英国的《产品安全暨电信基础设施法案》（Product Security and Telecommunications Infrastructure Act，PSTI Act）于本周一（4/29）正式生效，当中规定了IoT装置的最低安全标准，包括不得使用容易猜测或是在网路上可找到的预设密码，也是全球首个导入相关规范的法令。

根据统计，英国99%的成年人至少拥有一台智慧装置，而英国的每个家庭平均拥有9台连网装置，Which?的研究显示，一个充满智慧装置的家庭，单周就可能遭到来自全球超过1.2万次的骇客攻击，而针对其中5台装置来猜测其薄弱密码的攻击便高达2,684次。

PSTI Act所定义的IoT装置涵盖所有连网的智慧装置，从智慧喇叭、智慧电视、串流装置、智慧门铃 、婴儿监视器、监视器、手机、游戏机、平板电脑、智慧手表、健身追踪装置、智慧冰箱、智慧洗衣机，一直到智慧水/电表等。

该法令要求上述所有IoT装置的制造商必须符合最低的安全标准，包括不得采用诸如admin或12345等容易猜测的密码，也不得使用可在网路上找到或被分享的预设密码；必须提供窗口来接受及处理安全问题，也必须提供重要安全更新的最短修补时程。

此外，由于大多数的智慧装置都不是在英国制造，因此PSTI Act也适用于进口或零售相关商品的业者，违者最高可处1,000万英镑的罚款或是全球收入的4%。

此一法令是为了避免利用IoT装置的大规模攻击行动，特别是在2016年被发现的僵尸病毒Mirai渗透了坊间60款采用预设帐号及密码的IoT装置，挟持了逾60万个IoT装置，再针对目标对象展开分散式服务阻断（DDoS）攻击，受害者涵盖全球最大代管业者之一的OVH，美国网路效能管理公司Dyn，赖比瑞亚最大的电信业者Lonestar，德国电信（Deutsche Telekom），以及英国银行Lloyds与苏格兰银行Royal Bank of Scotland。

英国国家网路安全中心（NCSC）则建议消费者检查现有的IoT装置，包括变更它们的预设密码，采用更强大的密码，或是启用双因素身分验证，同时部署IoT装置的最新版韧体。