RUTRONIK GmbH
Avtor: Kerstin Naser, vodja izdelkov za brezžičnega omrežja pri podjetju Rutronik
Brezžične komunikacijske tehnologije, kot je 5G, in digitalizacija prinašajo vedno več naprav v internet. Kljub vsem prednostim pa to pomeni tudi večji dostop do osebnih podatkov in s tem naraščajočo nevarnost kibernetskih napadov. Proizvajalci se zato vprašanju varnosti v povezanem svetu ne morejo izogniti.
Aprila 2023 sta Netgear in Bitdefender predstavila poročilo o varnostni situaciji na področju sistemov IoT »2023 IoTSecurityLandscapeReport«. V ta namen so analizirali 2,6 milijona gospodinjstev po vsem svetu, ki imajo naprave za pametni dom z varnostnimi rešitvami »Netgear Armor powered by Bitdefender«. Rezultat: Skupaj približno 120 milijonov IoT naprav je leta 2022 zabeležilo dobrih 3,6 milijarde varnostnih dogodkov. Kibernetski napadi vsak dan povprečno prizadenejo osem pametnih domov.
Najbolj priljubljena vrata v domače omrežje so bili pametni televizorji, 52 % (slika 1). Daleč za njimi so nato pametne vtičnice (13 %), usmerjevalniki (9 %) in pametni snemalniki slike (8 %).
Poročilo jasno kaže ogromno varnostno tveganje, ki ga predstavljajo IoT naprave na področju pametnega doma. Če pomislimo še na to, da je zaradi nagle rasti domačih pisarn zaradi koronavirusa v omrežju poleg pametnega televizorja pogosto tudi prenosnik s podatki podjetja, je jasno, da to predstavlja visoko varnostno tveganje tudi za podjetja. To kaže tudi poročilo CONCORDIA (Cybersecurityc Ompete NCE for Researchan Dinnovation), za katerega je evropski konzorcij univerz in podjetij preučil, kako je covid-19 vplival na kibernetsko varnost. Poročajo, da se kiberkriminalci zatekajo k preverjenim načinom delovanja in družinam zlonamerne programske opreme, s katerimi izkoriščajo družbene spremembe, nujne službe in ozka grla, ki jih je povzročila pandemija. To naj bi zadevalo tudi povečano rabo digitalnih storitev in šibko zaščitenih zasebnih naprav IT, kot so usmerjevalniki WLAN v okoljih pametnega doma.
Poročilo nemškega Zveznega urada za informacijsko varnost (BSI) »Stanje varnosti IT v Nemčiji 2022« ima podobne zaključke: »Na splošno so se že tako napete razmere v obdobju poročanja [od 1. junija 2021 do 31. maja 2022] še poslabšale. Ogroženost v kibernetskem prostoru je zdaj večja kot kadarkoli do zdaj.«
To povečuje odgovornost proizvajalcev naprav, ki so povezane z internetom, da v svoje izdelke vključijo zadostne varnostne mehanizme.
Zahteve Direktive o radijski opremi
Direktiva o radijski opremi 2014/53/EU velja za skoraj vse naprave, ki delujejo z radijskimi signali. Predstavlja regulativni okvir za zagotavljanje trga in uporabe radijske opreme z namenom omogočanja prostega pretoka blaga znotraj držav članic. Predpisi vključujejo na primer »primerno raven elektromagnetne združljivosti« ali »učinkovito in gospodarno rabo radijskih frekvenc za preprečevanje radijskih motenj«. Poleg tega ne smeta biti ogrožena zdravje in varnost uporabnikov. Vendar pa so te osnovne zahteve Direktive do zdaj veljale le za naprave, ki niso povezane z internetom.
Zaradi tega je Evropska komisija Direktivo o radijski opremi januarja 2022 dopolnila s členi 3.3 d), e) in f). Ti urejajo zaščito omrežja, zaščito uporabnikov in zaščito pred goljufijami za naslednje izdelke:
3.3 d) vse naprave, ki lahko neposredno ali posredno same komunicirajo z internetom;
3.3 e) vse naprave, ki lahko obdelujejo osebne podatke:
naprave, ki so povezane z internetom;
radijske naprave za oskrbo otrok ali igrače (Direktiva 2009/48/ES);
prenosne radijske naprave (nosljive);
3.3 f) Vse naprave, povezane z internetom, ki se uporabljajo za prenos denarja, denarnih vrednosti ali navideznih valut.
