Según la actualización, los fabricantes tendrán que facilitar que las personas informen sobre problemas de seguridad. El PSTI ahora también les exige que den expectativas claras sobre cuándo quienes presentan los informes pueden esperar reconocimiento y actualizaciones de estado posteriormente. Las violaciones de la ley pueden resultar en multas de hasta £10 millones (alrededor de $12,5 millones de dólares) o el 4 por ciento de sus “ingresos mundiales calificados”, dependiendo de cuál sea mayor.
La ley se aplicaría a una amplia gama de productos, pero un gran objetivo aquí probablemente sean los dispositivos de IoT como televisores inteligentes, enchufes inteligentes o parlantes inteligentes. Muchos de estos, particularmente los más baratos y comercializados, terminan como objetivos en línea, gracias a prácticas de seguridad laxas, que los convirtieron en parte de ataques devastadores como el botnet DDoS basado en Mirai visto hace años. Esto no necesariamente aborda todas esas prácticas, pero las contraseñas predeterminadas incorrectas son frutos fáciles que deben abordarse.
En los EE. UU., la FCC es intentando algo similar con su próxima Programa Cyber Trust Mark. Al igual que el programa federal Energy Star, el logotipo Cyber Trust Mark indica qué productos cumplen con los requisitos del programa, incluidas contraseñas predeterminadas seguras.
Pero al igual que Energy Star, nadie obliga a las empresas a aceptarlo. Y si bien Energy Star tiene beneficios claros y explicables, como facturas de servicios públicos más bajas, es un poco más difícil dejar en claro que una bombilla inteligente conectada a su enrutador puede representar un riesgo para la seguridad de sus otros dispositivos, por lo que es difícil saber qué tan efectiva será. cuando entre en vigor.