EN 303 645 — Norma kybernetickej bezpečnosti pre spotrebiteľské IoT zariadenia
ETSI EN 303 645 (Kybernetická bezpečnosť pre spotrebiteľský Internet of Things: Základné požiadavky) je európska — a celosvetovo referenčná — základná norma kybernetickej bezpečnosti pre spotrebiteľské IoT zariadenia. Vyvinutá ETSI a prvýkrát uverejnená v júni 2020, definuje 13 bezpečnostných ustanovení a 5 ustanovení ochrany dát, ktoré stanovujú minimálnu bezpečnostnú pozíciu pre internetovo pripojené spotrebiteľské zariadenia.
EN 303 645 sa nachádza v centre regulačného ekosystému IoT bezpečnosti EÚ: je odkazovaná Delegovaným aktom RED, tvorí súčasť harmonizačného plánu pre CRA a bola prijatá ako základ pre národné schémy certifikácie kybernetickej bezpečnosti vo Veľkej Británii, Singapure, Fínsku a Nemecku.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celý názov | ETSI EN 303 645 — Kybernetická bezpečnosť pre spotrebiteľský IoT: Základné požiadavky |
| Vypracovaná | ETSI |
| Aktuálna verzia | V2.1.1 (jún 2020) |
| Regulačná relevantnosť | Delegovaný akt RED (EÚ 2022/30), CRA (EÚ 2024/2847), UK PSTI Act |
| Rozsah | Spotrebiteľské IoT zariadenia s internetovou konektivitou |
| Prístup posúdenia | Požiadavky — 13 ustanovení s povinnosťami (SHALL) a odporúčaniami (SHOULD) |
| Testovacia špecifikácia | ETSI TS 103 701 |
13 Bezpečnostných ustanovení
EN 303 645 štruktúruje svoje požiadavky do 13 číslovaných ustanovení. Každé ustanovenie obsahuje zmesiaciou povinných požiadaviek (SHALL) a odporúčaní osvedčenej praxe (SHOULD):
Ustanovenie 1: Žiadne univerzálne predvolené heslá
Najdôležitejšie ustanovenie. Každé IoT zariadenie musí buď:
- Byť dodané bez predvoleného hesla, kde si používateľ nastaví vlastné počas inštalácie, alebo
- Mať unikátne heslo generované na zariadenie spôsobom, ktorý ho robí nepredvídateľným
Zdieľané predvolené prihlasovacie údaje identické naprieč všetkými kusmi modelu sú zakázané.
Hardvérový dôsledok: Unikátne prihlasovacie údaje per-zariadenie musia byť uložené v nezmeniteľnej pamäti — vyžaduje provisioning proces vo výrobe s HSM injekciou kľúčov.
Ustanovenie 2: Implementácia politiky zverejňovania zraniteľností
Výrobcovia musia uverejniť jasnú, dostupnú politiku zverejňovania zraniteľností (VDP) s kontaktnými informáciami pre bezpečnostných výskumníkov, minimálnou dobou prijímania správ a definovaným procesom odpovede.
Ustanovenie 3: Udržiavanie aktualizovaného softvéru
Zariadenia musia podporovať bezpečnostné aktualizácie softvéru. Aktualizácie musia byť jednoduché, včasné, zariadenie nesmie umožňovať downgrade na zraniteľný firmvér a aktualizácie musia byť dostupné počas definovaného obdobia podpory.
Hardvérový dôsledok: Vyžaduje bezpečnú OTA aktualizáciu s ochranou pred rollbackom. Ak MCU nedokáže implementovať anti-rollback (napr. cez monotónne počítadlá v bezpečnom úložisku), útoky downgrade firmvéru sú realizovateľné.
Ustanovenie 4: Bezpečné ukladanie citlivých bezpečnostných parametrov
Prihlasovacie údaje a kryptografické kľúče musia byť uložené s primeranou ochranou. Pevne zakódované prihlasovacie údaje vo firmvéri sú zakázané.
Hardvérový dôsledok: Citlivé parametre by mali byť uložené v hardvérovo chránenom úložisku (Secure Element, TrustZone, eFuse-chránené oblasti).
Ustanovenie 5: Bezpečná komunikácia
Všetky komunikácie zariadenia musia používať šifrovaný transport (TLS 1.2 minimum, odporúčaný TLS 1.3). Zastarané protokoly (SSLv3, TLS 1.0, WEP, WPA) sú zakázané.
Ustanovenie 6: Minimalizácia exponovanej plochy útoku
Nevyužívané sieťové rozhrania a služby musia byť predvolene vypnuté. Fyzické debug rozhrania (JTAG, UART) musia byť vypnuté alebo chránené v produkčnom firmvéri.
Hardvérový dôsledok: JTAG/SWD rozhrania musia byť zamknuté cez OTP-fuse v produkčných zariadeniach. Ponechanie JTAG aktívneho na produkčných jednotkách je bežným zistením pri bezpečnostných auditoch.
Ustanovenie 7: Zabezpečenie integrity softvéru
Zariadenie musí overovať integritu softvéru pri štarte a počas aktualizácie — Secure Boot s kryptografickým overením firmvéru zakotveným v hardvéri.
Hardvérový dôsledok: Plný Secure Boot reťazec od boot ROM cez aplikačný firmvér, zakotvený v hardvéri (OTP koreňový kľúč).
Ustanovenia 8–13
- 8 — Bezpečnosť osobných dát: Šifrovanie, minimalizácia, bezpečné vymazanie osobných dát
- 9 — Odolnosť pri výpadkoch: Zariadenia musia zostať v degradovanom funkčnom stave počas sieťových výpadkov
- 10 — Telemetria: Výrobcovia by mali monitorovať telemetriu na detekciu bezpečnostných anomálií
- 11 — Vymazanie osobných dát: Jednoduché pre používateľa, s potvrdeným úplným vymazaním
- 12 — Jednoduchá inštalácia: Bezpečnosť predvolene aktívna bez potreby odborných znalostí
- 13 — Validácia vstupných dát: Prevencia injection útokov a pretečenia vyrovnávacej pamäte
EN 303 645 vs. EN 18031: Vzťah
| Aspekt | EN 303 645 | Séria EN 18031 |
|---|---|---|
| Vývojár | ETSI | ETSI + CEN/CENELEC |
| Rozsah | Základná úroveň spotrebiteľského IoT | Rádiové zariadenia (RED 3(3)(d/e/f)) |
| Povinné podľa | Delegovaný akt RED (odkazovaný); CRA | Povinná harmonizovaná norma pre Delegovaný akt RED |
| Vzťah | Predchodca/základ | EN 18031 vyvinula a nahrádza EN 303 645 pre súlad s RED |
| Testovacia špecifikácia | ETSI TS 103 701 | Testovacie špecifikácie specifické pre EN 18031 |
Praktické usmernenie: Pre rádiové zariadenia preukazujúce zhodu s Delegovaným aktom RED je EN 18031 primárnou harmonizovanou normou. EN 303 645 zostáva vysoko relevantná pre plánovanie súladu s CRA, súlad s trhom UK a ako základ pre národné schémy certifikácie.
Globálne adopcie EN 303 645
| Krajina / Región | Schéma | Základom EN 303 645 |
|---|---|---|
| EÚ | Delegovaný akt RED / CRA | ✅ Priamo odkazovaná |
| UK | PSTI Act 2022 | ✅ Ustanovenia 1, 2, 3 |
| Singapur | Cybersecurity Labelling Scheme (CLS) | ✅ Úroveň 1 |
| Nemecko | BSI TR-03148 | ✅ Základom EN 303 645 |
| USA | NIST IR 8425 / Cyber Trust Mark | ✅ V súlade s EN 303 645 |
Hardvérové požiadavky — prehľad
| Ustanovenie EN 303 645 | Hardvérový dôsledok |
|---|---|
| 1 — Žiadne predvolené heslá | Provisioning unikátnych prihlasovacích údajov per-zariadenie vo výrobe |
| 3 — Aktualizácie softvéru | Anti-rollback podpora (monotónne počítadlo v bezpečnom úložisku alebo eFuse) |
| 4 — Bezpečné ukladanie parametrov | Secure Element, TrustZone alebo eFuse-chránené úložisko kľúčov |
| 6 — Minimalizácia plochy útoku | JTAG/UART debug port zamknutý cez OTP fuse vo výrobe |
| 7 — Integrita softvéru | Hardvérovo zakotvený Secure Boot (OTP koreňový kľúč) |
Z našej praxe
Pri vykonávaní analýz medzier EN 303 645 pre spotrebiteľské IoT produkty vidíme tieto vzory najkonzistentnejšie:
Ustanovenie 1 zlyháva v približne 60 % hodnotení pri prvom posúdení. Napriek tomu, že ide o najpublikovanejšiu požiadavku EN 303 645, zdieľané predvolené prihlasovacie údaje zostávajú najčastejšou neshodou, ktorú nachádzame. Prihlasovacie údaje často nie sú admin/admin — výrobcovia o tom vedia — ale zariadením odvodeným predvoleným (napr. posledné 4 číslice MAC adresy), ktoré je algoritmicky predvídateľné. ETSI TS 103 701 explicitne testuje predvídateľné prihlasovacie údaje per-zariadenie, nielen univerzálne. Oprava vyžaduje zmenu provisioningu pri výrobe a zmenu výrobného procesu.
