Cybersikkerhed: IoT-produkter med standarder

Standarder er et brugbart værktøj til at sikre pålideligheden i et elektronikprodukt. Men hvilke standarder findes der når man snakker cybersikkerhed? Og hvordan kan vi bruge disse bedst muligt?

Der kan næppe herske nogen tvivl om, at udvikling af elektronik er en øvelse i at beherske mange forskellige discipliner. Emner som kredsløbsdesign, test, godkendelser, produktion og logistik er noget, man er nødt til at have styr på for at have et produkt, der kan sælges. Hertil er cybersikkerhed, for mange, noget som man også bliver nødt til at tage stilling til både som producent og i den grad som bruger af disse.

I takt med at behovet for at kunne fjernstyre produkter og opbygge kontrolsystemer med mange forskellige leverandører stiger, kan det være en alvorlig udfordring for en systemejer at holde styr på, hvordan sikkerheden ser ud for hver enkelt komponent, samt hvilke krav der skal stilles, når det overordnede system skal designes.

Ligeledes kan det være en stor udfordring for producenter at designe sikkerhedsløsninger, da det kan være svært at konkretisere krav til sikkerhed for et produkt, hvis det ikke er klart, hvad behovet hos brugerne er.

Håndtering af cybersikkerheden

Det kan være en udfordring – specielt for mindre virksomheder – at komme i gang med en strategi for at beskytte sine produkter, hvis man ikke allerede har medarbejdere med de relevante kompetencer.

Her kan det være oplagt at tage fat i nogle af de standarder og guidelines, der findes, for at opnå en basal cybersikkerhed i produktet, fx ETSI EN 303 645. Denne standard kan danne et fornuftigt grundlag for en cybersikkerhedsstrategi og hjælpe producenten med at implementere værktøjer, der kan gøre det lettere for producenten at vedligeholde produktsikkerheden.

ETSI EN 303 645 angiver en række basale krav, som produktet skal leve op til. Det kunne for eksempel være krav om, at kodeord ved ibrugtagning enten skal være unikt for hver enkelt enhed eller defineres af brugeren, at software skal kunne opdateres, eller at følsomme data skal gemmes sikkert.

Standarder til industrielle automationssystemer

For industrielle systemer er IEC 62443-serien oplagt at tage fat i. Standarden tager specifikt udgangspunkt i industrielle automationssystemer – helt nede fra enkelte elementer som PLC’er og op til hele fabrikker -inklusive processer.

Der findes efterhånden en del godkendelsesprogrammer til IEC 62443. Disse gør det muligt at få en tredje part til at gennemgå systemer og komponenter ligesom ved ”almindelige” produktgodkendelser, hvilket kan hjælpe med at højne troværdigheden omkring sikkerheden i et produkt, samt minimere risikoen for at man fejlagtigt får sendt et fejlbehæftet produkt på markedet.

Hvad med godkendelser?

Fra et godkendelsesperspektiv kan det altså give god mening at sidestille cybersikkerhed med blandt andet EMC- og miljøkrav, som et produkt skal overholde, og derved håndtere sikkerhed på samme måde som man håndterer den øvrige compliance.

Dette handler altså om at sikre robustheden af et produkt i forhold til det miljø, det skal bruges i. I en verden hvor cybersikkerhed kun bliver vigtigere, er det nødvendigt at tage denne udfordring seriøst, også inden der kommer deciderede regulatoriske krav, som kan blive adgangsgivende for at få et produkt på markedet.

Læs mere om cybersikkerhed i den fulde artikel her

Foto: FORCE Technology