宜的商品化产品,由于安全措施松懈,成为网络攻击的目标,这些设备曾是几年前基于 Mirai 的僵尸网络 DDoS 攻击的一部分。这并不一定解决所有这些问题,但糟糕的默认密码是一个应该解决的低悬果实。
在美国,联邦通信委员会(FCC)正在尝试类似的措施——即将推出的网络信任标志计划。这个计划很像联邦能源之星计划,网络信任标志的标识符表明哪些产品符合该计划的要求,包括强大的默认密码。