Brug standarder til at garantere cybersikkerhed i industrielle IoT-produkter
Standarder er et effektivt redskab til at sikre pålidelighed i elektroniske produkter. Men hvilke standarder gælder inden for cybersikkerhed, og hvordan kan du bruge dem?
Hvad kræver det at udvikle solide og salgbare elektronikprodukter?
Udvikling af elektronik er en øvelse i mange forskellige discipliner. At producere et salgbart produkt kræver en solid forståelse for kredsløbsdesign, test, godkendelse, fremstilling og logistik. Cybersikkerhed er et emne, som både producenter og brugere af enheder skal tage højde for.Få styr på den industrielle IoT-sikkerhed fra starten
Det er udfordrende at holde styr på sikkerhedshensyn for de enkelte enheder, at fastlægge krav til hele systemer og at designe sikkerhedsløsninger med komponenter fra forskellige producenter. Hvis brugernes behov ikke er tydelige, kan det være krævende at udvikle specifikke sikkerhedskrav til et produkt.
Sikkerhed er afgørende på det industrielle IoT-område (IIoT), da misbrug af en enhed kan ende katastrofalt for udstyret og de medarbejdere, der er afhængige af det. Producenterne skal implementere processer for cybersikkerhed i udviklingsfasen og designe produkter med fokus på sikkerhed fra starten.
Hvis det først tilføres til et slutprodukt, bliver udviklingen kun mere kompliceret og dyrere. Start altid med at definere de krav, der identificerer det, der skal beskyttes.
Specifikke færdigheder og standarder er med til at beskytte IoT-produkter
Det kan være udfordrende at komme i gang med en IoT-strategi, der skal beskytte produkterne, hvis medarbejderne ikke har de relevante færdigheder.
Derfor kan det være en god idé at starte med en gennemgang af standarder og retningslinjer for grundlæggende produkt-cybersikkerhed – f.eks. ETSI EN 303 645. Denne standard kan danne grundlag for en cybersikkerhedsstrategi og hjælpe producenterne med at implementere værktøjer, som gør det lettere at opretholde produktsikkerheden.
ETSI EN 303 645 indeholder en oversigt over grundlæggende krav, som et produkt skal opfyl-de, f.eks. at enhederne enten skal have unikke standard-passwords eller brugerindstillede passwords, at softwaren skal kunne opdateres, og at følsomme data skal opbevares sikkert.
Krav: Politikker for indberetning af sårbarheder i IoT-produkter skal være offentligt tilgængelige
Et interessant krav er, at man som producent skal have offentligt tilgængelige politikker for indberetning af sårbarheder, som opdages i deres produkter. ETSI EN 303 645-standarden stiller krav om administration af produkters sikkerhed i hele deres levetid og ikke kun tekniske produktkrav.Er en risikobaseret tilgang til cybersikkerhed relevant for dig?
ETSI EN 303 645-standardens tilgang til sikkerhed er "one size fits most" ("en størrelse passer til de fleste"). Standarden er ikke baseret på en bestemt type produkt, og dens krav sigter mod at afhjælpe de mest observerede sikkerhedsproblemer i IoT-produkter på markedet.
Standarder som UL2900-1 og IEC 62443 kan være nyttige, hvis du foretrækker en tilgang, som er baseret på et specifikt produkt. Disse standarder tager udgangspunkt i en risikobaseret tilgang til sikkerhed og kræver, at der udvikles og gennemføres en risikoanalyseproces for produkter, der skal kunne overholde disse standarder.
Fordelen er, at resultatet er en skræddersyet sikkerhedsstrategi for et individuelt produkt. Men om denne tilgang lykkes, afhænger af hvor godt risikoanalyseprocessen udføres og vedligeholdes.
Kend standarderne for industrielle automatiseringssystemer for at opretholde deres cybersikkerhed
IEC 62443-standarden er den ideelle reference for industrielle systemer. Denne standard er udformet med henblik på industrielle automatiseringssystemer – lige fra små PLC'er til hele fabrikker, inkl. processer.
