Biztonsági integrált áramkörök – nagyobb védelem a hálózatba kapcsolt világban
A vezeték nélküli kommunikációs technológiák, például az 5G révén egyre több eszköz csatlakozik az internethez, ami minden előnye mellett a személyes adatokhoz való fokozott hozzáférés és a kibertámadások növekvő kockázatát is jelenti. Az összekapcsolt világban a biztonság olyan kérdés, amelynek elhanyagolását a gyártók nem engedhetik meg maguknak.
2023 áprilisában a Netgear és a Bitdefender cégek bemutatták a „2023 IoT Security Landscape Report” című jelentést. A jelentés elkészítéséhez világszerte 2,6 millió háztartást elemeztek, amelyekben a Netgear Armor által védett és Bitdefender biztonsági alkalmazásokkal támogatott okosotthon-eszközök találhatók. Az eredmény: nagyjából 3,6 milliárd biztonsági eseményt rögzítettek 2022-ben összesen mintegy 120 millió IoT-eszközön. Naponta átlagosan nyolc okosotthont ér kibertámadás!
Az okostévék – 52 százalékos arányukkal – messze a legnépszerűbb átjárók voltak az otthoni hálózatban (1. ábra). Az okoskonnektorok (13 százalék) jelentős távolságban követték őket, majd a routerek (9 százalék) és az okos videórögzítők (8 százalék) következtek.
1. ábra A Bitdefender elemzése szerint 2022-ben messze az okostévék voltak az otthoni hálózatokat érő kibertámadások leggyakoribb célpontjai
A jelentés világosan bemutatja, hogy az IoT-eszközök milyen hatalmas biztonsági kockázatot jelentenek az intelligens otthonok területén. Ha ehhez hozzávesszük, hogy a COVID-19 járvány idején az otthoni munkavégzés gyakran azt eredményezte, hogy az okostévék mellett már egy vállalati adatokkal teli laptop is a hálózat része, akkor világossá válik, hogy ez is hatalmas biztonsági kockázatot jelent a vállalatok számára.
Ezt mutatja a CONCORDIA-jelentés is (Cyber security cOmpeteNCe fOr Research anD InnovAtion – Kiberbiztonsági kutató- és innovációs központ), amelynek keretében egy egyetemekből és vállalatokból álló európai konzorcium azt vizsgálta, hogy a COVID-19 hogyan hatott a kiberbiztonságra. A jelentés szerint a kiberbűnözők bevált munkamódszerekhez és rosszindulatú (malware) programokhoz folyamodnak, hogy kihasználják a világjárvány okozta társadalmi fejleményeket, sürgősségi szolgáltatásokat és ellátási hiányosságokat. Ez magában foglalja a digitális szolgáltatások és a gyengén védett személyes IT-eszközök, például az intelligens otthoni környezetben lévő WLAN-routerek fokozott használatát.
A német Szövetségi Információbiztonsági Hivatal (BSI) „Az IT-biztonság helyzete Németországban 2022” című jelentése hasonló következtetésre jutott: összességében az amúgy is feszült helyzet tovább romlott a vizsgált időszakban (2021. június 1. – 2022. május 31.). A kibertérben a fenyegetések most nagyobbak, mint valaha.
Ez növeli az internethez csatlakozó eszközök gyártóinak/szállítóinak felelősségét abban, hogy termékeikbe megfelelő védelmi mechanizmusokat építsenek be.
A rádióberendezésekről szóló irányelv követelményei
A rádióberendezésekről szóló 2014/53/EU irányelv (Radio Equipment Directive – RED) szinte minden olyan eszközre vonatkozik, amely adás sugárzásában részt vesz – függetlenül attól, hogy adó vagy vevő. Az irányelv a rádióberendezések piaci forgalmazásának és üzembe helyezésének szabályozási keretét biztosítja, azzal a céllal, hogy lehetővé tegye az áruk szabad mozgását az EU tagállamain belül. A követelmények között szerepel a „megfelelő szintű elektromágneses kompatibilitás” és a „rádióspektrum hatékony és eredményes használata a káros interferenciák elkerülése érdekében”. Ezenkívül a felhasználók egészségét és biztonságát sem szabad veszélyeztetni. A RED ezen alapvető követelményei azonban korábban csak azokra az eszközökre vonatkoztak, amelyek nem kapcsolódtak az internethez.
Ezért az EU Bizottsága 2022 januárjában kibővítette a RED-et a 3.3. cikk d), e) és f) pontjával, amely a hálózatvédelemmel, a felhasználók védelmével és a csalás elleni védelemmel foglalkozik az alábbi termékek esetében:
3.3 d) Minden olyan berendezés, amely közvetlenül vagy közvetve képes kommunikálni az internettel.
