Theo Đạo luật cơ sở hạ tầng viễn thông và an toàn sản phẩm năm 2023 (PSTI) do Vương quốc Anh ban hành vào ngày 29 tháng 4 năm 2023, Vương quốc Anh sẽ bắt đầu thực thi các yêu cầu về bảo mật mạng đối với các thiết bị tiêu dùng được kết nối từ ngày 29 tháng 4 năm 2024, áp dụng cho Anh, Scotland, xứ Wales và Bắc Ireland. Các công ty vi phạm sẽ phải đối mặt với mức phạt lên tới 10 triệu bảng Anh hoặc 4% doanh thu toàn cầu của họ.
1.Giới thiệu về Đạo luật PSTI:
Chính sách an toàn sản phẩm kết nối người tiêu dùng Vương quốc Anh sẽ có hiệu lực và thực thi vào ngày 29 tháng 4 năm 2024. Bắt đầu từ ngày này, luật sẽ yêu cầu các nhà sản xuất sản phẩm có thể kết nối với người tiêu dùng Anh phải tuân thủ các yêu cầu an toàn tối thiểu. Các yêu cầu bảo mật tối thiểu này dựa trên Nguyên tắc thực hành bảo mật Internet of Things dành cho người tiêu dùng của Vương quốc Anh, tiêu chuẩn bảo mật Internet of Things dành cho người tiêu dùng hàng đầu toàn cầu ETSI EN 303 645 và các khuyến nghị từ cơ quan có thẩm quyền của Vương quốc Anh về công nghệ đe dọa mạng, Trung tâm An ninh mạng Quốc gia. Hệ thống này cũng sẽ đảm bảo rằng các doanh nghiệp khác trong chuỗi cung ứng các sản phẩm này đóng vai trò ngăn chặn việc bán hàng tiêu dùng không an toàn cho người tiêu dùng và doanh nghiệp Anh.
Hệ thống này bao gồm hai bộ luật:
1) Phần 1 của Đạo luật Cơ sở hạ tầng viễn thông và an toàn sản phẩm (PSTI) năm 2022;
2) Đạo luật Cơ sở hạ tầng viễn thông và bảo mật sản phẩm (Yêu cầu bảo mật đối với các sản phẩm được kết nối liên quan) năm 2023.
2. Đạo luật PSTI bao gồm các loại sản phẩm:
1) Dòng sản phẩm được kiểm soát bởi PSTI:
Nó bao gồm nhưng không giới hạn ở các sản phẩm được kết nối Internet. Các sản phẩm tiêu biểu bao gồm: TV thông minh, camera IP, bộ định tuyến, đèn chiếu sáng thông minh và các sản phẩm gia dụng.
2) Sản phẩm ngoài phạm vi kiểm soát của PSTI:
Bao gồm cả máy tính (a) máy tính để bàn; (b) Máy tính xách tay; (c) Máy tính bảng không có khả năng kết nối mạng di động (được thiết kế dành riêng cho trẻ em dưới 14 tuổi theo mục đích sử dụng của nhà sản xuất, không phải là ngoại lệ), sản phẩm y tế, sản phẩm đồng hồ thông minh, bộ sạc xe điện và Bluetooth -các sản phẩm kết nối một chiều. Xin lưu ý rằng những sản phẩm này cũng có thể có các yêu cầu về an ninh mạng nhưng không chịu sự điều chỉnh của Đạo luật PSTI và có thể bị điều chỉnh bởi các luật khác.
3. Ba điểm chính cần tuân thủ trong Đạo luật PSTI:
Dự luật PSTI bao gồm hai phần chính: yêu cầu an toàn sản phẩm và hướng dẫn cơ sở hạ tầng viễn thông. Để đảm bảo an toàn cho sản phẩm, có ba điểm chính cần đặc biệt chú ý:
1) Yêu cầu về mật khẩu, dựa trên quy định 5.1-1, 5.1-2. Đạo luật PSTI cấm sử dụng mật khẩu mặc định phổ quát. Điều này có nghĩa là sản phẩm phải đặt mật khẩu mặc định duy nhất hoặc yêu cầu người dùng đặt mật khẩu trong lần sử dụng đầu tiên.
2) Vấn đề quản lý bảo mật, dựa trên quy định 5.2-1, nhà sản xuất cần xây dựng và công khai các chính sách tiết lộ lỗ hổng để đảm bảo rằng những cá nhân phát hiện ra lỗ hổng có thể thông báo cho nhà sản xuất và đảm bảo rằng nhà sản xuất có thể thông báo kịp thời cho khách hàng và đưa ra các biện pháp sửa chữa.
3) Chu kỳ cập nhật an toàn, dựa trên các điều khoản quy định 5.3-13, nhà sản xuất cần làm rõ và công bố khoảng thời gian ngắn nhất mà họ sẽ cung cấp các bản cập nhật an toàn để người tiêu dùng có thể hiểu được thời gian hỗ trợ cập nhật an toàn cho sản phẩm của họ.
4. Đạo luật PSTI và Quy trình thử nghiệm ETSI EN 303 645:
1) Chuẩn bị dữ liệu mẫu: 3 bộ mẫu bao gồm máy chủ và phụ kiện, phần mềm không được mã hóa, hướng dẫn sử dụng/thông số kỹ thuật/dịch vụ liên quan và thông tin tài khoản đăng nhập
2) Thiết lập môi trường kiểm thử: Thiết lập môi trường kiểm thử theo hướng dẫn sử dụng
3) Thực hiện đánh giá an ninh mạng: xem xét hồ sơ và kiểm tra kỹ thuật, kiểm tra bảng câu hỏi của nhà cung cấp và cung cấp phản hồi
4) Sửa chữa điểm yếu: Cung cấp dịch vụ tư vấn khắc phục các điểm yếu
5) Cung cấp báo cáo đánh giá PSTI hoặc báo cáo đánh giá ETSI EN 303645
5. Tài liệu Đạo luật PSTI:
1)Chế độ An ninh Sản phẩm và Cơ sở Hạ tầng Viễn thông (Bảo mật Sản phẩm) của Vương quốc Anh.
https://www.gov.uk/ Government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Đạo luật cơ sở hạ tầng viễn thông và an ninh sản phẩm 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Quy định về cơ sở hạ tầng viễn thông và bảo mật sản phẩm (Yêu cầu bảo mật đối với các sản phẩm có thể kết nối có liên quan) năm 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Tính đến thời điểm hiện tại là chưa đầy 2 tháng nữa. Chúng tôi khuyến nghị các nhà sản xuất lớn xuất khẩu sang thị trường Anh nên hoàn thành chứng nhận PSTI càng sớm càng tốt để đảm bảo việc gia nhập thị trường Anh một cách suôn sẻ.
Thời gian đăng: Mar-11-2024