Законодатели Великобритании устали от паршивых паролей для Интернета вещей (IoT) и в доказательство этого разрабатывают закон с жёсткими штрафами и новыми запретами. Новое законодательство, представленное на этой неделе в парламент Великобритании, запрещает универсальные пароли установленные на устройствах по умолчанию.

В частности, проект названный «Законопроектом о безопасности продукции и телекоммуникационной инфраструктуре» (PSTI), потребует уникальных паролей для подключенных к Интернету устройств и не позволит сбрасывать эти пароли на универсальные, заводские, по умолчанию. Законопроект также заставит компании повысить прозрачность в отношении того, когда их продукты требуют обновлений и исправлений безопасности, что в настоящее время практикует только 20% компаний.

Предложения по усилению безопасности будут контролироваться регулятором. Компании, отказывающиеся соблюдать стандарты безопасности, могут быть оштрафованы на £10 млн или на 4% от их глобальной выручки.

«Каждый день хакеры пытаются проникнуть в смарт-устройства людей», – сказала в своем заявлении министр по связям со СМИ, данных и цифровой инфраструктуры Великобритании Джулия Лопес. «Большинство из нас полагает, что если продукт продаётся, то он безопасен и надёжен. Однако многие из них не являются таковыми, подвергая слишком многих из нас риску мошенничества и кражи данных».

В этих правилах будет предпринята попытка осмысленно бороться с тем, что стало бичом индустрии – слабыми паролями IoT, которые становятся всё более уязвимыми для злоумышленников. Согласно отчёту компании Symantec, занимающейся кибербезопасностью, за 2020 год, 55% паролей, использованных в IoT-атаках, оказались слабыми, например: «123456».
Еще 3% атакованных устройств использовали пароль «admin».

IoT-устройства, как известно, небезопасны и вне паролей. Недавний отчёт компании Palo Alto Networks показал, что 98% всего трафика IoT-устройств абсолютно не зашифровано.

Проблема только усугубляется, особенно по мере того, как устройства «умного дома» набирают массовую популярность и становятся всё более доступными. Хотя оценки разнятся, общее количество IoT-устройств может вырасти до 20 миллиардов к 2030 году. А это, в свою очередь, приведёт к увеличению числа атак. Всего два месяца назад «Лаборатория Касперского» сообщила изданию Threat Post, что только в первой половине 2021 года обнаружила 1,5 миллиарда IoT-атак. Это вдвое больше, чем за последние шесть месяцев 2020 года.

IoT-компании также обычно пытаются свалить вину на самих клиентов, когда их неэффективные методы обеспечения безопасности приводят к взломам или утечкам информации. Возможно, наиболее известный случай случился компанией Ring, занимающейся безопасностью «умного дома», которая пыталась заявить, что рост числа взломанных учётных записей был результатом повторного использования одних и тех же паролей.

В ответ на это компания Ring и её владелец Amazon получили коллективный иск, поданный в конце 2019 года, в котором компания обвинялась в халатности за неспособность должным образом защитить свои устройства. Стоит отметить, что с тех пор компания внесла ряд значимых улучшений в безопасности, включая требование двухфакторной аутентификации на новых устройствах и, совсем недавно, добавление сквозного шифрования.

Однако подход Великобритании к паролям может послужить примером для подражания в США и других странах. В прошлом году в США был принят важный законопроект о безопасности IoT, но он не предусматривает штрафов или запретов на использование слабых паролей. Вместо этого закон предписывает Национальному институту стандартов и технологий Министерства торговли установить минимальный набор требований безопасности для IoT-устройств и обновлять эти стандарты каждые пять лет.

Закон также требует от подрядчиков введения политики раскрытия информации об уязвимостях. Хотя эти положения являются шагом в правильном направлении, они в основном ограничиваются фирмами, которые ведут бизнес с федеральным правительством.

В отличие от них, предлагаемый Великобританией законопроект охватит гораздо более широкий круг подразделений и производителей и, что важно, предоставит чёткие денежные стимулы для обеспечения соблюдения требований.

Кнуты и пряники полезны лишь до определенного момента. Однако проблемы с безопасностью, особенно в дешёвых IoT-устройствах, не являются чем-то новым, и до сих пор практически не реагировали на какие-либо рыночные меры. Чёткие штрафы или, по крайней мере, угроза их применения, могут проложить путь к реальным изменениям.


The UK Just Banned Default Passwords and We Should Too
The new bill would require unique passwords for IoT devices and would prevent those passwords from being reset to universal factory default.

Ещё по теме: