والذي طال انتظاره أمن المنتجات والبنية التحتية للاتصالات (PSTI) بدأ قانون 2022 أخيرًا في العمل واجبات قانونية جديدة على مصنعي الأجهزة الإلكترونية والمنزلية الذكية لحماية المستهلكين والشركات في جميع أنحاء المملكة المتحدة من انتهاكات خصوصية البيانات والهجمات الإلكترونية من خلال تطبيق الحد الأدنى من معايير الأمان الأساسية داخل منتجاتهم.
يعود تاريخ نشأة قانون PSTI، الذي وصفته وستمنستر بأنه الأول من نوعه في العالم، إلى أكثر من خمس سنوات منذ تقديمه مدونة ممارسات إنترنت الأشياء (IoT) في أكتوبر 2018، والذي تم تطويره بشكل مشترك من قبل المركز الوطني للأمن السيبراني (NCSC) وما كان يُعرف آنذاك بإدارة الشؤون الرقمية والثقافة والإعلام والرياضة (DCMS). رحلة قانون PSTI عبر البرلمان بدأت في نوفمبر 2021وحصلت على الموافقة الملكية من الملك تشارلز الثالث في 6 ديسمبر 2022.
ويحظر التشريع على الأجهزة قبول كلمات المرور الافتراضية أو كلمات المرور غير الآمنة التي يسهل تخمينها، ويجبر الشركات المصنعة على نشر تفاصيل الاتصال حتى يمكن الإبلاغ عن الأخطاء والمشكلات، ويجبر الشركات المصنعة وتجار التجزئة على الانفتاح مع المستهلكين في الحد الأدنى من الوقت الذي يمكنهم توقعه. تلقي التحديثات الأمنية وتصحيحات البرامج.
في حين أن معظم الأجهزة المشمولة بالنطاق يتم تصنيعها خارج المملكة المتحدة، فإن قانون PSTI ينطبق أيضًا على أي منظمة تستورد المنتجات أو تبيعها بالتجزئة في المملكة المتحدة، مع عدم الامتثال الذي يشكل جريمة جنائية تجتذب غرامة تصل إلى 10 ملايين جنيه إسترليني أو 4٪ من المؤهلات الإيرادات العالمية، أيهما أعلى.
وقالت وستمنستر إن التشريع يمثل “خطوة مهمة” نحو تعزيز قدرة المجتمع على مواجهة الجرائم الإلكترونية – يُعتقد الآن أن 99٪ من البالغين في المملكة المتحدة يمتلكون جهازًا ذكيًا واحدًا على الأقل، وبشكل جماعي، تمتلك كل أسرة في البلاد تسعة أجهزة في المتوسط. وقالت إن النظام الجديد سيمنح المستخدمين الثقة بأنهم يستطيعون شراء المنتجات الذكية واستخدامها بأمان، مما يساعد بدوره على تنمية الاقتصاد.
وقال وزير الإنترنت جوناثان بيري، البالغ من العمر 5 سنوات: “مع تزايد اعتماد الحياة اليومية على الأجهزة المتصلة، تتضاعف التهديدات الناتجة عن الإنترنت وتصبح أكبر”.ذ الفيكونت كامروز.
“من اليوم، سيشعر المستهلكون براحة بال أكبر لأن أجهزتهم الذكية محمية من مجرمي الإنترنت، حيث نقدم قوانين هي الأولى من نوعها في العالم والتي من شأنها التأكد من أمان خصوصيتهم الشخصية وبياناتهم وأموالهم.
وقال: “نحن ملتزمون بجعل المملكة المتحدة المكان الأكثر أمانًا في العالم للاتصال بالإنترنت، وتمثل هذه اللوائح الجديدة قفزة كبيرة نحو عالم رقمي أكثر أمانًا”.
وأضافت سارة ليونز، نائب مدير NCSC للاقتصاد والمجتمع: “أصبحت الأجهزة الذكية جزءًا مهمًا من حياتنا اليومية، مما أدى إلى تحسين اتصالنا في المنزل وفي العمل؛ ومع ذلك، فإننا نعلم أن هذه التبعية تمثل أيضًا فرصة لمجرمي الإنترنت.
“تلعب الشركات دورًا رئيسيًا في حماية الجمهور من خلال ضمان أن المنتجات الذكية التي تصنعها أو تستوردها أو توزعها توفر حماية مستمرة ضد الهجمات السيبرانية، وسيساعد هذا القانون التاريخي المستهلكين على اتخاذ قرارات مستنيرة بشأن أمان المنتجات التي يشترونها.” قال ليونز.
