Cybersikkerhet:

«Cyber Resilience Act» og et nytt Radiodirektiv vil føre til en betydelig innstramming i krav til sikkerhet, trygghet og personvern i tilkoblede produkter.

Smarte IoT-produkter kan få salgsforbud

Det er ytterste konsekvens dersom produkter som inneholder radio ikke oppfyller nye krav til sikkerhet i kommende standarder. En merkedato er 1. august 2024, men det er ingen grunn til å vente så lenge.

Publisert
Ove Brusegard, leder for cybersikkerhet i Datek Next AS, erfarer at mange produsenter av «smarte» IoT-enheter tar litt for lett på problemstillingen.

Fra 1. august 2024 blir obligatoriske EU-krav til sikkerhet i IoT-produkter innført via Radiodirektivet. Radio- direktivet er et direktiv som omfatter de aller fleste trådløse produkter. Sikkerhetskrav blir dermed en del av CE merkingen. Dette betyr at produktene må ha innebygget «cybersikkerhet» for at produktet lovlig skal kunne selges i Norge og EU. Forbrukerrådet kaller reglene som kommer for «Historisk strenge krav til smarte produkter».

Tar for lett på det

Dette er verdt å ta seg ad notam, mener leder for cybersikkerhet i Datek Next AS, Ove Brusegard, som erfarer at mange produsenter av «smarte» IoT-enheter tar litt for lett på problemstillingen. Dersom produktene ikke oppfyller kravene i direktivet pr. august 2024 kan det få dramatiske konsekvenser – i verste fall salgsforbud, forteller han.

Må endre produkter?

- Det nye direktivet setter blant annet krav til at programvaren i produktene skal kunne oppdateres over nett på en sikker måte. Dersom det kreves endringer i produktene, bør man starte nå. Slike endringer kan være overkommelige, men kan også være utfordrende dersom det kreves modifikasjon av maskinvaren, sier Brusegard, som anbefaler å ta en ordentlig gjennomgang av risiko i forhold til de oppdaterte kravene.

14 enkle krav for god sikkerhet

  1. Ikke bruk universelle passord/standard passord; det må snart bli slutt på «admin» og «admin»
  2. Ha rutine/retningslinje for hvordan du håndterer sårbarheter
  3. Programvaren må kunne oppdateres
  4. Sikkerhetsparametere må lagres på en trygg måte
  5. Bruk kryptert kommunikasjon
  6. Ha minst mulig med angrepsflater; deaktiver ubrukte grensesnitt
  7. Sikre integriteten til programvaren; f.eks. varsel om uautoriserte endringer
  8. Du må sørge for at personopplysninger er teknisk beskyttet
  9. Du må gjøre systemene motstandsdyktige mot avbrudd
  10. Du må regelmessig undersøke telemetridata
  11. Gjør det teknisk enkelt for forbrukere/ kunder å slette personopplysninger
  12. Gjør installasjon og vedlikehold av enheter enkelt for kunden
  13. Valider data inn
  14. Etterlev GDPR; du må blant annet ha et gyldig behandlingsgrunnlag og personvernerklæring.

Bruk ETSI 303 645

Ifølge Brusegard er en endelig versjon av standarden ventet å være på plass rundt neste årsskifte. I mellomtiden anbefaler han å følge standarden ETSI 303 645. – Da skal man være godt dekket med tanke på de kravene som kommer, mener han.

Bygget opp kunnskap

Hos Datek Next har man allerede opparbeidet kunnskaper om de ulike standardene og direktivene som gjelder for IoT-produkter gjennom lang tid. I fjor inngikk de dessuten et formelt samarbeid med Nemko om cybersikkerhet i IoT-produkter. På den bakgrunnen ser Brusegard med et noe bekymret blikk på bransjen:

Stille før stormen

- Det er litt sånn «stille før stormen». Det er rart at ikke IoT-leverandørene tar dette mer alvorlig, sier han. Kombinert med EUs «Cyber Resilient Act» som ble oppdatert i september representerer det nye radiodirektivet en betydelig innstramming på feltet, og Brusegard kjenner til at det jobbes med å få på plass reelle sanksjoner, inkludert bøter.

Skal være trygt

- For å få tilgang til markedet må man oppfylle disse kravene. Men det vesentlige er jo tross alt at produktene skal være trygge å bruke. Derfor er det ikke sikkert at alle kravene gjelder for ditt produkt. Bruker du ikke passord, er det heller ikke krav til passordbeskyttelse, for eksempel. Men et hvert nettilkoplet produkt kan representere en inngang til ditt lokale nettverk, og derfor er det viktig med sikkerhet, om det så bare gjelder en vaskemaskin, fremholder han. Derfor vil også bredbåndsleverandører få strengere krav til sentraler og rutere.

Konkurransefortrinn

I det minste er reglene like for alle. Og er man tidlig ute, kan en sikkerhetsgodkjenning med henvisning til en standard være et konkurransefortrinn. – En ting er sikkert; Det blir både billigere, og bedre kvalitet hvis man tar tak allerede nå, understreker Brusegard, som anbefaler å sette seg inn i kravene snarest. Et alternativ kan også være å gå til et utviklingshus med kompetanse på dette, og som kan hjelpe til med å utarbeide dokumentasjon.

For øvrig har Brusegard utarbeidet 14 enkle krav som man kan starte med, se ramme.

Powered by Labrador CMS