Foundries.io, yhteistyössä Työläs, on integroinut tietoturvaohjelmistonsa levylle Arduino Portenta X8. Tällä tavalla tästä moduulista on tullut ensimmäinen SoM (System on Module), joka täyttää Euroopan unionin CRA-määräykset. Melkoinen saavutus, ja se mahdollistaa monien hankkeiden luomisen, joiden on oltava tämän lain mukaisia.
Kuten tiedät, Arduino Portenta X8 on kehityskortti kuten mikä tahansa muu Arduino, mutta se oli ensimmäinen, joka käytti Käsivarsipohjainen prosessori, joka pystyy käyttämään GNU/Linux-käyttöjärjestelmää ja laajennusmahdollisuuksilla HAT-laajennusten avulla.
Mikä on CRA?
La Cyber Resilience Act (CRA) pyrkii suojelemaan kuluttajia ja yrityksiä, jotka käyttävät digitaalisia komponentteja sisältäviä tuotteita tai ohjelmistoja, puuttumalla kyberturvallisuusongelmiin. Sillä pyritään poistamaan tietoturvapuutteita ottamalla käyttöön pakollisia kyberturvallisuusvaatimuksia valmistajille ja jälleenmyyjille. Laki ratkaisee kaksi pääongelmaa:
- Riittävän kyberturvallisuuden puute monissa tuotteissa ja käyttäjien kyvyttömyys määrittää tuotteiden kyberturvallisuutta.
- Luottoluokituslaitos laatii yhdenmukaistetut standardit, kyberturvallisuusvaatimusten puitteet ja velvoitteet tuotteiden koko elinkaaren ajaksi.
Sen tullessa voimaan tuotteissa on CE-merkintä, joka osoittaa, että ne ovat uusien standardien mukaisia, jolloin kuluttajat voivat tehdä tietoon perustuvia päätöksiä kyberturvallisuudesta. Sitä sovelletaan Internetiin yhdistettyihin tuotteisiin, lukuun ottamatta erityistapauksia, kuten avoimen lähdekoodin ohjelmistoja. Sitä odotetaan astuu voimaan vuoden 2024 alussa, ja valmistajat soveltavat standardeja 36 kuukautta myöhemmin. Komissio tarkastelee lakia säännöllisesti.
EU:n uudet luottoluokituslaitokset määrittää vähimmäisturvan kaikille IoT-laitteille Euroopassa, mukaan lukien:
- Aseta standardit turvallisille tuotteille, joissa on digitaalisia elementtejä kaikkialla EU:ssa.
- Vaadi valmistajia keskittymään turvallisuuteen ensisijaisesti.
- Lisää käyttäjien tietoisuutta kyberturvallisuusominaisuuksien tärkeydestä.
- Vaadi alkuperäisten laitteiden valmistajia (OEM) korjaamaan nopeasti jo käytössä olevien laitteiden haavoittuvuudet.
Los Kyberhyökkäykset ovat aiheuttaneet kalliita ongelmia, jotka vaikuttavat yrityksiin, viranomaisiin ja yksityishenkilöihin. Liiketoiminnan keskeytymisestä, luottamuksellisten tietojen varkauksista, kiristyksestä ja yrityksen maineen vahingoittamisesta aiheutuvat taloudelliset menetykset ovat merkittäviä. Suorien kustannusten lisäksi kyberhyökkäykset aiheuttavat myös lisäkustannuksia kyberturvallisuuden parantamiseksi, järjestelmien korjaamiseksi sekä oikeudellisten ja sääntelyyn liittyvien seurausten käsittelemiseksi. Hyökkäysten kehittyminen ja erilaisten kohteiden kirjo korostavat kriittistä tarvetta tehokkaille toimenpiteille kyberuhkien ehkäisemiseksi, havaitsemiseksi ja lieventämiseksi. Ja tämä on Yhdysvaltain CRA…
Yksityiskohdat Arduino Portenta X8:sta CRA:lla
Kuten olen keskustellut, tulevien EU-säädösten mukaan kaikkien digitaalisten tuotteiden on täytettävä uudet turvallisuusstandardit, lukuun ottamatta tiettyjä luokkia, kuten tiettyjä lääkinnällisiä laitteita, lentolaitteita ja moottoriajoneuvoja. Jotkin tuotteet edellyttävät riippumattoman turvallisuusarvioinnin riskitasosta riippuen. Lisäksi alkuperäisten laitevalmistajien (OEM) on varmistettava, että nämä tuotteet läpäisevät nämä turvallisuusarvioinnit myytäväksi EU:n maissa, ja tämän lain noudattamista valvotaan.
