Безопасность — штука непростая. Никто с этим не спорит. А кто спорит - к тому придут и объяснят. Но иногда мы сами себе создаем дополнительные сложности а потом их героически преодолеваем. Но, время от времени случаются маленькие победы, и в конце прошлого месяца такая победа произошла в Великобритании: использование стандартных паролей стало незаконным.
Но это не значит, что за пароль на своем макбуке "Qwerty" теперь посадят или расстреляют, имеется ввиду, в IT индустрии.
Долгий путь к этому законодательству начался в 2016 году, когда произошли атаки с использованием вредоносной программы Mirai. Эта программа сканировала интернет в поисках уязвимых устройств Интернета вещей (IoT), используя список из примерно шестидесяти стандартных заводских паролей и имен пользователей. Войдя в устройство, Mirai захватывала его и включала в ботнет — сеть зараженных устройств.
Эти зараженные устройства продолжали работать как обычно, хотя иногда они начинали тормозить и использовать значительно больше интернет-трафика. В большинстве случаев владельцы ничего не замечали. Mirai в основном захватывала IP-камеры, но даже несмотря на это, ботнеты, созданные этой программой, использовались для проведения одних из самых крупных и разрушительных атак распределенного отказа в обслуживании (DDoS) в истории.
С новыми правилами, устройства должны будут иметь случайные пароли или генерировать их при настройке. Пароли не могут следовать легко угадываемым шаблонам или быть связаны с общедоступной информацией, например, с MAC-адресами устройств. Устройства также должны быть устойчивыми к атакам методом перебора, таким как атаки подбора учетных данных, и должны иметь простой способ смены пароля.
Но это еще не все. Новые правила предусматривают, что программные компоненты на устройстве должны быть безопасно обновляемыми. Они должны регулярно проверяться на наличие обновлений и обновляться автоматически или удобным для пользователя способом. Владельцы устройств должны иметь возможность сообщать о проблемах безопасности и получать ответы на свои отчеты. Это будет серьезным изменением для многих компаний, привыкших выпускать устройства и забывать о них и о необходимых обновлениях безопасности.
Подобно GDPR, новый закон PTSI (Product Security and Telecommunications Infrastructure) предполагает крупные штрафы за несоблюдение правил. Нарушение нового закона может обойтись в штраф до 10 миллионов фунтов стерлингов или 4% от мирового дохода компании, в зависимости от того, что больше.
Теперь, когда правила стали жестче, производителям придется задуматься о безопасности своих устройств с самого начала. В конце концов, безопасность — это не просто забота, это обязательство перед пользователями.