Za te skupine izdelkov je opredeljen niz varnostnih zahtev. Nekaj primerov:
Izdelki, ki spadajo pod člen 3.3 d), morajo npr. biti standardno in konstrukcijsko zavarovani ter opremljeni z najnovejšo programsko in strojno opremo v času dajanja na trg.
Vse naprave, opredeljene v členu 3.3 e), morajo npr. med zagonom izvajati preverjanje celovitosti programske in vgrajene programske opreme, da lahko ob poslabšanju stanja o tem pravočasno opozorijo uporabnike.
Pri napravah, ki spadajo pod 3.3 f), je treba med drugim zagotoviti, da so dodeljene le ustrezne pravice dostopa do finančnih podatkov.
Za vse izdelke, ki spadajo v eno od teh treh kategorij, morajo biti vsi shranjeni, poslani, prejeti ali kako drugače obdelani podatki za dostop zaščiteni pred nepooblaščenim shranjevanjem, obdelavo, dostopom ali razkritjem.
Vendar pa obstajajo tudi internetne naprave, za katere ti členi Direktive ne veljajo: Drugi predpisi EU veljajo za medicinske pripomočke in diagnostiko in vitro, civilno letalstvo, elektronske sisteme cestninjenja ter motorna vozila in priklopnike, vključno s sistemi, deli in neodvisnimi tehničnimi enotami za varnost ter zaščito potnikov in udeležencev v prometu.
Čeprav je bilo aprila 2023 odločeno, da bo začetek veljavnosti Direktive o radijski opremi prestavljen za eno leto, bi se morali proizvajalci zadevnih izdelkov na to vseeno pripraviti že prej. Izdelke, ki so na novo odobreni ali pridejo na trg EU od 1. avgusta 2025, je treba preizkusiti skladno z novimi zahtevami za kibernetsko varnost, ki jih predpisuje Direktiva. Vsa odobrena preizkusna središča v EU so javno navedena tukaj.
Proizvajalci morajo podati tudi izjavo o skladnosti z Delegirano uredbo EU 2022/30 (dopolnilo Direktivi 2014/53/EU Evropskega parlamenta). Skladno z zgoraj omenjeno klasifikacijo to velja zlasti za pametne telefone in prenosne računalnike, pa tudi za različne sisteme pametnih domov ter pametnih stavb, kot so alarmni sistemi in kamere, pa tudi naprave za spremljanje dojenčkov ali nosljive naprave z občutljivimi podatki o položaju ali zdravju.
14 Osnovne varnostne zahteve
Osnovne varnostne zahteve za potrošniške IoT naprave so podrobneje opredeljene v evropskem standardu ETSI EN 303 645 V2.1.0. Zajema naslednjih 14 osnov:
- Prepoved privzetih gesel
- Upravljanje oz. proces za prijavljanje varnostnih vrzeli in aktivni nadzor varnosti
- Posodobitve programske opreme
- Varno shranjevanje kritičnih varnostnih parametrov
- Varna komunikacija
- Zmanjšanje izpostavljenosti na minimalno raven
- Integriteta programske opreme
- Varnost lastnih in drugih osebnih podatkov
- Odpornost proti izpadom
- Nadzor podatkov telemetrije
- Preprosto brisanje uporabniških podatkov
- Preprosta vgradnja in vzdrževanje
- Potrjevanje vnesenih podatkov
- Varstvo osebnih podatkov
Na podlagi ustrezne specifikacije preizkusov »Cyber Securityfor Consumer Internet ofThings: Conformance Assessmentof Baseline Requirements« (ETSI TS 103 701) lahko proizvajalci s samopreizkušanjem ali pri preizkusnem organu preverijo, ali njihovi izdelki izpolnjujejo zahteve in priporočila standarda.
Varnostna integrirana vezja povečujejo varnost
Večina naprav je opremljena z zaščitnimi mehanizmi in tehnologijami šifriranja, ki se izvajajo s programsko opremo. Vgradnja strojnega varnostnega integriranega vezja (Hardware Security IC) (slika 2) zagotavlja dodatno zaščito pred kibernetskimi napadi. Ta integrirana vezja so zaščitena pred nedovoljenimi posegi in zavarovana pred fizičnimi napadi z aktivnim oklopom, naključno postavitvijo ter mehanizmi, ki takoj prekinejo delovanje ob nenavadnih dogodkih. Omogočajo tudi varen zagon in posodobitve vgrajene programske opreme ter tako prispevajo k varnosti terminalske naprave (Endpoint). Poleg tega ločena varnostna integrirana vezja zagotavljajo večjo zmogljivost mikrokontrolerja, saj mu ni več treba izvajati zapletenega šifriranja in dešifriranja.
