Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), akıllı cihaz üreticilerini 29 Nisan 2024’ten itibaren geçerli olmak üzere varsayılan şifreleri kullanmalarını yasaklayan yeni mevzuata uymaya çağırıyor.
“Kanun olarak bilinen Ürün Güvenliği ve Telekomünikasyon Altyapısı Yasası (veya PSTI kanunu), tüketicilerin siber saldırılara karşı sürekli koruma sağlamak üzere tasarlanmış akıllı cihazları seçmelerine yardımcı olacaktır.” NCSC söz konusu.
Bu amaçla üreticilerin, tahmin edilebilir varsayılan şifreler kullanan cihazları sağlamamaları, güvenlik sorunlarını bildirmek için bir iletişim noktası sağlamaları ve cihazlarının önemli güvenlik güncellemelerini alması beklenen süreyi belirtmeleri gerekmektedir.
Varsayılan şifreler yalnızca çevrimiçi olarak kolayca bulunamaz, aynı zamanda tehdit aktörlerinin daha sonra istismar amacıyla cihazlara giriş yapması için bir vektör görevi de görür. Bununla birlikte, yasa uyarınca benzersiz bir varsayılan şifreye izin verilmektedir.
Genel olarak bir dizi minimum güvenlik standardını uygulamayı ve savunmasız cihazların Mirai gibi bir DDoS botnet’inde toplanmasını önlemeyi amaçlayan yasa, internete bağlanabilen aşağıdaki ürünler için geçerlidir:
- Akıllı hoparlörler, akıllı TV’ler ve akış cihazları
- Akıllı kapı zilleri, bebek telsizleri ve güvenlik kameraları
- Hücresel tabletler, akıllı telefonlar ve oyun konsolları
- Giyilebilir fitness takipçileri (akıllı saatler dahil)
- Akıllı ev aletleri (ampul, priz, su ısıtıcısı, termostat, fırın, buzdolabı, temizlik makinesi ve çamaşır makinesi gibi)
PSTI kanununun hükümlerine uymayan şirketler, geri çağırma ve parasal cezalarla karşı karşıya kalacak ve hangisinin daha yüksek olduğuna bağlı olarak 10 milyon £ (12,5 milyon $) veya küresel yıllık gelirlerinin %4’ü kadar para cezasına çarptırılacak.
Bu gelişme, Birleşik Krallık’ı, IoT cihazlarından varsayılan kullanıcı adlarını ve şifreleri yasaklayan dünyadaki ilk ülke haline getiriyor. Cloudflare’in 2024’ün ilk çeyreğine ilişkin DDoS tehdit raporuna göre, orijinal botnet 2016’da kaldırılmış olmasına rağmen Mirai tabanlı saldırılar yaygın olmaya devam ediyor.
Omer Yoachimik ve Jorge Pacheco, “Her 100 HTTP DDoS saldırısından dördü ve her 100 L3/4 DDoS saldırısından ikisi Mirai değişkenli bir botnet tarafından başlatılıyor.” söz konusu. “Mirai kaynak kodu kamuya açıklandı ve yıllar geçtikçe orijinalin birçok uyarlaması yapıldı.”
Aynı zamanda aşağıdakileri de takip eder: 196 milyon dolar ceza ABD Federal İletişim Komisyonu (FCC) tarafından, müşterilerin gerçek zamanlı konum verilerinin yasa dışı olarak paylaşılması nedeniyle AT&T (57 milyon dolar), Sprint (12 milyon dolar), T-Mobile (80 milyon dolar) ve Verizon’a (47 milyon dolar) karşı ceza verildi. toplayıcılara onay verirler ve toplayıcılar daha sonra bilgileri üçüncü taraf konum tabanlı hizmet sağlayıcılara satarlar.
ABD Senatörü Ron Wyden, “Bir cep telefonu planına kaydolan hiç kimse, telefon şirketlerinin hareketlerinin ayrıntılı bir kaydını kredi kartı olan herhangi birine satmasına izin verdiklerini düşünmedi” dedi. açıklığa kavuşmuş the pratik 2018 yılında söz konusu Bir açıklamada.