英國頒佈物聯網網路安全法案,代表著各國政府開始正視物聯網裝置的網路安全風險,積極採取立法管控措施。這項名為「產品安全和電信基礎設施法案」(PSTI Act)已於今日正式生效,要求製造商在出售給英國市場的消費級物聯網產品上,必須停止使用可輕易被猜到的預設密碼,並設立漏洞揭露政策。
這項法案涵蓋範圍相當廣泛,包括了智慧電視、串流裝置、音響、遊戲主機、手機、平板電腦、基地台、樞紐、家庭自動化和警報系統、可穿戴裝置、家電(如恆溫器、洗衣機、燈泡、冰箱、家庭助理)、安全設備(如門鈴、監視器、嬰兒監視器)、兒童玩具等網路連線產品。
根據這項法案規定,每一項產品在出廠時都必須內建獨特的密碼,而非基於遞增計數器或可公開取得的資訊,也不能輕易被猜到。使用者也必須能夠變更該密碼。此外,製造商必須提供可讓使用者回報產品安全漏洞的管道資訊,包含確認收件、問題解決狀態追蹤等服務時程,並以免費、易懂的英文說明方式提供。製造商也必須提供該產品將獲得安全性更新的期限資訊。
違反這項法令將被視為刑事罪行,最高可處以1000萬英鎊罰款,或全球營收4%的罰金(以較高者為準)。這顯示英國政府對於物聯網裝置的網路安全風險已經高度重視,並採取嚴厲的罰則措施來約束業者。
事實上,早在2016年的大型分散式阻斷服務攻擊(DDoS)事件後,各國政府和標準組織即開始制定物聯網網路安全指南和建議。但PSTI Act卻是頭一個以國家法律層級強制要求製造商改善產品安全性的具體作為。歐盟的《網路安全法》雖有提出自願性產品認證,但預計明年將推出《網路韌性法》,對業者實施更嚴格的強制要求。美國則已在2019年通過《物聯網網路安全改善法案》,對聯邦政府採購的物聯網裝置訂定最低安全標準。
隨著更多國家效法,未來物聯網產品的網路安全責任將逐步由製造商適當承擔,政府立法規範將更趨嚴格完善,以確保這些日益普及的智慧連網裝置不會淪為駭客入侵的溫床。這是朝向物聯網長期安全可持續發展的重要一步。
詳情請看: