Tingenes Internett (IoT) fortsetter å revolusjonere stadig flere bransjer. Som samfunn blir vi stadig mer avhengige av alle IoT-enhetene og de konnektivitetstjenestene som hører til. Den 12. mars 2024 vedtok Europaparlamentet den nye forordningen om cybersikkerhet, Cyber Resilience Act (CRA), som et viktig skritt mot visjonen om “Et Europa rustet for den digitale tidsalderen” (A Europe Fit for the Digital Era). Det ventes at EU-Rådet vil følge opp med sin godkjenning, og dermed starte nedtellingen for iverksetting i de ulike medlemsstatene.
På bakgrunn av myndighetenes økende bekymring når det gjelder IoT-enhetenes sikkerhet, særlig i kritisk nasjonal infrastruktur, kan du si litt om hvilken betydning EUs forordning om cybersikkerhet har?
Martin Nord: EUs forordning om cybersikkerhet er et vannskille med hensyn til lovgivningen på dette området. Det har enorme konsekvenser for samfunnet som helhet, for selskaper av ulike typer i de fleste bransjer som bruker IoT, og selvfølgelig for sluttbrukerne. Den tar utgangspunkt i den økende cyberrisikoen som følge av en kombinasjon av stadig flere ondsinnede aktører med høy kompetanse og et økende antall IoT-enheter. Dessverre er det mange av disse enhetene som tidligere i historien har vært utrygge, noe som har gjort dem utsatt for cyberkriminelle.
Den nye CRA-forordningen er av stor betydning, fordi den legger et stort ansvar på produsenter, programvareutviklere og distributører for å finne en løsning på disse sikkerhetsproblemene, slik at de skal kunne betjene Europas indre marked. Disse aktørene må garantere at IoT-enhetene har en innebygd sikkerhet (“secure by design”). Sikkerheten skal være innebygd i enheten fra bunnen og opp, i stedet for å legges til som en ekstrafunksjon etterpå. I tillegg må dette attesteres og dokumenteres.
Hvordan foreslår CRA at man skal iverksette kravet om “secure by design"?
Martin Nord: CRA iverksetter dette gjennom å legge ansvaret for sikkerheten på hele forsyningskjeden for IoT-enhetene, fra produsenter til distributører og importører. Når forordningen er vedtatt i Rådet, må selskapene følge disse kravene for å kunne CE-merke produktene sine, noe som er nødvendig for å få tilgang til markedet. Tilbaketrekking av produkter er et korrigerende tiltak som kan være nødvendig i enkelte tilfeller, dersom aktøren har informasjon om at produktet ikke er i overensstemmelse med forordningen. Videre vil selskaper som ikke følger reglene kunne stå overfor flere typer bøter for lovbrudd. I verste fall kan det dreie seg om bøter på opptil 15 millioner euro, eller 2,5 % av global omsetning, alt etter hva som er høyest, for manglende overholdelse av viktige krav til cybersikkerhet.
Dette sikrer at alle aktører som er involvert i utvikling og tilbud av IoT-enheter prioriterer sikkerhetstiltak. Disse aktørene skal ta i bruk viktige sikkerhetsfunksjoner som styrker sikkerheten i praksis, som for eksempel å kun lansere sikre produkter fra begynnelsen av, med god dokumentasjon. Videre vil denne forpliktelsen dekke hele produktets levetid, med krav om å utføre grundige analyser, informere om sårbarheter, gi støtte og sende ut sikkerhetsoppdateringer for å håndtere mulige sårbarheter.
Hvilken effekt vil denne lovgivningen ha på den globale IoT-bransjen?
Martin Nord: Selv om CRA hovedsakelig gjelder for EUs marked, vil konsekvensene av dette strekke seg langt utover EU, på grunn av markedets størrelse og bransjens mål om forenkling i produktvarianter. Jeg forventer ikke at den globale IoT-bransjen vil ignorere denne forordningen gjennom å kun fokusere på markeder utenfor EU. Videre er det mange andre land som vurderer lignende krav til IoT-sikkerhet, noe som gjør markedet for usikre enheter mindre. I USA jobbes det for eksempel med en lov som kalles Cybersecurity Improvement Act, som er i samsvar med CRA. Det blir også diskutert om EU og USA skal foreta en gjensidig anerkjennelse av sikkerhetskrav. Dette betyr at et selskap som oppfyller kravene i CRA, mest sannsynlig vil oppfylle kravene i USA også, noe som vil styrke internasjonalt samarbeid og lovgivning.
