EN DA
standards

IoT cybersäkerhet allt om ETSI EN 303 645

5 minuters läsning
IoT cybersäkerhet allt om ETSI EN 303 645

ETSI EN 303 645 förklarad - grunderna, omfattning, krav, förhållande till RED, testning och certifiering.

Mål och omfattning för ETSI EN 303 645

ETSI EN 303 645 utvecklades specifikt för tillverkare av IoT-enheter för att stödja implementeringen av säkerhetsåtgärder i deras produkter. Standarden är relevant för alla typer av IoT-enheter, från smart hem-produkter som termostater och kameror till större system som uppkopplade fordon. Det primära målet är att minimera säkerhetsrisker och förhindra cyberattacker som kan möjliggöras av sårbarheter i IoT-enheter.

Viktiga krav i ETSI EN 303 645

Standarden innehåller en mängd krav som kan grupperas i flera huvudkategorier:

  1. Inga universella standardlösenord: IoT-enheter får inte använda lättgissade eller repeterbara standardlösenord. Varje enhet bör levereras med ett unikt lösenord.
  2. Implementering av säker kommunikation: Alla kommunikationskanaler som används av IoT-enheter måste krypteras för att säkerställa dataintegritet och konfidentialitet.
  3. Säkra mjukvaruuppdateringar: Möjligheten att uppdatera mjukvara säkert är ett kärnkrav. Detta inkluderar mekanismer för att autentisera uppdateringar och förhindra attacker via manipulerad mjukvara.
  4. Lagring av personuppgifter: Standarden kräver att personuppgifter lagras och behandlas säkert för att garantera integritet och datasäkerhet.
  5. System för sårbarhetsrapportering: Tillverkare måste implementera en procedur för rapportering och hantering av säkerhetssårbarheter så att problem kan lösas effektivt och ansvarsfullt.
  6. Minimal exponering av tjänster: IoT-enheter bör endast exponera de tjänster som är strikt nödvändiga för omvärlden för att minska attackytan.

Betydelse och påverkan av standarden

Införandet av ETSI EN 303 645 är ett viktigt steg mot att standardisera säkerhetskrav för IoT-enheter. Det hjälper till att stärka konsumenternas förtroende för IoT-teknologier och uppmuntrar utvecklingen av säkrare produkter. För tillverkare förbättrar efterlevnad av denna standard inte bara produktsäkerheten utan kan också fungera som en marknadsdifferentiator, eftersom säkerhet blir en allt viktigare försäljningspunkt.

Testning och certifiering av ETSI EN 303 645

IoT-enheter måste uppfylla grundläggande säkerhetskrav i ETSI EN 303 645 för att anses vara säkra. ETSI TS 103 701 tillhandahåller medlen för att bedöma denna efterlevnad. BSI TR-03173 lägger till specifika kriterier som förbättrar kvaliteten och noggrannheten i överensstämmelsebedömningar.

Förhållandet mellan ETSI EN 303645, ETSI TS 103701 och BSI TR-03173.

ETSI EN 303 645 - cyber security för consumer internet of things baseline requirements

ETSI EN 303 645 sätter grundläggande krav för cybersäkerheten för konsumentorienterade IoT-enheter. Det syftar till att skapa en säkerhetsgrund genom att ge tillverkare vägledning om hur de ska designa sina produkter säkert från början (security by design). Standarden täcker ett brett spektrum av enheter och inkluderar obligatoriska säkerhetsmekanismer samt ytterligare rekommendationer som endast får avvikas från under specifika omständigheter.

ETSI TS 103 701 - cyber security för consumer internet of things conformance assessment of baseline requirements

ETSI TS 103 701 kompletterar ETSI EN 303 645 genom att tillhandahålla en testspecifikation för överensstämmelsebedömning. Denna specifikation inkluderar testfall för varje säkerhetskrav och rekommendation från EN 303 645 och erbjuder en metodik för att utvärdera om en IoT-enhet uppfyller dessa krav. TS 103 701 gör det lättare för tillverkare och testorgan att systematiskt verifiera säkerhetsegenskaperna hos IoT-enheter.

BSI TR-03173 - amendments för conformance assessments

Den tekniska riktlinjen BSI TR-03173 kompletterar ETSI EN 303 645 och ETSI TS 103 701 genom att specificera detaljerade förbättringar för genomförandet av överensstämmelsebedömningar. Dessa förbättringar syftar till att förtydliga de mer generiska aspekterna av standarden och testspecifikationen, särskilt inom områden som användbarhet, som endast informativt täcks i den ursprungliga testspecifikationen.

Ytterligare information om certifiering av consumer IoT finns tillgänglig från BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Consumer-IoT/Consumer-IoT.html

Förhållandet mellan ETSI EN 303 645 och Radio Equipment Directive (RED)

Delegated Act till Radio Equipment Directive (RED) är en bindande EU-rättsakt som sätter specifika säkerhets- och integritetskrav för radioutrustning. Däremot är ETSI EN 303 645 en teknisk standard som ger rekommendationer för cybersäkerheten för IoT-enheter och är inte juridiskt bindande.

ETSI EN 303 645 kan användas av tillverkare för att hjälpa till att uppfylla kraven i RED Delegated Act, särskilt inom området cybersäkerhet för consumer IoT-enheter. Det är dock specifikt riktat mot konsumentprodukter och kanske inte passar alla produkttyper som täcks av RED. Tillverkare vars produkter faller utanför denna kategori måste överväga andra standarder för att fullt ut tillfredsställa RED-krav.

Se även artiklarna Radio Equipment Directive och EN 18031 - Den nya serien av standarder för cybersäkerhet i radioutrustning.

Förhållandet mellan ETSI EN 303 645 och EN 18031

ETSI EN 303 645 och EN 18031-standardserien kompletterar varandra i sina tillvägagångssätt för att förbättra cybersäkerheten för uppkopplade enheter. Medan ETSI EN 303 645 fokuserar på consumer IoT-enheter och definierar grundläggande säkerhetskrav, adresserar EN 18031-serien specifikt cybersäkerheten för radioutrustning i sammanhanget Radio Equipment Directive (RED).

EN 18031-serien, bestående av flera delar, tillhandahåller detaljerade tekniska specifikationer för olika aspekter av radioutrustningssäkerhet. Den täcker ämnen som nätverksskydd, skydd av personuppgifter och bedrägeriförebyggande. Däremot erbjuder ETSI EN 303 645 en bredare men mindre specifik approach för IoT-enheter i allmänhet.

Tillverkare av IoT-enheter som också klassificeras som radioutrustning kan behöva överväga båda standarderna. ETSI EN 303 645 kan fungera som en utgångspunkt för grundläggande säkerhetsåtgärder, medan EN 18031-serien lägger till ytterligare, mer specifika krav för radioaspekterna av en enhet. Tillsammans bildar dessa standarder ett omfattande ramverk för säkerheten för uppkopplade enheter i Europa.