Axis Communications ha ricevuto una certificazione di conformità allo standard di sicurezza informatica ETSI EN 303 645. La certificazione è valida per un'ampia gamma di prodotti AXIS che eseguono AXIS OS 11 o versioni successive e attualmente si applica a più di 150 dispositivi Axis, nonché a quelli di prossimo lancio. AXIS OS è il sistema operativo basato su Linux che consente il funzionamento della maggior parte dei prodotti di rete AXIS. La certificazione è stata rilasciata da Underwriters Laboratories (UL TS B.V.) in seguito a test condotti presso uno dei suoi centri negli Stati Uniti. In futuro, Axis testerà e aggiornerà regolarmente questa certificazione per mantenerne la validità per i prodotti futuri.
Lo standard ETSI EN 303 645 contiene 68 disposizioni di requisiti tecnici che stabiliscono la baseline di cybersecurity per i dispositivi connessi. I requisiti si riferiscono ai dispositivi stessi e includono il supporto per le funzionalità di sicurezza basate su hardware, come l'archiviazione sicura delle chiavi, e le funzionalità di sicurezza predefinite, come l'abilitazione HTTPS e l'assenza di password di default. Un altro aspetto riguarda la gestione del ciclo di vita, che prevede ad esempio un periodo di supporto definito per gli aggiornamenti di sicurezza dei dispositivi. Altri includono la possibilità di disporre di una metodologia per ridurre il rischio di vulnerabilità nello sviluppo di software, avere una politica di gestione delle vulnerabilità trasparente e supportare le migliori pratiche nel trattamento dei dati personali. Questi requisiti tengono conto delle migliori pratiche del settore che contribuiscono a garantire che i prodotti certificati abbiano un livello minimo di sicurezza di base per tutto il loro ciclo di vita.
Lo standard è sviluppato dall'European Telecommunications Standards Institute (ETSI), un'organizzazione indipendente e senza scopo di lucro per la standardizzazione nel settore delle telecomunicazioni. Sebbene sia sviluppato in Europa, lo standard ETSI EN 303 645 è pertinente per l'uso globale e ha un'ampia applicabilità. Lo standard è strettamente allineato ad altre norme, certificazioni e legislazioni relativi alla sicurezza informatica in tutti i settori e nei seguenti Paesi/aree geografiche:
- Unione europea (Legge UE sulla resilienza in materia di cibersicurezza, Direttiva UE sulle apparecchiature radio)
- Finlandia (etichetta sulla cibersicurezza)
- Germania (BSI – etichetta sulla sicurezza informatica)
- Regno Unito (UK Product Security and Telecommunications Infrastructure Act e Code of Practice for Consumer IoT Security)
- Stati Uniti (NIST IR 8425, Cyber Trust Mark)
- India (Codice di condotta TEC per la protezione dell'Internet delle cose per i consumatori)
- Vietnam (Requisiti di sicurezza informatica per l'Internet delle cose)
- Singapore (Schema di etichettatura sulla sicurezza informatica)
- Australia (Code of Practice – Securing the Internet of Things for Consumers)
Lo standard è disponibile gratuitamente sul sito web ETSI.
Per dimostrare la conformità o in previsione di future normative possono essere utilizzate certificazioni di terze parti basate su standard aperti pertinenti. La sicurezza informatica, tuttavia, è molto di più di una semplice certificazione. Per raggiungere livelli più elevati di sicurezza informatica, è necessario andare oltre gli standard. Ciò è dimostrato, tra le altre cose, dal supporto di Axis per zero-trust networking, un programma bug bounty e un approccio sul ciclo di vita dei dispositivi per la sicurezza informatica.
Standard e certificazioni faticano a tenere il passo di un settore IT che, con le sue frequenti e mutevoli innovazioni commerciali e di sicurezza, progredisce molto velocemente. Pertanto, gli standard e le certificazioni devono essere considerati uno dei tanti elementi che possono essere utili in determinate situazioni. Focalizzarsi sull'ottenimento di una certificazione fine a se stessa non fornisce necessariamente il valore desiderato dal cliente e può costituire per i produttori una causa di ritardo nell'innovazione e nel progresso tecnologico.
