NEMKO VIL BLI LEDENDE PÅ IOT-SIKKERHET

Det er i dag få standarder når det gjelder denne typen systemsikkerhet. Nemko har brukt sin kompetanse innen sertifisering, elektroniske produkter og IT til å utvikle et sertifiseringssystem som gjør forbrukerprodukter tryggere. Det første produktet har nå blitt evaluert, og fått sitt sertifikat.

– Tilkoblede produkter består ofte av hardware som produsenten har utviklet, mens andre har laget programvaren, og kanskje en tredjepart har utviklet appen. Hvem har da ansvaret for sikkerheten? spør Geir Hørthe, leder for Cyber Security-enheten i Nemko AS.

Kjøp i Arendal

Fagbladet Elektronikkbransjen møter ham og Kristian Myrbakk, som er leder for Nemko New Business, under lanseringen i Oslo før sommeren.

– Nemko har sikkerhet som et primærmål, og nå ønsker vi å møte kundenes og allmenhetens behov for robuste sertifiseringsløsninger knyttet til tilkoblede produkter, sier Myrbakk.

Nemko AS kjøpte tidligere i år selskapet Systemsikkerhet AS i Arendal. Kompetansen i dette selskapet vil danne grunnlaget for den videre satsingen.

– Med oppkjøpet fikk vi inn verdifull kompetanse. Systemsikkerhet AS har satset på større private og offentlige kunder, men nå vil også produkter for forbrukermarkedet komme for fullt, sier Myrbakk.

Målsetningen til Nemko er å tilby markedstilgang og sertifisering innen alle segmenter.

– Tjenesten vi nå har utviklet for IoT-produktene er basert på det vi mener EU vil legge seg på. Her er vi helt i forkant, men det er viktig å være tidlig ute, sier Myrbakk.

Få standarder

Nemkos primærvirksomhet er test- og sertifisering av produkter som skal ut på markedet. Gjeldende standarder er utgangspunktet for sertifiseringsprosessen.

– Vi fikk mange henvendelser fra leverandører og kunder på at det manglet en standard for IoT-produktene og nettsikkerhet, sier Hørthe.

Det er finnes en standardserie, ISO/IEC 27000, men denne er primært rettet mot ledelsessystemer og informasjonssikkerhet. En annen ISO-standard dekker området «Common Criteria».

– Common Criteria-sertifisering er tid- og ressurskrevende, ofte over ett år, og kan fort koste én million kroner, så denne tjenesten er forbeholdt et annet kundesegment, som for eksempel teleoperatører, sier Hørthe.

Det finnes forøvrig mange mindre sertifiseringssystem, men ingen med større nedslagsfelt. Noen bransjer har utviklet egne bransjeløsninger, men de er oftest mer å betrakte som sjekklister. EU har imidlertid ting på trappene.

Cyber Security Act

– EU Cyber Security Act er innført, men hvordan sertifisering skal finne sted, er ikke definert, sier Hørthe.

Nemko tror at EU mest sannsynlig vil dele sertifiseringskravene inn i tre ulike nivåer, hvor det øverste nivået vil dekke militære krav, og krav til kritisk infrastruktur.

– Tjenesten vi i Nemko nå har utviklet og tilbyr, innebærer at vi tester og kan sertifisere tilkoblede produkter, sier Hørthe.

Om produktet utvikles eller oppdateres, kan kundene tilbys en abonnementsordning for å gi trygghet for at produktet til enhver tid er i henhold til gjeldende krav.

– Det er en jungel av krav til produktene, og da er det vår oppgave å veilede kundene for å finne veien videre, sier Hørthe.

Tid er samtidig en viktig faktor i utviklingsfasen av et nytt produkt.

– Jo tidligere vi blir kontaktet dess bedre er det. Da kan vi bidra med vår kompetanse tidlig i prosessen, noe som vi vet vil kunne korte ned tiden inntil produktet er klart for lansering, sier Hørthe.

Første kunde norsk

Det norske teknologiselskapet Datek er den første kunden som har mottatt Nemkos sertifikat for et tilkoblet produkt. De har utviklet en hub for smarthjem. Den vil fungere som hjernen i det digitale hjemmet, og dermed være bindeleddet mellom alle sensorene og det sentrale systemet utenfor.

– Smarthusene er basert på omfattende kommunikasjon mellom stadig flere produkter. Da er sikkerhet viktig. Forbrukerne bør ha et minimum av trygghet for at ikke utenforstående tar seg til rette ved misbruk av mulighetene som ligger i tilkoblede produkter, sier Myrbakk.