Ayon sa Product Safety and Telecommunications Infrastructure Act 2023 (PSTI) na inisyu ng UK noong Abril 29, 2023, sisimulan ng UK ang pagpapatupad ng mga kinakailangan sa seguridad ng network para sa mga nakakonektang device ng consumer mula Abril 29, 2024, na naaangkop sa England, Scotland, Wales, at Northern Ireland. Ang mga lumalabag na kumpanya ay mahaharap sa mga multa na hanggang £ 10 milyon o 4% ng kanilang pandaigdigang kita.
1. Panimula sa PSTI Act:
Ang UK Consumer Connect Product Safety Policy ay magkakabisa at ipapatupad sa Abril 29, 2024. Simula sa petsang ito, ang batas ay mag-aatas sa mga manufacturer ng mga produkto na maaaring konektado sa mga British na consumer na sumunod sa mga minimum na kinakailangan sa kaligtasan. Ang mga minimum na kinakailangan sa seguridad na ito ay batay sa UK Consumer Internet of Things Security Practice Guidelines, ang nangungunang consumer Internet of Things security standard na ETSI EN 303 645, at mga rekomendasyon mula sa authoritative body ng UK para sa cyber threat technology, ang National Cybersecurity Center. Titiyakin din ng sistemang ito na ang ibang mga negosyo sa supply chain ng mga produktong ito ay gumaganap ng isang papel sa pagpigil sa hindi ligtas na mga produkto ng consumer mula sa pagbebenta sa mga mamimili at negosyo ng British.
Kasama sa sistemang ito ang dalawang piraso ng batas:
1) Bahagi 1 ng Product Safety and Telecommunications Infrastructure (PSTI) Act of 2022;
2) Ang Product Security and Telecommunications Infrastructure (Security Requirements for Related Connected Products) Act of 2023.
2. Sinasaklaw ng PSTI Act ang hanay ng produkto:
1) hanay ng produkto na kinokontrol ng PSTI:
Kabilang dito, ngunit hindi limitado sa, mga produktong konektado sa Internet. Kabilang sa mga karaniwang produkto ang: smart TV, IP camera, router, intelligent lighting at mga produktong pambahay.
2) Mga produkto sa labas ng saklaw ng kontrol ng PSTI:
Kabilang ang mga computer (a) mga desktop computer; (b) Laptop computer; (c) Mga tablet na walang kakayahang kumonekta sa mga cellular network (espesipikong idinisenyo para sa mga batang wala pang 14 taong gulang ayon sa nilalayon na paggamit ng tagagawa, hindi isang eksepsiyon), mga produktong medikal, mga produktong smart meter, mga charger ng de-kuryenteng sasakyan, at Bluetooth one -on-one na koneksyon na mga produkto. Pakitandaan na ang mga produktong ito ay maaaring mayroon ding mga kinakailangan sa cybersecurity, ngunit hindi sila saklaw ng PSTI Act at maaaring kinokontrol ng ibang mga batas.
3. Tatlong mahahalagang punto na dapat sundin ng PSTI Act:
Kasama sa panukalang batas ng PSTI ang dalawang pangunahing bahagi: mga kinakailangan sa kaligtasan ng produkto at mga alituntunin sa imprastraktura ng telekomunikasyon. Para sa kaligtasan ng produkto, mayroong tatlong pangunahing punto na nangangailangan ng espesyal na pansin:
1) Mga kinakailangan sa password, batay sa mga probisyon ng regulasyon 5.1-1, 5.1-2. Ipinagbabawal ng PSTI Act ang paggamit ng mga pangkalahatang default na password. Nangangahulugan ito na ang produkto ay dapat magtakda ng isang natatanging default na password o nangangailangan ng mga user na magtakda ng isang password sa kanilang unang paggamit.
2) Mga isyu sa pamamahala ng seguridad, batay sa mga probisyon ng regulasyon 5.2-1, kailangan ng mga tagagawa na bumuo at magbunyag sa publiko ng mga patakaran sa pagsisiwalat ng kahinaan upang matiyak na ang mga indibidwal na nakatuklas ng mga kahinaan ay makakapag-abiso sa mga tagagawa at matiyak na ang mga tagagawa ay makakapagbigay agad ng abiso sa mga customer at makakapagbigay ng mga hakbang sa pagkukumpuni.
3) Ang siklo ng pag-update ng kaligtasan, batay sa mga probisyon ng regulasyon 5.3-13, kailangang linawin at ibunyag ng mga tagagawa ang pinakamaikling yugto ng panahon na ibibigay nila ang mga update sa kaligtasan, upang maunawaan ng mga mamimili ang panahon ng suporta sa pag-update ng kaligtasan ng kanilang mga produkto.
4. PSTI Act at ETSI EN 303 645 Proseso ng Pagsubok:
1) Paghahanda ng sample ng data: 3 set ng mga sample kabilang ang host at accessories, unencrypted software, user manual/specification/related services, at login account information
2) Pagtatatag ng kapaligiran sa pagsubok: Magtatag ng kapaligiran ng pagsubok ayon sa manwal ng gumagamit
3) Pagpapatupad ng pagtatasa ng seguridad sa network: pagsusuri ng file at teknikal na pagsubok, pagsuri sa mga questionnaire ng supplier, at pagbibigay ng feedback
4) Pag-aayos ng kahinaan: Magbigay ng mga serbisyo sa pagkonsulta para ayusin ang mga isyu sa kahinaan
5) Magbigay ng ulat sa pagsusuri ng PSTI o ulat sa pagsusuri ng ETSI EN 303645
5. Mga Dokumento ng Batas ng PSTI:
1)Ang UK Product Security at Telecommunications Infrastructure (Product Security) na rehimen.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Product Security and Telecommunications Infrastructure Act 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3)Ang Imprastraktura ng Seguridad ng Produkto at Telekomunikasyon (Mga Kinakailangan sa Seguridad para sa Mga Kaugnay na Mga Produktong Nakokonekta) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Sa ngayon, wala pang 2 buwan. Inirerekomenda na ang mga pangunahing tagagawa na nag-e-export sa UK market ay kumpletuhin ang PSTI certification sa lalong madaling panahon upang matiyak ang maayos na pagpasok sa UK market.
Oras ng post: Mar-11-2024