Denne standardserie dækker tre hovedområder:
- Leverandører, der producerer hardware og software
- Integratorer, der sammensætter elementer til hele systemer
- Ejere, der bruger systemerne.
Leverandørerne har standarder, der beskriver, hvordan produkter, der skal indgå i et industrisystem, skal udvikles. Dette omfatter specifikke tekniske krav som f.eks. ingen standard-passwords samt krav til udviklingsprocessen for at fastslå, hvem der er ansvarlig for hvilke sikkerhedsfunktioner, hvilke tests der skal udføres, og hvem der skal udføre dem.
For integratorer er der – ligesom for leverandører – standarder for, hvordan systemer skal designes, og hvilke krav de skal opfylde for at opnå et bestemt sikkerhedsniveau. Her handler det om at anvende krav til specifikke installationer, f.eks. krav til underkomponenter, inddeling af sikkerhedszoner og krav til overgange mellem de forskellige zoner. Her er det vigtigt, at man nemt kan kommunikere, hvilke krav en komponent opfylder.
Dette gøres bl.a. ved hjælp af en Security Level Vector, som beskriver, hvilke sikkerhedsniveauer en komponent kan opnå, såfremt den er konfigureret til dette. Denne vektor gør det lettere for en integrator at afgøre, om en bestemt komponent kan indgå i en specifik applikation.
Det er derved ikke nødvendigt at gennemgå al dokumentation for hver enkelt enhed for at finde komponenter, der potentielt kan klare opgaven.
For ejere omhandler nogle standarder f.eks. hvordan man skal håndtere drift af et system. Disse standarder tager højde for softwareopdateringer, brugere, risikoanalyser etc.
Godkendelsesprogrammer til IEC 62443 øger troværdigheden
Godkendelsesprogrammer til IEC 62443 giver leverandører og integratorer mulighed for at få en tredjepartskontrol af deres systemer og komponenter – ligesom ved "almindelige" produktgodkendelser.
Dette kan øge troværdigheden omkring et produkts sikkerhed og minimere risikoen for, at man fejlagtigt får sendt et fejlbehæftet produkt på markedet.
Cybersikkerhed handler om at overholde krav – compliance
Det giver god mening at betragte cybersikkerhed på lige fod med EMC- og miljøkrav, samt andre krav et produkt skal overholde for at opnå godkendelse. Sikkerhed kan derved håndteres på samme måde som den øvrige compliance.
Det handler altså om at sikre robustheden af et produkt i forhold til det miljø, det skal bruges i. I en verden, hvor cybersikkerhed kun bliver vigtigere, bør denne udfordring tages alvorligt – også inden der kommer lovkrav, som kan blive adgangsgivende for at få et produkt på markedet.
Brug af standarder for at sikre pålidelige IoT-produkter
Vi benytter standarder til mange aspekter inden for produktdesign. De hjælper os med at opretholde en ensartethed, så vi kan sikre, at produkterne er pålidelige, når de kommer ud i verden.
Der er god grund til at anlægge den samme tilgang til cybersikkerhed. I betragtning af de mange IoT-produkter der lanceres, og det stigende antal enheder der er forbundet til internettet, er det i alles interesse at gøre en seriøs indsats for at sikre disse produkters cybersikkerhed. Både så de fortsat kan fungere, og så de ikke kommer til at indgå i angreb på andre systemer.
Få hjælp til at designe, teste, producere og lancere cybersikre IoT-produkter
Standarder er et effektivt værktøj for dem, der udarbejder sikkerhedsstrategier, og for de virksomheder, der skal levere ensartede løsninger på tværs af produktserier.
Standarder hjælper os med at sikre, at vi har en konsekvent tilgang til produktudvikling og opretholder et vist sikkerhedsniveau, der lever op til de forventninger, der måtte være til elektroniske enheder.
Kontakt os for at finde ud af, hvordan vi kan hjælpe dig med at designe, teste, producere og lancere cybersikre IIOT-produkter og -systemer.