Tilaa lehti

Mainokset

Suomen Automaatioseura r.y.

Suomen Mittaus- ja Säätöteknillinen Yhdistys r.y.

Suomen robotiikkayhdistys r.y.

Turvallisemman tuotesuunnittelun turvallisuusstandardien ja -säädösten kartoitus

Varmistaakseen sääntöjen noudattamisen ja suojautuakseen viimeisimmiltä kyberuhilta elektroniikkasuunnittelijat turvautuvat laitetason tietoturvaratkaisuihin.

Julkaistu:

Tietosuoja kehittyy koko ajan ja asettaa elektroniikkasuunnittelijoille vuorenkokoisen tehtävän: suunnitella järjestelmiä, jotka eivät ainoastaan pysäytä kehittyneitä kyberuhkia, vaan ovat myös tiukkojen lakien ja säädösten mukaisia. Nopeasti kehittyvät kyberuhat tekevät tästä tehtävästä haastavan, sillä järjestäytyneet kyberrikolliset löytävät aina uusia tapoja päästä käsiksi arkaluonteisiin tietoihin ja kriittiseen infrastruktuuriin.

Kyberuhkien kirjo on laaja ja pitää sisällään suuren määrän erilaisia hyökkäyksiä. Toimitusketjuhyökkäyksissä hyökkääjä saa organisaation IT-infrastruktuurin hallintaansa hyödyntämällä kolmannen osapuolen toimittajia. Toinen yleinen muoto on kiristysohjelmahyökkäys. Siinä haittaohjelma salaa tiedostoja estäen käyttäjien pääsyn laitteisiin ja dataan. Myös tietoturvaloukkaukset ovat suuri huolenaihe, kun kyberrikolliset pyrkivät varastamaan organisaatioiden arkaluonteisia tietoja, kuten henkilötietoja, taloustietoja ja immateriaalioikeuksia.

Riittämätön tietoturva altistaa yksilöt ja organisaatiot vakavasti kyberuhkien laajalle kirjolle. Esimerkiksi SolarWinds joutui merkittävän toimitusketjuhyökkäyksen uhriksi, kun sen säännöllisen Orion-ohjelmistopäivityksen kimppuun hyökättiin. Tämän seurauksena lukuisien hallituksen virastojen ja yksityisen sektorin yritysten tietoihin päästiin luvattomasti käsiksi. [alaviite: 2]

SolarWindsin tapaus on vain yksi esimerkki monien nimekkäiden tapausten joukossa ja osoittaa, että tietoturvaloukkaukset voivat tulla erittäin kalliiksi. Taloudellisten tappioiden ja korkeamman vakuutuksen lisäksi tietoturvaloukkaukset saavat aikaan merkittävän mainehaitan ja rapauttavat asiakkaiden luottamusta – näiden elpyminen voi viedä vuosia.

Laitetason tietoturvaa koskevat säädökset

Uusia kyberuhkia torjuvat elektroniikkasuunnittelijat turvautuvat yhä enemmän laitetason tietoturvaan. Se hyödyntää fyysisiä komponentteja – kuten prosessoreita, turvasiruja tai salausmoduuleja – ja vahvistaa niillä järjestelmää uhkia vastaan. Toisin kuin ohjelmiin ja algoritmeihin perustuvat ohjelmistotason toimet, on laitetason tietoturvaominaisuudet sisällytetty laitteistoon itseensä. Näin se tarjoaa fyysistä suojaa tiettyjä hyökkäyksiä vastaan ja estää peukaloinnin.

Laitetason järjestelmä edellyttää kuitenkin kattavaa tietoturvan ja lain tuntemusta ennen kuin järjestelmät ja komponentit voidaan suojata. Lisäksi lopputuotteiden tai ratkaisujen on noudatettava lakisääteisiä vaatimuksia. Tällaisia ovat mm. EU:n kyberresilienssisäädös, ISO-/IEC-standardit ja yleinen tietosuoja-asetus. Seuraavaksi tarkastelemme joitain niistä avainsäädöksistä ja standardeista, jotka määrittävät laitetason tietoturvaa, ja sitä, miten ne ohjaavat kohti turvallisempien toimien käyttöä.

