4月21日,英国数字基础设施大臣马特·沃曼发布了对消费类物联网设备安全立法征求意见的回应,确认将会推动新的立法,为在全英销售的物联网设备制定强制性安全要求。
根据这项新立法,在英国销售的消费类物联网设备将需要满足以下三个要求,满足 “网络安全的最低基准”:
l 密码必须唯一,并且不能为任何通用出厂设置;
l 制造商必须提供公开联系点,以便任何人都可报告漏洞;
l 必须在销售时告知客户设备的软件更新时间;
这些要求是根据英国《消费者物联网安全操作规范》的三大准则,以及《ETSI欧洲标准(EN)》(303645)中的规定,未来的新立法将确保满足要求。
这项立法最初是在2020年初提出的,英国政府表示将在议会时间允许的情况下,尽快推动立法。
英国政府计划推动的新立法,将适用于各种物联网(IoT)设备,包括智能扬声器、智能电视、联网门铃、智能手机、联网玩具和可穿戴设备等。某些设备因其构造和保护的特定情况而被豁免,包括台式计算机和笔记本电脑。
英国数字基础设施大臣沃尔曼
英国数字基础设施大臣沃尔曼说:"手机和智能设备成为黑客窃取数据的‘金矿’,但大量手机和智能设备仍在运行存在系统安全漏洞的旧软件。“
根据英国数字、文化、传媒和体育部(DCMS)委托进行的调查,1/3英国居民的智能手机平均使用至少4年以上,但很多手机品牌2年才会开展提供安全更新。伦敦大学学院测试的270款产品中,没有任何产品在销售点或其他说明文档中提供系统更新的信息。
立法将在不影响性能的情况下,赋予制造商一定的义务和责任,实现对于公民、网络和物联网基础性设施的持续性保护。文件还提出建立专门的执法机构,对不遵守要求的指控进行调查,并采取措施确保制造商等相关主体遵守规定,并向有关制造商和主体提供支持,使制造商能够更好的履行义务。
拟推动的立法将提出进一步的安全要求,其中可能包括用户身份验证、漏洞报告、软件更新以及软硬件的安全设计原则。
2020年7月发布的征求意见稿,建议所有常规IT产品都应包括在内。英国政府在回应指出,根据在从利益相关者那里收到的反馈,政府认识到“这些产品的制造商在遵守法规方面将面临的独特挑战,未来将进一步交流和分析,然后再将这些设备添加到立法适用范畴。“
拟推动点新立法将使相关经济主体不得在英国市场上销售消费类物联网设备,除非满足安全要求或指定标准。
本文来源:首席安全官
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/3442.html
