Näin IoT-laitekehittäjät voivat valmistautua kyberturvallisuuslainsäädännön kiristymiseen

Moni muistaa kahden vuoden takaisen WannaCry-hyökkäyksen. Haittaohjelma aiheutti harmia joka puolella maailmaa, pahiten Isossa-Britanniassa, missä kyberhyökkäyksen kouriin joutui kansallinen terveydenhoitojärjestelmä NHS.

WannaCryn kaltaiset korkean profiilin hyökkäykset ovat vakavia ja ylittävät lähes poikkeuksetta kansainvälisen uutiskynnyksen. Todellisuudessa hyökkäyksiä kuitenkin tapahtuu paljon enemmän kuin mitä uutisten perusteella voisi ymmärtää.

Kyberhyökkäysten motiivit vaihtelevat. Joku haluaa aiheuttaa vahinkoa laitteille tai infrastruktuurille niiden ympärillä. Toisen tähtäimessä on laitteen sisältämä arvokas tieto, joka voi esimerkiksi olla myyntikelpoista tai muilla tavoin edistää hyökkäävän tahon omia intressejä. Laitteen, verkon tai tiedon kaappaaminen saattaa mahdollistaa kiristämisen. Kyberhyökkäyksen motiivina voi myös olla silkka uteliaisuus. IoT-laitteita on maailmalla paljon, ja niiden määrä kasvaa huimaa vauhtia. Valitettava totuus on, että monet laitteista ovat huonosti suojattuja.

Haavoittuvuuteen liittyvät riskit ovat suurimmillaan, kun laite on turvallisuuskriittinen tai kytköksissä yhteiskunnan kannalta kriittiseen infrastruktuuriin. Haavoittuvuuksia ei suvaita myöskään laitteissa, jotka sisältävät ihmisten henkilökohtaisia tietoja. Mikäli yksi tai useampi näistä kriteereistä toteutuu, IoT-laitekehittäjän on oltava poikkeuksellisen hyvin perillä kyberturvallisuus- ja tietoturvalainsäädännön nykyisistä ja tulevista vaatimuksista.

EU ja Yhdysvallat kiristämässä vaatimuksia

Euroopan unionissa niin kutsuttu kova laki jättää vielä toistaiseksi varaa tulkinnoille: esimerkiksi terveysteknologialaitteiden tapauksessa lainsäädäntö ja viranomaismääräykset sanelevat, että niiden on tietoturvan ja kyberturvallisuuden saralla yksinkertaisesti edustettava alansa viimeisintä teknologiaa.

Kovan lain rinnalta löytyy pehmeä laki, joka pitää sisällään laitekohtaiset standardit ja sertifikaatit. Ne määrittelevät, millä tavoin kyberturvallisuus tulee laitteisiin rakentaa ja millaisia laitteiden pitäisi olla ohjelmistoarkkitehtuuriltaan. Standardit eivät kuitenkaan aina ole pakollisia.

Viimeisin teknologia ja vapaaehtoiset sertifikaatit eivät EU:ssa riitä enää kovin pitkään. Muun muassa EU:n yleinen tietosuoja-asetus on nostanut tietoturva- ja kyberturvallisuusasiat pöydälle. Vaikkei varsinaisia päätöksiä vielä olla tehty, IoT-laitteiden kyberturvallisuussertifioinnista on hyvin todennäköisesti tulossa pakollista jo 2020-luvulla.

Toinen tärkeä markkina-alue Yhdysvallat on kovan lain saralla EU:ta askeleen edellä. Siellä esimerkiksi elintarvike- ja lääkevirasto FDA on merkittävästi tiukentamassa terveysteknologialaitteiden kyberturvallisuusvaatimuksia. Amerikkalaisten vaatimukset ovat kiristymään päin myös itseohjautuviin autoihin liittyvässä IoT-teknologiassa sekä kaikissa valtion laitosten ja virastojen hankkimissa IoT-laitteissa.

Laitekehittäjille kiristyvät vaatimukset tarkoittavat sitä, että kyberturvallisuusstandardeja ja niissä määriteltyjä ohjelmistojen kehitys- ja testausmenetelmiä on pakko ryhtyä noudattamaan. Ohjelmistosuunnittelun ohella isompaan rooliin on nousemassa lisäksi ohjelmiston elinkaaren aikainen hallintatyö. IoT-tuotteiden mahdollisia haavoittuvuuksia pitää voida seurata, ja mikäli haavoittuvuuksia ilmenee, niistä pitää raportoida ja ne täytyy tarvittaessa korjata.

Yritysten valmius vastata haasteisiin vaihtelee

Yllä mainittuihin muutoksiin vastaaminen vaatii yrityksiltä lisää resursseja. Varmaa on, että kyberturvallisuusosaamisen kysyntä kasvaa lähivuosina räjähdysmäisesti.

Yrityksestä riippuen kyse voi olla isostakin muutoksesta. Suurissa kansainvälisissä yrityksissä standardeihin lienee totuttu ja vaatimuksenmukaisuuden huomiointi on jo pitkään ollut ohjelmistokehityksessä rutiinia. Osaaminen todennäköisesti löytyy talon sisältä, eivätkä kiristyvät vaatimukset tarkoita kuin pientä lisäystä huomioitavien pykälien määrässä.

Pienemmissä yrityksissä valmius vastata uusiin vaatimuksiin saattaa olla rajallisempi, näin erityisesti aloilla, joilla standardien rooli ei perinteisesti ole korostunut. Tällöin muutokset voivat tulla uusina asioina ja niin äkkiä, ettei niihin välttämättä pystytä reagoimaan riittävän nopeasti. Tästä syystä uuden tuotteen saattaminen markkinoille voi viivästyä.

Jos valmiusaste on rajallinen eikä ohjelmistotestauksen suunnittelu ja toteutus ole tuttua, ulkopuolinen kumppani voi tulla oppaaksi muutosten keskelle. Tällaisissa projekteissa Etteplan opastaa asiakkaansa ohjelmistotiimiä ja auttaa varmistamaan, että vaadittavat kyberturvallisuuskyvykkyydet saadaan prosessin aikana rakennettua tuotteeseen. Projektin myötä kyberturvallisuuteen liittyvät keskeiset vaatimukset ja standardit tulevat asiakkaan ohjelmistotiimille tutuiksi.

Hyvän vaihtoehdon tarjoavat lisäksi markkinoilta löytyvät valmiit kehitysalustat, joissa standardien vaatimukset on otettu huomioon. Erinomaisen alustan tarjoaa esimerkiksi Etteplanin yhteistyökumppani ARM, jonka ohjelmistokehitystyökalu ARM Mbed edistää kyberturvallisuusvaatimusten huomioimista IoT-tuotteiden kehityksessä.