Älylaitteiden heikko tietoturva sääntelyllä kuriin
Tietoturva Nyt!
Kaupan hyllystä mukaan voi tarttua laite, jonka tietoturva on heikko. Tilanne muuttuu 1.8.2024, kun tietoturvavaatimusten vastaiset laitteet voidaan poistaa myynnistä. Tulevaa sääntelyä silmällä pitäen valmistajien, maahantuojien ja myyjien pitää varmistaa tuotteiden tietoturvataso heti.
Kyberturvallisuuskeskuksen havaintojen mukaan nykylaitteiden tietoturvaa usein heikentävät oletuksena olevat heikot salasanat ja tietoja suojaavan salauksen puuttuminen. Merkittävä ongelma on myös puute ohjelmistopäivityksistä, joilla korjataan laitteesta valmistamisen jälkeen löydettyjä haavoittuvuuksia. Aina tuotteet eivät edes sisällä päivitysmekanismia, joka mahdollistaisi niiden toimittamisen. Valitettavan usein tarjottavat päivitykset myös loppuvat ennen laitteen käyttöiän päättymistä.
Pakollisia tietoturvavaatimuksia langattomille laitteille 1.8.2024 lähtien
EU on tarttunut haasteeseen ja pakottaa tietoturvavaatimukset älylaitteille sääntelyllä. Radiolaitedirektiivin nojalla annetut asetukset tietoturvavaatimuksista ovat tulleet voimaan 1.2.2022 ja siirtymävaihe on parhaillaan menossa. Markkinoille saatettavien laitteiden on täytettävä tietoturvavaatimukset 1.8.2024 lähtien. Tietoturvavaatimuksia sovelletaan radiolaitedirektiivin soveltamisalaan kuuluviin laitteisiin, kuten internetiin liitettäviin laitteisiin, leluihin, lastenhoitoon liittyviin laitteisiin ja päälle puettaviin laitteisiin. Tietoturvavaatimukset suojaavat viestintäverkkoja ja parantavat käyttäjien yksityisyyden suojaa. Lisäksi ne estävät taloudelliseen hyötyyn tähtääviä petoksia, joissa hyödynnetään verkkoon liitettyjä laitteita.
Eri toimijoiden kannattaa varautua sääntelyyn heti ja ottaa tietoturvavaatimukset osaksi tuotevaatimuksia. Valmistajan tehtävänä on varmistaa, että tuote täyttää kaikki sitä koskevat vaatimukset. Myös maahantuojien ja myyjien vastuulla on varmistaa, että myynnissä on vain vaatimustenmukaisia laitteita. Siirtymäajan päätyttyä Traficom valvoo uusien vaatimusten noudattamista, ja säädöksen vastaiset laitteet voidaan tarvittaessa poistaa markkinoilta. Radiolaitedirektiivin nojalla annettu asetus ei ota kantaa päivitysten tarjoamiseen, mutta taustalla valmistellaan jo seuraavaa säädöstä, joka korjaa tämänkin puutteen.
Vapaaehtoinen Traficomin Tietoturvamerkki
Kyberturvallisuuskeskus kehottaa älytuotteiden valmistajien ottavan kyberturvallisuuden huomioon aivan tuotekehityksen alusta pitäen. Tuotteeseen sisään leivottu kyberturvallisuus säästää paitsi valmistajan mainetta ja käyttäjän tietoja, myös lähestyvien lain vaatimien kyberturvallisuusominaisuuksien aiheuttamia kehityskustannuksia: Ongelmien ehkäiseminen on kannattavampaa kuin niiden ratkaiseminen.
Traficom tukee valmistajien ponnistelua tietoturvallisemman tulevaisuuden puolesta luomallaan Tietoturvamerkillä. Vuonna 2019 julkaistu merkki voidaan myöntää tuotteelle, joka täyttää Kyberturvallisuuskeskuksen näkemykseen kuluttajatuotteen tietoturvan hyvästä perustasosta. Merkin vaatimukset pohjaavat eurooppalaiseen standardiin. (Ulkoinen linkki)
Lisätietoja
tietoturvamerkki@traficom.fi
Tietoturvavaatimusten soveltamisen aiottu aloitusaika asetuksessa 2022/30 oli 1.8.2024. Euroopan komissio on nyt vielä uudemmalla asetuksella 2023/2444 siirtänyt soveltamisen määräpäivää vuodella, jotta tietoturvavaatimusten teknisten standardien valmisteluun saadaan enemmän aikaa. EU-markkinoille saatettavien radiolaitteiden tulee olla tietoturvavaatimusten mukaisia 1.8.2025 alkaen.