EU:n kyberresilienssisäädös

Maaliskuussa 2024 Euroopan parlamentin virallisesti hyväksymä EU:n kyberresilienssisäädös (CRA) pyrkii jo nimensä puolesta suojaamaan kuluttajia ja yrityksiä, jotka ostavat tai käyttävät digitaalisen komponentin sisältäviä tuotteita. Siinä määritetään harmonisoitujen säädösten avulla kyberturvallisuusvaatimukset tällaisten tuotteiden suunnittelulle, kehittämiselle ja ylläpidolle sekä täytettävät velvoitteet arvoketjun jokaisessa vaiheessa. Säädöksellä pyritään parantamaan digitaalisten tuotteiden kyberturvallisuutta koko EU:n markkina-alueella ja asettamaan valmistajat vastuuseen tuotteen koko elinkaaren ajaksi. Suunnittelijoille tämä tarkoittaa jämerien kokonaisvaltaisten tietoturvatoimien sisällyttämistä suunnitteluvaiheesta aina tuotteen elinkaaren päähän. Kyberresilienssisäädös ohjaa suunnittelemaan järjestelmiä, jotka kestävät kehittyneitä hyökkäyksiä ja suojaavat niin käyttäjiä kuin kriittistä infrastruktuuria.

EU:n kyberresilienssisäädöksen mukainen merkintä koskee kaupallisesti saatavilla olevia tuotteita. Yleensä kehittäjä suorittaa riskianalyysin, joka pitää sisällään muiden tärkeiden standardien ja säädösten tarkastelun sen määrittämiseksi, onko tuotteen kyberturvallisuusriskin luokitus oletus (matala kyberturvallisuusriski), luokka I (kohonnut kyberturvallisuusriski) vai luokka II (korkein kyberturvallisuusriski). Oletus-luokka pitää yleensä sisällään esimerkiksi älykaiutinten ja kodin termostaattien kaltaisia tuotteita. Luokkaan I kuuluu yleensä esimerkiksi teollisen internetin (IIoT) laitteet tai kuluttajaelektroniikka, joka tarjoaa rajallisen pääsyn arkaluonteisiin tietoihin tai kriittisiin toimintoihin. Luokkaan II sen sijaan kuuluvat yleensä korkean riskin tuotteet, kuten teollisuuden ohjausjärjestelmät, palvelimet ja kryptoprosessorit.

Luokituksen kohotessa lisääntyvät myös määräystenmukaisuuden vaatimukset. Oletustasolla valmistajat pääsevät itse käsiksi tuotteisiinsa. Luokka I edellyttää, että valmistaja arvioi tuotteitaan kolmannen osapuolen vaatimustenmukaisuuden arviointimenettelyllä tai vastaavan standardin mukaisesti. Luokan II tuotteille on suoritettava suoraan kolmannen osapuolen vaatimustenmukaisuuden arviointimenettely ilman, että voidaan käyttää vastaavaa standardia.

ISO/IEC-standardit

Kansainväliset standardit, kuten ISO/IEC 27001 tarjoavat kattavan turvallisuuskehyksen tietoturvariskien hallintaa varten. Ne auttavat suunnittelijoita noudattamaan laiteturvan parhaita käytäntöjä, kuten riskin arviointi, tarkastusten suorittaminen ja jatkuva seuranta. ISO-/IEC-standardien avulla varmistetaan, että laitteet noudattavat parhaita työkäytäntöjä ja niissä on tärkeitä tietoturvaominaisuuksia, kuten salaus, pääsynvalvonta ja turvallinen käynnistysprosessi. Näin voidaan varmistaa, että tietoturva huomioidaan jo suunnitteluvaiheessa, jolloin mahdollisesti hyväksikäytettävien heikkouksien ilmenemisen todennäköisyys pienenee.

Yleinen tietosuoja-asetus

EU:n yleinen tietosuoja-asetus koskee kuluttajan tieto-oikeuksia ja tietojenkäsittelytapoja. Asetuksessa korostetaan henkilötietojen turvaa. Laitteistosuunnittelijoille tämä tarkoittaa lähtökohtaisesti tietoturvan – tietojen salaus, turvallinen tietojen taltiointi ja järeä pääsynvalvonta – sisältävien järjestelmien suunnittelemista. Lakisääteisesti yleistä tietosuoja-asetusta on noudatettava sovellus-/ylläpitotasolla. On kuitenkin ratkaisevan tärkeää sisällyttää tämä jo suunnitteluun. Sisällyttämällä tärkeät tietoturvakomponentit laitteistotuotteisiin voidaan mahdollisten tietoturvaloukkausten riskiä pienentää.

Tieto siitä, että tietoja käsitellään tietoturvallisuuden korkeimpien standardien mukaan voi auttaa parantamaan käyttäjän luottamusta laitteistoon. Siksi yleisen tietosuoja-asetuksen periaatteet tulisi sisällyttää jo laitteiston suunnitteluun. Tämä ennakoiva lähestymistapa mahdollistaa myös sujuvamman valvonnan ja lakisääteiset tarkastukset, ja voi vähentää aikaa, joka käytetään vaatimustenmukaisuuteen liittyviin kysymyksiin.