Til syvende og sist tror jeg at produsentene av IoT-enheter også har stor interesse av å sikre at de holder høyest mulig sikkerhetsstandard for sine produkter. Med harmonisert lovgivning på tvers av flere bransjer, er det nå blitt mer praktisk å realisere denne ambisjonen, også i de mer prissensitive markedssegmentene i IoT-bransjen.
Hvilke utfordringer tror du produsenter, importører og distributører vil støte på når de skal leve opp til disse nye standardene?
Martin Nord: Den største utfordringen er tidsplanen for gjennomføring. Produsentene har 36 måneder på seg til å tilpasse seg de nye kravene, med unntak av en mer begrenset frist på 21 måneder for rapportering av hendelser. Ettersom en typisk livssyklus for utvikling av en IoT-enhet er 18 måneder, må selskapene begynne å tilpasse prosessene sine umiddelbart. Det økonomiske ansvaret, og selve omfanget av enheter som må oppfylle kravene, vil også være betydelig utfordringer. Gjennomføring av disse endringene krever betydelige investeringer i sikkerhetstiltak og kontinuerlige oppdateringer, noe som kan være ressurskrevende, særlig for mindre selskaper. Likevel er dette en gylden mulighet til å øke lønnsomheten for de som allerede er forberedt, eller som gjør raske framskritt, ettersom markedet vil belønne de som kan tilby enheter som allerede er i overensstemmelse med lovgivningen.
Hvordan kan IoT-produsentene forberede seg best mulig på gjennomføringen av CRA?
Martin Nord: Det er svært viktig å forberede seg for å unngå de økonomiske konsekvensene av manglende overholdelse. Produsentene bør innhente råd fra eksperter fra begynnelsen av for å håndtere de nye kravene effektivt.
Det første de må gjøre er å finne ut om produktene er dekket av denne lovgivningen, og krav nummer én er at produktet faktisk er gjort tilgjengelig på markedet. Lovgivningen dekker også kun “produkter med digitale elementer” (products with digital elements, PDE), som defineres som “alle programvare- og maskinvareprodukter og tilhørende løsninger for fjernbehandling av data, inkludert programvare- eller maskinvarekomponenter som skal legges ut på markedet hver for seg.” Det kan bli nødvendig å gå nøye gjennom definisjoner og fortolkninger for å kunne konkludere i tilfeller som har med programvare og åpen standard (open source) programvare å gjøre.
Det er også viktig å merke seg at det er unntak for noen enheter, som for eksempel enkelte reservedeler som skal erstatte identiske komponenter. Andre unntak er næringer som i øyeblikket anses å være tilstrekkelig dekket av andre regelverk, som medisinsk utstyr, biler, produkter til luftfart, militær maskinvare og marint utstyr. Det er imidlertid en mulighet for at disse blir dekket av CRA i framtiden, så man bør planlegge hvordan man skal sikre etterlevelse uansett.
Vær oppmerksom på at selv om produktet ikke faller inn under CRA, kan det være andre standarder og krav som gjelder, som for eksempel NIS2-direktivet.
Gjennomføringen av CRA avhenger av det konkrete produktet, produktets klassifisering, og hvilken kategori det tilhører. Hele listen med krav finner man i selve CRA-teksten, eller man kan finne en samarbeidspartner som spesialiserer seg på å bistå selskaper med dette. Og selvfølgelig må man sørge for at man dekker alle sider av disse standardene. Det er for eksempel ikke nok å lansere et produkt som er testet og ikke har vist sårbarheter, dersom dette ikke er dokumentert, og heller ikke dersom den aktuelle informasjonen ikke er tilgjengelig for brukeren.
