De Cyber Resilience Act (CRA) van de Europese Unie betekent een belangrijke stap voorwaarts op het gebied van cyberbeveiliging. Er worden strenge eisen gesteld aan de cybersecurity met digitale elementen van hardware- en softwareproducten, die bestemd zijn voor de EU-markt. Deze regelgeving is bedoeld om ervoor te zorgen dat dergelijke producten vrij zijn van bekende kwetsbaarheden en dat ze gedurende hun hele levenscyclus beveiligd blijven. In dit artikel gaat Avnet Silica in op de CRA en de impact ervan op Original Equipment Manufacturers (OEM’s). Aan de orde komen de strenge eisen die de CRA stelt, de stappen die nodig zijn voor naleving en de potentiële concurrentievoordelen voor OEM’s die aan deze normen voldoen.
Door: Avnet Silica
Na de formele goedkeuring en het ingaan van de overgangsfase van de CRA, naar verwachting eind 2024, krijgen OEM’s twee jaar de tijd om aan de eisen te voldoen. Handhaving zal naar verwachting op zijn vroegst eind 2026 plaatsvinden. Niet-naleving kan leiden tot boetes, die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de jaaromzet van de OEM.
Het nalevingsproces zal voor OEM’s waarschijnlijk leiden tot hogere kosten voor productontwikkeling vanwege de benodigde tijdsinvestering voor risicobeoordelingen en het opstellen van de benodigde documentatie. Geverifieerde naleving van producten op het gebied van cybersecurity kan echter ook een concurrentievoordeel opleveren omdat je je daarmee onderscheidt van buiten de EU vervaardigde producten.
Impact van de CRA
Een belangrijk gevolg van de CRA is dat fabrikanten uitgebreide details over hun producten moeten registreren. Dit omvat het duidelijk definiëren van de software- en hardwarematige BoM. Verder moeten ze een gedetailleerde inventarisatie maken van alle geharmoniseerde EU-cybersecuritynormen waaraan het product voldoet en diepgaande risicobeoordelingen uitvoeren voor zowel de OEM als de eindgebruiker. Het is ook noodzakelijk dat de fabrikanten de aard van de gebruikte software bekendmaken –of deze nu open source of bedrijfseigen is– en zich gedurende de gehele levensduur van het product committeren aan een regime van voortdurende waakzaamheid, waarbij de markt proactief wordt geïnformeerd over eventuele beveiligingslekken.
De CRA schrijft fabrikanten ook voor om te voorzien in upgrades, via een een bekabelde of draadloze verbinding. De OEM is immers verantwoordelijk voor het in stand houden van de beveiliging van het product gedurende de gehele levenscyclus. In dat kader is het ook zaak om gedurende de levenscyclus de securityfuncties van het product te verbeteren. Het upgrademechanisme moet beveiligd zijn, waarbij de OEM de integriteit en vertrouwelijkheid van de firmware bewaakt.
Voldoen aan CRA
Voor het uitvoeren van risicobeoordelingen deelt de CRA de producten in vier categorieën in.
Zeer kritiek
Deze strengste classificatie is van toepassing op producten als smartcards, secure elements en vertrouwde platformmodules (TPM’s). De CRA verplicht een beoordeling door een derde partij van niveau ‘substantieel’ of ‘hoger’, volgens de NIS2-richtlijn van de EU.
Kritiek klasse I
Dit zijn producten die verband houden met cybersecurity of die een aanzienlijk risico vormen op negatieve gevolgen voor een breed scala aan andere producten of voor de gezondheid en veiligheid van gebruikers. Denk daarbij aan VPN’s, besturingssystemen, routers, microcontrollers en microprocessoren. OEM’s moeten zich houden aan een cybersecuritynorm of een beoordeling laten uitvoeren door een derde partij.
Kritiek klasse II
Dit zijn producten die, als ze worden gecompromitteerd door cyberincidenten, kunnen leiden tot ernstigere nadelige gevolgen vanwege de kenmerken van hun cyberbeveiligingsgerelateerde rol of de uitvoering van een andere functie die een substantieel risico met zich meebrengt. Voorbeelden zijn firewalls en manipulatiebestendige MPU’s. Voor deze producten schrijft de CRA een risicobeoordeling door een derde partij voor.
Standaard
De standaardclassificatie geldt voor al het andere met een digitaal element, circa 90% van de producten. Voorbeelden zijn fotobewerkingssoftware, slimme luidsprekers, videospelletjes en harde schijven. Hiervoor kunnen fabrikanten zelf de risicobeoordeling uitvoeren. Daarbij moeten ze nog steeds voldoen aan enkele beveiligingseisen, zoals het behoud van de integriteit en vertrouwelijkheid van gegevens, het beheer van de levering van beveiligingssleutels en -certificaten, het identificeren en beperken van kwetsbaarheden, het op de hoogte brengen van de markt van ontdekte beveiligingsproblemen en het doorvoeren van verbeteringen aan de securityfuncties door middel van upgrades.
Ondersteuning voor CRA-naleving
Avnet Silica biedt een reeks oplossingen voor leveranciers, die ontwikkelaars voorzien van de tools en technologieën die nodig zijn om de cybersecurity en het vertrouwen van hun embedded systemen en IoT-apparaten te verbeteren. Deze oplossingen helpen beveiligingsrisico’s te beperken, gevoelige gegevens te beschermen en de integriteit en betrouwbaarheid van aangesloten apparaten te garanderen.
STMicroelectronics
STM32Trust is een uitgebreid softwarepakket voor beveiligingsoplossingen van STMicroelectronics voor de STM32 MCU-en MPU-families, die gebruik maakt van Arm Trustzone-M-technologie om te zorgen voor een scheiding tussen de beveiligde en niet-beveiligde kanten van de systeemarchitectuur. Deze suite bevat de software hulpmiddelen om hardwarematige securityfuncties zoals te configureren en beheren. Aan de kant van fabrieksprogrammering biedt STM32Trust beveiligde firmware-installatie (SFI) om de vertrouwelijkheid van de firmware te beschermen. Secure secret provisioning (SSP) injecteert de vertrouwd codes op een beveiligde manier voor het vaststellen van de root of trust-functies.
Bijvoorbeeld voor de STM32H573, die is gebaseerd op de Arm Cortex M33 met cryptografische versnellers en hardware-gebaseerde beveiligde opslag, levert en onderhoudt STMicroelectronics een pre-baked secure manager root of trust als een niet-modificeerbare binary, die voldoet aan niveau 3 van de Security Evaluation Standard for IoT Platforms (SESIP niveau 3). Omdat de hard- en software vooraf zijn gecertificeerd en de fabrikant dit onderhoudt, is het voor de OEM veel eenvoudiger om aan de CRA te voldoen. Als de beveiligingssoftware moet worden bijgewerkt, levert STMicroelectronics de binaire code om de fix of het nieuwe crypto-algoritme te implementeren. De component is SFI-compatibel en wordt geleverd met x509-certificaten en attestatiesleutels. Avnet Programming Centers, gefaciliteerd door Avnet Silica’s samenwerking met System General, kunnen hierin ondersteuning bieden.
NXP Semiconductors
De NXP EdgeLock reeks beveiligingsoplossingen is bedoeld om de security van randapparatuur en standalone systemen te verbeteren. Het hardwareportfolio omvat secure elements (SE05x en A5000), secure MCU’s, zoals de LPC55Sxx, i.MXRT11xx, MCXN54x en MCXN94x, en secure MPU’s, waaronder de i.MX8ulp, i.MX93 en i.MX91.
Voor programmering in de fabriek zijn deze componenten uitgerust met EdgeLock secure elements en secure enclaves, die zijn voorzien van NXP’s x509-certificering. Deze kunnen op afstand worden beheerd via de EdgeLock 2GO service, waardoor flexibiliteit mogelijk is in het veld, op de productielijn of binnen Avnet Programming Centers.
Renesas
Renesas biedt beveiligingsoplossingen die zijn geïntegreerd in haar MCU’s om embedded systemen en IoT-apparaten te beveiligen. Deze geïntegreerde oplossingen omvatten hardwarematige securityfuncties, hoewel Renesas geen standalone secure elements levert.
De door Renesas geleverde Device Lifecycle Management (DLM) Server Tool wordt gebruikt voor fabrieksprogrammering en het beheer van de injectie van gedeelde sleutels in de chips. Renesas levert zijn producten niet standaard met een X.509 type certificaat. Avnet Programming Centers kunnen helpen bij het verkrijgen van dit x.509-certificaat.
Microchip
Microchip’s Trust Platform levert discrete secure elements, met name de ATECC608 en TA100. De PIC32CM-serie combineert een Arm Cortex M0 kern met het ATECC608 secure element in één enkele behuizing. Microchip biedt ook vroegtijdige toegang tot de PIC32CK voor geselecteerde OEM’s, die een Arm Cortex M33 kern integreert met een hardware beveiligd element.
