Hallitukset ovat yhä enemmän huolissaan IoT-laitteiden turvallisuudesta erityisesti kriittisessä kansallisessa infrastruktuurissa. Voisitko kertoa tarkemmin EU:n kyberresilienssilain (CRA) merkityksestä?
Martin Nord: EU:n CRA on käänteentekevä säädös. Sillä on valtavia vaikutuksia koko yhteiskuntaan, erityyppisiin yrityksiin useimmilla toimialoilla, jotka käyttävät IoT-teknologiaa, ja tietenkin loppukäyttäjiin. Sillä puututaan kasvaviin kyberturvallisuusriskeihin, jotka johtuvat siitä, että kehittyneiden pahantahtoisten toimijoiden määrä on kasvanut ja IoT-laitteiden määrä on lisääntynyt. Valitettavasti monet näistä laitteista ovat perinteisesti olleet turvattomia, mikä tekee niistä ensisijaisia kohteita kyberrikollisille.
CRA on todella merkittävä, koska se asettaa valmistajille, ohjelmistokehittäjille ja jakelijoille merkittävän vastuun näiden tietoturvahaasteiden korjaamisesta, jotta ne voivat palvella Euroopan sisämarkkinoilla. Näiden toimijoiden on sertifioitava, että IoT-laitteet ovat "sisäänrakennetusti turvallisia". Turvallisuus on sisällytettävä laitteeseen alusta alkaen, eikä sitä saa lisätä jälkikäteen. Lisäksi tämä on dokumentoitava ja sertifioitava.
Miten CRA ehdottaa, että tämä suunnitteluvaiheen turvallisuus otetaan käyttöön?
Martin Nord: CRA:n mukaan tämä toteutetaan asettamalla vastuu turvallisuudesta koko IoT-laitteiden toimitusketjulle valmistajista jakelijoihin ja maahantuojiin. Kun neuvosto on hyväksynyt nämä säännökset, niiden noudattamatta jättäminen estää yrityksiä saamasta tuotteilleen CE-merkintää, joka on välttämätön markkinoille pääsyn kannalta. Tuotteiden markkinoilta poistaminen ja takaisinveto ovat korjaavia toimenpiteitä, jotka voivat olla tarpeen tietyissä tapauksissa, jos toimijalla on tieto siitä, että tuote ei ole vaatimustenmukainen. Lisäksi vaatimustenvastaiset yritykset voivat joutua maksamaan monenlaisia sakkoja rikkomuksista. Vakavin on enintään 15 miljoonaa euroa tai 2,5 % globaalista liikevaihdosta sen mukaan, kumpi on korkeampi, jos keskeisiä kyberturvallisuusvaatimuksia ei noudateta.
Näin varmistetaan, että kaikki IoT-laitteiden kehittämiseen ja toimittamiseen osallistuvat sidosryhmät asettavat tietoturvatoimet etusijalle. Näiden osapuolten on otettava käyttöön keskeisiä tietoturvaominaisuuksia, joilla parannetaan turvallisuutta käytännössä, kuten se, että markkinoille tuodaan vain turvallisia tuotteita, jotka on dokumentoitu asianmukaisesti. Niiden velvollisuus kattaa myös tuotteen koko elinkaaren, ja niiden on tehtävä perusteellisia analyysejä, jaettava haavoittuvuuksia, tarjottava tukea ja toimitettava tietoturvapäivityksiä mahdollisten haavoittuvuuksien korjaamiseksi.
Mitä vaikutuksia tällä lainsäädännöllä on globaaliin IoT-alaan?
Martin Nord: Vaikka CRA vaikuttaa ensisijaisesti EU:n markkinoihin, sen vaikutus ulottuu paljon laajemmalle, koska markkinat ovat niin suuret ja koska alan tavoitteena on yksinkertaistaa tuotevariaatioita. Odotan, että globaali IoT-teollisuus ei jätä näitä säännöksiä huomiotta keskittymällä EU:n ulkopuolisiin markkinoihin. Lisäksi monet muut maat keskustelevat parhaillaan vastaavista IoT-turvallisuussäännöksistä, mikä pienentää turvattomien laitteiden markkinoita. Esimerkiksi Yhdysvalloissa valmistellaan parhaillaan Cybersecurity Improvement Act -lakia, joka on yhdenmukainen CRA:n kanssa. Tämä tarkoittaa, että jos yritys täyttää CRA-standardit, se todennäköisesti täyttää myös Yhdysvaltojen määräykset, mikä sujuvoittaa kansainvälistä yhteistyötä ja vaatimustenmukaisuutta.
