ตามพระราชบัญญัติโครงสร้างพื้นฐานด้านความปลอดภัยของผลิตภัณฑ์และโทรคมนาคม พ.ศ. 2566 (PSTI) ซึ่งออกโดยสหราชอาณาจักรเมื่อวันที่ 29 เมษายน 2023 สหราชอาณาจักรจะเริ่มบังคับใช้ข้อกำหนดด้านความปลอดภัยเครือข่ายสำหรับอุปกรณ์ผู้บริโภคที่เชื่อมต่อตั้งแต่วันที่ 29 เมษายน 2024 ซึ่งใช้กับอังกฤษ สกอตแลนด์ เวลส์ และไอร์แลนด์เหนือ บริษัทที่ละเมิดจะถูกปรับสูงสุด 10 ล้านปอนด์หรือ 4% ของรายได้ทั่วโลก
1.บทนำเกี่ยวกับพระราชบัญญัติ PSTI:
นโยบายความปลอดภัยของผลิตภัณฑ์ Consumer Connect ในสหราชอาณาจักรจะมีผลบังคับใช้และบังคับใช้ในวันที่ 29 เมษายน 2024 นับตั้งแต่วันนี้เป็นต้นไป กฎหมายจะกำหนดให้ผู้ผลิตผลิตภัณฑ์ที่สามารถเชื่อมต่อกับผู้บริโภคชาวอังกฤษต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยขั้นต่ำ ข้อกำหนดด้านความปลอดภัยขั้นต่ำเหล่านี้อิงตามแนวทางปฏิบัติด้านความปลอดภัย Internet of Things สำหรับผู้บริโภคของสหราชอาณาจักร, มาตรฐานความปลอดภัย Internet of Things สำหรับผู้บริโภคชั้นนำระดับโลก ETSI EN 303 645 และคำแนะนำจากหน่วยงานที่เชื่อถือได้ของสหราชอาณาจักรสำหรับเทคโนโลยีภัยคุกคามทางไซเบอร์, National Cybersecurity Center ระบบนี้ยังช่วยให้แน่ใจว่าธุรกิจอื่นๆ ในห่วงโซ่อุปทานของผลิตภัณฑ์เหล่านี้มีบทบาทในการป้องกันไม่ให้สินค้าอุปโภคบริโภคที่ไม่ปลอดภัยถูกขายให้กับผู้บริโภคและธุรกิจในอังกฤษ
ระบบนี้ประกอบด้วยกฎหมายสองฉบับ:
1) ส่วนที่ 1 ของพระราชบัญญัติโครงสร้างพื้นฐานด้านความปลอดภัยของผลิตภัณฑ์และโทรคมนาคม (PSTI) ปี 2022
2) กฎหมายโครงสร้างพื้นฐานด้านความปลอดภัยของผลิตภัณฑ์และโทรคมนาคม (ข้อกำหนดด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่เชื่อมต่อที่เกี่ยวข้อง) ปี 2023
2. พระราชบัญญัติ PSTI ครอบคลุมกลุ่มผลิตภัณฑ์:
1) กลุ่มผลิตภัณฑ์ควบคุม PSTI:
รวมถึงแต่ไม่จำกัดเฉพาะผลิตภัณฑ์ที่เชื่อมต่อกับอินเทอร์เน็ต ผลิตภัณฑ์ทั่วไป ได้แก่ สมาร์ททีวี กล้อง IP เราเตอร์ ระบบไฟอัจฉริยะ และผลิตภัณฑ์ในครัวเรือน
2) ผลิตภัณฑ์ที่อยู่นอกขอบเขตการควบคุมของ PSTI:
รวมถึงคอมพิวเตอร์ (ก) คอมพิวเตอร์ตั้งโต๊ะ (ข) คอมพิวเตอร์แล็ปท็อป (ค) แท็บเล็ตที่ไม่สามารถเชื่อมต่อกับเครือข่ายเซลลูลาร์ (ออกแบบมาโดยเฉพาะสำหรับเด็กอายุต่ำกว่า 14 ปีตามวัตถุประสงค์การใช้งานของผู้ผลิต โดยไม่มีข้อยกเว้น) ผลิตภัณฑ์ทางการแพทย์ ผลิตภัณฑ์มิเตอร์อัจฉริยะ ที่ชาร์จรถยนต์ไฟฟ้า และบลูทูธ -ผลิตภัณฑ์การเชื่อมต่อแบบออน-วัน โปรดทราบว่าผลิตภัณฑ์เหล่านี้อาจมีข้อกำหนดด้านความปลอดภัยทางไซเบอร์ด้วย แต่ไม่ครอบคลุมโดยพระราชบัญญัติ PSTI และอาจอยู่ภายใต้การควบคุมโดยกฎหมายอื่น