Microchip levert programmeerservices, met de Trust Platform Design Suite (TPDS) waarmee OEM’s hun specifieke vereisten kunnen definiëren. Daarnaast biedt Avnet Silica Microchip programmeerservices via MCC Direct, waardoor OEM’s verdere ondersteuning krijgen bij hun beveiligingsimplementaties.
Toegevoegde waarde
De technische teams van Avnet Silica helpen ontwikkelaars bij het selecteren van geschikte hardware, waarbij de nadruk ligt op diensten die gericht zijn op vertrouwelijkheid, integriteit en authenticatie. De diensten met betrekking tot de CRA omvatten het genereren van sleutels, injecteren van publieke sleutels, root-of-trust provisioning met apparaatcertificaten en het verzamelen van ID-chips.
Avnet Silica levert een reeks cyberbeveiligingsoplossingen in alle stadia, van het eerste ontwerp tot massaproductie en gedurende de hele levenscyclus van het product. Het bedrijf fungeert als centraal punt voor toegang tot alle diensten en tools van zijn leveranciers, voor verschillende toepassingen en configuraties van de toeleveringsketen. Dit omvat ondersteuning voor specifieke certificaten en sleutels die nodig zijn voor cloudverificatie, zoals AWS Connection en Azure Connection, evenals de bescherming van OEM intellectueel eigendom met geïntegreerde vertrouwelijkheidscertificaten en -sleutels.
Secure provisioning
Het Avnet Silica Warehouse biedt nauwkeurige controle over het secure provisioning proces, waarbij devices kunnen worden vergrendeld waarna de OEM de firmware kan uploaden. Deze gecentraliseerde benadering van secure provisioning past bij specifieke scenario’s, maar vereist wel dat personalisatie gereed moet zijn op het moment van programmeren. Dit one-stop-shop concept (componenten en services in één) heeft vele voordelen, maar biedt weinig flexibiliteit voor last-minute aanpassingen.
Voor OEM’s die de secure provisioning liever direct op hun productielijn of via de EMS-productielijn uitvoeren, biedt Avnet Silica de TOPS Plug&Go-oplossing. Dit is een compacte Hardware Security Module (HSM) die is uitgerust met de benodigde sleutels en certificaten om in het product te laden. Deze methode biedt de OEM meer flexibiliteit, maar vereist wel dat de EMS een product van derden in zijn systeem integreert, waarvoor mogelijk internettoegang nodig is.
Wanneer personalisatie niet geïntegreerd is tijdens de productie, wordt een late personalisatiestrategie toegepast in het veld. Agent-software in het IoT-apparaat maakt na initialisatie verbinding met de juiste PKI-cloudservice (Public Key Infrastructure), waarbij gebruik wordt gemaakt van platforms zoals EdgeLock 2GO van NXP of vergelijkbare diensten van strategische partners zoals Keyfactor.
Aanvullende diensten
Witekio, partner van Avnet Silica, biedt op maat gemaakte CRA-compliant beveiligingssoftware en diensten. Ook voorziet het in een workshop om een hardware secure by design-methodologie te initiëren.
De fast-track Linux-service biedt de OEM’s alles wat ze nodig hebben om ervoor te zorgen dat hun apparaat volledig beveiligd op de markt komt, en dat op lange termijn ook blijft via regelmatige controles op kwetsbaarheden en de implementatie van software-updates.
Conclusie
Avnet Silica biedt een scala aan oplossingen en technische ondersteuning om OEM’s te helpen om aan de eisen van de CRA te voldoen, van sleutelgeneratie tot beveiligd devicebeheer en provisioning. Secure provisioning kan worden geregeld via Avnet Silica’s Warehouse, TOPS Plug&Go of late personalisatiemethoden, afhankelijk van de behoeften van de OEM. Witekio biedt als Avnet Silica-partner aanvullende beveiligingsdiensten op maat om ervoor te zorgen dat devices voldoen aan de CRA.
Dit artikel verscheen eerder in ElektroData 5 – 2024, pagina 20 t/m 22
Goed dat er aandacht is voor de cyber resilience act. Dit zal vanaf december 2027 een positieve impact hebben op de security van de producten in Europa. Voor velen fabrikanten zal dit (helaas) ook veel werk inhouden om hieraan te kunnen voldoen.
Maar let op, vanaf 1 augustus 2025 gaat eerst de gedelegeerde verordening van de RED in. Deze stelt ook cybersecurity eisen aan veel producten en is eigenlijk een voorloper van de CRA met een kleinere scope, maar veel IoT producten zullen hieronder vallen.
Voor meer informatie over deze wetgeving kijk op de site van de Rijksinspectie Digitale Infrastructuur: https://www.rdi.nl/onderwerpen/handel-en-apparatuur/red-3-3