I visited Embedded Conference Finland 2022 this week few days ago. Here are some picks from the cyber security info shown at conference.
Embedded cyber security is a horizontal legal requirement in EU by end of 2024
Antti Tolvanen, Sales Director, Etteplan
Post-quantum cryptography: The current status and future consequences
Kimmo Järvinen, CTO, Xiphera
Preparing for an uncertain regulatory future in IoT security
Sigurd Hellesvik, Application Engineer, Nordic Semiconductor
Cyberwarfare in Finland: The cyber security situation in Finland during the Ukrainian war and what kind of intelligence is needed.
Pertti Jalasvirta, Partner, CyberWatch Finland
There was an interesting mobile communications trends presentation 4G-5G & Wireless IoT devices – a Technical-Commercial peek by Hans Andersson, Sales manager, Acal BFi. You can download the slides.
I have written about new embedded card information given at Technology Trends with Embedded Computers by Timo Poikonen, key account manager, congatec presentation in Finnish at https://www.uusiteknologia.fi/2022/09/07/ecf22-uusia-korttistandardeja-ja-tietoturvahaasteita/
News from the event at ETN magazine:
https://etn.fi/index.php/72-ecf/13979-ecf22-laepinaekyvae-oled-paneeli-ymmaertaeae-kosketusta
https://etn.fi/index.php/72-ecf/13970-ecf22-kvanttiuhka-tuo-hybridisalauksen
11 Comments
Tomi Engdahl says:
https://etn.fi/index.php/72-ecf/13987-ecf22-eu-tiukentaa-kyberturvavaatimuksia-osasta-reitittimiae-tulee-laittomia
Tomi Engdahl says:
https://etn.fi/index.php/72-ecf/13983-ecf22-kaennykkaeverkkojen-iot-mullistuu-2024
Tomi Engdahl says:
ECF22: EU tiukentaa kyberturvavaatimuksia – osasta reitittimiä tulee laittomia
https://etn.fi/index.php?option=com_content&view=article&id=13987&via=n&datum=2022-09-12_15:19:35&mottagare=30929
Tomi Engdahl says:
ECF22 Etteplan keynote – Antti Tolvanen
https://www.youtube.com/watch?v=iMO2Xbk5np8&t=3s
By the end of 2024 cyber security will be a legal requirement in EU.
Tomi Engdahl says:
ECF22: EU tiukentaa kyberturvavaatimuksia – osasta reitittimiä tulee laittomia
https://etn.fi/index.php/72-ecf/13987-ecf22-eu-tiukentaa-kyberturvavaatimuksia-osasta-reitittimiae-tulee-laittomia
Euroopan Unioni on jo lähivuosina ottamassa käyttöön tiukentuvia kyberturvavaatimuksia. Uusia määräyksiä esitteli kattavasti Etteplanin myyntijohtaja Antti Tolvanen Embedded Conference Finland -tapahtumassa. Määräyksillä voi olla yllättäviä seurauksia, sillä esimerkiksi Kiinassa valmistettavia wifi-reitittimiä ei enää saa tuoda EU:n alueelle, jos ne eivät täytyy uusien määräysten vaatimuksia.
2019 EU hyväksyi kyberturvalainsäädännön monine sertifiointiohjelmineen, joissa tarkoitus oli siirtyä jäsenvaltiokohtaisista sertifioinneista koko EU:n kattaviin sertifikaatteihin. Tämä hanke on pääosin epäonnistunut, sillä jäsenvaltioiden omat sertifiointiviranomaiset ovat pitäneet tiukasti kiinni omista valtuuksistaan.
- Nyt NIS2 (Network and Information System Directive 2) on käytännössä siirtänyt tämän lain historiaan yhdessä tuotteiden turvallisuutta koskevan uuden sääntelyn kanssa, Tolvanen kertoi.
NIS2-direktiivistä päästiin käytännössä sopuun kesällä. Parlamentti äänestää direktiivin sisällöstä lokakuun 22. päivä ja säännöstö julkistetaan todennäköisesti vuoden 2023 alussa. – Tämän jälkeen jäsenvaltiot sisällyttävät NIS2:n omaan lakiinsa 21 kuukauden kuluessa, Tolvanen selventää.
NIS2 määrää, että kaikkien toimijoiden – NIS2 puhuu olennaisista ja tärkeistä ”entiteeteistä” – täytyy vastata uusiin vaatimuksiin. Määräykset koskevat käytännössä kaikkia verkkoon liitettyjä laitteita, jotka käyttävät jonkinlaista ohjelmistoa käsittelemään digitaalista dataa. – Siis kaikkea, mitä sulautettujen laitteiden suunnittelijat suunnittelevat, Tolvanen tarkensi.
