IoT-sikkerhed bliver en stadig vigtigere parameter for producenter. De seneste år har der været talrige eksempler på, at IoT-produkter er blevet kompromitteret. For at komme det til livs er man fra EU’s side på vej med en række markedskrav og standarder, som skal styrke cybersikkerheden for forbrugere af IoT-produkter. Det gælder fx Cyber Resilience Act, som EU har vedtaget, og som er på vej til at blive formaliseret i en række standarder og specifikationer – blandt andet ETSI 303 645.
DANAK er en forkortelse for Den Danske Akkrediteringsfond, der er ansvarlig for akkreditering af inspektions- og certificeringsorganer i Danmark. Akkrediteringen blev tildelt Alexandra Instituttet 27. maj 2024, og vi er nu officielt et akkrediteret inspektionsorgan.
Det er oplagt at hjælpe virksomhederne med den type af inspektionsopgaver, der kan dokumentere, at de har styr på cybersikkerheden, forklarer Carsten Træholt, der er Quality Assurance Manager i Security Lab i Alexandra Instituttet:
– Der er et stort behov for at få styr på IoT-sikkerheden. Der er masser af eksempler, hvor folk er kommet galt af sted, fordi deres IoT-produkt er blevet hacket. Det koster både tid og penge, og samtidig har virksomhederne et ansvar. Vi har derfor sagt, at vi gerne vil hjælpe virksomhederne med at foretage den nødvendige inspektion af deres produkter, som kan sikre dem det certifikat, der viser, at de overholder de kommende EU-standarder indenfor IoT-sikkerhed.
På forkant med udviklingen og krav fra markedet
For at blive et akkrediteret inspektionsorgan skal Alexandra Instituttet have et system på plads, der er i overensstemmelse med akkrediteringsstandarden, hvilket omfatter bevisbyrde på, at man er i stand til at udføre inspektioner på IoT-produkter. I projektforløbet inden akkrediteringen blev der indgået en aftale med Develco Products i forhold til tre inspektionsopgaver, hvilket blev udført henholdsvis inden besøget fra DANAK og i forbindelse med selve besøget.
Det er Carsten Træholts bedste overbevisning, at de ETSI-standarder, som Alexandra Instituttet er blevet akkrediteret efter, også understøtter de krav, som EU er på vej med:
– Man kan dermed komme på forkant med udviklingen med en akkrediteret inspektion fra vores side. Det er både relevant for mindre virksomheder, som ikke har ressourcerne til selv at udføre den type opgaver, og for virksomheder, der har brug for at få en uafhængig partner til at udføre inspektionen. Som virksomhed kan du bruge certifikatet i markedsføringen men også i forbindelse med CE-mærkning af produkter. Vi fornemmer, at der er et stigende krav til vores kunder fra deres kunder: Hvis I skal samarbejde med os, så skal I have et certifikat, der viser, at I har styr på IoT-sikkerheden, fortæller Carsten Træholt.
Cyber Resilience Act (CRA) forventes at blive vedtaget af EU i løbet af 2024. Den stiller en række krav til produkter, som sælges i EU. Hovedparten af kravene er adresseret via ETSI 303 645-standarden, der dækker over Cyber Security for Consumer IoT.
Alexandra Instituttet har som de første i verden opnået akkreditering inden for cybersikkerhed. Akkrediteringen giver mulighed for, at Alexandra Instituttet kan inspicere software- og IoT-løsninger i henhold til ETSI 303 645 og udstede et certifikat.
Med certifikatet kan man som virksomhed dokumentere, at ens software- og IoT-produkter er sikre og lever op til de gældende EU-standarder inden for cybersikkerhed. Evalueringen minimerer samtidig risikoen for, at ens produkt er skyld i utilsigtede it-hændelser.
For mere information https://alexandra.dk/vi-kan-som-de-foerste-i-verden-inspicere-cybersikkerheden-i-consumer-iot-loesninger/