Podjetje Rutronik ponuja takšna strojna varnostna integrirana vezja podjetja Infineon s serijo OPTIGA. Proizvajalec je vključen tudi v delovno skupino Comité Européen de Normalization Electrotechnique (CENELEC, Evropski odbor za standardizacijo v elektrotehniki), ki je odgovorna za standardizacijo funkcij za zaščito varnosti in zasebnosti, ki jih predpisuje Uredba o radijskih napravah. Posledično je podjetje Infineon že zdaj dobro opremljeno za skladnost s predpisi. Poleg tega podjetje podpira svoje stranke, na eni strani z družinami izdelkov OPTIGA, na drugi strani pa s komercialnimi izdelki Infineon, ki se prodajajo v EU, kot so enote WLAN in Bluetooth, s katerimi bo mogoče pravočasno izpolniti zahteve zaradi spremembe Uredbe.
Serija OPTIGA Trust vključuje izdelke na ključ za manjše platforme in programabilne rešitve, ki izpolnjujejo zahteve po meri na področju vgrajenega overjanja ter zaščite blagovnih znamk.
Serija OPTIGA Trusted Platform Module (TPM) vključuje standardizirane varnostne krmilnike, ki varujejo celovitost in overjajo naprave ter sisteme v omrežjih vgrajenih naprav. Krmilniki temeljijo na preverjenih tehnologijah in podpirajo najnovejši standard TrustedComputingGroup (TCG) TPM 2.0 ter posebne vgrajene certifikate, varnostne certifikate (CC in FIPS) ter različne algoritme šifriranja. Prav tako so zaščiteni pred nedovoljenimi posegi. To zagotavlja varno shranjevanje varnostnih ključev, potrdil in gesel ter omogoča namensko upravljanje varnostnih ključev.
Serijo OPTIGA Connect sestavljajo vgrajene rešitve SIM (eSIM) na ključ, na eni strani za potrošniške naprave in na drugi strani za IoT naprave z mobilno radijsko povezavo. OPTIGA ConnectConsumer je rešitev eSIM posebej za majhne naprave, kot so pametne ure ali naprave za beleženje podatkov o telesni dejavnosti. S tem jih varno overi pri naročenem omrežnem operaterju. Funkcija za daljinsko pripravo kartice SIM (Remote SIM Provisioning – RSP) omogoča uporabnikom, da brezžično spremenijo ali dodajo svojega mobilnega ponudnika, dokler ima naprava krajevnega pomočnika za profil (LPA). Rešitev za potrošnike je v celoti skladna z najnovejšimi specifikacijami združenja Global Systemfor Mobile Communications Association (GSMA) (SGP.22 V2.2.2) in združenja Trusted Connectivity Alliance (eUICC Profile Package V2.3.1).
Serija OPTIGA ConnectIoT ima vnaprej nameščen operacijski sistem, združljiv z GSMA, in vnaprej integrirane funkcije za povezovanje. Sodelovanje podjetja Infineon s podjetjem Tata Communications zagotavlja globalno pokritost mobilnih omrežij (2G, 3G, 4G, CATM in druge storitve LTE) z več kot 640 omrežji v 200 državah. Serija OPTIGA ConnectIoT vključuje tudi strojno opremo eSIM s potrdilom po merilih Common Criteria EAL5+.
Za brezstično plačevanje s kreditnimi karticami, pametnimi telefoni ali celo zapestnicami ali prstani, ki so v razcvetu že vsaj od epidemije, ponuja podjetje Infineon rešitve za varno komunikacijo v bližnjem polju (Near FieldCommunication – NFC) z družino izdelkov SECORA (slika 3). Družina vključuje štiri rešitve: Rešitev Java Card s prvovrstno varnostjo za izvedbo sistemov z veriženjem blokov, na uporabo pripravljena rešitev Java Card, optimizirana za elektronsko identifikacijo (eID), sistemska rešitev za pametne nosljive naprave z brezstičnimi aplikacijami za plačevanje, vstopnice ali dostop z vmesnikom NFC in prilagodljiva rešitev s celovito podporo za vse od vizitk do pametne opreme za plačevanje.