3.3 e) Minden személyes adatokat feldolgozó berendezés:
– Az internethez csatlakozó berendezések
– Gyermekgondozásra szolgáló rádióberendezések vagy játékok (2009/48/EC9 irányelv)
– Rádiófunkcióval ellátott hordozható berendezések (viselhető eszközök)
3.3 f) Minden olyan berendezés, amely az internethez csatlakozik, és amely pénz, pénzértékek vagy virtuális valuták átutalására használható.
Ezekre a termékcsoportokra számos biztonsági követelményt határoztak meg. Íme néhány példa:
A 3. cikk (3. bekezdésének) d) pontja alá tartozó termékeknek például alapértelmezés szerint és a kialakításuk alapján is biztonságosnak kell lenniük, és a forgalomba hozataluk időpontjában a legfrissebb szoftverrel és hardverrel kell rendelkezniük.
A 3.3. cikk e) pontjában meghatározott valamennyi berendezés, például a szoftver és a firmware esetében a rendszer indításakor integritás-ellenőrzést kell végezni, hogy a felhasználók időben kapjanak figyelmeztetést a károsodás esetén.
A 3. cikk (3. bekezdésének) f) pontja alá tartozó berendezések esetében biztosítani kell többek között, hogy a pénzügyi adatokhoz csak a megfelelő hozzáférési jogokat rendeljék hozzá.
Az e három kategória valamelyikébe tartozó valamennyi termék esetében a tárolt, továbbított, fogadott vagy más módon feldolgozott hozzáférési adatokat védeni kell a jogosulatlan tárolás, feldolgozás, hozzáférés vagy nyilvánosságra hozatal ellen.
Vannak azonban olyan eszközök, amelyekre ezek a RED cikkek nem vonatkoznak, mivel más uniós rendeletek hatálya alá tartoznak, például: az orvosi berendezések és az in vitro diagnosztika, a polgári repülés, az elektronikus útdíjfizetési rendszerek, valamint a gépjárművek és pótkocsik – beleértve a járműben ülők és a közúti közlekedők biztonságát és védelmét szolgáló rendszereket –, valamint, alkatrészek és autonóm műszaki egységek is.
2023 áprilisában úgy döntöttek, hogy egy évvel elhalasztják a RED végrehajtását, ugyanis az érintett termékek szállítóinak még időben fel kell készülniük a bevezetésre. Ennek oka, hogy minden olyan terméket, amelyet 2025. augusztus 1-jén vagy azt követően hagynak jóvá újonnan, vagy amely 2025. augusztus 1-jén vagy azt követően kerül az uniós piacra, tesztelni kell a RED-cikkekben megfogalmazott új kiberbiztonsági követelményeknek megfelelően. Az EU-ban az összes jóváhagyott tesztelő szervezet nyilvánosan elérhető.
Ezen túlmenően a beszállítóknak nyilatkozniuk kell arról, hogy megfelelnek-e az EU 2022/30 felhatalmazáson alapuló rendeletnek (amely kiegészíti az Európai Parlament 2014/53/EU irányelvét). A fent ismertetett besorolás szerint ez különösen az okostelefonokra és a laptopokra vonatkozik, de a különböző intelligens otthoni és intelligens épületberendezésekre, például riasztórendszerekre és kamerákra, valamint a csecsemők megfigyelésére szolgáló eszközökre vagy a felhasználó tartózkodási helyére, illetve egészségi állapotára vonatkozó érzékeny adatokat tartalmazó viselhető eszközökre is.
Biztonsági integrált áramkörök a fokozott védelemért
A legtöbb eszköz szoftveresen megvalósított védelmi mechanizmusokkal és titkosítási technológiákkal van felszerelve. A kibertámadások elleni fokozott biztonsággal járó további védelmet a hardveres biztonsági IC integrálása biztosítja (2. ábra). Ezek az IC-k hamisításbiztosak és megerősítettek a fizikai támadások ellen aktív árnyékolással, véletlenszerű elrendezéssel és olyan mechanizmusokkal, amelyek szokatlan események esetén azonnal megszakítják a működést. Lehetővé teszik továbbá a biztonságos rendszerindítást és a firmware-frissítéseket, így hozzájárulnak a végpont biztonságához. A különálló biztonsági chipek emellett nagyobb teljesítményt engednek az MCU számára, mivel annak már nem kell bonyolult dekódolási és titkosítási folyamatokat végrehajtania.
