英国的《产品安全暨电信基础设施法案》(Product Security and Telecommunications Infrastructure Act,PSTI Act)于本周一(4/29)正式生效,其中规定了IoT设备的最低安全标准,包括不得使用容易猜测或是在网络上可找到的默认密码,也是全球首个导入相关规范的法令。
根据统计,英国99%的成年人至少拥有一台智能设备,而英国的每个家庭平均拥有9台联网设备,Which?的研究显示,一个充满智能设备的家庭,单周就可能遭到来自全球超过1.2万次的黑客攻击,而针对其中5台设备来猜测其薄弱密码的攻击便高达2,684次。
PSTI Act所定义的IoT设备涵盖所有联网的智慧设备,从智能音箱、智能电视、流媒体设备、智能门铃 、婴儿监视器、监视器、手机、游戏机、平板电脑、智能手表、健身关注设备、智能冰箱、智能洗衣机,一直到智能水/电表等。
该法令要求上述所有IoT设备的制造商必须符合最低的安全标准,包括不得采用诸如admin或12345等容易猜测的密码,也不得使用可在网络上找到或被分享的默认密码;必须提供窗口来接受及处理安全问题,也必须提供重要安全更新的最短修补进程。
此外,由于大多数的智慧设备都不是在英国制造,因此PSTI Act也适用于进口或零售相关商品的企业,违者最高可处1,000万英镑的罚款或是全球收入的4%。
该法令是为了避免利用IoT设备的大规模攻击行动,特别是在2016年被发现的僵尸病毒Mirai渗透了坊间60款采用默认账号及密码的IoT设备,劫持了超过60万个IoT设备,再针对目标对象展开分布式服务阻断(DDoS)攻击,受害者涵盖全球最大托管企业之一的OVH,美国网络性能管理公司Dyn,利比里亚最大的电信企业Lonestar,德国电信(Deutsche Telekom),以及英国银行Lloyds与苏格兰银行Royal Bank of Scotland。
英国国家网络安全中心(NCSC)则建议消费者检查现有的IoT设备,包括变更它们的默认密码,采用更强大的密码,或是激活双因素身份验证,同时部署IoT设备的最新版固件。
