Intertek (www.intertek.com)

Lär dig mer om IT-säkerhet för IoT-produkter

Interteks experter delar med sig av sin kunskap kring bland annat IT-säkerhet, funktionalitet och interoperabiitet i samband med utveckling av IoT-produkter.

 

 

Standardiserad it-säkerhet

Nu börjar den internationella standardiseringen inom it-säkerhet för IoT-produkter sakta växa fram.

Enligt rapporten "State of the Union 2017 - cybersecurity" från EU-kommissionen har förekomsten av IT-relaterade brott ökat lavinartat. Attacker med så kallad ransomware ökade med 300 procent mellan 2015 och 2016. Enligt ett antal studier har de ekonomiska effekterna av IT-brottslighet ökat femfaldigt mellan 2013 och 2017. 

cybersecurity-factsheet

Källa: "State of the Union 2017 - cybersecurity", EU-kommissionen

För att möta de växande digitala hoten görs nu försök att standardisera it-säkerheten kring uppkopplade produkter. I augusti 2017 kom ett lagförslag om att etablera en lägstanivå för it-säkerheten för IoT-produkter som säljs till den amerikanska staten. Samma månad erkände den amerikanska läkemedelsmyndigheten FDA standarden ANSI/UL 2900 för uppkopplade medicintekniska produkter och i september 2017 tog EU-kommissionen ytterligare ett steg mot en gemensam it-säkerhetsmarknad inom EU genom att anta det så kallade it-säkerhetspaketet.

Steget till en världsomspännande it-säkerhetsstandard för IoT-produkter är dock fortfarande långt. 

– Idag finns ännu ingen definitiv standard vi kan peka på och säga, det här är den ni ska använda, säger Ron Starman, it-säkerhetsexpert och Director på Intertek EWA. Diskussionerna har helt enkelt inte kommit så långt ännu.

Common Criteria (ISO 15408)

Närmast det Ron Starman talar om ligger idag ISO/IEC 15408 (“Common Criteria”) och ANSI/UL 2900. 

ISO 15408, eller Common Criteria, har funnits sedan 1990-talet och används för att utvärdera säkerheten hos it-produkter och -system. Common Criteria reglerar inte själva kraven på IT-säkerhet i enskilda produkter utan utgör ett ramverk för hur kraven ska beskrivas och hur man verifierar att de uppställda kraven följs. Kring standarden finns ett certifieringsprogram där i dagsläget 28 nationer skrivit på avtal om att erkänna certifieringar som utfärdats i de övriga länderna.

– Ett antal länder, till exempel Tyskland och USA, har dessutom en Common Criteria-certifiering som obligatoriskt krav för IT-produkter i statliga installationer, säger Ron Starman. Standarden ger också en flexibilitet eftersom den bygger på att köpare och säljare kommer överens om vilka funktionella säkerhetskrav som ska användas i det specifika fallet. Dessutom ger den utrymme för att utveckla produktunika krav. 

Samtidigt nämns ibland det faktum att standarden i sig inte sätter upp krav som en av nackdelarna med Common Criteria-certifiering. Den som använder systemet måste alltså veta precis vilka säkerhetskrav som är viktiga att ställa eftersom det är enbart de kraven som verifieras. 

ANSI/UL 2900

ANSI/UL 2900 är en serie om fyra riskbaserade standarder som behandlar it-säkerhet för uppkopplade produkter.  Sedan FDA officiellt erkänt understandarden för hälsovårdssystem (ANSI/UL 2900-2-1) som ett sätt för tillverkare av uppkopplade medicintekniska produkter att visa att deras produkter möter it-säkerhetskraven för den amerikanska marknaden, har den börjat användas bredare, även utanför medicinteknikbranschen. Samtidigt har standarden, enligt Ron Starman, en allvarlig brist.

– Den här standarden täcker enbart själva produkten där vi egentligen behöver kunna testa och certifiera hela kedjan – överföringen av data, lagringen, mjukvaran som används för att analysera data och så vidare, säger han. ANSI/UL 2900 är bra början, men den räcker inte fullt ut. 

EU:s it-säkerhetspaket

På statlig eller överstatlig nivå finns heller ännu ingen lagstiftning kring it-säkerhet. Närmast är EU-kommissionens it-säkerhetspaket. I korthet innebär it-säkerhetspaketet att man föreslår att EU etablerar en permanent europeisk it-säkerhetsmyndighet, inför en EU-övergripande certifiering för ICT-produkter som täcker in krav på att produkten ska skydda data mot icke godkänd lagring, bearbetning, åtkomst, publicering eller förändring, påskyndar implementeringen av NIS-direktivet (se ruta) och ger rekommendationer om samordnade incidenter vid storskaliga it-incidenter och -kriser. 

För att allt detta ska bli verklighet krävs dock att ett antal direktiv och förordningar går igenom EU:s beslutsprocess, en process som tar tid.

Fram till dess är det upp till tillverkarna att sätta ribban för hur säkra deras produkter ska vara. 

– Trots att den redan idag är enorm, är IoT-marknaden fortfarande i ett tidigt skede och det gör att vi fortfarande ser många av produkter på marknaden som antingen testats bristfälligt eller inte alls, säger Ron Starman. Ett av de stora problemen vi ser är att produkter kommer ut på marknaden utan att tillverkaren har möjlighet att skicka ut en säkerhetspatch, det vill säga en programvaruuppdatering som täpper till säkerhetshål.  

Detta är att lägga ribban jäms med golvet, menar Ron Starman. Att saluföra en produkt som saknar eller har ett dåligt it-säkerhetsskydd innebär stora risker.

– Den skada du som tillverkare lider om din produkt hackas och tusentals användares data sprids är enorm, säger han. Att återställa konsumenternas förtroende för ditt varumärke kan ta åratal. Dessutom, med den nya dataskyddslagstiftning som kommer inom EU i maj i år kan företaget dömas till sanktioner på upp till 4 procent av koncernens årsomsättning eller 20 miljoner euro.

cerello-line

EU:s NIS-direktiv

Den 10 maj 2018 börjar nya regler gälla angående säkerhet i nätverk och informationssystem. De nya reglerna omfattar leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster och ställer bland annat krav på säkerhetsåtgärder, incidentrapportering och tillsyn.

Källa: MSB.se

 

 

 

 

för mer information.