A Rutronik ilyen hardveres biztonsági chipeket kínál az Infineon Optiga termékcsaládjain keresztül. A beszállító részt vesz a Comité Européen de Normalisation Electrotechnique (CENELEC, Európai Elektrotechnikai Szabványügyi Bizottság) munkacsoportjában is, amely a RED biztonsági és adatvédelmi funkciók szabványosításáért felelős. Ennek eredményeképpen az Infineon már most jól felkészült az előírások betartására. A vállalat az Optiga termékcsaládokon keresztül is támogatja ügyfeleit ebben a folyamatban. Ezenkívül az Infineon az EU-ban értékesített kereskedelmi termékei, például a WLAN- és Bluetooth-modulok is megfelelnek majd a RED követelményeinek, még időben a jogszabályi változás előtt.
Az Optiga Trust sorozat tartalmaz kisebb platformokhoz való kulcsrakész termékeket, valamint programozható megoldásokat, amelyek megfelelnek az egyedi beágyazott hitelesítési és márkavédelmi követelményeknek.
Az Optiga Trusted Platform Module (TPM) sorozat olyan szabványosított biztonsági vezérlőket tartalmaz, amelyek védik az eszközök és rendszerek integritását és hitelességét a beágyazott hálózatokon. A vezérlők bevált technológiákon alapulnak, és támogatják a Trusted Computing Group (TCG) legújabb TPM 2.0 szabványát, valamint speciális beágyazott tanúsítványokat, biztonsági tanúsítványokat (CC és FIPS) és különböző titkosítási algoritmusokat. Emellett hamisításbiztosak, lehetővé teszik a biztonsági kulcsok, tanúsítványok és jelszavak veszélytelen tárolását, és dedikált biztonsági kulcskezelést biztosítanak.
Az Optiga Connect sorozat kulcsrakész beágyazott SIM-ekből (eSIM) áll, amelyek mind a fogyasztói eszközök, mind a cellás csatlakozási lehetőséggel rendelkező IoT-eszközök számára készültek. Az Optiga Connect Consumer egy olyan eSIM, amelyet kifejezetten kis méretű eszközökhöz, például okosórákhoz vagy fitneszkövetőkhöz terveztek. Biztonságosan hitelesíti őket az előfizetett hálózati szolgáltató felé. A távoli SIM-ellátás (RSP) lehetővé teszi a felhasználók számára, hogy vezeték nélkül megváltoztassák vagy hozzáadják mobilszolgáltatójukat, feltéve, hogy az eszköz helyi profilasszisztenssel (LPA) van felszerelve. A fogyasztói termék teljes mértékben megfelel a Global System for Mobile Communications Association (GSMA) (SGP.22 V2.2.2) és a Trusted Connectivity Alliance (eUICC Profile Package V2.3.1) legújabb előírásainak.
Az Optiga Connect IoT sorozat előre telepített GSMA-kompatibilis operációs rendszerrel és előre integrált csatlakozási funkciókkal rendelkezik. Az Infineon és a Tata Communications együttműködése révén globális mobilhálózati lefedettséget (2G, 3G, 4G, CATM és egyéb LTE szolgáltatásokat) kínál, 200 ország több mint 640 hálózatával. Az Optiga Connect IoT sorozat emellett Common Criteria EAL5+ tanúsítvánnyal rendelkező eSIM hardvert is tartalmaz.
3. ábra Az Infineon hardveres biztonsági termékei
A bankkártyával, okostelefonnal, okosórával, sőt, akár karszalaggal vagy gyűrűvel történő érintésmentes fizetéshez, amely a COVID-19 járvány óta virágzik, az Infineon a Secora termékcsaládnak köszönhetően biztonságos NFC (near-field communication) termékekkel rendelkezik (3. ábra). A termékcsalád négy változatot tartalmaz: egy világszínvonalú biztonsággal rendelkező Java-kártyát a blokkláncrendszerek megvalósításához, valamint egy elektronikus azonosítási (eID) alkalmazásokra optimalizált, azonnal használható Java-kártyát, egy intelligens viselhető eszközökhöz készült rendszert érintés nélküli biztonságos fizetési, jegykiadó vagy NFC-n keresztüli hozzáférési alkalmazásokkal, valamint egy teljes portfóliót az érintőkártyáktól az intelligens fizetési kiegészítőkig.
Ezzel a termékportfólióval az Infineon megfelel a RED 3.3 d), e) és f) követelményeinek.
Szerző: Kerstin Naser – vállalati igazgató, vezeték nélküli termékek, Rutronik
Rutronik Magyarország Kft.
1117 Budapest, Alíz utca 1.
Tel.: +36 1 231 3349
E-mail: