Hace diez años, las informaciones de Global Surveillance dieron a conocer las graves consecuencias que podía tener la filtración de datos. Pero no solo los gobiernos estaban en peligro, ya que en 2014 aparecieron virus como Heartbleed, que suponían una amenaza tanto para empresas como para particulares. Para los dispositivos conectados a redes IP, incluyendo las cámaras de vigilancia, estas incidencias demostraron claramente la necesidad de ocuparnos de las vulnerabilidades inherentes.
Amplio historial de Axis con la ciberseguridad
En la actualidad, muchos partners y usuarios finales han realizado avances importantes en su trayecto para lograr una sólida ciberseguridad. Pero la ciberseguridad es un objetivo en constante cambio y, para obtener las mayores garantías, las organizaciones deben seguir asociándose con aquellos proveedores que combinan unas políticas y unos procedimientos completos para ciberseguridad junto con un enfoque transparente.
Para algunas organizaciones, aún puede suponer un reto que la dirección ofrezca presupuesto para ciberseguridad. Resulta esencial comprender el alcance total de los riesgos en ciberseguridad, sobre todo a la hora de elegir entre recursos y presupuestos disponibles y los riesgos anteriormente citados, y puede ser útil conocer la experiencia de una organización que ya ha logrado recorrer el trayecto necesario para garantizar su protección en ciberseguridad.
Hoy en día, Axis ha recorrido un largo camino desde el inicio de su andadura en ciberseguridad y hemos alcanzado un nivel de madurez en el que la ciberseguridad se encuentra a la vanguardia en nuestra oferta de soluciones y en nuestra forma de operar como empresa. Esperamos que compartir el trayecto que hemos recorrido para lograr la madurez proporcione unas lecciones útiles para ayudar a partners y usuarios finales a desarrollar una estrategia de ciberseguridad sólida.
Desarrollo de la concienciación
En 2014, Axis decidió definir una estrategia para centrarse y alcanzar la madurez en ciberseguridad. Hasta entonces, la ciberseguridad en el mercado de la seguridad física basada en IP no se encontraba dentro de los planes de la mayoría de los fabricantes, integradores o usuarios finales, ya que la ciberseguridad no era un problema importante, porque muchos sistemas seguían siendo analógicos e incluso las primeras redes digitales no solían conectarse a redes abiertas.
Sin embargo, la conectividad mediante el protocolo de Internet (IP) era el futuro de las cámaras de seguridad. El sector de los PC había pasado previamente por un periodo de maduración a principios de la década de 2000 y, entonces, llegaron los retos de 2013. Sin embargo, Axis ya había empezado a reforzar la ciberseguridad antes de ese momento, ya que nuestras cámaras ya incluían controles de seguridad básicos como la gestión de usuarios, el protocolo HTTPS y filtrado IP. El equipo de I+D de Axis también realizaba por entonces actividades básicas de seguridad, como la exploración de vulnerabilidades, además de proporcionar actualizaciones de firmware y técnicas de control de acceso a la red mediante la norma IEEE 802.1X. Pero la evolución de las amenazas exigía una nueva estrategia.
Desarrollo de la madurez
Los ataques a la ciberseguridad de gran repercusión que tuvieron lugar en 2013 fueron un catalizador para que Axis se centrara más en la ciberseguridad, siendo la primera empresa que logró este objetivo dentro del mercado de las videocámaras. Pero, en ese momento, también empezamos a recibir preguntas de partners y clientes sobre cómo mejorar la ciberseguridad. Dentro del proyecto para definir una estrategia inicial de ciberseguridad Axis publicó, en 2015 la primera versión de la Axis Hardening Guide para ayudar a partners y usuarios finales a proteger sus redes, dispositivos y servicios.
Una de las primeras pruebas de nuestra creciente madurez fue aceptar que la ciberseguridad no podía lograrse únicamente mediante el suministro de nuevas prestaciones de seguridad. También era necesario desarrollar, mejorar y mantener a lo largo del tiempo estrategias, procesos y políticas. Este objetivo se consiguió en parte gracias a la colaboración con clientes entre los que se incluyeron, por ejemplo, bancos de inversión y organizaciones de seguridad que ya habían alcanzado la madurez en su trayecto hacia la ciberseguridad, aprendiendo al mismo tiempo de todas estas experiencias.
