EUs Cyber Resilience Act (CRA) stiller en rekke krav til «produkter med digitale elementer» – og dette dekker jo det aller meste i våre dager. CRA kommer til å bli gjeldende for Norge før vi aner det, og dermed oppstår det et behov for sertifisering – hvordan kan man godtgjøre at man leverer i henhold til kravene?
Standarden ETSI EN 303 645 anses av mange for å dekke sikkerhetskravene som CRA stiller. I EU-prosjektet TELEMETRY har vi utviklet flere verktøy som kan brukes til å teste enkeltkrav i standarden, og som følgelig med fordel kan inngå i en sertifiseringsprosess. Jeg skal ikke forsøke å dekke hele standarden her, men gi noen kjappe eksempler.
Provision 5.13-1B
Data […] som leses inn av enheten skal valideres mht. «ikke forventet innhold» for å forhindre manipulasjon av systemet og feilsituasjoner.
Vår tilnærming til dette kravet er å bruke nettverksfuzzing. Vi har tatt utgangspunkt i fuzzeren Boofuzz (åpen kildekode), og konfigurert et testmiljø tilpasset fuzzing av trådløse hjemmerutere. Les mer om dette her: https://www.ntnu.no/ojs/index.php/nikt/article/view/6241
Provision 5.2-3
Produsenter skal kontinuerlig overvåke, identifisere og korrigere sikkerhetssårbarheter i IoT-produkter de selger til forbrukermarkedet […]
Vårt SBOM-verktøy identifiserer programvarekomponenter til en enhet, og bruker den resulterende oversikten til å hente ned relevante sårbarheter fra National Vulnerability Database (NVD). Verktøyet kan kjøres som et ledd i en test-prosess, men kan også kjøres periodisk mens utstyr er i drift.
Provision 5.3-8
Sikkerhetsoppdateringer skal utføres uten ugrunnet opphold
Ved å bruke SBOM-verktøyet i tospann med risikovurderingsverktøyet Spyderisk kan vi foreta prioritering av sårbarheter slik at de de mest kritiske kan lappes først.
Vi lager en modell av systemet i Spyderisk, og bruker SBOM-verktøyet til å hente ned alle relevante sårbarheter. Spyderisk løper så gjennom listen og «implementerer» sårbarhetene en etter en for å vurdere hvordan den påvirker risikonivået. Etter at alle sårbarhetene har blitt vurdert på denne måten, vet man hvilken sårbarhet medfører mest risiko, og kan håndtere denne først. Les mer om dette her: https://jaatun.no/papers/2025/CVE_pri_ARES_WS.pdf
TELEMETRY er finansiert under EUs forskningsprogram Horizon Europe, grant number 101119747.