3. ประเด็นสำคัญสามประการที่ต้องปฏิบัติตามโดยพระราชบัญญัติ PSTI:
ร่างกฎหมาย PSTI ประกอบด้วยสองส่วนหลัก: ข้อกำหนดด้านความปลอดภัยของผลิตภัณฑ์ และแนวทางโครงสร้างพื้นฐานโทรคมนาคม เพื่อความปลอดภัยของผลิตภัณฑ์ มีประเด็นสำคัญสามประการที่ต้องได้รับการดูแลเป็นพิเศษ:
1) ข้อกำหนดรหัสผ่านตามข้อกำหนด 5.1-1, 5.1-2 พระราชบัญญัติ PSTI ห้ามมิให้ใช้รหัสผ่านเริ่มต้นสากล ซึ่งหมายความว่าผลิตภัณฑ์จะต้องตั้งรหัสผ่านเริ่มต้นที่ไม่ซ้ำกันหรือกำหนดให้ผู้ใช้ตั้งรหัสผ่านในการใช้งานครั้งแรก
2) ปัญหาการจัดการความปลอดภัย ตามข้อกำหนด 5.2-1 ผู้ผลิตจำเป็นต้องพัฒนาและเปิดเผยนโยบายการเปิดเผยช่องโหว่ต่อสาธารณะเพื่อให้แน่ใจว่าบุคคลที่ค้นพบช่องโหว่สามารถแจ้งให้ผู้ผลิตทราบและรับรองว่าผู้ผลิตสามารถแจ้งให้ลูกค้าทราบได้ทันทีและจัดให้มีมาตรการซ่อมแซม
3) รอบการอัปเดตด้านความปลอดภัย ตามข้อกำหนดในข้อ 5.3-13 ผู้ผลิตจำเป็นต้องชี้แจงและเปิดเผยช่วงเวลาที่สั้นที่สุดที่จะจัดให้มีการอัปเดตด้านความปลอดภัย เพื่อให้ผู้บริโภคสามารถเข้าใจระยะเวลาการสนับสนุนการอัปเดตด้านความปลอดภัยของผลิตภัณฑ์ของตนได้
4. พระราชบัญญัติ PSTI และกระบวนการทดสอบ ETSI EN 303 645:
1) การเตรียมข้อมูลตัวอย่าง: ตัวอย่าง 3 ชุด รวมถึงโฮสต์และอุปกรณ์เสริม ซอฟต์แวร์ที่ไม่ได้เข้ารหัส คู่มือผู้ใช้/ข้อกำหนด/บริการที่เกี่ยวข้อง และข้อมูลบัญชีเข้าสู่ระบบ
2) การสร้างสภาพแวดล้อมการทดสอบ: สร้างสภาพแวดล้อมการทดสอบตามคู่มือผู้ใช้
3) การดำเนินการประเมินความปลอดภัยของเครือข่าย: การตรวจสอบไฟล์และการทดสอบทางเทคนิค การตรวจสอบแบบสอบถามของซัพพลายเออร์ และการให้ข้อเสนอแนะ
4) การซ่อมแซมจุดอ่อน: ให้บริการคำปรึกษาเพื่อแก้ไขปัญหาจุดอ่อน
5) จัดทำรายงานการประเมิน PSTI หรือรายงานการประเมิน ETSI EN 303645
5. เอกสารพระราชบัญญัติ PSTI:
1) ระบอบการปกครองความปลอดภัยผลิตภัณฑ์และโครงสร้างพื้นฐานโทรคมนาคม (ความปลอดภัยของผลิตภัณฑ์) ของสหราชอาณาจักร
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) พระราชบัญญัติความมั่นคงของผลิตภัณฑ์และโครงสร้างพื้นฐานโทรคมนาคมปี 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3)ข้อบังคับด้านความปลอดภัยของผลิตภัณฑ์และโครงสร้างพื้นฐานโทรคมนาคม (ข้อกำหนดด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่เชื่อมต่อได้ที่เกี่ยวข้อง) ปี 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
ณ ตอนนี้ก็อีกไม่ถึง 2 เดือนแล้ว ขอแนะนำให้ผู้ผลิตรายใหญ่ที่ส่งออกไปยังตลาดสหราชอาณาจักรต้องผ่านการรับรอง PSTI โดยเร็วที่สุดเพื่อให้มั่นใจว่าการเข้าสู่ตลาดสหราชอาณาจักรเป็นไปอย่างราบรื่น
เวลาโพสต์: 11 มี.ค. 2024
