Traficom on tänään julkaissut ensimmäisenä viranomaisena Euroopassa kansallisen Tietoturvamerkin. Se takaa, että laitteen pääsynhallinta, käyttäjien tunnistus, datan säilytys ja ohjelmistojen päivitys sujuvat testatusti luotettavalla tavalla.
Merkin kehityksessä oli mukana kolme pilottiyritystä, jotka kertoivat tänään omia kokemuksiaan hankkeesta. Polar Electron strategiajohtaja Marco Suvilaakso (kuvassa vas.), DNA:n kehitysjohtaja Mikko Lietsalmi ja Cozifyn toimitusjohtaja Kimmo Ruotoistenmäki kehuivat kaikki Kyberturvallisuuskeskuksen projektia.
Pilottiyritysten laitteet toki läpäisivät Tietoturvamerkin vaatiman auditoinnin. Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen muistutti, ettei sataprosenttisesti turvallista laitetta olekaan, mutta nyt on haettu suuntaviivat ennen kaikkea sille, että kodeissa yleistyvien IoT-laitteiden tietoturva on tiettyjen vaatimusten mukaisella tasolla.
- Uhat muuttuvat, joten Tietoturvamerkinkin vaatimusten pitää kehittyä. Vaatimustemme pitää olla myös linjassa eurooppalaisten standardien kanssa, jota ETSIssä kehitetään, Eronen sanoi.
Ensimmäisenä merkin käyttöönsä saavista Cozifyn Ruotoistenmäki sanoi, että yritys on jo aiemmin käyttänyt ulkopuolista auditointia tuotteiden tieotturvan testaamiseen. – Tämä on pakottanut meille security by design -filosofian, jossa tietoturva on mukana suunnittelun alusta asti. Meidän pitää esimerkiksi pystyä tarvittaessa päivittämään kaikki asiakkaidemme laitteet tunnin sisällä, Ruotoistenmäki kuvasi.
DNA:n Lietsalmi ja Polarin Suvilaakso komppasivat. Molemmat muistuttivat, ettei mikään laite ole erillinen vaan niiden mukana tulee kokonainen ekosysteemi. Tämä asettaa tietysti isoja vaatimuksia tietoturvalle: datan pitää olla turvassa, vaikka se makaisi kaupallisen pilvipalvelun servereillä.
Traficomin myöntämä Tietoturvamerkki maksaa 350 euroa vuodessa. Sen päälle tulevat auditointikustannukset, jotka yritys joutuu maksamaan todennäköisesti ulkopuoliselle testausyritykselle. Traficom ei ryhdy auditointipalvelujen tuottajaksi.
Cozifyn Ruotoistenmäki muistutti, ettei tietoturvasertifiointi ole mikään lisäkustannus laitevalmistajalle. – Jos haluaa tuotteensa vakavasti markkinoille, sertifiointi on lisäarvo.