Kuinka taataan verkkoon liitettyjen laitteiden turvallisuus – polun visualisointi

Useat tietoturvaominaisuudet, kuten tunnistautuminen, käyttöoikeuksien valvonta, salaus, turvalliset päivitykset ja koventaminen ovat tulossa pakollisiksi Euroopassa myytävissä IoT-laitteissa. Tätä varten on valittava oikeat laite- ja ohjelmistokomponentit, joissa ei ole hyväksikäytettäviä haavoittuvuuksia, ja suunnittelutiimillä on oltava tarvittava osaaminen. Vaadittu turvallisuusasema ja osaaminen riippuvat laitteen käyttötarkoituksesta ja komponenttien valinnasta.

”Luova ajattelu auttaa pitämään laitteiden tietoturvan yhdenmukaisemmalla tasolla”, sanoo ohjelmistoasiantuntija Tomasz Śleboda. ”Hyvä tapa ajatella luovasti on aloittaa kehitystyö uhkien ja riskien arvioinnilla. Siinä tunnistetaan, miksi ja miten hakkerit voisivat mahdollisesti päästä laitteeseen käsiksi, ja määritellään, miten tämä estetään. Lisäksi tietoturvan tulee olla päällimmäinen asia verkkoon liitettyjen laitteiden osalta. Asian voi hoitaa monella eri tavalla. Monet kaupalliset ja avoimen lähdekoodin sulautetut käyttöjärjestelmät noudattavat luotettavia standardeja, kuten IEC:n (International Electrotechnical Commission) julkaisemia standardeja.”

Sertifioinnit ovat yksi tapa lähestyä tietoturvaa ja standardeja.

Verkkoon liitettyjen laitteiden tietoturvan varmistaminen on kaikkien edun mukaista, eikä se perustu enää vapaaehtoisuuteen. Etteplan on seurannut kyberturvallisuutta koskevien määräysten muutoksia ja noudattanut ohjelmisto- ja laitekehityksessä secure-by-design-periaatteita jo muutaman vuoden. Ohjelmistot ja sulautetut ratkaisut ‑palvelualueen myyntijohtaja Antti Tolvanen kertoo seuraavassa esimerkkejä uusimmista määräyksistä.

Langattomien IoT-laitteiden vaatimustenmukaisuusvakuutukset on radiolaitedirektiiviä täydentävän delegoidun asetuksen 3 artiklan 3 kohdan d, e ja f alakohtien mukaan uusittava 1.8.2024 mennessä, jotta niiden myyntiä EU:ssa voidaan laillisesti jatkaa.

Ennen vuoden 2024 loppua tietoturvan hallintajärjestelmät ja turvallinen kehitysprosessi muuttuvat NIS2-direktiivin myötä pakollisiksi kaikille toimijoille ja näiden suorille toimittajille, eli muutos vaikuttaa koko toimitusketjuun. Digitaalisten palvelujen tarjoajat, kuten SaaS-yritykset ja johdettujen palvelujen tarjoajat, alkavat soveltaa NIS2-direktiiviä tietoturvavaatimuksia täsmentävän täytäntöönpanosäädöksen myötä.

Vuonna 2026 kyberresilienssisäädös tekee kyberturvallisuuden huomioinnista pakollista CE-merkinnän saamiseksi kaikille digitaalisia elementtejä sisältäville tuotteille (kaikki laitteet ja ohjelmistot ja monet ohjelmisto- ja laitekomponentit). Haavoittuvuus- ja poikkeamaraportointi tulee pakolliseksi myös kaikille vanhoille laitteille jo vuonna 2025. On tärkeää huomata, että kriittisille tuotteille, joihin kuuluvat esimerkiksi reitittimet, yhdyskäytävät, IIoT-laitteet, robotit ja älymittarit, tulee voimaan pakollinen kolmannen osapuolen suorittama määräystenmukaisuuden arviointi. Muiden kuin kriittisten tuotteiden osalta riittää kuitenkin valmistajien oma arviointi.

Erityisen mielenkiintoinen yksityiskohta on, että lääketieteellisesti todistettu psyykkinen haitta ja kyberturvallisuuslainsäädännön vastainen toiminta on lisätty laite-/ohjelmistovalmistajan vastuisiin äskettäin julkaistussa ehdotuksessa EU:n vastuudirektiiviksi.

Yhdysvalloissa on käsittelyssä seuraava presidentin asetus 14028: äskettäin julkistetussa hallinto- ja budjettivirasto OMB:n muistiossa liittovaltion virastojen ohjelmisto- ja laitetoimittajille annetaan ainoastaan 270 päivää aikaa todistaa, että ne noudattavat NIS2-direktiivin ohjeita. Myös liittovaltion hankintasääntelyä ollaan päivittämässä, ja Yhdysvaltojen kyberturvallisuusvirasto CISA julkaisee sitovat operatiiviset ohjeet Yhdysvaltoja varten. Kriittisen infrastruktuurin osalta sekä EU:n että Yhdysvaltojen markkinoilla tulee voimaan horisontaalinen kyberturvallisuutta koskeva sääntely.

Sulautettujen järjestelmien tietoturvallisuuteen kuuluvat olennaisesti secure boot -käynnistys ja turvalliset päivitykset, joita käytetään ainoastaan todennetun laiteohjelmiston ajamiseen. Yksi ratkaisevimmista arkkitehtuuriin liittyvistä päätöksistä on näitä toiminnallisuuksia tukevien kriittisten laitekomponenttien valinta.

Eri laitteet vaativat eritasoista suojausta. Linux ja Zephyr ovat esimerkkejä käyttöjärjestelmistä, joita voidaan käyttää ohjenuorana teollisuuden vaatimuksille, ja siksi ne ovat luotettavia vaihtoehtoja. Kannattaa valita käyttöjärjestelmä, joka tukee erilaisia tietoturvatoiminnallisuuksia, joilla on laajemman yhteisön tuki. On erittäin tärkeää tarkistaa, että komponenttitoimittaja tukee valittua käyttöjärjestelmää ja toimittajakohtaisia laiteratkaisuja.

Sovelluksen näkökulmasta paras tapa välttää riskit on varmistaa ennakoivasti, että pysyy ajan hermolla ja pitää tietoturvan ajan tasalla. Laitteen ohjelmiston tuoterakenteen säännöllisestä vertailusta yleisesti tunnettuihin haavoittuvuuksiin sekä haavoittuvuusraportoinnista on tulossa lakisääteinen vaatimus. Salasanojen vaihtaminen, monimenetelmäinen todentaminen, käyttöajan rajoittaminen ja roolipohjaiset käyttöoikeustasot ovat esimerkkejä toiminnallisuuksista, joiden avulla voi varmistaa tarvittavan tietoturvatason.

Author

Tomasz Śleboda, Software Specialist