Vào ngày 5 tháng 3 năm 2025, chính phủ Úc đã chính thức ban hành "Quy định về an ninh mạng (Tiêu chuẩn bảo mật thiết bị thông minh) năm 2025". Là nội dung cốt lõi của "Đạo luật an ninh mạng năm 2024", các quy định này sẽ có hiệu lực vào ngày 4 tháng 3 năm 2026 và nhằm mục đích giải quyết các thách thức về an ninh mạng của các thiết bị thông minh.

Các nhà sản xuất và nhà phân phối có một năm để đảm bảo tuân thủ . Các nhà sản xuất và nhà phân phối phải tuân thủ các biện pháp an toàn nghiêm ngặt tương tự như EN 303 645 , bao gồm:

• Cấm sử dụng mật khẩu mặc định thông dụng;

• Triển khai cơ chế báo cáo lỗ hổng;

• Xác định thời gian hỗ trợ cho các bản cập nhật bảo mật.

Để bán các sản phẩm IoT tiêu dùng tại Úc, các doanh nghiệp phải cung cấp bản tuyên bố tuân thủ xác nhận việc tuân thủ các tiêu chuẩn an toàn này. Tài liệu này phải bao gồm:

• Loại sản phẩm và mã lô;

• Chi tiết về nhà sản xuất và đại diện;

• Tuyên bố tuân thủ ;

• Hỗ trợ thông tin ngắn hạn;

• Địa điểm, ngày tháng và chữ ký.

Liên kết chính thức:

https://www.legislation.gov.au/F2025L00276/asmade/text

Bối cảnh ban hành quy định: Tấn công mạng gia tăng, vấn đề lỗ hổng được nêu bật

Năm 2023, các cuộc tấn công mạng vào thiết bị gia dụng thông minh tại Úc tăng 170% so với cùng kỳ năm trước và 78% lỗ hổng là do mật khẩu mặc định của nhà sản xuất và thiếu cơ chế ứng phó với lỗ hổng. Để thực hiện các nghĩa vụ liên quan của "Luật an ninh mạng năm 2024", quy định này đã ra đời.

Phạm vi áp dụng của quy định: Tập trung vào "các sản phẩm có khả năng kết nối liên quan"

Các quy tắc này áp dụng cho các thiết bị kết nối trực tiếp hoặc gián tiếp với Internet để gửi và nhận dữ liệu, chẳng hạn như TV thông minh, đồng hồ thông minh, v.v., nhưng không bao gồm máy tính để bàn, điện thoại thông minh, v.v.

Nội dung chính của quy định: Bốn biện pháp chính để tăng cường an toàn

1. Cấm sử dụng mật khẩu mặc định chung: Buộc tạo mật khẩu duy nhất hoặc sử dụng xác thực sinh trắc học khi khởi động thiết bị lần đầu tiên.

2. Thiết lập cơ chế ứng phó với lỗ hổng: Các nhà sản xuất và nhà phân phối phải nhận báo cáo về lỗ hổng 24 giờ một ngày, 7 ngày một tuần và bắt đầu ứng phó khẩn cấp trong vòng 48 giờ.

3. Làm rõ thời hạn cập nhật bảo mật: Thời hạn hỗ trợ cập nhật bảo mật không được ít hơn 5 năm sau khi sản phẩm ngừng sản xuất.

4. Cung cấp tài liệu tuyên bố tuân thủ : Cung cấp tài liệu tuyên bố điện tử có chứa 12 yếu tố tại thời điểm bán.

Biện pháp quản lý: hệ thống ba cấp để đảm bảo thực hiện

1. Giai đoạn tiền chứng nhận (Quý 1-Quý 3 năm 2025): Doanh nghiệp nộp giải pháp kiến trúc bảo mật để xem xét.

2. Giai đoạn lấy mẫu thị trường (bắt đầu từ quý 1 năm 2026): 10% thiết bị lưu hành sẽ được thử nghiệm ngẫu nhiên mỗi quý.

3. Hình phạt vi phạm: Phạt tiền tới 4% doanh số bán sản phẩm hoặc đưa vào danh sách đen mua sắm của chính phủ.

Tác động của các quy định: Thúc đẩy sự thay đổi của ngành và thúc đẩy sự hội tụ tiêu chuẩn toàn cầu

1. Nâng ngưỡng gia nhập thị trường: Các thiết bị chưa đạt chứng nhận ACMA sẽ bị cấm nhập khẩu, thúc đẩy các công ty cải thiện mức độ an toàn của sản phẩm.

2. Thay đổi logic thiết kế thiết bị: Các nhà sản xuất cần tái cấu trúc kiến trúc bảo mật phần mềm, tăng chi phí nghiên cứu, phát triển công nghệ và chi phí tuân thủ .

3. Thúc đẩy sự hội tụ của các tiêu chuẩn toàn cầu: Úc đã khởi xướng các cuộc đàm phán công nhận lẫn nhau với ETSI của EU và NIST của Hoa Kỳ, dự kiến sẽ thúc đẩy sự hội tụ của các tiêu chuẩn bảo mật IoT toàn cầu và có tác động sâu sắc đến lĩnh vực bảo mật thiết bị thông minh toàn cầu.

Khả năng kiểm tra và chứng nhận bảo mật mạng BACL:

Tiêu chuẩn chung (CC)

ISO/IEC 15408 là tiêu chuẩn cấp cao được công nhận trên toàn thế giới về chứng nhận an ninh mạng, nhằm đảm bảo hiệu suất bảo mật của các hệ thống thông tin, sản phẩm và dịch vụ đạt đến mức được công nhận trên toàn thế giới. Là một đơn vị có thẩm quyền đánh giá CC, BACL có hơn 10 năm kinh nghiệm phong phú.

Tiêu chuẩn bảo mật cho Internet vạn vật ( IoT )

• Tiêu chuẩn EN 303 645

• (ĐỎ) điều 3/3 d/e/f Tiêu chuẩn an ninh mạng

• Chứng nhận IECEE CB

• Chứng chỉ PSTI UK Cyber Security Act

• Chứng chỉ đánh giá an ninh mạng của NIST Hoa Kỳ

• ISO 27001/27701/GDPR

Ưu điểm của dịch vụ bảo mật mạng BACL

• Tư vấn và đánh giá an ninh thông tin mạng trong giai đoạn R&D

• Tham vấn và đánh giá Đạo luật PSTI của Vương quốc Anh

• Tư vấn và đánh giá an ninh mạng theo chỉ thị CE RED

• Tham vấn và đánh giá California SB-327

Tư vấn và đánh giá chứng nhận bảo mật mạng tự nguyện của FCC Hoa Kỳ

• Tư vấn và đánh giá an ninh mạng tại Brazil, Singapore và các quốc gia khác trên thế giới