IoT: EU tager første skridt mod aflivning af wild west-tilstand

Illustration: Taiga/Bigstock
EU-Parlamentet, EU-Kommissionen og Rådet er nu enige om en ny cybersikkerhedspakke, der sætter gang i udviklingen af fælleseuropæiske sikkerhedscertificeringer af forbundne Internet of Things-enheder.

Lyskryds i trafikken, der står åbne for hackere, pacemakere, der aldrig bliver sikkerhedsopdateret, og sårbarheder i IoT-styresystemer.

Det er bare nogle af de problemer, som mange Internet of Things-enheder og -services kæmper med. I dag er det meget forskelligt, hvordan IoT-produkter bliver godkendt i forskellige EU-lande, og som forbruger kan det være næsten umuligt at være sikker på, at man køber produkter, hvor sikkerheden er tænkt ind i produktet, eller at producenten bag løbende vil sikkerhedsopdatere produktet.

Nu er EU-Parlamentet, EU-Kommissionen og Ministerrådet, også kaldet Rådet, blevet enige om en fælles cybersikkerhedspakke, som tager det første skridt mod en regulering af sikkerheden i IoT-produkter og -services.

»Det har højeste prioritet for EU at øge Europas cybersikkerhed og at øge borgernes og erhvervslivets tillid til det digitale samfund. Cyberangreb som Wannacry og NotPetya har fået alarmklokkerne til at ringe, fordi de viste, hvor store konsekvenser omfattende cyberangreb kan have. I det lys er det min stærke overbevisning, at aftalen både forbedrer EU's generelle sikkerhed og fremmer erhvervslivets konkurrenceevne,« siger kommissær med ansvar for den digitale økonomi og det digitale samfund Mariya Gabriel i en pressemeddelelse.

Læs også: Professor: Medikoindustrien forsømmer at sikre hospitalsudstyr mod hacking

Sikkerheden skal indbygges fra start

Den nye cybersikkerhedsaftale skaber en rammeaftale for europæiske cybersikkerhedscertifikater for produkter, processer og services.

»Det er et grundlæggende nybrud, da det er den første indre markedslov der skal styrke sikkerheden i forbundne produkter, både Internet of Things-enheder såvel som kritisk infrastruktur gennem sådanne certifikater,« skriver EU-Kommissionen.

Etableringen af sådan en certificeringsaftale indenfor cybersikkerhed betyder, at sikkerhed skal indarbejdes allerede i den tekniske design- og udviklingsfase, også kendt som security by design.

Læs også: It-ansvarlige: Der er for lidt styr på sikkerhed omkring Internet of Things

Certifikater fortsat frivillige

I dag findes der ikke et fælles europæisk cybersikkerhedsprogram, der kan bruges til at certificere produkter, som er udviklet efter security by design-principper. Det er op til de enkelte EU-lande, hvordan den godkendelse finder sted.

Det kommende certificeringsprogram forankres i Cybersecurity Agency, ENISA, som i samme aftale er blevet til en permanent EU-myndighed. Indtil denne uge var ENISA nemlig sat til at blive lukket ned i 2020.

»Brugen af certificeringsordningen vil være frivillig, medmindre fremtidig EU-lovgivning angiver, at et EU-certifikat er obligatorisk for at overholde et specifikt cybersikkerhedsbehov,« har EU-Kommissionen tidligere udtalt i forbindelse med fremlæggelsen af forslaget til certificering af cybersikkerhed.

Læs også: EU-Kommissionen vil bruge 15 milliarder på cybersikkerhed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten R

Det er godt at EU tager initiativ til at få styr på data sikkerheden ved IoT.
Lille Danmark har ikke magt til selv at gennemføre regulering af sikkerheden på dette område, ligesom med GDPR.
På nogle områder har den visse politikere heller ikke lyst til at gennemføre regler, der beskytter mod overvågning. Se bare reglerne med telelogning, hvor frygten for terror får politikere til at se stort på borgernes retssikkerhed.

  • 1
  • 0
Bjarne Nielsen

Jeg havde egentlig bidt mig i tungen her, men OK, nu hopper jeg alligevel ind i debatten. Og lad og lige definere "sikkert", som "sikkert nok givet det konkret trusselsbillede".

For i det hele taget at orke diskutere sikkerhed uden opdateringer, så må vi forudsætte, at net-opkoblingen bidrager med væsentlig funktionalitet, for ellers er det bedre bare at lodde netstikket af og klippe antennen, end at diskutere opgradering/ikke-opgradering.

Derefter er det tydeligt, at jo længere noget skal kunne holde, førend det beviseligt holder op med overhovedet at kunne noget-som-helst, jo sværere er det at lave det sikkert, hvis man ikke giver mulighed for opdateringer.

Samtidigt, så bliver det voldsomt meget sværere, jo mere kompliceret en opgave, man tager på sig. Og hvis der er tale om en eller flere "general purpose" dims(-er) indeni, så er der så meget mere, som kan gå galt, og så meget mere brug for at kunne lappe.

Og så skal vi overveje, hvor simpelt vi kan tillade os at gøre det, førend det falder ud af definitionen for IoT. Er det RFID tag kompliceret nok til at tælle med?

Så for at svare på Peters spørgsmål, så ja, måske, men kun under ganske specifikke forudsætninger, som måske ikke er vanvittigt realistiske. Og måske er det allerede gået galt, når dimsen kan forstå "internetsk", hvilket må siges at være en definitorisk forudsætning (ellers er det ikke IoT).

  • 0
  • 0
Christian Nobel

Og måske er det allerede gået galt, når dimsen kan forstå "internetsk", hvilket må siges at være en definitorisk forudsætning (ellers er det ikke IoT).

Og det er måske mere den grundliggende præmis der skal diskuteres meget mere - nemlig, skal alting med djævlens vold og magt overhovedet på internettet?

Det er sådan set lidt analogt med den almindelige digitaliseringsforhippelse - nemlig, skal vi partout digitalisere hvad som helst udelukkende for digitaliseringens skyld (eksempelvis kørekort)?

Det næste vi skal have defineret er om det overhovedet er nødvendigt at IoT'ficere eksempelvis sensorer på et datanetværk, eller om den eneste måde at de kan tilgås er lokalt, eller kun gennem en styringsenhed som vender ud mod det store stygge net (og det er helt med vilje jeg taler om styringsenhed og ikke bare firewall).

  • 4
  • 0
Log ind eller Opret konto for at kommentere