“أنا أشجع جميع الشركات والمستهلكين على القراءة نشرة نقاط البيع الخاصة بـ NCSCوأضافت: “وهو ما يوضح كيف تؤثر لائحة PSTI الجديدة عليهم وكيف يمكن استخدام الأجهزة الذكية بشكل آمن”.
مرحبا بالتشريعات
بين ممارسي الأمن السيبراني، تم الترحيب بقانون PSTI على نطاق واسع، لا سيما تلك الأجزاء منه التي تتعلق بسوء نظافة كلمات المرور، والتي كانت في كثير من الأحيان عاملاً مساهماً في الهجمات السيبرانية مثل تلك المنسقة عبر شبكة الروبوتات Mirai سيئة السمعة في أواخر عام 2016.
شهد هجوم Mirai دمج مئات الآلاف من الأجهزة الذكية في شبكة الروبوتات التي تم استخدامها لتنفيذ هجمات رفض الخدمة الموزعة (DDoS)، وكان واحدًا من أولى الحوادث الأمنية الكبرى التي سلطت الضوء على مدى ضعف الأجهزة الذكية غير الآمنة التي يمكن اختطافها من قبل شبكات الإنترنت. ‘إيه دو الآبار.
مجموعة إن سي سي وكان رئيس أسواق المملكة المتحدة، مات توماس، من بين أولئك الذين أبدوا إعجابهم بالتشريع.
وقال توماس: “لطالما دعت صناعة الأمن السيبراني إلى تعزيز الحماية القانونية للأجهزة المتصلة، ويمثل قانون اليوم نقطة تحول رئيسية في سعينا لتأمين مستقبلنا المتصل”.
“نظرًا لأن جميع البالغين في المملكة المتحدة، باستثناء عدد قليل منهم، يمتلكون جهازًا ذكيًا واحدًا على الأقل، فإن آثار هذا القانون ستكون بعيدة المدى وتظهر أن الحكومة جادة في تعزيز مرونة المملكة المتحدة السيبرانية. ويسعدنا أن نرى عزم المملكة المتحدة على قيادة هذه القضية على الساحة العالمية أيضًا، من خلال إصدار أول قانون في العالم لحماية خصوصية المستهلك وبياناته وأمواله.
“على الرغم من أن القانون محدود في الحماية من مخاطر الهجمات المعقدة للغاية، مثل سلسلة التوريد والدولة القومية، إلا أنه سيساعد في وقف الكثير من الهجمات الأكثر انتشارًا والأقل تعقيدًا. إنها بالتأكيد خطوة في الاتجاه الصحيح.”
كيفن كوران, جامعة أولستر أستاذ الأمن السيبراني وعضو بارز في معهد مهندسي الكهرباء والإلكترونيات (IEEE)، قال: “من المفهوم على نطاق واسع أنه كلما زاد عدد الأجهزة التي تتصل بالإنترنت، زاد خطر التعرض للاختراق. وهذا يعني أنه من المرجح أن يكون لديك أجهزة مهملة لم يتم تحديثها، وبالتالي أكثر عرضة للهجمات. إن نطاق انتشار هذه الأجهزة في المنازل والأماكن العامة يفتح آفاقًا جديدة للهجمات. هناك أيضًا قلق بشأن “تأثير الدومينو”، حيث يمكن أن ينتشر اختراق جهاز واحد بسهولة عبر الشبكة بأكملها.
“إن إنترنت الأشياء يعرضنا جميعًا لدرجة معينة من المخاطر. على الرغم من بساطتها الملحوظة، تتمتع هذه الأجهزة بقدرة غير متوقعة على التعطيل عند تركها دون إصلاحات أو سوء إدارتها. أدى الاستخدام الواسع النطاق لكلمات المرور الافتراضية من الشركات المصنعة عادةً إلى حدوث مشكلات كبيرة، حيث يستغل المتسللون هذه الثغرة الأمنية بشكل متزايد. ومن المشجع أن نرى التركيز المتزايد على تنفيذ أفضل الممارسات في تأمين أجهزة إنترنت الأشياء قبل مغادرتها المصنع.
وتابع كوران: “إلى جانب كلمات المرور الأقوى، من الضروري إنشاء ضوابط وقائية وكشفية وتصحيحية شاملة من خلال مجموعة من السياسات والمعايير والإجراءات والهياكل التنظيمية وتقنيات البرمجيات وآليات المراقبة. وتعتبر هذه التدابير حاسمة للتخفيف من المخاطر المتعلقة بسرية وسلامة وتوافر أصول المعلومات داخل المنظمة.
