I just opened the article/blog section on Concergens company web page with my post about information security trends especially related to embedded systems and IoT. More regulation is coming this year and next year. The blog post is available in English and Finnish languages.
Information security requirements are increasing
https://www.convergens.fi/post/information-security-requirements-are-increasing
Tietoturvavaatimukset kasvavat
https://www.convergens.fi/fi/post/tietoturvavaatimukset-kasvavat
Earlier related post
https://www.epanorama.net/newepa/2023/11/14/embedded-systems-and-iot-security-technical-article/
13 Comments
Tomi Engdahl says:
In recent years, the European Union has tried to strengthen the cyber security of the digital world. New European Union legislation coming into effect in 2024 and 2025 mandates stricter cybersecurity requirements for all electronics, from consumer IoT devices to critical infrastructure.
I have written on overview what is happening and going to happen in soon. My overview is especially targeted how new regulations will affect IoT and embedded systems.
https://lm.facebook.com/l.php?u=https%3A%2F%2Fwww.convergens.fi%2Fpost%2Finformation-security-requirements-are-increasing%3Ffbclid%3DIwZXh0bgNhZW0CMTEAAR03RwMKOx50xZYHHaWfxrGT3aZ941MhR2P9Tej1Zx9ii6JdxsEWY0sWLX8_aem_AQAeLK8sQaQX6t1CmLeimkON34tkRXTIxdZfRbPZ7av9_05vc97ao_vykt7eqj5W4XcH_aAXODU72ptOyFXNIaJH&h=AT1cXMy2VmrEegTVIwXg-uu0yAQC33q8N52gRO-8z6hnayZdIEoKlplnDt-3RF3yhbj60J9DzpYdRQpm2J19vZ-VoQF9RDbNB0-kyzCF2T09QcFXV_DvoOZDDwI0KSC-Lg
Tomi Engdahl says:
NCSC CTO: Broken market must be fixed to usher in new tech
https://www.theregister.com/2024/05/16/ncsc_cto_broken_market_must/
It may take ten years but vendors must be held accountable for the vulnerabilities they introduce
CYBERUK National Cyber Security Centre (NCSC) CTO Ollie Whitehouse kicked off day two of Britain’s cyber watchdog’s annual shindig, CYBERUK, with a tirade about the tech market, pulling it apart to demonstrate why he believes it’s at fault for many of the security problems the industry is facing today.
In a speech-cum-call to industry, one which echoed many of the points made by CISA director Jen Easterly at RSA last week, Whitehouse thundered: “We know how to build cyber resilient technology. If you look at CHERI, there’s a mechanism of addressing memory safety and legacy codebases through to rust and similar. We know how to do it technically.
“The challenge is we actually have a market problem and actually producing the level of cyber-resilient technology we actually want and we actually need. So, we have to ask ourselves, why is it that it’s not being realized in practice?”
He pointed to the circa 14 percent increase in disclosed and registered vulnerabilities, the ones that intelligence agencies are aware of, that is, to illustrate the point.
“We know that there are various adversaries who are amassing vulnerabilities and not disclosing them in the way that we want, and this is compound growth,” he said.
“Similarly, the claimed security efficacy of solutions is not realized in practice, either in a solution in isolation or in operations. We have claims, not meeting reality.”
On the flipside, vendors that demonstrate proactivity in embracing improved security practices, such as secure by design, should be incentivized to do so. Those incentives will likely center on transparency around software components and technical debt, and the negative reward of evading punishments for bad practice.
This discussion doesn’t even touch upon the ever-present issue of security in open source software, which is an entirely different beast.
Fundamentally, the market in its current state is driven by value and cost, NCSC’s CTO argued. “That is the enemy of cybersecurity,” Whitehouse said, and cost is everything in the boardroom.
Cyber fatigue is rife among business decision-makers – many just want to be able to put a lump sum down, perhaps over just a few years, and have security addressed forever. It, of course, doesn’t work like that, so the proper incentives need to be in place to ensure the focus on security is more of a marathon than a sprint.
“We do not have a technology challenge. We know how to build cybersecurity-resilient technology. We have a fundamental market challenge to do so. So, how we incentivize that market to do it will be on us all in the next period if we want to ultimately win.”
