Великобритания первой в мире запретила слабые пароли под угрозой многомиллионных штрафов

Хотя хакеры регулярно взламывают слабые пароли «по умолчанию», устанавливаемые производителями для устройств Интернета вещей и подключенной к Сети электроники в принципе, вендоры продолжают продавать свои гаджеты с логинами/паролями вроде admin/admin, что сильно упрощает работу злоумышленников. В Великобритании решили положить этому конец — страна первой в мире запретила слабые пароли для такой электроники.

В обновлённой версии Закона о безопасности продуктов и телекоммуникационной инфраструктуры (PSTI) предписывается поставлять любое устройство с возможностью подключения к интернету — или с «рандомизированными» паролями, или с возможностью генерации пароля во время инициализации электроники.

В соответствии с новыми требованиями, например, предустановленные пароли не могут быть очевидно последовательными (вроде password1, password2 и т. п.), а также не могут быть связаны очевидным образом с информацией вроде MAC-адресов устройств или SSID Wi-Fi сети.

Кроме того, устройства должны быть защищены от простого подбора паролей — например, следует ограничить число попыток аутентификации в определённый период времени. При этом смена паролей должна осуществляться с помощью «простого механизма».

Поскольку не обновляющееся ПО также является для хакеров «воротами» для компрометации систем и устройств, в PSTI предусмотрена обязанность безопасного обновления софта, регулярной проверки на наличие обновлений и собственно обновления — автоматические или простые для пользователей. Дополнительно предусмотрены указания для производителей по длительному мониторингу на наличие уязвимостей, их идентификации и устранению в продаваемых продуктах и сервисах.

Важно, что речь более не идёт о простых рекомендациях, которые производители могут выполнять по желанию. Нарушение закона карается штрафом до £10 млн (около $12,5 млн) или 4 % мировой выручки за год, в зависимости от того, что будет выше.

Обновлённые правила призваны обеспечить безопасность Сети от инцидентов вроде появления ботнета Mirai в 2016 году, который вызвал перебои в работе Twitter, Netflix и Reddit. Он состоял из сотен тысяч инфицированных устройств, которые направляли на сайты невообразимые объёмы мусорного трафика — речь шла об одной из крупнейших DDoS-атак в истории.

В июле прошлого года администрация президента США Джо Байдена анонсировала программу Cyber Trust Mark, призванную помочь американцам выбрать подключаемые к Сети устройства, соответствующие правительственным требованиям к обеспечению информационной безопасности, включая наличие сильных паролей по умолчанию. В отличие от Великобритании, участие компаний в этой программе в США добровольное.