英国已经推出了产品安全和电信基础设施（PSTI）法案，承诺保护物联网设备。

在安全方面，许多 "智能 "设备名不副实。由于制造商试图跟上物联网设备的需求，安全问题往往是事后才想到的。

媒体、数据和数字基础设施部长朱莉娅·洛佩兹（Julia Lopez）表示：

黑客每天都在试图闯入人们的智能设备。我们大多数人都认为，如果产品正在销售，它就是安全可靠的。然而，许多产品并非如此，使我们许多人面临欺诈和盗窃的风险。我们的法案将为从电话和恒温器到洗碗机、婴儿监视器和门铃的日常技术设置一道防火墙，并对那些违反严格的新安全标准的人处以巨额罚款。

在那些司空见惯的安全做法中，使用默认密码是其中之一。

您不必是经验丰富的黑客即可访问某人设备的登录页面并使用默认密码访问它，其目的包括窃取公司机密，勒索，侵犯隐私，敏感数据收集等。

经验丰富的黑客可以扫描易受攻击的设备，并使用默认密码将其加入僵尸网络，如臭名昭著的Mirai。沦为Mirai受害者的物联网设备是通过向telnet TCP端口23和2323的伪随机IPv4地址异步发送TCP SYN探测来识别的。如果一个物联网设备作出回应，就会尝试使用已知默认凭证列表中预先确定的用户名和密码对进行telnet连接。

这种僵尸网络利用物联网设备为DDoS服务提供的前所未有的广泛分布的流量，造成巨大的破坏。2016年10月对DNS供应商Dyn的一次高调攻击导致几个高知名度的网站下线，包括GitHub、Twitter、Reddit、Netflix、Airbnb和许多其他网站。

PSTI法案禁止使用默认密码。所有设备都必须配备独特的密码，并且不能重设为任何通用的出厂设置。制造商也将被强制要求在销售点提醒客户，并让他们了解产品将在多长时间内收到重要的安全更新和补丁。如果没有这样的计划，也必须予以披露。

另一个关键规则是，必须提供一个联络点，以方便安全研究人员和其他人在发现产品的缺陷和漏洞时进行报告。

执法工作将由一个尚未确定的监管机构进行，该机构将有权对不遵守规定的公司处以最高8000万人名币或其全球营业额4%的罚款。他们还将能够对持续的违规行为进行罚款，每天最高可达15万人名币。

任何 "可连接 "的产品都将受到新规则的约束。唯一的主要豁免是台式电脑和笔记本电脑，因为它们有一个成熟的防病毒软件市场。

国家网络安全中心的技术总监Ian Levy博士评论说：

我很高兴看到这个法案的出台，它将确保联网消费设备的安全，并要求设备制造商对维护基本的网络安全负责。

该法案引入的要求--由DCMS和NCSC在征求行业意见后共同制定--标志着确保市场上的连接设备符合公认的良好做法的安全标准的旅程开始了。

毕马威英国的网络主管Martin Tyley说：

由于公司目前面临着大量的网络风险，PSTI法案只是为CISO不断增加的待办事项清单增加了一项任务。制造商已经在努力抵御威胁者并遵守现有的法律--再增加一项法规只会让他们更加不堪重负。因此，我认为，所有的网络安全法规和立法都必须有相应的指导方针，并为预期遵守这些法规的行业提供支持。

监管机构和英国政府对这些组织所面临的网络威胁的看法，远远超出了行业内任何一个参与者所能期望的理解。因此，有责任解释为什么它要生效以及如何考虑其影响。我们最终可能会看到CISO别无选择，只能个别地遵守这些新的物联网安全规则，而不是更全面地考虑他们的安全态势。

如果他们没有为未来做好充分准备，这可能最终威胁到他们的客户关系、利润潜力和市场地位。这对那些没有资金对其网络安全功能进行更多投资的小型组织来说将是最有害的。

正是这些制造商将在产品安全和隐私方面错失良机，并可能面临被那些做得好的竞争对手夺走市场份额的风险。

在该法案获得御准后，相关的行业参与者将被给予至少12个月的时间来遵守新的规则。