על פי חוק בטיחות המוצר ותשתיות תקשורת 2023 (PSTI) שהונפקה על ידי בריטניה ב-29 באפריל 2023, בריטניה תתחיל לאכוף את דרישות אבטחת הרשת עבור התקני צרכנים מחוברים החל מה-29 באפריל 2024, החלות על אנגליה, סקוטלנד, וויילס וצפון אירלנד. חברות המפרות יעמדו בפני קנסות של עד 10 מיליון ליש"ט או 4% מההכנסות העולמיות שלהן.
1. מבוא לחוק PSTI:
מדיניות בטיחות המוצרים של Consumer Connect בבריטניה תיכנס לתוקף ותיאכף ב-29 באפריל 2024. החל מתאריך זה, החוק יחייב יצרנים של מוצרים שניתן לחבר לצרכנים בריטיים לעמוד בדרישות הבטיחות המינימליות. דרישות אבטחה מינימליות אלו מבוססות על הנחיות אבטחת האינטרנט של הדברים בבריטניה, תקן האבטחה ETSI EN 303 645 לצרכן המוביל בעולם, והמלצות מהגוף הסמכותי של בריטניה לטכנולוגיית איומי סייבר, המרכז הלאומי לאבטחת סייבר. מערכת זו גם תבטיח שעסקים אחרים בשרשרת האספקה של מוצרים אלו ממלאים תפקיד במניעת מכירת מוצרי צריכה לא בטוחים לצרכנים ולעסקים בריטיים.
מערכת זו כוללת שני סעיפי חקיקה:
1) חלק 1 של חוק בטיחות המוצר ותשתיות תקשורת (PSTI) משנת 2022;
2) חוק אבטחת המוצר ותשתית התקשורת (דרישות אבטחה למוצרים קשורים קשורים) משנת 2023.
2. חוק PSTI מכסה את מגוון המוצרים:
1) מגוון מוצרים מבוקר PSTI:
הוא כולל, אך לא מוגבל, מוצרים המחוברים לאינטרנט. מוצרים אופייניים כוללים: טלוויזיה חכמה, מצלמת IP, ראוטר, תאורה חכמה ומוצרים ביתיים.
2) מוצרים מחוץ לטווח של בקרת PSTI:
לרבות מחשבים (א) מחשבים שולחניים; (ב) מחשב נייד; (ג) טאבלטים שאין להם יכולת להתחבר לרשתות סלולריות (שנועדו במיוחד לילדים מתחת לגיל 14 לפי השימוש המיועד של היצרן, לא יוצא דופן), מוצרים רפואיים, מוצרי מונה חכמים, מטענים לרכב חשמלי, ו-Bluetooth one מוצרי חיבור -על אחד. שים לב כי למוצרים אלה עשויים להיות גם דרישות אבטחת סייבר, אך הם אינם מכוסים על ידי חוק PSTI ועשויים להיות מוסדרים על ידי חוקים אחרים.
3. שלוש נקודות מפתח שיש לעקוב אחר חוק PSTI:
הצעת חוק PSTI כוללת שני חלקים עיקריים: דרישות בטיחות מוצרים והנחיות לתשתיות תקשורת. לבטיחות המוצר, ישנן שלוש נקודות מפתח הדורשות תשומת לב מיוחדת:
1) דרישות סיסמא, המבוססות על הוראות רגולטוריות 5.1-1, 5.1-2. חוק PSTI אוסר על שימוש בסיסמאות ברירת מחדל אוניברסליות. המשמעות היא שהמוצר חייב להגדיר סיסמת ברירת מחדל ייחודית או לדרוש מהמשתמשים להגדיר סיסמה בשימוש הראשון שלהם.
2) בעיות ניהול אבטחה, בהתבסס על הוראות רגולטוריות 5.2-1, יצרנים צריכים לפתח ולחשוף בפומבי מדיניות גילוי נקודות תורפה כדי להבטיח שאנשים שמגלים נקודות תורפה יוכלו להודיע ליצרנים ולהבטיח שיצרנים יוכלו להודיע מיידית ללקוחות ולספק אמצעי תיקון.
3) מחזור עדכון הבטיחות, בהתבסס על הוראות רגולטוריות 5.3-13, יצרנים צריכים להבהיר ולחשוף את פרק הזמן הקצר ביותר שהם יספקו עדכוני בטיחות, כדי שצרכנים יוכלו להבין את תקופת התמיכה בעדכוני בטיחות של המוצרים שלהם.
4. חוק PSTI ו-ETSI EN 303 645 תהליך בדיקה:
1) הכנת נתונים לדוגמה: 3 סטים של דוגמאות כולל מארח ואביזרים, תוכנה לא מוצפנת, מדריכים/מפרטים/שירותים קשורים ופרטי חשבון התחברות
2) הקמת סביבת בדיקה: הקמת סביבת בדיקה לפי המדריך למשתמש
3) ביצוע הערכת אבטחת רשת: סקירת קבצים ובדיקות טכניות, בדיקת שאלוני ספקים ומתן משוב
4) תיקון חולשה: ספק שירותי ייעוץ לתיקון בעיות חולשה
5) ספק דוח הערכת PSTI או דוח הערכה ETSI EN 303645
5. מסמכי חוק PSTI:
1) משטר אבטחת המוצר ותשתיות התקשורת (אבטחת מוצרים) בבריטניה.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) חוק אבטחת מוצרים ותשתיות טלקומוניקציה משנת 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) תקנות אבטחת מוצרים ותשתית טלקומוניקציה (דרישות אבטחה למוצרים רלוונטיים לחיבור) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
נכון לעכשיו, זה עוד פחות מחודשיים. מומלץ ליצרנים גדולים המייצאים לשוק הבריטי להשלים אישור PSTI בהקדם האפשרי כדי להבטיח כניסה חלקה לשוק הבריטי.
זמן פרסום: מרץ-11-2024