Tomi Engdahl says:
PSA 4 parantaa tietoturvaa entisestään
https://etn.fi/index.php/13-news/16238-psa-4-parantaa-tietoturvaa-entisestaeaen
PSA Certified on maailmanlaajuinen turvallisuus- ja arviointikehys, joka on suunniteltu verkkoon yhdistetyille laite-ekosysteemeille. Sen tarkoituksena on luoda luottamusta yhdistettyihin laitteisiin ja varmistaa niiden turvallisuus. Uusin versio PSA 4 vie suojausta taas askeleen pidemmälle.
PSA Certified tarjoaa useita sertifiointitasoja, jotka osoittavat laitteen tai järjestelmän noudattavan parhaita turvallisuuskäytäntöjä ja kestävän erilaisia kyberhyökkäyksiä. 4-taso julkistettiin viime kuussa. PSA Certified Level 4 iSE/SE -sertifiointi tarjoaa parannetun suojan arvokkaille tekoälymalleille ja varmistaa järjestelmien tulevaisuudenkestävyyden uusia hyökkäysmenetelmiä ja nousevia turvallisuusuhkia vastaan.
Käytännössä PSA 4 esimerkiksi suojaa koneoppimismallit erittäin vahvalla kryptografialla ja avaintallennuksella. 4-taso myös huomioi kehittyneemmät hyökkäysmenetelmät. Tämä uusi taso tarjoaa korkean tason PSA-RoT -varmuuden suojan fyysisiä tai ohjelmistohyökkäyksiä vastaan.
Tomi Engdahl says:
IoT Security
Cybersecurity Labeling for Smart Devices Aims to Help People Choose Items Less Likely to be Hacked
Under the new U.S. Cyber Trust Mark Initiative, manufacturers can affix the label on their products if they meet federal cybersecurity standards.
https://www.securityweek.com/cybersecurity-labeling-for-smart-devices-aims-to-help-people-choose-items-less-likely-to-be-hacked/
Tomi Engdahl says:
https://www.uusiteknologia.fi/2023/11/08/nykyelektroniikan-suunnittelukoulu-plus-osa-5-sulautettujen-ja-iotn-tietoturva/
https://etn.fi/index.php/working-on-your-site/13-news/14619-kiinnostaako-sulautettujen-tietoturva-nyt-voit-lukea-siitae-e-kirjan
Tomi Engdahl says:
https://etn.fi/index.php/tekniset-artikkelit/16280-miksi-tietoturva-on-kriittinen-iot-ssae
IoT-laitteiden tietoturvaympäristö on kirjava. Jotkut IoT-tuotteet toteuttavat vankkoja suojaustoimenpiteitä, kun taas toiset eivät ole priorisoineet suojaa, mikä tekee niistä haavoittuvampia haitallisten toimijoiden hyökkäyksille. On edelleen suhteellisen yleistä lukea hyökkäyksistä (ja murroista) useisiin IoT-laitteisiin, kuten kameroihin, puettaviin laitteisiin ja lääketieteellisiin antureihin, joiden kuluttajat uskovat olevan turvallisia heti käyttöönoton jälkeen.
On ongelmallista, että suojattua IoT-laitetta ei voida erottaa suojatusta laitteesta, koska se heikentää merkittävästi kuluttajien luottamusta ostohetkellä. Tämä puolestaan vaikeuttaa liitettyjen laitteiden laajaa käyttöönottoa.
Täytäntöönpanokelpoisen, vähimmäisturvatason kaikille IoT-tuotteille takaavan regulaation puuttuminen ja standardoidun lähestymistavan puuttuminen suunnittelusta, toteutuksesta ja sertifioinnista ovat olleet kaksi avaintekijää, jotka ovat aiheuttaneet tietoturvasekaannusta. Molemmilla rintamilla on kuitenkin merkkejä muutoksesta, joka johtaa paljon nykyistä turvallisempaan IoT:een.
Bisnes vaakakupissa
Vaikka tietoturva on kustannus, joka on otettava osaksi yleistä IoT-tuotekehitystä, hyödynnettävän haavoittuvuuden hinta voi olla monta kertaa korkeampi.
Lisäksi yksittäisten IoT-tuotteiden tietoturvaloukkaukset eivät uhkaa vain haavoittuvia tuotteita valmistavien yritysten menestystä, vaan ne vaikuttavat myös kokonaisiin tuotekategorioihin luomalla niille epävarman maineen. Tällainen maine vaikuttaa kuluttajien luottamukseen IoT-laitteisiin yleisesti. IoT:n turvaaminen on elintärkeä tehtävä kaikille alalla toimiville yrityksille sirutoimittajista päätelaitteiden valmistajiin.