Det å gå utover minimumskravene i CRA kan også være gunstig. I takt med at cyberkriminelle videreutvikler sine strategier, kan en proaktiv styrking av sikkerhetstiltakene hjelpe selskapene med å ligge et hestehode foran lovendringene, og slik sørge for at produktene holder seg sikre og pålitelige.
Som en virtuell nettverksoperatør (Mobile Virtual Network Operator, MVNO) med spesialisering på Trådløs IoT-konnektivitet, forstår vi i Com4 også hvor viktig det er at produsentene vurderer hvordan de skal sørge for at sikkerhetsoppdateringene når fram til sluttbrukernes enheter. Husk at det kan være viktigere å vise til høy suksessrate med de nå obligatoriske oppdateringene, enn med tradisjonelle oppdateringer over nettet, som fastvare (FOTA), som kan være mer “kjekt å ha.”
- Dekning, datapriser og radioteknologi blir alle viktige parametre når man skal velge konnektivitetsløsninger i et vidstrakt datanett (Wide Area Network, WAN). Dette bør være del av dialogen med leverandøren av IoT-konnektiviteten.
- Det er også viktig å ha en pålitelig leverandør av IoT-konnektivitet som har solid økonomi, så man unngår at tjenesten blir utilgjengelig i framtiden. Manglende evne til å oppdatere produktet med sikkerhetsoppdateringer kan føre til krevende og kostbare erstatninger eller tilbakekallingsprosesser, dersom slike sikkerhetsoppdateringer er nødvendige som korrigerende tiltak for å oppfylle krav, for eksempel på grunn av en nylig oppdaget sårbarhet.
- Jeg vil også gjerne understreke at design som gjelder IoT-konnektivitet er en integrert del av produktdesignet, inkludert sikkerhetsaspekter. Eksempler er faktorer knyttet til SIM-form, som kan påvirke hvor beskyttet de er mot manipulering (tradisjonelle varianter i plast, innebygget SIM og integrert SIM), bruk av GSMA-sertifiserte løsninger som vil kreves i stadig større grad for å ha tilgang til mobilnettverk, i tillegg til utvidelser for å sikre app-kommunikasjon fra enheten til backend eller til skyen.
- Konnektivitetsleverandøren kan også ha andre verktøy for overvåking og sikkerhetskontroller som kan styrke sikkerheten. Igjen er det viktig å gå gjennom både disse og andre tema med leverandøren, etter som hvert tilfelle har sine egne utfordringer.
Hvilke langsiktige fordeler tror du CRA kan ha for næringsliv og forbrukere?
Martin Nord: Det er betydelig langsiktige fordeler knyttet til CRA. For selskapene betyr det å lage sikrere produkter, noe som kan styrke både omdømme og tillit blant kundene. Det reduserer også den økonomiske risikoen knyttet til svekket omdømme eller tap av tjeneste etter angrep. Det gir også et mer robust digitalt miljø, som reduserer risikoen for kostbare cyberangrep. For forbrukere og innbyggere kan CRA gi både større åpenhet og sinnsro, når man vet at de tilkoblede enhetene man bruker hver dag er underlagt strenge sikkerhetsstandarder. Lovgivningen representerer et viktig skritt mot et tryggere og mer pålitelig IoT-økosystem og et tryggere og mer pålitelig samfunn som helhet.
Har du noen siste tanker rundt IoT-sikkerhetens framtid sett i lys av CRA?
Martin Nord: CRA er bare begynnelsen. Etter hvert som landskapet med cybertrusler endrer og utvikler seg, vil også lovgivningen tilpasse og utvikle seg for å motvirke dem effektivt. Det er viktig at IoT-bransjen holder seg på tå hev og tenker framover, hele tiden forbedrer sine sikkerhetstiltak og dyrker en kultur der man er bevisst på cybersikkerhet. Ved å gjøre dette kan vi bygge en tryggere digital framtid for alle.
Hvis du har spørsmål eller ønsker mer informasjon om hvordan du skal forholde deg til forordningen om cybersikkerhet, kan du ta kontakt med Com4. Våre IoT-eksperter står klare til å bistå deg med å finne ut av de nye reglene og sørge for at dine IoT-enheter oppfyller de strengeste sikkerhetsstandardene.
