EN DA
standards

Cybersäkerhet inom IoT allt om ETSI EN 303 645

6 minuters läsning
Cybersäkerhet inom IoT allt om ETSI EN 303 645

ETSI EN 303 645 förklarat: grundläggande, omfattning, krav, relation till RED och testning och certifiering.

Syfte och omfattning av ETSI EN 303 645

ETSI EN 303 645 utvecklades specifikt för tillverkare av IoT-enheter för att stödja dem i att implementera säkerhetsåtgärder i sina produkter. Standarden är relevant för alla typer av IoT-enheter, från smart hem-produkter som termostater och kameror till större system som anslutna fordon. Dess primära mål är att minimera säkerhetsrisker och förhindra cyberattacker som kan möjliggöras av sårbarheter i IoT-enheter.

Huvudkrav i ETSI EN 303 645

Standarden inkluderar en mängd krav som kan grupperas i flera huvudkategorier:

  1. Inga universella standardlösenord: IoT-enheter får inte använda lätt gissningsbara eller repeterbara standardlösenord. Varje enhet bör levereras med ett unikt lösenord.
  2. Implementering av säker kommunikation: Alla kommunikationskanaler som används av IoT-enheter måste vara krypterade för att säkerställa dataintegritet och konfidentialitet.
  3. Säkra programuppdateringar: Förmågan att uppdatera programvara säkert är ett väsentligt krav. Detta inkluderar mekanismer för att autentisera uppdateringar och förhindra attacker via manipulerad programvara.
  4. Lagring av personuppgifter: Standarden kräver att personuppgifter lagras och behandlas säkert för att garantera integritet och datasäkerhet.
  5. Sårbarhetsrapporteringssystem: Tillverkare måste implementera en procedur för att rapportera och åtgärda säkerhetssårbarheter så att problem kan addresseras effektivt och ansvarsfullt.
  6. Minimal exponering av tjänster: IoT-enheter bör endast exponera de nödvändiga tjänsterna externt för att minska attackytan.

I praktiken är en vanlig fråga vilka krav i ETSI EN 303 645 som faktiskt är relevanta för en specifik IoT-produkt och till vilket djup de måste implementeras. Om du vill förtydliga detta för din produkt, kan ett kort samtal vara hjälpsamt.

Betydelse och påverkan av standarden

Introduktionen av ETSI EN 303 645 är ett viktigt steg mot att standardisera säkerhetskrav för IoT-enheter. Den hjälper till att stärka konsumenternas förtroende för IoT-tekniker och främjar utvecklingen av säkrare produkter. För tillverkare förbättrar efterlevnad av denna standard inte bara produktsäkerheten utan kan också tjäna som en marknadsdifferentiator, eftersom säkerhet är en allt viktigare säljpunkt.

Testning och certifiering av ETSI EN 303 645

IoT-enheter måste uppfylla grundläggande säkerhetskrav i ETSI EN 303 645 för att anses säkra. ETSI TS 103 701 ger medel för att bedöma denna överensstämmelse. BSI TR-03173 lägger till specifika kriterier som förbättrar kvaliteten och noggrannheten i bedömningar av överensstämmelse.

Förhållande mellan ETSI EN 303 645, ETSI TS 103 701 och BSI TR-03173.

ETSI EN 303 645 - cyber security for consumer Internet of Things baseline requirements

ETSI EN 303 645 definierar grundläggande krav för cybersäkerhet hos konsument-IoT-enheter. Den syftar till att skapa en säkerhetsgrund genom att erbjuda tillverkare vägledning om hur man designar produkter säkert från början (security by design). Standarden täcker en bred uppsättning enheter och inkluderar obligatoriska säkerhetsmekanismer samt ytterligare rekommendationer som endast får utelämnas under specifika omständigheter.

ETSI TS 103 701 - cyber security for consumer Internet of Things conformance assessment of baseline requirements

ETSI TS 103 701 kompletterar ETSI EN 303 645 genom att tillhandahålla en testspecifikation för bedömning av överensstämmelse. Denna specifikation innehåller testfall för varje säkerhetskrav och rekommendation från EN 303 645 och erbjuder en metodik för att utvärdera om en IoT-enhet uppfyller dessa krav. TS 103 701 hjälper tillverkare och testorgan att systematiskt verifiera säkerhetsegenskaperna hos IoT-enheter.

BSI TR-03173: ändringar för bedömningar av överensstämmelse

Den tekniska riktlinjen BSI TR-03173 kompletterar ETSI EN 303 645 och ETSI TS 103 701 genom att specificera förfiningar för att utföra bedömningar av överensstämmelse. Dessa förfiningar syftar till att förtydliga generiska aspekter av standarden och testspecifikationen, särskilt inom områden som användbarhet, som behandlas som informativa i den ursprungliga testspecifikationen.

Ytterligare information om consumer IoT-certifiering finns tillgänglig från BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Consumer-IoT/Consumer-IoT.html

Förhållande mellan ETSI EN 303 645 och Radio Equipment Directive (RED)

Delegated Act till Radio Equipment Directive (RED) är en bindande EU-rättsakt som fastställer specifika säkerhets- och integritetskrav för radioutrustning. Däremot är ETSI EN 303 645 en teknisk standard som ger rekommendationer om cybersäkerhet för IoT-enheter och är inte juridiskt bindande.

Tillverkare kan använda ETSI EN 303 645 för att hjälpa till att uppfylla kraven i RED Delegated Act, särskilt inom området cybersäkerhet för konsument-IoT-enheter. Men EN 303 645 är specifikt riktad mot konsumentprodukter och är inte lämplig för alla produkttyper som omfattas av RED. Tillverkare vars produkter faller utanför denna kategori måste överväga andra standarder för att helt följa RED-kraven.

Se även artiklarna om Radio Equipment Directive och EN 18031 - den nya standardserien för cybersäkerhet inom radioutrustning.

Förhållande mellan ETSI EN 303 645 och EN 18031

ETSI EN 303 645 och EN 18031-standardserien kompletterar varandra i sin strategi för att förbättra cybersäkerheten hos anslutna enheter. Medan ETSI EN 303 645 fokuserar på konsument-IoT-enheter och definierar grundläggande säkerhetskrav, adresserar EN 18031-serien specifikt cybersäkerhet för radioutrustning i samband med Radio Equipment Directive (RED).

EN 18031-serien, bestående av flera delar, ger detaljerade tekniska specifikationer för olika aspekter av radioutrustningssäkerhet. Den täcker ämnen som nätverksskydd, skydd av personuppgifter och skydd mot bedrägeri. Däremot erbjuder ETSI EN 303 645 en bredare men mindre specifik strategi för IoT-enheter i allmänhet.

Tillverkare av IoT-enheter som också klassificeras som radioutrustning kan behöva överväga båda standarderna. ETSI EN 303 645 kan tjäna som utgångspunkt för grundläggande säkerhetsåtgärder, medan EN 18031-serien ger ytterligare, specifika krav för radioaspekterna av enheten. Tillsammans bildar dessa standarder ett omfattande ramverk för säkerheten hos anslutna enheter i Europa.

ETSI EN 303 645 är en central byggsten för cybersäkerheten hos konsument-IoT-produkter och spelar en viktig roll i det regulatoriska sammanhanget. Om du vill förstå hur standarden gäller för dina produkter och hur den kopplas samman med RED, EN 18031 eller CRA, kan detta förtydligas i ett informellt, icke-bindande samtal.