I en värld där dataintrång och IT-hot blir allt vanligare är det nödvändigt att standarden på skyddet utvecklas för att hålla jämna steg.
I över 20 år fungerade FIPS 140-2 – en certifiering inrättad av National Institute of Standards and Technology (NIST) – tillhandahållit en tillförlitlig kryptering som använts av regeringar, försvarsmakter och näringslivsbranscher över hela världen för hantering av känsliga data.
Den tekniska utvecklingen går dock fort och såväl tillsynsstandarder som krypteringsrutiner behöver moderniseras för att möta dagens utmaningar. Det är här den nya standarden, FIPS 140-3, kommer in. Ett uppdaterat protokoll avsett att motstå 2000-talets hot, inklusive från quantum computing.
Denna brådska ökar ytterligare genom nya bestämmelser som EU-direktiv 2022 (även känt som NIS 2-direktivet [nätverks- och informationssäkerhetsdirektiv 2]) som antogs i EU år 2022 för att stärka cybersäkerheten för kritisk infrastruktur och samhällsviktiga tjänster. Enligt NIS 2-direktivet, som måste införas i hela EU senast i oktober 2024, förpliktigar enheter som hanterar kritiska data – t.ex. inom sjuk- och hälsovård, finanssektorn, energisektorn och transportbranschen – att upprätthålla ett dataskydd av hög standard. Direktivet betonar vikten av kryptering och hur man svarar på IT-säkerhetsincidenter för att förhindra katastrofala intrång som skulle kunna samhällsviktiga tjänster. Organisationer i EU, i synnerhet de som omfattas av NIS 2-direktivet, behöver se till att de använder teknologi som inte bara uppfyller nationella riktlinjer, utan också motsvarar robusta krypteringsstandarder som FIPS 140-3 för att undvika böter och andra bestraffningar.
Fördelarna med FIPS 140-3 för efterlevnad av NIS 2-direktivet
NIST lanserade FIPS 140-3-standarden i september 2019 och inrättade NIST-godkända laboratorier med uppgift att certifiera maskin- och programvara som uppfyller kraven för högre krypteringsnivåer och större motståndskraft. Sedan 2023 erbjuder FIPS 140-3-certifierade diskar, i synnerhet de som uppfyller nivå 3-standarden, ökad datasäkerhet, inklusive avancerat skydd mot manipulering. Dessa funktioner ligger direkt i linje med NIS 2-kraven för dataskyddsåtgärder. Direktivet understryker vikten av att alla samhällskritiska enheter måste anamma avancerade krypteringslösningar för att skydda integriteten för kritiska data.
Exempelvis är FIPS 140-3 nivå 3-diskar utrustade med mekanismer som skyddar mot fysisk manipulering, vilket bland annat är en särskild epoxybeläggning på kritiska kretsar för att göra dem mer beständiga mot rent fysiska intrång – ett kritiskt krav för mobil- och fältinstallationer för datalagring i bransch som står under tillsyn enligt NIS 2-direktivet.
Varför FIPS 140-3 är avgörande för att uppfylla standarder för efterlevnad som hela tiden utvecklas
Låt oss backa bandet lite. År 2001 utgjorde FIPS 140-2 riktmärket i fråga om skydd för känsliga data, men med tanke på hur teknologin har utvecklats kom FIPS 140-3 inte en dag för tidigt. Den nya standarden moderniserar krypteringsrutiner tack vare framsteg inom databehandlingskraft och introducerar funktioner som är specifikt avsedda att framtidssäkra dataskyddet. Enligt NIS 2-direktivet förväntas organisationer förutse och lindra avancerade IT-hot, inklusive sådana som kommer från nästa generation av teknologi som quantum computing.
Ett av kraven i FIPS 140-3 är att enheter ska vara utrustade med 256-bitars XTS-AES-kryptering och att slumptalsgeneratorerna förbättras för säkra lagringsdiskar. Slumptalsgeneratorn används för att skapa unika nycklar för kryptering av maskinvara som uppfyller NIST:s standard för slumpmässighet. Om en nyckelgenereringsprocess är förutsägbar kan en kraftfull dator till sist knäcka krypteringen. Den uppgraderade slumptalsgeneratorn i FIPS 140-3 ökar entropin, eller slumpmässigheten, vilket gör att krypteringen förblir motståndskraftig mot både befintliga och framtida hot mot datasäkerheten. Detta är avgörande för att uppfylla de säkerhetsförpliktelser som ställs i NIS 2-direktivet.
Utöver dennna grundläggande förbättrar introduceras flera nya skyddsfunktioner i FIPS 140-3 som är extra relevanta för enheter som omfattas av NIS 2:
Strängare lösenordsprotokoll: Lösenordslängden har ökats från ett minimum på 7–8 tecken för att skydda mot automatiska gissningsangrepp. Enheter måste nu vara försedda med skydd mot råstyrkeattacker sin utlöser en kryptografisk radering om en sådan attack identifieras. Ett krav som ligger väl i linje med NIS 2-direktivets stränga riktlinjer för att förhindra obehörig åtkomst.
Eliminering av standardinloggningsuppgifter: Användare måste skapa unika lösenord när de initierar diskar, något som åtgärdar risken med fabriksinställda lösenord som hackare annars kan utnyttja.
Självtestning: Diskarna utför regelbundna säkerhetskontroller och stängs av om problem upptäcks. Den här funktionen kan förhindra obehörig åtkomst genom att fel på eller manipulering av maskinvara identifieras, vilket är i linje med NIS 2-direktivets krav på kontinuerlig säkerhetsövervakning.
Överhettnings- och överspänningsbaserad avstängning: Om en disk når extrema temperatur- eller spänningsnivåer (ofta ett tecken på sidokanalsattacker) stängs den automatiskt av. Det gör FIPS 140-3-diskar unikt motståndskraftiga mot avancerade hackningsförsök. Ytterligare en faktor som svarar upp mot NIS 2-direktivets tonvikt på behovet av skydd mot sofistikerade hot.
Dessa uppdateringar innebär att diskar som uppfyller FIPS 140-3-kraven är konstruerade så att de dels klarar att stå emot avancerade säkerhetshot, dels uppfyller kraven i händelse av framtida ändringar i gällande bestämmelser. Enligt NIS 2-direktivet måste enheter som hanterar kritiska data inte bara möta nationala säkerhetskrav, utan också investera i den senaste säkerhetsteknologin. För enheter som bedriver verksamhet i Europa eller arbetar med EU-baserade partner är implementeringen av FIPS 140-3-certifierade diskar ett viktigt steg i arbetet med efterlevnad och minska potentiella ersättningsansvar.
Ett nytt säkerhetsårtionde: Övergången till FIPS 140-3 nivå 3
Under de senaste dryga 20 åren har FIPS 140-2 nivå 3 varit den ultimata standarden för dataskydd, för såväl kommersiellt bruk som myndighetsbruk. Nu tar FIPS 140-3 nivå 3 över stafettpinnen och lägger ribban för kryptering av militär standard. För organisationer som omfattas av NIS 2-direktivet är det viktigt att vara medvetna om denna förändring eftersom FIPS 140-3 nivå 3-diskar, som Kingstons IronKey D500S USB- och Keypad 200-serier, utgör den senaste tekniken i fråga om dataskydd. Dessa enheter är avsedda att möta NIST:s strikta standarder med förbättringar som dessutom direkt ligger i linje med NIS 2-direktivets krav på motståndskraft för kritisk infrastruktur.
Med tanke på dagens tillsynsmiljö är maskinvara som uppfyller kraven för FIPS 140-3 nivå 3 inte bara en fråga om datasäkerhet, utan också om efterlevnad av gällande bestämmelser och företags och organiserationsers samhällsansvar. NIS 2 förpliktigar organisationer att investera i förstklassiga datasäkerhetslösningar eftersom de annars riskerar böter och skamfilat rykte. Med FIPS 140-3 nivå 3 har du inte bara ett utmärkt dataskydd, utan ser också till att de strängaste tillsynsbestämmelser som gäller någonstans är uppfyllda, vilket är en garanti för långsiktigt skydd av kritiska data.
I takt med skärpta bestämmelser över hela världen och allt mer komplexa hot är det dags att uppgradera till det senaste skyddet av militär standard. Diskar med FIPS 140-3 nivå 3-certifiering är utrustade med den avancerade kryptering och den fysiska säkerhet som behövs för att uppfylla såväl aktuella som kommande standarder för dataskydd, vilket gör dem till en viktig tillgång för alla organisationer som behöver skydda sina data och efterleva gällande bestämmelser i många år framöver.
