#354 Säkrare eller osäkrare routrar?

För att en router ska få säljas i EU måste den vara CE-märkt. Genom CE-märkningen garanterar tillverkaren att produkten uppfyller krav inom bland annat elsäkerhet och kemikaliesäkerhet. Nästa år kommer även krav på cybersäkerhet att bli en av CE-märkningen. Kraven införs som en del av CRA-förordningen (Cyber Resilience Act).

En av de största förändringarna berör routertillverkarens underhållsåtagande. Tillverkaren kan inte längre sälja en router och strunta i att hålla den säker. För det första måste tillverkaren veta vilka komponenter som mjukvaran består av så att routern släpps utan några kända sårbarheter. För det andra måste tillverkaren åtgärda upptäckta sårbarheter i minst fem år. För det tredje måste köparen informeras om hur länge tillverkaren garanterar underhållet.

CRA-förordningen kräver också att produkterna designas och konfigureras med cybersäkerheten i åtanke. Routrar ska skeppas med säkra standardinställningar och utan onödigt exponerade tjänster.

På andra sidan Atlanten sker samtidigt stora förändringar. FCC har slutat godkänna nya konsumentroutermodeller som tillverkas utanför USA. Problemet är att nästintill inga routrar tillverkas i USA. FCC har därför skapat en undantagslista för routermodeller som får säljas i USA trots att de tillverkas i andra länder.

I veckans podd pratar Peter och Nikka om förändringarna som sker på routerfronten. Nikka lyfter bland annat problematiken med att USA vill införa förbud mot firmware-uppdateringar av redan sålda routrar från utländska tillverkare. Firmware-uppdateringar är en av de viktigaste åtgärderna för att hålla routrar säkra. Därom instämmer den amerikanska cybersäkerhetsmyndigheten Cisa som lägger firmware-uppdateringar högst upp på sin lista över rekommenderade cybersäkerhetsåtgärder i hemnätverk.

Se fullständiga shownotes på https://go.nikkasystems.com/podd354.