Hur säkerhet uppnås i uppkopplade enheter – visualisera vägen

Certifieringar från organisationer är ett sätt att närma sig säkerhet och standarder.

Även om det ligger i alla legitima parters intresse är det inte längre frivilligt att vidta åtgärder för att säkra uppkopplade enheter. Etteplan har redan under de senaste åren följt de förändringar i lagstiftningen som rör cybersäkerhet och levererat programvaru- och enhetsutveckling enligt principerna för secure-by-design. Här är några av de senaste regeltilläggen som beskrivs av Antti Tolvanen, Sales Director inom Software and Embedded Solutions, i följande avsnitt.

Den 1 augusti 2024 måste försäkran om överensstämmelse för trådlösa IoT-enheter med delegerade akter 3(3) d, e och f i direktivet om radioutrustning (RED) förnyas för att lagligen kunna säljas inom EU.

Före slutet av 2024 kommer NIS2-direktivet (Network and Information Security) att göra ledningssystem för informationssäkerhet samt säkra utvecklingsprocesser obligatoriska för alla företag och deras direkta underleverantörer, vilket även påverkar hela leveranskedjan. För digitala tjänsteleverantörer, som SoS-företag och leverantörer av funktionstjänster, kommer NIS2 att börja tillämpas tillsammans med en implementeringsakt som innehåller mer detaljerade säkerhetskrav.

Under 2026 kommer cyberresiliensakten att göra cybersäkerhet till en obligatorisk del av CE-märkningen för alla produkter med digitala element (alla enheter, all programvara och många programvaru- och maskinvarukomponenter). Redan 2025 kommer sårbarhets- och incidentrapportering att bli obligatorisk, även för alla gamla produkter. Det är viktigt att notera att för kritiska produkter, vilket inkluderar enheter som routrar, gateways, industriella IoT-enheter, robotar och smarta mätare, kommer tredjepartsbedömningar av efterlevnad att bli obligatoriska. Egenbedömning av tillverkaren kommer dock att tillåtas för icke-kritiska produkter.

En särskilt intressant detalj är att medicinskt bevisad psykologisk skada och bristande efterlevnad av cybersäkerhetslagar har lagts till som enhets-/programvarutillverkares ansvar i EU:s nyligen offentliggjorda förslag till direktiv om skadeståndsansvar.

I USA fortsätter implementeringen av dekret 14028: i en nyligen publicerad promemoria från Office for Management and Budgeting ges programvaru- och enhetsleverantörer till federala myndigheter endast 270 dagar för att intyga efterlevnad av NIS2-riktlinjerna. Federal Acquisition Regulation håller också på att uppdateras och Cybersecurity and Infrastructure Security Agency (CISA) kommer att publicera bindande operativa direktiv för USA. När det gäller viktig infrastruktur kommer både EU:s och USA:s marknader att vara horisontellt reglerade när det gäller cybersäkerhet.

Bland de viktigaste aspekterna av inbyggd säkerhet är säker start och säkra uppdateringar som endast används för att köra autentiserad firmware. Ett av de viktigaste arkitektursrelaterade besluten är valet av kritiska maskinvarukomponenter som stöder dessa säkerhetsfunktioner.

Olika enheter kräver olika skyddsnivåer. Linux och Zephyr är några operativsystem som kan användas som vägledning för att identifiera branschkrav och därmed erbjuda tillförlitliga val. Det är mycket fördelaktigt att välja ett operativsystem som har stöd för olika säkerhetsfunktioner och som i sin tur stöds av samhället i stort. Det är mycket viktigt att kontrollera att styrkretstillverkaren stöder det valda operativsystemet och leverantörsspecifika maskinvarulösningar.

Ur ett applikationsperspektiv är det bästa sättet att undvika risker att proaktivt se till att du ligger steget före och ständigt håller dig uppdaterad om säkerheten. Sårbarhetsrapportering samt regelbunden jämförelse av enhetens programvaruförteckning med allmänt kända sårbarheter förvandlas till rättsliga krav. Ändring av lösenord, flerfaktorsautentisering, begränsad åtkomsttid och rollbaserade åtkomstnivåer är några av de funktioner du kan använda för att uppnå lämplig säkerhetsnivå.

Author
Tomasz Śleboda, Software Specialist