El Gobierno de Reino Unido ha presentado en el parlamento el proyecto de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI), que permitirá al gobierno prohibir las contraseñas universales predeterminadas, obligar a las empresas a ser transparentes con los clientes sobre lo que están haciendo para corregir fallas de seguridad en productos conectables y crear un mejor sistema de informes públicos para las vulnerabilidades encontradas en esos productos.
El objetivo del proyecto de ley es garantizar la seguridad de los consumidores ante posibles ataques cibernéticos. Para ello, se requerirá a los fabricantes, importadores y distribuidores de la tecnología digital que se conecta a Internet u otros productos, que se aseguren de cumplir con los nuevos y estrictos estándares de seguridad cibernética, y podrán ser sancionados si no cumplen con lo establecido.
Mejoras en la ciberseguridad
Entre las acciones que se pueden tomar con el proyecto de ley PSTI, se incluye la prohibición de contraseñas o administradores predeterminados, ya que son un objetivo fácil para los ciberdelincuentes. De esta forma, todas las contraseñas que vienen con los nuevos dispositivos deberán ser únicas y no podrán restablecerse a ningún ajuste de fábrica universal.
Además, los fabricantes deberán informar a los clientes en el punto de venta y mantenerlos actualizados sobre la cantidad mínima de tiempo que un producto recibirá actualizaciones y parches de seguridad vitales. En caso de que un producto no disponga de actualizaciones de seguridad, se debe comunicar.
Por otro lado, los fabricantes tienen que proporcionar un punto de contacto público para facilitar que los investigadores de seguridad y usuarios informen cuando descubren fallas y errores en los productos. El proyecto de ley impone obligaciones a las empresas incluidas en el alcance para investigar las fallas, producir declaraciones de cumplimiento y mantener registros apropiados de esto.
Figura del regulador
Este nuevo régimen de seguridad cibernética será supervisado por un regulador, que será designado una vez que el proyecto de ley entre en vigor, y tendrá el poder de multar a las empresas por incumplimiento con hasta 11 millones de euros o el 4% de su facturación global, así como hasta 23.000 euros al día en el caso de una infracción en curso.
El regulador también podrá emitir avisos a las empresas exigiéndoles que cumplan con los requisitos de seguridad, retiren sus productos o dejen de venderlos o suministrarlos por completo. A medida que surjan nuevas amenazas o se desarrollen estándares, el Gobierno tendrá el poder de exigir más requisitos de seguridad para que las empresas los sigan a través de la legislación secundaria.
Las nuevas leyes se aplicarán no solo a los fabricantes, sino también a otras empresas, incluidas las tiendas físicas y los minoristas online, que permiten la venta de millones de importaciones de tecnología barata en el Reino Unido. Se prohibirá a los minoristas vender productos a clientes del Reino Unido a menos que cumplan con los requisitos de seguridad y se les pedirá que transmitan información importante sobre actualizaciones de seguridad a los clientes.
El Gobierno tiene la intención de eximir algunos productos, por ejemplo, cuando los sometería a una doble regulación o no conduciría a mejoras materiales en la seguridad del producto o del usuario. Esto incluye vehículos, contadores inteligentes, puntos de recarga de vehículos eléctricos y dispositivos médicos.
También se excluirán los ordenadores, ya que cuentan con un software de antivirus maduro, a diferencia de los altavoces inteligentes y otras tecnologías de consumo emergentes. Los productos conectables de segunda mano estarán exentos debido a las obligaciones poco prácticas que su inclusión impondría a los consumidores y las empresas de forma desproporcionada con respecto a los posibles beneficios.