Loppujen lopuksi uskon, että IoT-laitevalmistajilla on myös oma etu varmistaa tuotteidensa korkeimmat turvallisuusstandardit. Kun lainsäädäntö on yhdenmukaistettu monilla teollisuudenaloilla, nyt on käytännöllisempää toteuttaa tämä tavoite myös IoT:n hintaherkemmillä markkinasegmenteillä.
.jpg?quality=high&width=720&height=376&name=2%20(1).jpg)
Millaisia haasteita näet valmistajien, maahantuojien ja jakelijoiden kohdalla näiden uusien standardien noudattamisessa?
Martin Nord: Ensisijainen haaste on vaatimustenmukaisuuden aikataulu. Valmistajilla on 36 kuukautta aikaa noudattaa uusia säännöksiä, ja 21 kuukauden siirtymäaika poikkeamien raportointia varten. Kun otetaan huomioon, että IoT-laitteiden tyypillinen kehitysaika on noin 18 kuukautta, yritysten on aloitettava prosessiensa mukauttaminen välittömästi. Taloudellinen vastuu ja vaatimustenmukaisuutta vaativien laitteiden suuri määrä aiheuttavat myös merkittäviä haasteita. Näiden muutosten toteuttaminen edellyttää huomattavia sijoituksia turvatoimiin ja jatkuviin päivityksiin, mikä voi rasittaa erityisesti pienempien yritysten resursseja. Niiden, jotka ovat jo valmistautuneet tai jotka edistyvät nopeasti, voitot kuitenkin todennäköisesti kasvavat, sillä markkinat palkitsevat ne, jotka pystyvät tarjoamaan lainsäädännön mukaisia laitteita.
Miten IoT-valmistajat voivat parhaiten valmistautua CRA:n täytäntöönpanoon?
Martin Nord: Valmistautuminen on ratkaisevan tärkeää, jotta voidaan välttää säännösten noudattamatta jättämisestä aiheutuvat taloudelliset seuraamukset. Valmistajien on syytä hakea asiantuntija-apua heti alusta alkaen, jotta ne voivat selviytyä näistä säädöksistä tehokkaasti.
Ensimmäiseksi on selvitettävä, kuuluvatko tuotteet tämän lainsäädännön piiriin, ja ensimmäinen vaatimus on, että tuote todella asetetaan saataville markkinoilla. Lainsäädäntö kattaa myös vain "digitaalisia elementtejä sisältävät tuotteet" (PDE), joita ovat "kaikki ohjelmisto- tai laitteistotuotteet ja niiden tietojenkäsittelyn etäratkaisut, mukaan lukien erikseen markkinoille saatettavat ohjelmisto- tai laitteistokomponentit". Määritelmien ja tulkintojen yksityiskohtainen läpikäynti voi olla tarpeen esimerkiksi ohjelmistoja ja avoimen lähdekoodin ohjelmistoja koskevien tapausten ratkaisemiseksi.
On myös tärkeää huomata, että laitteisiin sovelletaan joitakin poikkeuksia, kuten joitakin varaosia, jotka on tarkoitettu korvaamaan identtiset komponentit. Muut poikkeukset koskevat aloja, joiden katsotaan tällä hetkellä kuuluvan riittävästi muiden asetusten piiriin, kuten lääkinnälliset laitteet, ajoneuvot, ilmailutuotteet, sotilaslaitteistot ja laivavarusteet. Nämä alat saattavat kuitenkin kuulua tulevaisuudessa soveltamisalaan, joten olisi harkittava suunnittelua siitä, miten vaatimustenmukaisuus varmistetaan siitä huolimatta.
Vaikka tuote ei kuuluisikaan CRA:n piiriin, on otettava huomioon, että muita säännöksiä, kuten NIS2-direktiiviä, voidaan edelleen soveltaa.
CRA:n täytäntöönpano riippuu tietystä tuotteesta, sen luokituksesta ja luokasta. Täydellinen luettelo vaatimuksista löytyy itse CRA-tekstistä, tai voidaan etsiä kumppani, joka on erikoistunut auttamaan yrityksiä tässä asiassa. Luonnollisesti on varmistettava, että kaikki säännösten näkökohdat otetaan huomioon. Ei esimerkiksi riitä, että julkaistaan tuote, joka on testattu sen varmistamiseksi, ettei siinä ole haavoittuvuuksia, jos tätä ei ole dokumentoitu tai jos tiedot eivät ole käyttäjän saatavilla.
Myös CRA:n vähimmäisvaatimusten ylittäminen voi olla hyödyllistä. Verkkorikollisten kehittäessä taktiikkaansa ennakoiva toiminta turvatoimien parantamisessa auttaa yrityksiä pysymään sääntelymuutosten edellä ja varmistamaan, että niiden tuotteet pysyvät turvallisina ja luotettavina.
Matkaviestin-IoT-yhteyksiin erikoistuneena MVNO:na Com4:llä ymmärrämme myös, miten tärkeää on, että valmistajat pohtivat, miten he varmistavat, että tietoturvapäivitykset saavuttavat loppukäyttäjän laitteet. On ehkä tärkeämpää saada korkea onnistumisprosentti näille nyt pakollisille päivityksille kuin perinteisille over-the-air-päivityksille, kuten laiteohjelmistopäivityksille (FOTA), jotka voivat olla enemmänkin "ylellisyys".
- Kattavuus, datahinta ja radiotekniikka ovat kaikki tärkeitä parametreja, kun valitaan WAN (Wide Area Network) -yhteysratkaisuja. Tämän pitäisi olla osa yhteyden tarjoajan kanssa käytävää vuoropuhelua.
- On myös keskeistä, että luotettava yhteyskumppani on vakaassa taloudellisessa tilassa, jotta vältetään palvelun tuleva käyttökelvottomuus. Kyvyttömyys päivittää tuotetta tietoturvapäivityksillä voi johtaa hankaliin ja kalliisiin vaihto- tai palautusprosesseihin, jos tietoturvapäivitystä tarvitaan korjaavana toimenpiteenä vaatimustenmukaisuuden varmistamiseksi esimerkiksi äskettäin havaitun haavoittuvuuden vuoksi.
- Haluan myös korostaa, että IoT-yhteyksien suunnittelu on olennainen osa tuotesuunnittelua, johon kuuluvat myös turvallisuusnäkökohdat. Esimerkkeinä ovat SIM-kortin muodot, jotka vaikuttavat peukaloinnin kestävyyteen (perinteiset muovivaihtoehdot, upotetut SIM-kortit ja integroidut SIM-kortit), täysin GSMA:n sertifioimien ratkaisujen käyttö, joita yhä useammin vaaditaan matkaviestinverkkoihin pääsemiseksi, sekä lisätuotteet, joilla suojataan sovellusten viestintä laitteesta backendiin tai pilvipalveluun.
- Yhteyksien tarjoajalla voi olla myös muita valvontatyökaluja ja tietoturvatarkastuksia, joilla voidaan parantaa turvallisuutta. Jälleen kerran on tärkeää käsitellä tämäntyyppisiä ja muita aiheita yhteyden tarjoajan kanssa, sillä jokainen käyttötapaus asettaa omat haasteensa.
Mitä pitkän aikavälin hyötyjä näet CRA:n tuovan sekä yrityksille että kuluttajille?
Martin Nord: CRA:n pitkän aikavälin hyödyt ovat merkittäviä. Yrityksille se merkitsee turvallisempien tuotteiden luomista, mikä voi parantaa niiden mainetta ja luottamusta asiakkaiden keskuudessa. Se vähentää myös taloudellisia riskejä, joita aiheutuu maine- ja palvelutappioista, jotka johtuvat onnistuneista hyökkäyksistä niiden palveluja vastaan. Se edistää myös kestävämpää digitaalista ympäristöä, mikä vähentää kalliiden verkkohyökkäysten riskiä. Kuluttajille ja kansalaisille CRA lupaa suurempaa avoimuutta ja mielenrauhaa, kun he tietävät, että heidän päivittäin käyttämiinsä yhdistettyihin laitteisiin sovelletaan tiukkoja turvallisuusstandardeja. Tämä lainsäädäntö on tärkeä askel kohti turvallisempaa ja luotettavampaa IoT-ekojärjestelmää ja koko yhteiskuntaa.
Onko sinulla vielä ajatuksia IoT-turvallisuuden tulevaisuudesta CRA:n valossa?
Martin Nord: CRA on vasta alkua. Kyberuhkien muuttuessa säädökset mukautuvat ja kehittyvät, jotta niitä voidaan torjua tehokkaasti. IoT-alan on tärkeää pysyä ketteränä ja ennakoivana, parantaa jatkuvasti turvatoimia ja edistää tietoisuutta kyberturvallisuudesta. Näin voimme rakentaa turvallisempaa digitaalista tulevaisuutta kaikille.
Jos sinulla on kysyttävää tai lisätietoja kyberresilienssilain noudattamisesta, ota yhteyttä Com4:ään. IoT-asiantuntijamme ovat valmiita auttamaan sinua navigoimaan tässä uudessa sääntely-ympäristössä ja varmistamaan, että IoT-laitteesi täyttävät korkeimmat turvallisuusstandardit.
.jpg)
.jpg)