英國的《產品安全暨電信基礎設施法案》(Product Security and Telecommunications Infrastructure Act,PSTI Act)於本周一(4/29)正式生效,當中規定了IoT裝置的最低安全標準,包括不得使用容易猜測或是在網路上可找到的預設密碼,也是全球首個導入相關規範的法令。
根據統計,英國99%的成年人至少擁有一臺智慧裝置,而英國的每個家庭平均擁有9臺連網裝置,Which?的研究顯示,一個充滿智慧裝置的家庭,單周就可能遭到來自全球超過1.2萬次的駭客攻擊,而針對其中5臺裝置來猜測其薄弱密碼的攻擊便高達2,684次。
PSTI Act所定義的IoT裝置涵蓋所有連網的智慧裝置,從智慧喇叭、智慧電視、串流裝置、智慧門鈴 、嬰兒監視器、監視器、手機、遊戲機、平板電腦、智慧手錶、健身追蹤裝置、智慧冰箱、智慧洗衣機,一直到智慧水/電錶等。
該法令要求上述所有IoT裝置的製造商必須符合最低的安全標準,包括不得採用諸如admin或12345等容易猜測的密碼,也不得使用可在網路上找到或被分享的預設密碼;必須提供窗口來接受及處理安全問題,也必須提供重要安全更新的最短修補時程。
此外,由於大多數的智慧裝置都不是在英國製造,因此PSTI Act也適用於進口或零售相關商品的業者,違者最高可處1,000萬英鎊的罰款或是全球收入的4%。
此一法令是為了避免利用IoT裝置的大規模攻擊行動,特別是在2016年被發現的殭屍病毒Mirai滲透了坊間60款採用預設帳號及密碼的IoT裝置,挾持了逾60萬個IoT裝置,再針對目標對象展開分散式服務阻斷(DDoS)攻擊,受害者涵蓋全球最大代管業者之一的OVH,美國網路效能管理公司Dyn,賴比瑞亞最大的電信業者Lonestar,德國電信(Deutsche Telekom),以及英國銀行Lloyds與蘇格蘭銀行Royal Bank of Scotland。
英國國家網路安全中心(NCSC)則建議消費者檢查現有的IoT裝置,包括變更它們的預設密碼,採用更強大的密碼,或是啟用雙因素身分驗證,同時部署IoT裝置的最新版韌體。
熱門新聞
2024-01-19
2024-11-15
2024-11-15
2024-11-20
2024-05-31
2024-01-23