Singapurski podmiot rządowy zajmujący się regulacją mediów rozpoczął konsultacje społeczne w celu ustalenia wymagań zwiększających bezpieczeństwo routerów domowych sprzedawanych w Singapurze.
Popularyzacja inteligentnych urządzeń sieciowych zwiększa ryzyko cyberataków na te urządzenia, jak i ataków mających na celu przejęcie kontroli nad urządzeniami tworzącymi gigantyczne sieci botnet, które hakerzy mogą użyć do celów niezgodnych z prawem. Domyślna konfiguracja często nie jest wystarczająca, więc router, jako urządzenie kontrolujące ruch bezprzewodowy i przewodowy w sieci domowej, stanowi doskonały punkt wejścia dla hakerów.
Celem singapurskich regulacji jest zapewnienie użytkownikom bezpieczniejszych urządzeń. Nowe prawo będzie miało bezpośrednie przełożenie na lepszą ochronę sieci telekomunikacyjnych. Za opracowanie zagadnień technicznych zaangażowani są kluczowi producenci Tp-Link i LinkSys oraz lokalni dostawcy usług sieciowych. Nowe urządzenia wprowadzane na rynek singapurski będą musiały spełnić kilka podstawowych wymogów:
- Router musi posiadać odpowiednio silne hasło już w domyślnej konfiguracji. Często jakiekolwiek hasło w ogóle nie było ustawione, a poświadczenia „admin/admin” powinny być traktowane jako brak zabezpieczeń.
- Domyślne zabezpieczenia muszą być lepsze niż do tej pory. Już po pierwszym podłączeniu urządzenia ruch sieciowy musi być filtrowany, a parowanie domowego telewizora lub automatycznej bramy z routerem nie może być dostępne przez WPS (Wi-Fi Protected Setup) i HNAP.
- Zarządzanie ustawieniami routera musi odbywać się przesz szyfrowany protokół. Dodatkowo wyłączone powinny być usługi na interfejsie WAN: Remote Administration, SNMP, NAT-PMP, Telnet, UPnP.
- Aktualizacja oprogramowania routera powinna odbywać się automatycznie bez udziału nietechnicznego użytkownika. Ważne jest, aby użytkownicy końcowi nie musieli kupować nowych urządzeń, ale — o ile to możliwe — mogli zaktualizować router do nowej wersji oprogramowania, która będzie już zgodna z ulepszonymi standardami zabezpieczeń.
Urzędnicy z Singapuru mają nadzieję, że po spełnieniu przynajmniej tych kilku zasad urządzenia domowe oraz sieci singapurskie będą bezpieczniejsze. Producenci, którzy zaoferują ulepszoną konfigurację klientom końcowym będą mogli uzyskać coś w rodzaju „certyfikatu” potwierdzającego zgodność z rządowymi wytycznymi cyberbezpieczeństwa. Według władz proponowane zmiany wejdą w życie za około 6 miesięcy.
Podobne zasady opracowała Wielka Brytania, która zaproponowała ścisłą regulację nie tylko domowych routerów, ale wszystkich urządzeń Internetu rzeczy (IoT), zachęcając producentów do zabezpieczenia inteligentnych gadżetów już na etapie produkcji (secure-by-design).