NIS2-direktiivin artikkeli 18 määrää esimerkiksi, että kaikkien toimijoiden täytyy vastata informaatiojärjestelmien turvallisuuden hallintamäärityksiin (ISMS), sekä tiukkoihin laitekehityksen ja ylläpidon vaatimuksiin. Tämä koskee paitsi laitevalmistajia, myös heidän alihankkijoitaan. Myös ohjelmistoalihankkijoita.
- Sulautettujen laitteiden näkökulmasta NIS2 tulee kattamaan käytännössä kaiken valmistuksen: lääketieteen laitteet, tietokoneet, sähkökomponentit, koneet ja laitteet, moottorit ja ajoneuvot sekä muut laitteet. Määräykset koskevat myös hallittujen tietoturvapalveluiden toimittajia. Eli jos ylläpitää asiakkaan ohjelmistoa, olet NIS2:n näkökulmasta olennainen toimija, Tolvanen kertoi.
Iso uudesta EU-lainsäädännöstä johtuva muutos on, että se tekee CE-merkinnöistä vanhentuneita.
- Esimerkiksi useimpia radiolaitteita koskevat määräykset hyväksyttiin tammikuussa 2022 ja niiden pitää tulla voidaan elokuun alussa 2024. Ongelmana on, että standardi ei ole valmis, eikä laitevalmistajalla todennäköisesti ei ole riittävästi aikaa suunnitella laitteita uudestaan niin, että ne täyttävät uudet vaatimukset jo syksyllä 2024.
Radiolaitteita koskeva uusi RED-direktiivi on varsin tiukka. Se esimerkiksi määrää, ettei radiolaite saa haitata verkkoa eikä väärinkäyttää verkon resursseja niin, että yhteyden ja palvelun laatu kärsivät. – Tämän pitäisi tehdä laitteiden käyttämisestä esimerkiksi palvelunestohyökkäyksiin vaikeampaa. Lisäksi laitteiden pitää sisältää mekanismit, jotka suojaavat käyttäjän yksityistä dataa.
Tämä tulee muodostamaan ongelmia valmistajille. Ennen kuin harmonisoitu standardi on valmis, tuotteen tuominen EU:n markkinoille edellyttää hyväksyntää auktorisoidussa organisaatiossa. Mikäli radiolaitetta ei ole hyväksytty standardin mukaisesti, siitä tulee laiton elokuussa alussa 2024. Vaikka tuote olisi jo markkinoilla, sitä ei voi enää tämän jälkeen myydä, mikäli se ei täytä direktiivin vaatimuksia.
Tomi Engdahl says:
ECF22: turvallisuudesta tulee helpompaa, jos sen saa valmiina
https://etn.fi/index.php/72-ecf/13996-ecf22-turvallisuudesta-tulee-helpompaa-jos-sen-saa-valmiina
Sulautettujen sovellusten tietoturva on alue, joka on pääsääntöisesti ollut retuperällä. Enää sellaista ei katsota hyvällä, vaan yksinkertaisenkin laitteen tulee suojata yhteytensä ja datansa. Helpoimmin tämä onnistuu valmiilla moduuleilla, esitti korttitietokoneita kehittävän congatecin myyntijohtaja Timo Poikonen Embedded Conference Finland -tapahtumassa.
Tietoturvan toteutukseen on tuotu erilaisia ratkaisuja. Arm-pohjaisissa suunnitteluissa käyttöön on tulossa Arm Cassini -alusta, joka koostuu laitteista, sertifiointiohjelmista – Arm:lla on oma PSA-sertifiointinsa – ja tietenkin Arm-arkkitehtuurin ympärillä olevasta suuresta ekosysteemistä. congatecilla on jo portfoliossaan yksi Cassini-sertifioitu tuote eli SMX8-Plus -moduuli.
Toinen tärkeä osa turvallisuutta on FuSa eli toiminnallinen turvallisuus (Functional Safety). FuSa pyrkii vastaamaan uusiin moniydinpohjaisissa sulautetuissa järjestelmissä. congatecin ratkaisu tuoda toiminnallinen turvallisuus sulautettuihin laitteisin on tarjota ennalta arvioituja x86-alustoja, jotka tukevat eri FuSa-standardeja kuten IEC 61508 ja ISO 13849.
- congatec katsoo tarkkaan valmiiksi, mitä komponentteja FuSa-suunnittelujen toteutus vaatii. Asiakkaalle jää vain oman kantakorttinsa (carrier board) räätälöiminen ja kvalifioiminen, Poikonen kertoi.