Objavenie JTAG v Ustanovení 6: najčastejšie zistenie bezpečnostného auditu. V over 80 % hodnotení bezpečnosti hardvéru, kde dostávame produkčné jednotky (nie inžinierske vzorky), zostáva prístup cez JTAG alebo SWD debug aktívny. Výrobcovia typicky testujú s inžinierskými vzorkami — kde je JTAG úmyselne povolený — a produkčný build firmvéru nezahŕňa vypálenie OTP poistky ako finálny výrobný krok. Výsledkom je produkčné zariadenie, kde útočník s lacným debug sondou môže vyčerpať celý flash, extrahovať prihlasovacie údaje a nainštalovať ľubovoľný firmvér.
Anti-rollback Ustanovenia 3: často tvrdené, zriedka správne implementované. Mnoho výrobcov uvádza, že ich systém OTA aktualizácií zabraňuje downgrade firmvéru. V praxi zistíme, že toto je implementované ako kontrola verzie softvéru v aplikačnom firmvéri — čo je triviálne obíditeľné útočníkom, ktorý zariadenie už kompromitoval. Skutočný anti-rollback podľa EN 303 645 vyžaduje hardvérové monotónne počítadlo v oblasti pamäte odolnej voči manipulácii, ktoré nemožno dekrementovať. Na zariadeniach bez Secure Element alebo TrustZone-schopného SoC je toto architektonicky nemožné správne implementovať v čistom softvéri.
Staré pripojenia backendu TLS 1.0/1.1 v Ustanovení 5. Produkt môže mať perfektnú implementáciu TLS 1.3 na zariadení — a stále zlyhá Ustanovenie 5, ak cloudový backend, ku ktorému sa pripája, zachováva podporu TLS 1.0 alebo 1.1 pre starých klientov. EN 303 645 testuje dohodnutý protokol, nie len minimálnu schopnosť zariadenia. Toto nachádzame najčastejšie u produktov pripájajúcich sa k existujúcim podnikovým backendom, ktoré neboli aktualizované. Oprava je na strane backendu — a často mimo priamej kontroly výrobcu hardvéru, ak používa zdieľanú cloudovú platformu.
Súvisiace pojmy
- EN 18031 — Následnícka séria harmonizovaných noriem pre súlad s Delegovaným aktom RED.
- Delegovaný akt RED — Právny nástroj, ktorý urobil súlad povinným.
- CRA — EN 303 645 tvorí technický základ požiadaviek kybernetickej bezpečnosti CRA.
- Secure Boot — Základná hardvérová požiadavka Ustanovenia 7.
- OTA aktualizácia — Vyžadovaná Ustanovením 3 s overením podpisu a anti-rollbackom.
- Hardware Root of Trust — Základom Ustanovení 4 a 7.
Officiálne zdroje
- ETSI EN 303 645 V2.1.1 — bezplatné stiahnutie (etsi.org)
- ETSI TS 103 701 — testovacia špecifikácia pre EN 303 645 (bezplatné stiahnutie)
- Delegovaný akt RED EÚ 2022/30 — EUR-Lex
- Kybernetická bezpečnosť pre spotrebiteľský IoT — prehľadová stránka ETSI
Inovasense vykonáva analýzu medzier oproti všetkým 13 ustanoveniam EN 303 645 — mapuje existujúce hardvérové schopnosti, identifikuje potrebné zmeny hardvéru alebo výrobného procesu (provisioning, uzamknutie debug portu, bezpečné úložisko) a produkuje dokumentáciu pripravenú na testovanie pre akreditované laboratóriá. Pozrite si naše odborné znalosti embedded bezpečnosti a služby EÚ compliance.