Transparencia en las vulnerabilidades
En esta etapa del proceso para garantizar la protección en ciberseguridad, las reuniones con investigadores independientes también ayudaron al desarrollo de nuestra madurez. En 2016, un investigador independiente descubrió una vulnerabilidad crítica. Encontramos una solución a este problema y fuimos reconocidos por nuestra ágil respuesta y gran transparencia. Esta situación también demostró la necesidad de realizar actualizaciones de software de forma periódica, así como el beneficio que proporciona utilizar un software de plataforma única, en lugar de mantener múltiples versiones en diferentes dispositivos.
Gracias el desarrollo de políticas y procedimientos, se pudieron solucionar rápidamente los contratiempos ocasionados cuando se identificó otra vulnerabilidad - la conocida como "Devil's Ivy", localizada en el código gSOAP ampliamente utilizado en productos del sector de la seguridad. La revista Wired elogió a Axis por su transparencia a la hora de comunicar a los competidores la detección precoz de este virus, ya que la vulnerabilidad se descubrió en un paquete de código abierto utilizado por los proveedores para desarrollar la compatibilidad con la interfaz de comunicación que utilizaba el protocolo ONVIF.
De modo significativo, nuestra experiencia con investigadores independientes demostró que era necesario dar prioridad a la ciberseguridad. Para ayudar a conseguir esta meta, nos comprometimos a participar con la iniciativa Building Security in Maturity Model (BSIMM), un proyecto creado para facilitar la puesta en marcha de iniciativas o programas actuales de seguridad en software, evaluando para ello las prácticas de las organizaciones con una ciberseguridad madura.
Alcanzando la madurez en materia de ciberseguridad
En 2017, estas políticas y procedimientos de ciberseguridad se formalizaron en el Modelo de Desarrollo de Seguridad de Axis (Axis Security Development Model, ASDM) que convirtió a la ciberseguridad en una parte integral del desarrollo de software de Axis. Para garantizar que todo el desarrollo de productos se basa en buenas prácticas, también se puso en marcha el Grupo de Seguridad de Software de Axis (Axis Software Security Group, SSG), creado para colaborar con ingenieros de desarrollo de Axis durante las fases de diseño, desarrollo y pruebas, para minimizar el riesgo de vulnerabilidades.
La experiencia previa había demostrado que la transparencia también era un requisito fundamental para lograr una protección sólida en materia de ciberseguridad. De esta forma, en 2017 publicamos la Política para la Gestión de vulnerabilidades de Axis como garantía de un esfuerzo conjunto en cada fase del desarrollo para identificar y mitigar las posibles vulnerabilidades. Al mismo tiempo, el número de cámaras IP instaladas en el mercado había aumentado exponencialmente. Para permitir unas actualizaciones eficientes por parte del equipo directivo para garantizar la protección en ciberseguridad, las herramientas AXIS Device Manager y, posteriormente, AXIS Device Manager Extend, lanzada más tarde como una solución adicional, empezaron a tener un papel cada vez más destacado.
Guiando a las organizaciones en su trayecto para garantizar la ciberseguridad
Desde 2019, gracias al desarrollo de procesos y equipos especializados y con el apoyo de los recursos necesarios, la ciberseguridad constituye una parte esencial de las actividades habituales de Axis. La ciberseguridad ha alcanzado una fase de madurez en Axis pero, gracias a lo aprendido con nuestras propias experiencias, este objetivo sigue siendo vital.
A la hora de guiar a las organizaciones en su propio proceso para alcanzar la mejor ciberseguridad, es esencial subrayar la importancia que tiene conocer las amenazas para el desarrollo de políticas y procedimientos, en lugar de centrarse únicamente en las prestaciones que ofrecen los productos de ciberseguridad. Una vez conseguido esto, es esencial recordar que la ciberseguridad es un proceso constante, con unos recursos y conocimientos continuos y esenciales para mantenerla siempre a punto.
Como parte del desarrollo permanente, Axis ha recibido la aprobación como Autoridad de Numeración de Vulnerabilidades y Exposiciones Comunes (CVE) para los productos Axis y ha lanzado recientemente una lista de materiales de software (SBOM) para AXIS OS, incluyendo un programa privado de recompensas por la detección de fallos que refuerza el compromiso de Axis con el desarrollo de relaciones profesionales con investigadores de seguridad externos y con hackers éticos. La apertura y la honestidad crean confianza entre partners, clientes y todas las partes interesadas, y este enfoque transparente sirve de ayuda para crear la defensa más eficaz.