Tietoturvan standardoiminen
Mitä suurempi määrä IoT-laitteita on kytkettynä verkkoon, sitä suurempi on hyökkäyksen riski. Tietoturva on pikemminkin maraton kuin pikamatka, koska se edellyttää alkuperäisen suojausstrategian lisäksi myös jatkuvaa turvallisuutta verkkoon liitetyn tuotteen käyttöiän ajan. Siksi on tärkeää, että turvallisuus huomioidaan tuotesuunnittelun alkuvaiheessa, samalla tavalla kuin suunnittelija harkitsee tuotteen toiminnallisia ja ei-toiminnallisia vaatimuksia, kuten akun kestoa tai käyttöliittymää.
Suojauksen käyttöönotto on kuitenkin historiallisesti vaikeutunut, koska IoT-suojaus on ollut pirstoutunutta. Yhteistä kieltä ja standardoituja prosesseja, toteutuksia ja sertifiointeja ei ole olemassa. Tällainen pirstoutuminen johtaa epäjohdonmukaiseen ja enimmäkseen riittämättömään tietoturvatasoon IoT-laitteissa. PSA Certified IoT Security Framework pyrkii ratkaisemaan tämän haasteen tarjoamalla standardoidun lähestymistavan suojatuille IoT-laitteille, mukaan lukien tietoturva-analyysi, arkkitehtuuri, toteutus ja sertifiointi.
Säännöt ja turvamerkinnät ovat aivan nurkan takana
Historiallisesti IoT-laitteiden tietoturva on ollut vahvasti riippuvainen niiden tyypistä. Esimerkiksi turvallisuuden kannalta kriittiset osa-alueet, kuten teollisuus ja lääketiede, ovat tyypillisesti olleet tiukkojen turvallisuusmääräysten alaisia. Kuluttajille suunnatuissa laitteissa ei ollut erityisiä sääntelyvaatimuksia, joten tarjotun suojan taso on jätetty yksittäisten laitevalmistajien käsiin.
Uusilla globaaleilla säännöksillä pyritään puuttumaan joidenkin tuotetyyppien haavoittuvuuksiin tavoitteena luoda yhteinen tietoturvaperusta jokaiselle IoT-tuotteelle. Perustason noudattamatta jättäminen johtaisi markkinoille pääsyn menettämiseen. Yksi esimerkki tästä asetuksesta on EU:n radiolaitedirektiivi. Tätä on äskettäin parannettu niin, että kyberturvallisuusvaatimukset asetetaan Euroopassa myytäville yhdistetyille tuotteille, ja lisäsuojaa on tulossa Cyber Resilience Actin kautta. Yhdysvalloissa vuodesta 2021 alkaen annettu määräys kansallisen kyberturvallisuuden parantamisesta on käynnistänyt standardointitoimia National Institute of Standards and Technologyssa (NIST). Ja Isossa-Britanniassa kyberturvallisuusvaatimuksia valvoo oma lainsäädäntö (Product Security and Telecommunications Act).
Tomi Engdahl says:
https://www.convergens.fi/fi/post/kyberturvallisuudessa-tarvitaan-standardeja
Tomi Engdahl says:
https://www.convergens.fi/post/standards-are-needed-in-cyber-security
Tomi Engdahl says:
https://etn.fi/index.php/tekniset-artikkelit/16328-iot-keskittyy-nyt-turvallisuuteen-tekoaelyyn-ja-yhteyksiin
Tomi Engdahl says:
The International Electrotechnical Commission (IEC) along with the International Society of Automation (ISA) sets standards for operational technology.
What’s relevant for you in cybersecurity is ISA/IEC 62443. Check Google for more.
https://www.iec.ch/cyber-security.
Tomi Engdahl says:
https://etech.iec.ch/issue/2020-04/iec-62443-standards-a-cornerstone-of-industrial-cyber-security
Tomi Engdahl says:
Standards are needed in cyber security
https://www.convergens.fi/post/standards-are-needed-in-cyber-security
https://www.convergens.fi/fi/post/kyberturvallisuudessa-tarvitaan-standardeja
Tomi Engdahl says:
https://blog.siemens.com/2024/05/nis2-kilpailukyvyn-varmistajana/