Tällä tavalla Arduino Portenta X8 voidaan sertifioida tuotteet, jotka on merkitty "erittäin kriittisiksi" jotka tarvitsevat lisäturvaa. EU arvioi, että tämä uusi standardi voisi säästää 180–290 miljardia euroa vuodessa vähentämällä kyberhyökkäyksiä, koska niistä on tullut vakava ongelma organisaatioille ja yrityksille sekä yksittäisille käyttäjille.
Sen varmistamiseksi, että Arduino Portenta X8 on CRA-yhteensopiva, molemmat Foundries.io ja Arduino ovat tehneet yhteistyötä toteuttaa tietoturvaparannuksia tässä SoM:ssa. Kuten tiedät, Foundries.io on yritys, joka tarjoaa pilvipohjaisia kehitys- ja käyttöönottoratkaisuja suojatuille IoT- ja Edge-laitteille, ja on siksi hyvä liittolainen Arduinon kanssa näiden eurooppalaisten turvallisuusstandardien noudattamisessa.
Tämän yhteistyön ansiosta Arduino Portenta X8 -käyttäjät voivat helposti hallita laiteturvallisuutta, tietosuojaa ja ohjelmistojen hallintaa tehokkaasti yhdessä pilvipohjainen ympäristö. Se tarjoaa myös lisäsuojaa kaikkia tunnettuja kyberhyökkäyksiä ja haittaohjelmia vastaan ja varmistaa nopeat vastaukset uusiin haavoittuvuuksiin, mikä mahdollistaa nopean laiteohjelmistopäivityksen näiden riskien korjaamiseksi.
Arduino Portenta X8 tarjoaa joukon suojausominaisuuksia, jotka tarjoavat Linux Micro ja FoundriesFactory alusta. incluyen:
- Suojattu käynnistys
- Luotettava suoritusympäristö
- Etähallinta
- Suojattujen avainten asentaminen
- Pilvivarmennus
- Suojatut OTA (Over-The-Air) -päivitykset TUF-tuella
- Ohjelmiston materiaaliluettelo (SBOM), joka luodaan automaattisesti jokaisen ohjelmistopäivityksen jälkeen
Kaikki eivät ole etuja, koska tämä toteutus on monimutkainen Foundries.io-ohjelmiston käyttöliittymän ja X8 Board Manager -nimisen työkalun yksinkertaistaminen, vaikka tässä mielessä he ovat tehneet hyvää työtä, ja uusi käyttöliittymä on yksinkertainen ja yhteensopiva Arduino IDE:n kanssa kehittäjille.
Arduinon toimitusjohtaja Fabio Violante sanoi:
"Kun otamme käyttöön Linux-pohjaisia reunalaitteita, turvallisuus ei voi olla jälkikäteen. Siksi suunnittelimme Arduino Portenta X8:n turvaominaisuuksilla etusijalla alusta loppuun. Tämä vaihtelee laitteistosta ja laiteohjelmistosta FoundriesFactoryn tarjoamaan Linux-jakeluun ja laitehallintaan. "Tämän ansiosta pystyimme luonnollisesti noudattamaan luottoluokituslaitosten määräyksiä alusta alkaen."