Tutkimusten mukaan tietoturva on ollut esineiden internetiin kytkettyjen laitteiden Akilleen kantapää. Tyypillisesti laitteissa ei oletuksena ole suojausta ja jos on, se perustuu hyvin helposti oletettaviin salauksiin. Nyt tilanne on muuttumassa paremmaksi, kertoi Etteplanin Antti Tolvanen Embedded Conference Finland -tapahtumassa.
Tolvanen toimii Etteplanilla sulautettujen ratkaisujen myyntijohtajana. IoT-kyberlainsäädäntö on vielä aika tuore ilmiö, kuten Tolvanen muistutti. – Euroopan komission hyväksyi unionin kyberturvalain maaliskuussa 2019. Sen sisällä kehitetään sekä kyberturvan sertifiointiohjelmat että kuluttajille suunnattu IoT-standardi, joka hyväksyttiin helmikuussa.
EU:n kyberturvalainsäädäntö ratifioitiin maaliskuussa. Käytännössä EU:n kyberturvallisuusvirasto ENISA laatii sertifiointiohjelmat, joiden perusteella eri verkkolaitteille myönnetään kyberturvallisuussertifikaatit. Tavoite on yksinkertaisesti suojata EU:ta ja sen kansalaisia kyberhyökkäyksiltä.
Keskeistä on korvata EU:n erilaiset kansalliset kyberturvasäädökset yhdellä, kaikkia koskevalla regulaatiolla. Aluksi sertifiointi on säädetty vapaaehtoiseksi, mutta komissio seuraa asiaa ja sen perusteella päättää, pitää asia määrätä pakolliseksi lainsäädännöllä.
- Laitevalmistajien kannalta regulointi tarkoittaa, ettei laitteita tarvitse erikseen sertifioida eri maiden vaatimusten mukaisesti. Tämä voi maksaa kussakin maassa jopa satojatuhansia euroja. Yhdessä maassa saatu kyberturvasertifikaatti olisi pätevä myös muissa EU-maissa, Tolvanen selvitti.
EU-asetus määrää IoT-laitteiden osalta esimerkiksi sen, että niiden sisältämä data pitää suojata laitteen koko elinkaaren ajan. Laitteiden pitää pystyä myös seuraamaan, ketkä kaikki pääsevät kiinni sen dataan ja ohjelmistoihin. Edelleen laitteiden raudan ja ohjelmistojen pitää olla ajan tasalla: päivitysmekanismit pitää niin ikään suojata vahvasti.
Tolvasen esitys löytyy täältä. Keynote-puhe löytyy videona ECF-tapahtuman Youtube-kanavalta.