IOT: il Regno Unito ha approvato il Product Security and Telecommunications Infrastructure (PSTI) Act, che richiede a produttori e rivenditori di dispositivi IoT di adottare misure di sicurezza per proteggere i consumatori.
Questa legge, che è entrata in vigore il 29 aprile 2024, si applica a tutti i prodotti internet- e network-connectable, inclusi smart TV, streaming devices, speaker, games consoles, smartphones, tablet, base stations e hubs, home automation e alarm systems, wearables, home appliances, security devices e children’s toys.
Requisiti di sicurezza del PSTI Act
Il PSTI Act richiede che ogni dispositivo sia securizzato “out-of-the-box” con una password unica che non sia basata su incremental counters o derivata da informazioni pubblicamente disponibili o identificatori unici del prodotto. Gli utenti devono essere in grado di cambiare la password. Inoltre, i produttori devono fornire informazioni su come segnalare problemi di sicurezza relativi al loro prodotto e devono fornire informazioni sulle tempistiche di risposta e aggiornamenti sullo stato delle segnalazioni. Queste informazioni devono essere disponibili in inglese, gratuitamente e facilmente accessibili.
I produttori devono anche fornire informazioni sulla durata dei security updates per i loro prodotti. Queste informazioni devono essere disponibili in inglese, gratuitamente e in un formato comprensibile per un lettore senza conoscenze tecniche pregresse.
Enforcement e sanzioni
L’Office for Product Safety and Standards (OPSS) è responsabile dell’applicazione della legge. Il mancato rispetto delle disposizioni del PSTI Act può comportare sanzioni penali e multe fino a £10 milioni o il 4% del fatturato qualificante mondiale (qualunque sia la cifra più alta).
Best practice e consigli per i produttori e i rivenditori
Per garantire la conformità al PSTI Act, i produttori e i rivenditori dovrebbero adottare le seguenti best practice:
- Educare il proprio team: Assicurarsi che il proprio team sia a conoscenza della legge e delle sue implicazioni.
- Effettuare una valutazione dei rischi: Identificare i rischi di sicurezza associati ai propri prodotti e adottare misure per mitigarli.
- Implementare password univoche: Implementare password univoche per ogni dispositivo e fornire agli utenti la possibilità di cambiarle.
- Implementare un sistema di segnalazione dei problemi di sicurezza: Implementare un sistema di segnalazione dei problemi di sicurezza e fornire informazioni sulle tempistiche di risposta e aggiornamenti sullo stato delle segnalazioni.
- Fornire informazioni sulla durata dei security updates: Fornire informazioni sulla durata dei security updates per i propri prodotti.
- Monitorare gli sviluppi normativi: Monitorare gli sviluppi normativi e adattare le proprie pratiche di sicurezza di conseguenza.
Il PSTI Act rappresenta un passo importante verso la sicurezza dei dispositivi IoT nel Regno Unito. I produttori e i rivenditori devono adottare misure per garantire la conformità alla legge e proteggere i consumatori. Implementando best practice e seguendo le linee guida fornite, i produttori e i rivenditori possono garantire la sicurezza dei propri prodotti e proteggere i propri clienti.
Fonte: https://www.helpnetsecurity.com/2024/04/29/uk-enacts-iot-cybersecurity-law/
