Så här kan IoT-produktutvecklare förbereda sig för skärpt dataskyddslagstiftning

Många kommer ihåg WannaCry-attacken för två år sedan. Skadeprogrammet orsakade bekymmer runtom i världen, allra värst i Storbritannien där det nationella hälsovårdssystemet NHS drabbades av cyberattacken.

Högprofilattacker som WannaCry är allvarliga och överskrider nästan utan undantag nyhetströskeln internationellt. I verkligheten sker det emellertid många fler attacker än nyheterna låter förstå.

Motiven bakom cyberattackerna varierar. En del vill orsaka skada på apparaterna eller infrastrukturen kring dem. Andra är ute efter värdefull information som apparaten innehåller, informationen kan vara säljbar eller på annat vis gynna angriparens egna intressen. Att överta kontrollen över en apparat, ett nätverk eller information kan vara ett sätt att utöva utpressning. Motivet bakom en cyberattack kan också vara ren nyfikenhet.

Det finns många IoT-apparater runtom i världen och antalet växer hela tiden. Den bistra sanningen är att många apparater är dåligt skyddade.

Sårbarhetsriskerna är som störst när apparaten är säkerhetskritisk eller kopplad till för samhället kritisk infrastruktur. Sårbarhet i apparater som innehåller personuppgifter tillåts inte heller. Om ett eller flera av dessa kriterier uppfylls måste IoT-produktutvecklaren vara exceptionellt insatt i de gällande och kommande kraven i cybersäkerhets- och dataskyddslagstiftningen.

EU och USA skärper kraven

I EU lämnar den så kallade hårda lagen fortfarande utrymme för tolkningar: angående apparater inom hälsoteknologi föreskriver lagstiftningen och myndighetsföreskrifterna till exempel att apparaterna måste representera den senaste dataskydds- och cybersäkerhetsteknologin i branschen.

Utöver den hårda lagen finns den mjuka lagen som omfattar apparatspecifika standarder och certifikat. De bestämmer hur dataskyddsaspekterna ska beaktas i apparaterna och hur apparaternas mjukvaruarkitektur ska se ut. Standarderna är emellertid inte alltid obligatoriska.

Den senaste teknologin och frivilliga certifikat kommer inte att räcka länge till inom EU. Bland annat EU:s allmänna dataskyddsförordning har lyft fram frågor som berör dataskyddet och cybersäkerheten. Trots att inga egentliga beslut har fattats än, kommer certifieringen mycket sannolikt att bli obligatorisk redan under 2020-talet.

Det andra viktiga marknadsområdet, USA, är redan steget före EU när det gäller den hårda lagen. Där kommer exempelvis livsmedels- och läkemedelsmyndigheten FDA att skärpa cybersäkerhetskraven avsevärt på apparater inom hälsoteknologi. Amerikanernas krav håller även på att skärpas gällande IoT-teknologi i självkörande bilar samt alla IoT-apparater som införskaffas av statliga inrättningar och myndigheter.

För produktutvecklare innebär de skärpta kraven att man måste börja följa dataskyddsstandarderna och deras fastställda mjukvaruutvecklings- och testningsmetoder. Utöver mjukvaruutveckling håller även hanteringen under mjukvarans livscykel på att få en allt större roll. Man måste kunna följa upp eventuella sårbarheter i IoT-produkter, och om sårbarheter uppdagas måste de rapporteras och vid behov åtgärdas.

Företagens beredskap att svara på utmaningarna varierar

Att uppfylla de ovannämnda kraven kräver mer resurser av företagen. En sak är säker: efterfrågan på kunskap om cybersäkerhet kommer att öka explosionsartat under de närmaste åren.

Beroende på företag kan det handla om en stor förändring. På stora internationella företag har man antagligen redan vant sig vid standarderna och uppfyllandet av kraven är sedan länge en rutin i mjukvaruutvecklingen. Kunskapen finns sannolikt redan i huset och de skärpta kraven innebär bara ett litet tillägg på listan över paragrafer som ska beaktas.

På mindre företag kan beredskapen att uppfylla de nya kraven vara mer begränsad, särskilt i branscher där olika standarder inte traditionellt haft någon viktig roll. Då kan kraven vara något nytt som måste införas så plötsligt att man inte nödvändigtvis klarar av att reagera på dem tillräckligt snabbt. Detta kan leda till att lanseringen av en ny produkt skjuts upp.

Om beredskapen är begränsad och man inte är van vid att planera och genomföra mjukvarutestning kan en extern partner stiga in och visa vägen under förändringen. I sådana projekt vägleder Etteplan kundens team för mjukvaruutveckling och bistår i arbetet med att se till att de cybersäkerhetskapaciteter som krävs kan byggas in i produkten under processen. I samband med projektet får kundens team för mjukvaruutveckling bekanta sig med de viktigaste kraven och standarderna som berör dataskydd och cybersäkerhet.

Ett annat bra alternativ är de färdiga utvecklingsplattformar på marknaden som beaktar kraven i standarderna. Till exempel Etteplans samarbetspartner ARM erbjuder en utmärkt plattform. ARMs verktyg för mjukvaruutveckling, ARM Mbed, främjar beaktandet av dataskyddskrav i utvecklingen av IoT-produkter.