Tomi Engdahl says:
ECF22: Yksikään laite ei ole täysin turvallinen
https://etn.fi/index.php/72-ecf/14083-ecf22-yksikaeaen-laite-ei-ole-taeysin-turvallinen
Sulautettu tietoturva on tunnetusti retuperällä. Mutta SIM-kortti ja pankkikortit ovat suautettuja laitteita, joiden turvallisuus on ollut kunnossa jo parinkymmene vuoden ajan. Nordic Semiconductorin sovellusinsinööri Sigurd Hellesvik kuvasi Embedded Conference Finland -tapahtumassa, millaisia haasteita tietoturva tuo suunnittelijoille.
- Vaikka tietoturva on vaikkapa SIM-korttien kohdalla ollut kunnossa niin pitkään, monen muun laitteen suunnittelijat tekevät koko ajan virheitä. Valvontakamera on tyypillinen esimerkki tällaisesta laitteesta.
Hellesvik kuitenkin korosti, ettei yksikään laite ole täysin turvallinen. – Jos on riittävästi rahaa, aikaa ja motivaatiota, jokaiseen järjestelmään voi murtautua. Tämän takia tietoturvassa on aina kyse tasapainosta. Kuinka paljon halutaan investoida tietoturvaan ja millainen riski sisältää siihen, että joku murtautuu laitteeseen?
Suunnittelijan kannalta ongelma on tietää, mikä turvallisuuden taso riittää. Tässä avuksi tulevat standardit, lainsäädäntö ja sertifioinnit.
Tomi Engdahl says:
Embedded Conference Finland muuttaa Dipoliin
https://etn.fi/index.php/72-ecf/14129-embedded-conference-finland-muuttaa-dipoliin
Embedded Conference Finland muuttaa Dipoliin
Julkaistu: 18.10.2022
Devices Embedded Software
ETN järjestää Suomen ainoaa riippumatonta sulautetun tekniikan konferenssia. Embedded Conference Finland on järjestetty nyt neljä kertaa, viimeksi syyskuussa. Ensi vuonna tapahtuma järjestetään tiistaina, toukokuun 16. päivä. Paikaksi vaihtuu Dipoli Aalto-yliopiston kampuksella.
Dipoli avaa uusia mahdollisuuksia ECF-tapahtumalle. Voimme kasvattaa tapahtuman näyttelyosiota merkittävästi
Embedded Conference Finland 2023 REGISTRATION
The 5th annual Embedded Conference Finland will be organised on TUESDAY MAY 16, 2023. The venue is Dipoli on Aalto university campus.
https://docs.google.com/forms/d/e/1FAIpQLSe_GJQh-wc6HL6LUrAUqebUMsM4mbwiluYr5Ug1s1MCuWIX2g/viewform
Tomi Engdahl says:
Mikä ihmeen FuSa?
https://etn.fi/index.php?option=com_content&view=article&id=14291&via=n&datum=2022-11-23_15:15:30&mottagare=31202
FuSa viittaa toiminnalliseen turvallisuuteen (Functional Safety). Ratifioitu COM HPC 1.15 -laajennus tarkoittaa, että kaikki standardin alaiset kortit tukevat kriittisiä reaaliaikaisia toimintoja verkon reunalla olevilla palvelinluokan korteilla. Tämä pitää sisällään turvallisuuskriittisiä toimintoja, mutta myös konenäkö-, tekoäly- ja IIoT-logiikkaa sekä TSN-pohjaista, aikakriittistä 5G-tietoliikennettä.
Käytännössä standardin FuSa-laajennukset tarkoittavat, että nykyaikaisille piirisarjoille kehitetyt turvalohkot – turvallisuussaarekkeet, kuten PCIMG muotoilee – laajenevat koskemaan koko sulautettua järjestelmää. Laajennukset koskevat kaikkia COM-HPC-korttiformaatteja, myös tulevaa Mini-formaattia. Laajennukset määrittelevät erillisen SPI-signaalin, joka yhdistää tällaisten lohkojen kunnon ja tilan seurantaominaisuudet FuSa-turvaohjaimeen, joka sijaitsee COM- HPC-kantakortilla.
Tomi Engdahl says:
https://etn.fi/index.php/13-news/14360-huipputehokas-com-kortti-kutistuu-puoleen-uudella-standardilla
Tomi Engdahl says:
https://www.uusiteknologia.fi/2022/12/13/tekoaly-muuttaa-kyberhyokkayksia-uusia-vaaratilanteita/