Noin vuosi sitten 11.11.2024, kysyttiin Tuurissa: ”Onko SSOT-automaatio yhteensopiva RED direktiivistä annettujen delegoitujen asetusten kanssa?”
Tämä blogi selventää SSOT-automaation, EU:n radiolaitedirektiivin (Radio Equipment Directive, RED) ja sen delegoitujen asetusten välistä suhdetta. Vastasin Tuurin esittelytilaisuudessa, että SSOT-automaatio täyttää ja tulee täyttämään myös tulevaisuudessa kaikki kyseisen direktiivin delegoitujen asetusten vaatimukset, joiden soveltamisalaan SSOT-automaatio kuuluu.
RED direktiivin yleiskuvan saat Googlen NotebookLM -palvelun yhteenvedolla lähdedokumenteista: Mitä tarkoittaa EU:n radiolaitedirektiivi RED. Yhteenvedosta saat kokonaiskäsityksen asiasta noin 20 minuutissa. Muutama kohta yhteenvedosta, joissa on SSOT-automaatioon liittyviä asioita:
- RED direktiivi ohjaa radiolaiteturvallisuutta (audion kohta 2:00 – 2:30)
- RED direktiivin (3.3 d/e/f) vaatimukset (audion kohta 7:00 – 13:40)
- Mitä tulevaisuudessa, ajatus pohdittavaksi (audion kohta 19:30 – 20:25)
Delegoitu asetus 2022/30/EU avaa hyvin laajasti soveltamisalueen: Laitteet, jotka liittyvät suoraan tai epäsuorasti Internettiin. SSOT-automaation kuuluu soveltamisalaan, vaikka ei sisällä henkilötietoihin tai maksuliikenteeseen liittyviä merkittäviä kyberturvallisuusuhkia. Näidenkin osalta on kuitenkin välillisiä uhkia, joten kaikki vaatimuskohdat 3.3 d/e/f, tulee huomioida.
EU:n radiolaitedirektiivin delegoitu asetus (kohdat 3.3 d/e/f) astui voimaan 1.8.2025 ja velvoittaa suojaamaan langattomien laitteiden viestinnän, estämään luvattoman käytön sekä varmistamaan ohjelmistojen eheyden.
SSOT-automaatio
Yhteensopivuus RED 3.3 d/e/f -vaatimusten kanssa
| Artikla | Vaatimus | Toteutus |
|---|---|---|
| 3.3 d | Suojaa viestintää luvattomalta käytöltä | MQTT-yhteys salataan TLS:llä (portti 8883), asiakassertifikaatit vaaditaan tuotantoyhteyksissä |
| 3.3 e | Estää luvattoman pääsyn verkkoon | ACL-pohjainen pääsynhallinta, use_identity_as_username aktivoi CN-pohjaisen tunnistuksen |
| 3.3 f | Varmistaa ohjelmiston ja päivitysten eheyden | Päivitykset toimitetaan versionhallitusta Git-reposta, SHA256-tarkisteet ja CA-ketjuvalidaatio käytössä |
SSOT-automaatio pysyy vaatimustenmukaisena
SSOT-automaation järjestelmä tarjoaa turvallisen, versionhallitun ja valvotun tavan päivittää IoT-laitteita MQTT:n ja Git-versionhallinnan avulla. SSOT-automaatio on suunniteltu täyttämään EU:n radiolaitedirektiivin vaatimukset.
SSOT-MQTT -arkkitehtuurin pääpiirteet
- MQTT + TLS: Kaikki tuotantoliikenne kulkee portin 8883 kautta, TLS-salattuna ja asiakassertifikaateilla varmennettuna
- ACL + CN-tunnistus: Laitteet tunnistetaan asiakassertifikaatin CN-kentän perusteella, joka vastaa ACL-tiedoston käyttäjänimeä
- Git-pohjainen päivityshallinta: Päivitykset versioidaan ja validoidaan ennen jakelua. SHA256-tarkisteet ja CA-ketjut tarkistetaan automaattisesti
- Päivitysportti (8880): Erillinen TLS-portti, joka sallii salasanapohjaisen tunnistuksen tilanteissa, joissa asiakassertifikaatti on vanhentunut
- Mosquitto-logiseuranta: TMUX-paneeli ja Telegram-integraatio seuraa virheellisiä yhteyksiä, expired-sertifikaatteja ja ACL-ristiriitoja
SSOT-EDGE päivitysprosessi
- Uusi versio julkaistaan Git-repoon
- SHA256-tarkisteet ja CA-ketju validoidaan
- Päivitys lähetetään MQTT:n kautta laitteelle
- Laite asentaa päivityksen ja raportoi tilan takaisin
- Valvonta seuraa onnistumista ja ilmoittaa virheistä