EN SV
standards

IoT cybersikkerhed alt om ETSI EN 303 645

5 minutters læsning
IoT cybersikkerhed alt om ETSI EN 303 645

ETSI EN 303 645 forklaret - grundlæggende, omfang, krav, relation til RED, test og certificering.

Mål og omfang af ETSI EN 303 645

ETSI EN 303 645 blev udviklet specifikt til producenter af IoT-enheder for at understøtte implementering af sikkerhedsforanstaltninger i deres produkter. Standarden er relevant for alle slags IoT-enheder, fra smart home-produkter som termostater og kameraer til større systemer som tilsluttede køretøjer. Dens primære mål er at minimere sikkerhedsrisici og forhindre cyberangreb, der kunne muliggøres af sårbarheder i IoT-enheder.

Nøglekrav i ETSI EN 303 645

Standarden indeholder en række krav, der kan grupperes i flere hovedkategorier:

  1. Ingen universelle standardadgangskoder: IoT-enheder må ikke bruge let gættelige eller gentagelige standardadgangskoder. Hver enhed skal leveres med en unik adgangskode.
  2. Implementering af sikker kommunikation: Alle kommunikationskanaler, der bruges af IoT-enheder, skal krypteres for at sikre dataintegritet og fortrolighed.
  3. Sikre softwareopdateringer: Muligheden for at opdatere software sikkert er et kernekrav. Dette inkluderer mekanismer til at autentificere opdateringer og forhindre angreb via manipuleret software.
  4. Lagring af personlige data: Standarden kræver, at personlige data gemmes og behandles sikkert for at garantere privatliv og datasikkerhed.
  5. Systemer til rapportering af sårbarheder: Producenter skal implementere en procedure til rapportering og håndtering af sikkerhedssårbarheder, så problemer kan løses effektivt og ansvarligt.
  6. Minimal eksponering af tjenester: IoT-enheder bør kun eksponere de tjenester, der er strengt nødvendige for omverdenen for at reducere angrebsfladen.

Betydning og indvirkning af standarden

Indførelsen af ETSI EN 303 645 er et vigtigt skridt mod standardisering af sikkerhedskrav for IoT-enheder. Det hjælper med at styrke forbrugernes tillid til IoT-teknologier og fremmer udviklingen af sikrere produkter. For producenter forbedrer overholdelse af denne standard ikke kun produktsikkerheden, men kan også tjene som en markedsdifferentiator, da sikkerhed bliver et stadig vigtigere salgsargument.

Test og certificering af ETSI EN 303 645

IoT-enheder skal opfylde de grundlæggende sikkerhedskrav i ETSI EN 303 645 for at blive betragtet som sikre. ETSI TS 103 701 giver midlerne til at vurdere denne overholdelse. BSI TR-03173 tilføjer specifikke kriterier, der forbedrer kvaliteten og nøjagtigheden af overensstemmelsesvurderinger.

Forholdet mellem ETSI EN 303645, ETSI TS 103701 og BSI TR-03173.

ETSI EN 303 645 - cyber security for consumer internet of things baseline requirements

ETSI EN 303 645 sætter grundliniekravene for cybersikkerhed af forbrugerorienterede IoT-enheder. Det sigter mod at skabe et sikkerhedsfundament ved at give producenter vejledning om, hvordan de skal designe deres produkter sikkert fra begyndelsen (security by design). Standarden dækker et bredt spektrum af enheder og inkluderer obligatoriske sikkerhedsmekanismer samt yderligere anbefalinger, der kun må fraviges under specifikke omstændigheder.

ETSI TS 103 701 - cyber security for consumer internet of things conformance assessment of baseline requirements

ETSI TS 103 701 kompletterer ETSI EN 303 645 ved at give en testspecifikation for overensstemmelsesvurdering. Denne specifikation inkluderer testcases for hvert sikkerhedskrav og anbefaling fra EN 303 645 og tilbyder en metode til at evaluere, om en IoT-enhed opfylder disse krav. TS 103 701 gør det lettere for producenter og testorganer systematisk at verificere sikkerhedsegenskaberne ved IoT-enheder.

BSI TR-03173 - amendments for conformance assessments

Den tekniske vejledning BSI TR-03173 supplerer ETSI EN 303 645 og ETSI TS 103 701 ved at specificere detaljerede forbedringer til gennemførelsen af overensstemmelsesvurderinger. Disse forbedringer sigter mod at tydeliggøre de mere generiske aspekter af standarden og testspecifikationen, især på områder som brugervenlighed, der kun informativt er dækket i den oprindelige testspecifikation.

Yderligere information om certificering af consumer IoT er tilgængelig fra BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Consumer-IoT/Consumer-IoT.html

Forholdet mellem ETSI EN 303 645 og Radio Equipment Directive (RED)

Delegated Act til Radio Equipment Directive (RED) er en bindende EU-retsakt, der sætter specifikke sikkerheds- og privatlivskrav for radioudstyr. I modsætning hertil er ETSI EN 303 645 en teknisk standard, der giver anbefalinger for cybersikkerhed af IoT-enheder og er ikke juridisk bindende.

ETSI EN 303 645 kan bruges af producenter til at hjælpe med at opfylde kravene i RED Delegated Act, især på området cybersikkerhed for consumer IoT-enheder. Det er dog specifikt rettet mod forbrugerprodukter og er måske ikke egnet til alle produkttyper dækket af RED. Producenter, hvis produkter falder uden for denne kategori, skal overveje andre standarder for fuldt ud at opfylde RED-krav.

Se også artiklerne Radio Equipment Directive og EN 18031 - Den nye serie af standarder for cybersikkerhed i radioudstyr.

Forholdet mellem ETSI EN 303 645 og EN 18031

ETSI EN 303 645 og EN 18031-standardserien kompletterer hinanden i deres tilgange til forbedring af cybersikkerheden af tilsluttede enheder. Mens ETSI EN 303 645 fokuserer på consumer IoT-enheder og definerer grundlæggende sikkerhedskrav, adresserer EN 18031-serien specifikt cybersikkerheden af radioudstyr i konteksten af Radio Equipment Directive (RED).

EN 18031-serien, bestående af flere dele, giver detaljerede tekniske specifikationer for forskellige aspekter af radioudstyrs sikkerhed. Den dækker emner som netværksbeskyttelse, beskyttelse af personlige data og svindelprevention. I modsætning hertil tilbyder ETSI EN 303 645 en bredere, men mindre specifik tilgang for IoT-enheder generelt.

Producenter af IoT-enheder, der også klassificeres som radioudstyr, kan have brug for at overveje begge standarder. ETSI EN 303 645 kan tjene som et udgangspunkt for grundlæggende sikkerhedsforanstaltninger, mens EN 18031-serien tilføjer yderligere, mere specifikke krav for radioaspekterne af en enhed. Sammen danner disse standarder et omfattende ramme for sikkerheden af tilsluttede enheder i Europa.