Slimme deurbellen, connected auto’s, babyfoons, koelkasten: allemaal producten met een digitaal element die ons leven makkelijker maken. Deze IoT-producten zijn echter vaak niet optimaal beveiligd en daarmee een aantrekkelijk doelwit voor kwaadwillenden. Illustratief is de relatieve eenvoud waarmee ons team in een recente hackwedstrijd meerdere laadpalen hackte. Om gebruikers beter te beschermen tegen de risico’s is er Europese wetgeving op komst: de Cyber Resilience Act (CRA) die strenge eisen stelt aan de producten. Fabrikanten moeten dus de komende jaren aan de slag om het securityniveau van hun producten te verhogen. Wat houdt deze wet precies in en waarmee moet een fabrikant, importeur of leverancier rekening houden?
Wat is de CRA-wetgeving?
De Europese CRA-wetgeving stelt security-eisen aan toepassingen die een digitaal element bevatten. Het doel van de wetgeving is om meer grip te krijgen op cybersecurity en de samenleving beter te beschermen. Een belangrijk aspect van de CRA-wetgeving is dat deze onder de CE-markering valt. Deze markering geeft daarmee straks niet alleen aan dat een product voldoet aan de gebruikelijke kwaliteits- en veiligheidseisen, maar ook aan strengere cybersecuritynormen.
Onder de CRA hebben fabrikanten, importeurs of handelaren hebben allemaal de verantwoordelijkheid om producten te leveren die aan de security-eisen voldoen. Dus ook als je producten via platforms zoals AliExpress importeert en verkoopt, ontkom je niet aan de verplichtingen die de CRA-wet met zich meebrengt.
Een ander kenmerk van de CRA is dat het gaat om een ‘regulation’. Anders dan de lokale vertalingen die we zien bij richtlijnen zoals de Network and Information Systems Regulation (NIS), betekent een regulation dat de wet in elk Europees land hetzelfde is. Vergelijkbaar met de General Data Protection Regulation (GDPR), mag er niet van worden afgeweken. Deze uniformiteit is gekozen om verschillen per land te vermijden en een gestandaardiseerde aanpak te waarborgen.
Waarom is de wetgeving zo belangrijk?
Je zou je kunnen afvragen waarom alledaagse apparaten zoals slimme deurbellen en koelkasten beveiligd moeten worden. Het antwoord op deze vraag krijg je wanneer je naar het grotere plaatje kijkt. Een enkel gehackt apparaat lijkt misschien onschuldig, maar een groep gehackte apparaten kan bijvoorbeeld worden ingezet bij een DDoS-aanval en leiden tot serieuze problemen. Het Mirai-botnet is een treffend recent voorbeeld van hoe kwetsbaarheden in IoT-apparaten kunnen worden misbruikt voor grootschalige aanvallen die grote delen van het internet kunnen lamleggen. Ditzelfde had het geval kunnen zijn bij de laadpalen die werden gehackt waarbij zelfs de meest logische securitymaatregelen niet waren getroffen. De CRA speelt een belangrijke rol om dit te voorkomen.
Timing implementatie
Hoewel de CRA-wetgeving momenteel nog in ontwikkeling is, wordt verwacht dat de definitieve tekst in de eerste helft van dit jaar klaar zal zijn. Na goedkeuring volgt er een implementatieperiode van 36 maanden. In 2027 zal de wet volledig in werking zijn. Dit lijkt nog ver weg, maar gezien de eisen die naar verwachting worden gesteld is het essentieel voor bedrijven om nu al aan de slag te gaan met de voorbereiding.
Strenge eisen
Om te voldoen aan de eisen van de CRA is het allereerst belangrijk dat leveranciers hun rol en verantwoordelijkheden vanuit deze regelgeving begrijpen. De CRA kent een classificering voor bedrijven die is gebaseerd op de gevoeligheid van de systemen die je ontwikkelt of op de markt brengt. Voor bedrijven met zeer gevoelige systemen zijn de eisen strenger. Een eerste cruciale stap is om te bepalen in welke klasse een bedrijf valt. Dit vereist niet alleen zelfevaluatie maar ook het gebruik van een security framework. Er is nog niet besloten welk specifiek framework zal worden toegepast, maar denk hierbij bijvoorbeeld aan de ISO 27002 norm. Voor bedrijven die extreem gevoelige systemen produceren, zoals firewallproducten, is er zelfs de verplichting om onafhankelijke toetsing te ondergaan.
Een belangrijke eis die de CRA-wetgeving met zich meebrengt, is het integreren van een risicoanalyse in het softwareontwikkelingsproces. Daarnaast moet je producten leveren met een ‘secure by default’ configuratie, wat bijvoorbeeld betekent dat standaardwachtwoorden zoals ‘welkom123’ niet meer zijn toegestaan. Bovendien mogen er geen bekende kwetsbaarheden aanwezig zijn en moet er een updateproces worden geïmplementeerd waarbij de verantwoordelijkheid voor updates niet bij de eindgebruiker ligt.
De wet introduceert daarnaast ook de verplichting om een duidelijke supportperiode te definiëren, waarbij beveiligingsupdates ten minste vijf jaar moeten worden ondersteund. Dit geldt tenzij de gebruiksperiode korter is. Deze transparantie over de levensduur van het apparaat stelt consumenten in staat beter geïnformeerde keuzes te maken.
Net als bij NIS2, moeten bedrijven onder de CRA-wetgeving melding doen van actieve aanvallen of ernstige incidenten. Zo moet er binnen 24 uur na ontdekking een eerste melding worden gedaan en moet deze binnen 72 uur worden opgevolgd met details. Vervolgens wordt er binnen 14 dagen na het incident een updaterapport verwacht. Ook bevat de wet boeteclausules die kunnen oplopen tot 2,5% van de omzet van een bedrijf, afhankelijk van de ernst van de situatie.
Het belang van cybersecurity voor IoT- fabrikanten
Hoewel de implementatie van de CRA-wetgeving een uitdagend traject is, betekent het een belangrijke stap voor een veiligere samenleving. Producenten en importeurs worden gedwongen hun producten te verbeteren, bekende kwetsbaarheden aan te pakken en transparant te zijn over de levensduur van hun producten. De rapportageplicht legt echter ook extra druk op grote fabrikanten om proactief te communiceren en incidenten snel te melden. Om zich goed voor te bereiden zullen bedrijven dus in actie moeten komen en investeren in cybersecurity om aan de eisen van de CRA-wetgeving te voldoen en daarmee bij te dragen aan de algehele digitale veiligheid.
Dit is een ingezonden bijdrage van Computest Security. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
17 uur geleden
Expert bijdrage
