Koska hallitukset ovat yhä enemmän huolissaan IoT-laitteiden turvallisuudesta erityisesti kriittisessä kansallisessa infrastruktuurissa, voisitko kertoa tarkemmin EU:n kyberkestävyyslain (CRA) merkityksestä?
Martin Nord: EU:n CRA on käänteentekevä säädös. Sillä on valtavia vaikutuksia koko yhteiskuntaan, erityyppisiin yrityksiin useimmilla toimialoilla, jotka käyttävät esineiden internetin teknologiaa, ja tietenkin loppukäyttäjiin. Sillä puututaan kasvaviin kyberturvallisuusriskeihin, jotka johtuvat siitä, että kehittyneiden ja kehittyneiden kykyjen omaavien pahantahtoisten toimijoiden määrä on kasvanut ja esineiden internetin laitteiden määrä on lisääntynyt. Valitettavasti monet näistä laitteista ovat perinteisesti olleet turvattomia, mikä tekee niistä ensisijaisia kohteita tietoverkkorikollisille.
CRA on todella merkittävä, koska se asettaa valmistajille, ohjelmistokehittäjille ja jakelijoille merkittävän vastuun näiden tietoturvahaasteiden korjaamisesta, jotta ne voivat palvella Euroopan sisämarkkinoilla. Näiden toimijoiden on sertifioitava, että esineiden internetin laitteet ovat "sisäänrakennetusti turvallisia". Turvallisuus on sisällytettävä laitteeseen alusta alkaen, eikä sitä saa lisätä jälkikäteen. Lisäksi tämä on dokumentoitava ja sertifioitava.
Miten luottoluokituslaitos ehdottaa, että tämä suunnitteluvaiheen turvallisuus otetaan käyttöön?
Martin Nord: CRA:n mukaan tämä toteutetaan asettamalla vastuu turvallisuudesta koko IoT-laitteiden toimitusketjulle valmistajista jakelijoihin ja maahantuojiin. Kun neuvosto on hyväksynyt nämä säännökset, niiden noudattamatta jättäminen estää yrityksiä saamasta tuotteilleen CE-merkintää, joka on välttämätön markkinoille pääsyn kannalta. Tuotteiden markkinoilta poistaminen ja takaisinveto ovat korjaavia toimenpiteitä, jotka voivat olla tarpeen tietyissä tapauksissa, jos toimijalla on tietoa siitä, että tuote ei ole vaatimustenmukainen. Lisäksi vaatimustenvastaiset yritykset voivat joutua maksamaan monenlaisia sakkoja rikkomuksista. Vakavin on enintään 15 miljoonaa euroa tai 2,5 prosenttia maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on korkeampi, jos keskeisiä kyberturvallisuusvaatimuksia ei noudateta.
Näin varmistetaan, että kaikki IoT-laitteiden kehittämiseen ja toimittamiseen osallistuvat sidosryhmät asettavat tietoturvatoimet etusijalle. Näiden osapuolten on otettava käyttöön keskeisiä tietoturvaominaisuuksia, joilla parannetaan turvallisuutta käytännössä, kuten se, että markkinoille tuodaan vain turvallisia tuotteita, jotka on dokumentoitu asianmukaisesti. Niiden velvollisuus kattaa myös tuotteen koko elinkaaren, ja niiden on tehtävä perusteellisia analyysejä, jaettava haavoittuvuuksia, tarjottava tukea ja toimitettava tietoturvapäivityksiä mahdollisten haavoittuvuuksien korjaamiseksi.
Mitä vaikutuksia tällä lainsäädännöllä on maailmanlaajuiseen IoT-alaan?
Martin Nord: Vaikka CRA vaikuttaa ensisijaisesti EU:n markkinoihin, sen vaikutus ulottuu paljon laajemmalle, koska markkinat ovat niin suuret ja koska alan tavoitteena on yksinkertaistaa tuotevariaatioita. Odotan, että maailmanlaajuinen IoT-teollisuus ei jätä näitä säännöksiä huomiotta keskittymällä EU:n ulkopuolisiin markkinoihin. Lisäksi monet muut maat keskustelevat parhaillaan vastaavista esineiden internetin turvallisuussäännöksistä, mikä pienentää turvattomien laitteiden markkinoita. Esimerkiksi Yhdysvalloissa valmistellaan parhaillaan Cybersecurity Improvement Act -lakia, joka on yhdenmukainen CRA:n kanssa. Tämä tarkoittaa, että jos yritys täyttää CRA-standardit, se todennäköisesti täyttää myös Yhdysvaltojen määräykset, mikä sujuvoittaa kansainvälistä yhteistyötä ja vaatimustenmukaisuutta.
Loppujen lopuksi uskon, että IoT-laitevalmistajilla on myös oma etu varmistaa tuotteidensa korkeimmat turvallisuusstandardit. Kun lainsäädäntö on yhdenmukaistettu monilla teollisuudenaloilla, on nyt käytännöllisempää toteuttaa tämä tavoite myös IoT:n hintaherkemmillä markkinasegmenteillä.
.jpg?quality=high&width=720&height=376&name=2%20(1).jpg)
Millaisia haasteita näet valmistajien, maahantuojien ja jakelijoiden kohdalla näiden uusien standardien noudattamisessa?
Martin Nord: Ensisijainen haaste on vaatimustenmukaisuuden aikataulu. Valmistajilla on 36 kuukautta aikaa noudattaa uusia säännöksiä, ja 21 kuukauden siirtymäaika poikkeamien raportointia varten. Kun otetaan huomioon, että IoT-laitteiden tyypillinen kehitysaika on noin 18 kuukautta, yritysten on aloitettava prosessiensa mukauttaminen välittömästi. Taloudellinen vastuu ja vaatimustenmukaisuutta vaativien laitteiden suuri määrä aiheuttavat myös merkittäviä haasteita. Näiden muutosten toteuttaminen edellyttää huomattavia investointeja turvatoimiin ja jatkuviin päivityksiin, mikä voi rasittaa resursseja erityisesti pienemmiltä yrityksiltä. Niiden, jotka ovat jo valmistautuneet tai jotka edistyvät nopeasti, voittojen pitäisi kuitenkin kasvaa, sillä markkinat palkitsevat ne, jotka pystyvät tarjoamaan lainsäädännön mukaisia laitteita.
Miten IoT-valmistajat voivat parhaiten valmistautua CRA:n täytäntöönpanoon?
Martin Nord: Valmistautuminen on ratkaisevan tärkeää, jotta voidaan välttää säännösten noudattamatta jättämisestä aiheutuvat taloudelliset seuraamukset. Valmistajien on syytä hakea asiantuntija-apua heti alusta alkaen, jotta he voivat selviytyä näistä säädöksistä tehokkaasti.
Ensimmäiseksi on selvitettävä, kuuluvatko tuotteesi tämän lainsäädännön piiriin, ja vaatimus numero yksi on, että tuote todella asetetaan saataville markkinoilla. Lainsäädäntö kattaa myös vain "digitaalisia elementtejä sisältävät tuotteet", jotka on määritelty seuraavasti: "kaikki ohjelmisto- tai laitteistotuotteet ja niiden tietojenkäsittelyn etäratkaisut, mukaan lukien erikseen markkinoille saatettavat ohjelmisto- tai laitteistokomponentit". Määritelmien ja tulkintojen yksityiskohtainen läpikäynti voi olla tarpeen esimerkiksi ohjelmistoja ja avoimen lähdekoodin ohjelmistoja koskevien tapausten ratkaisemiseksi.
On myös tärkeää huomata, että laitteisiin sovelletaan joitakin poikkeuksia, kuten esimerkiksi joitakin varaosia, jotka on tarkoitettu korvaamaan identtiset komponentit. Muut poikkeukset koskevat aloja, joiden katsotaan tällä hetkellä kuuluvan riittävästi muiden asetusten piiriin, kuten lääkinnälliset laitteet, ajoneuvot, ilmailutuotteet, sotilaslaitteistot ja laivavarusteet. Nämä alat saattavat kuitenkin kuulua tulevaisuudessa soveltamisalaan, joten olisi harkittava suunnittelua siitä, miten vaatimustenmukaisuus varmistetaan siitä huolimatta.
Vaikka tuote ei kuuluisikaan CRA:n piiriin, on otettava huomioon, että muita säännöksiä, kuten NIS2-direktiiviä, voidaan edelleen soveltaa.
CRA:n täytäntöönpano riippuu tietystä tuotteesta, sen luokituksesta ja luokasta. Täydellinen luettelo vaatimuksista löytyy itse CRA-tekstistä, tai voidaan etsiä kumppani, joka on erikoistunut auttamaan yrityksiä tässä asiassa. Luonnollisesti on varmistettava, että kaikki säännösten näkökohdat otetaan huomioon. Ei esimerkiksi riitä, että lanseerataan tuote, joka on testattu siten, että siinä ei ole haavoittuvuuksia, jos tätä ei ole dokumentoitu tai jos tiedot eivät ole käyttäjän saatavilla.
Myös CRA:n vähimmäisvaatimusten ylittäminen voi olla hyödyllistä. Kun verkkorikolliset kehittävät taktiikkaansa, ennakoiva toiminta turvatoimien parantamisessa auttaa yrityksiä pysymään sääntelymuutosten edellä ja varmistamaan, että niiden tuotteet pysyvät turvallisina ja luotettavina.
Cellular IoT -yhteyksiin erikoistuneena MVNO:na me Com4:ssä ymmärrämme myös, miten tärkeää on, että valmistajat pohtivat, miten he varmistavat, että tietoturvapäivitykset saavuttavat loppukäyttäjän laitteet. On ehkä tärkeämpää saada korkea onnistumisprosentti näille nyt pakollisille päivityksille kuin perinteisille over-the-air-päivityksille, kuten laiteohjelmistopäivityksille (FOTA), jotka voivat olla enemmänkin "nice to have".
- Kattavuus, datan hinta ja radiotekniikka ovat kaikki tärkeitä parametreja, kun valitaan WAN-yhteysratkaisuja (Wide Area Network). Tämän pitäisi olla osa yhteyden tarjoajan kanssa käytävää vuoropuhelua.
- On myös keskeistä, että luotettava yhteyskumppani on vakaassa taloudellisessa tilassa, jotta vältetään palvelun tuleva käyttökelvottomuus. Kyvyttömyys päivittää tuotetta tietoturvapäivityksillä voi johtaa hankaliin ja kalliisiin vaihto- tai palautusprosesseihin, jos tietoturvapäivitystä tarvitaan korjaavana toimenpiteenä vaatimustenmukaisuuden varmistamiseksi esimerkiksi äskettäin havaitun haavoittuvuuden vuoksi.
- Haluan myös korostaa, että IoT-yhteyksien suunnittelu on olennainen osa tuotesuunnittelua, johon kuuluvat myös turvallisuusnäkökohdat. Esimerkkeinä mainittakoon SIM-kortin muototekijät, jotka vaikuttavat peukaloinnin kestävyyteen (perinteiset muovivaihtoehdot, sulautetut SIM-kortit ja integroidut SIM-kortit), täysin GSMA:n sertifioimien ratkaisujen käyttö, joita yhä useammin vaaditaan matkaviestinverkkoihin pääsemiseksi, sekä lisätuotteet, joilla suojataan sovellusten viestintä laitteesta backendiin tai pilvipalveluun.
- Yhteyksien tarjoajalla voi olla myös muita valvontatyökaluja ja tietoturvatarkastuksia, joilla voidaan parantaa turvallisuutta. Jälleen kerran on tärkeää käsitellä tämäntyyppisiä ja muita aiheita yhteyden tarjoajan kanssa, sillä jokainen käyttötapaus asettaa omat haasteensa.
Mitä pitkän aikavälin hyötyjä näet CRA:n tuovan sekä yrityksille että kuluttajille?
Martin Nord: CRA:n pitkän aikavälin hyödyt ovat merkittäviä. Yrityksille se merkitsee turvallisempien tuotteiden luomista, mikä voi parantaa niiden mainetta ja luottamusta asiakkaiden keskuudessa. Se vähentää myös taloudellisia riskejä, joita aiheutuu maine- ja palvelutappioista, jotka johtuvat onnistuneista hyökkäyksistä niiden palveluja vastaan. Se edistää myös kestävämpää digitaalista ympäristöä, mikä vähentää kalliiden verkkohyökkäysten riskiä. Kuluttajille ja kansalaisille CRA lupaa suurempaa avoimuutta ja mielenrauhaa, kun he tietävät, että heidän päivittäin käyttämiinsä liitettyihin laitteisiin sovelletaan tiukkoja turvallisuusstandardeja. Tämä lainsäädäntö on tärkeä askel kohti turvallisempaa ja luotettavampaa esineiden internetin ekosysteemiä ja koko yhteiskuntaa.
Onko sinulla vielä ajatuksia IoT-turvallisuuden tulevaisuudesta CRA:n valossa?
Martin Nord: CRA on vasta alkua. Kun tietoverkkouhkat muuttuvat ja muuttuvat, säädökset mukautuvat ja kehittyvät, jotta niitä voidaan torjua tehokkaasti. IoT-alan on tärkeää pysyä ketteränä ja ennakoivana, parantaa jatkuvasti turvatoimia ja edistää tietoisuutta kyberturvallisuudesta. Näin voimme rakentaa turvallisempaa digitaalista tulevaisuutta kaikille.
Jos sinulla on kysyttävää tai lisätietoja kyberkestävyyslain noudattamisesta, ota yhteyttä Com4:ään. IoT-asiantuntijamme ovat valmiita auttamaan sinua navigoimaan tässä uudessa sääntely-ympäristössä ja varmistamaan, että IoT-laitteesi täyttävät korkeimmat turvallisuusstandardit.
.jpg)
