Законодатели Великобритании устали от паршивых паролей для Интернета вещей (IoT) и в доказательство этого разрабатывают закон с жёсткими штрафами и новыми запретами. Новое законодательство, представленное на этой неделе в парламент Великобритании, запрещает универсальные пароли установленные на устройствах по умолчанию.
В частности, проект названный «Законопроектом о безопасности продукции и телекоммуникационной инфраструктуре» (PSTI), потребует уникальных паролей для подключенных к Интернету устройств и не позволит сбрасывать эти пароли на универсальные, заводские, по умолчанию. Законопроект также заставит компании повысить прозрачность в отношении того, когда их продукты требуют обновлений и исправлений безопасности, что в настоящее время практикует только 20% компаний.
Предложения по усилению безопасности будут контролироваться регулятором. Компании, отказывающиеся соблюдать стандарты безопасности, могут быть оштрафованы на £10 млн или на 4% от их глобальной выручки.
«Каждый день хакеры пытаются проникнуть в смарт-устройства людей», – сказала в своем заявлении министр по связям со СМИ, данных и цифровой инфраструктуры Великобритании Джулия Лопес. «Большинство из нас полагает, что если продукт продаётся, то он безопасен и надёжен. Однако многие из них не являются таковыми, подвергая слишком многих из нас риску мошенничества и кражи данных».
В этих правилах будет предпринята попытка осмысленно бороться с тем, что стало бичом индустрии – слабыми паролями IoT, которые становятся всё более уязвимыми для злоумышленников. Согласно отчёту компании Symantec, занимающейся кибербезопасностью, за 2020 год, 55% паролей, использованных в IoT-атаках, оказались слабыми, например: «123456».
Еще 3% атакованных устройств использовали пароль «admin».
IoT-устройства, как известно, небезопасны и вне паролей. Недавний отчёт компании Palo Alto Networks показал, что 98% всего трафика IoT-устройств абсолютно не зашифровано.
Проблема только усугубляется, особенно по мере того, как устройства «умного дома» набирают массовую популярность и становятся всё более доступными. Хотя оценки разнятся, общее количество IoT-устройств может вырасти до 20 миллиардов к 2030 году. А это, в свою очередь, приведёт к увеличению числа атак. Всего два месяца назад «Лаборатория Касперского» сообщила изданию Threat Post, что только в первой половине 2021 года обнаружила 1,5 миллиарда IoT-атак. Это вдвое больше, чем за последние шесть месяцев 2020 года.
IoT-компании также обычно пытаются свалить вину на самих клиентов, когда их неэффективные методы обеспечения безопасности приводят к взломам или утечкам информации. Возможно, наиболее известный случай случился компанией Ring, занимающейся безопасностью «умного дома», которая пыталась заявить, что рост числа взломанных учётных записей был результатом повторного использования одних и тех же паролей.
В ответ на это компания Ring и её владелец Amazon получили коллективный иск, поданный в конце 2019 года, в котором компания обвинялась в халатности за неспособность должным образом защитить свои устройства. Стоит отметить, что с тех пор компания внесла ряд значимых улучшений в безопасности, включая требование двухфакторной аутентификации на новых устройствах и, совсем недавно, добавление сквозного шифрования.
Однако подход Великобритании к паролям может послужить примером для подражания в США и других странах. В прошлом году в США был принят важный законопроект о безопасности IoT, но он не предусматривает штрафов или запретов на использование слабых паролей. Вместо этого закон предписывает Национальному институту стандартов и технологий Министерства торговли установить минимальный набор требований безопасности для IoT-устройств и обновлять эти стандарты каждые пять лет.
Закон также требует от подрядчиков введения политики раскрытия информации об уязвимостях. Хотя эти положения являются шагом в правильном направлении, они в основном ограничиваются фирмами, которые ведут бизнес с федеральным правительством.
В отличие от них, предлагаемый Великобританией законопроект охватит гораздо более широкий круг подразделений и производителей и, что важно, предоставит чёткие денежные стимулы для обеспечения соблюдения требований.
Кнуты и пряники полезны лишь до определенного момента. Однако проблемы с безопасностью, особенно в дешёвых IoT-устройствах, не являются чем-то новым, и до сих пор практически не реагировали на какие-либо рыночные меры. Чёткие штрафы или, по крайней мере, угроза их применения, могут проложить путь к реальным изменениям.
The A.V. Club
Ещё по теме:
- Женщина призналась в попытке использовать сайт RentAHitman.Com для убийства бывшего мужа
- Сериал «Тегеран» для Apple TV+ получит премию «Эмми» как лучшее драматическое шоу 2021 года
- Цирк! Сверхвысокий вертикальный монитор для бесконечной прокрутки соцсетей
