Photo by Sebastian Scholz (Nuki) on Unsplash

英國的《產品安全暨電信基礎設施法案》（Product Security and Telecommunications Infrastructure Act，PSTI Act）於本周一（4/29）正式生效，當中規定了IoT裝置的最低安全標準，包括不得使用容易猜測或是在網路上可找到的預設密碼，也是全球首個導入相關規範的法令。

根據統計，英國99%的成年人至少擁有一臺智慧裝置，而英國的每個家庭平均擁有9臺連網裝置，Which?的研究顯示，一個充滿智慧裝置的家庭，單周就可能遭到來自全球超過1.2萬次的駭客攻擊，而針對其中5臺裝置來猜測其薄弱密碼的攻擊便高達2,684次。

PSTI Act所定義的IoT裝置涵蓋所有連網的智慧裝置，從智慧喇叭、智慧電視、串流裝置、智慧門鈴 、嬰兒監視器、監視器、手機、遊戲機、平板電腦、智慧手錶、健身追蹤裝置、智慧冰箱、智慧洗衣機，一直到智慧水/電錶等。

該法令要求上述所有IoT裝置的製造商必須符合最低的安全標準，包括不得採用諸如admin或12345等容易猜測的密碼，也不得使用可在網路上找到或被分享的預設密碼；必須提供窗口來接受及處理安全問題，也必須提供重要安全更新的最短修補時程。

此外，由於大多數的智慧裝置都不是在英國製造，因此PSTI Act也適用於進口或零售相關商品的業者，違者最高可處1,000萬英鎊的罰款或是全球收入的4%。

此一法令是為了避免利用IoT裝置的大規模攻擊行動，特別是在2016年被發現的殭屍病毒Mirai滲透了坊間60款採用預設帳號及密碼的IoT裝置，挾持了逾60萬個IoT裝置，再針對目標對象展開分散式服務阻斷（DDoS）攻擊，受害者涵蓋全球最大代管業者之一的OVH，美國網路效能管理公司Dyn，賴比瑞亞最大的電信業者Lonestar，德國電信（Deutsche Telekom），以及英國銀行Lloyds與蘇格蘭銀行Royal Bank of Scotland。

英國國家網路安全中心（NCSC）則建議消費者檢查現有的IoT裝置，包括變更它們的預設密碼，採用更強大的密碼，或是啟用雙因素身分驗證，同時部署IoT裝置的最新版韌體。