EU-rådet med klar besked: Der mangler ensartet europæisk sikkerhed for 'connected devices'

EU-rådet retter i sine seneste konklusioner fokus mod fælles standarder for sikkerheden på IoT-devices Illustration: tanaonte, BigStock
Med et støt stigende antal forbundne enheder er der behov for en europæisk standard for sikkerheden, lyder det fra EU-rådet.

Forbrugerne og industrien binder sig i stigende grad op på enheder, der er forbundet til internettet. Bevægelsen mod en større grad af opkobling af ting og sager til internettet kommer til at spille en helt afgørende rolle i skabelsen af fremtidens Europa, både når det kommer til erhvervslivet og borgernes private tilværelse - men det stiller krav til sikkerheden.

Sådan lyder beskeden fra EU-rådet, der forleden udsendte en række konklusioner om emnet.

Konklusionerne kredser om, at it-sikkerheden inden for IoT er et helt afgørende emne, med henblik på at skubbe EU's egen IoT-industri frem i den globale konkurrence.

EU-rådets opgave er udstikke den generelle kurs for unionen, og her mener man altså, at det er afgørende, at sikkerheden følger med, når IoT-enheder udbredes.

Konkret stiller det ifølge rådet krav til, at it-sikkerhed og privacy både tænkes ind fra begyndelsen som en essentiel del af produktudviklingen, men også, at det tages med i overvejelserne i forhold til hele produktets livscyklus.

Men det er ikke nok at overveje, hvorvidt sikkerheden skal tænkes ind i produkternes levetid. I EU-rådet bakker man derfor op om de initiativer, som ENISA (European Network and Information Security Agency .red) for tiden arbejder på i form af fælles europæiske skitser for sikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Erik Andersen

De forbundende enher må antages at kommunikere over internettet. Skal disse have en sikker kommunikation (autensitet, integritet og muligvis hemmeligholdes) så kræver det international cyber sikkerhedsstandarder, som i stor udstæktning ikke findes eller er for dårlige.

Danske myndigheder ignorere dette problem totalt. Center for Cybersikkerhed (CFCS) svigter groft sit ansvar her. Dansk Standard har ingen aktiviteter på området.

Jeg er heller ikke min fornemmelse, at Version2 tager dette alvorligt.

Erik Andersen era@x500.eu

  • 0
  • 0
#2 Lone Bech

Manglende led i Dansk Cyber forsvar...heller ikke min fornemmelse, at Version2 tager dette alvorligt.

V2 har skrevet noget herom tidligere (hvis det er dækning, du efterlyser), fx: https://www.version2.dk/artikel/ny-standard-skal-rette-paa-pivringe-sikk...

https://www.version2.dk/artikel/sikkerhedsekspert-iot-asbest-20-aar-vil-...

Men som ikke-kyndig mangler jeg et overblik, altså en systematisk, dækkende og læselig ovesigt de aktuelle IoT-sikkerhedsproblemer. (Eller er dette noget en typisk V2-læser formodes at have fuldstændig styr på :-? Findes dette meget gerne et link dertil).

Kan man regne med at Iot-problemerne så håndteres tilstrækkelg af fx EU-rådets konkrete anbefalinger?

https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en...

  • 0
  • 0
#3 Erik Andersen

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige. Jeg har taget nogle få af de udmærkede "provisions" som eksempler, specielt de som relaterer sig til kryptografiske algoritmer:

Provision 5.1-3 Authentication mechanisms used to authenticate users against a device shall use best practice cryptography, appropriate to the properties of the technology, risk and usage.

Provision 5.1-5 When the device is not a constrained device, it shall have a mechanism available which makes bruteforce attacks on authentication mechanisms via network interfaces impracticable.

Provision 5.3-7 The device shall use best practice cryptography to facilitate secure update mechanisms.

Provision 5.8-1 The confidentiality of personal data transiting between a device and a service, especially associated services, should be protected, with best practice cryptography.

Provision 5.8-2 The confidentiality of sensitive personal data communicated between the device and associated services shall be protected, with cryptography appropriate to the properties of the technology and usage.

Specielt er "best practice cryptography" nævnt flere gange, hvilket er en udmærket formulering, da formålet med denne norm ikke er at nævne specifikke kryptografiske algoritmer, men det leder til spørgsmålet: Hvordan sikrer vi, at produkterne (brugerudstyr og IoT enheder) understøtter sikre kryptografiske algoritmer og disse algoritmer er korrekte implementerede?

Kryptografiske algoritmer anvendes fx for kryptering/dekryptering af meddelelser og for generering/verificering af digitale signaturer, dvs. de anvendes i kommunikation mellem enheder. Kommunikation mellem enheder kræver internationale standarder, som i detaljer beskriver semantik og syntaks for kommunikationen. Hvordan sikre man at krypteringsnøglen er den samme i begge ender af kommunikationen? Hvordan sikre man, at nøglerne er forskellige for de forskellige kommunikationskanaler? Hvilke krypteringsalgoritmer skal understøttes? Hvordan forhandler man hvilke algoritmer, der skal benyttes? Hvordan håndterer man migrering til nye og mere kraftige algoritmer? Mange af de samme spørgsmål kan stilles til brugen a digitale signaturer og dertil nogle nye: Er der specielle krav til certifikater? Er der behov for specielle navnestrukturer? Osv. osv.

Alle disse spørgsmål skal besvares gennem detaljerede specifikationer i den pågældene standaerd.

Selv er jeg medlem af Dansk Standards udvalg S-557, og er den eneste, der beskæftig sig smart grid cyber-sikkerhedsstandarder, et enormt område. Jeg deltager som eneste dansker i sikkerhedsarbejde i ITU-T study group 17, hvor jeg bl.a. er project editor for X.509 og nu også X.510. Jeg har stort set været ene om den, selv internationalt.

Jeg har lavet mange notater i de forløbne år. Se fx The imitation game og IT-sikkerhedsstandardisering.

Erik Andersen era@x500.eu

  • 0
  • 0
Log ind eller Opret konto for at kommentere