De consequenties van een datalek kunnen leiden tot het verlies van vertrouwen, evenals een aangetaste integriteit en beschikbaarheid van data. Elke organisatie met apparaten in een IP-netwerk, waaronder bewakingscamera's, moet de kwetsbaarheden aanpakken die een internetverbinding met zich meebrengt.
Cybersecurity is daarom van het grootste belang bij Axis. Omdat cybersecurity voortdurende waakzaamheid en onderhoud vereist, ligt de verantwoordelijkheid voor het handhaven van de beveiliging niet alleen bij fabrikanten, maar ook bij partners en klanten die ook hun steentje moeten bijdragen aan een maximale bescherming.
In dit artikel leggen we uit hoe Axis cybersecurity benadert en waarom een gedeelde en voortdurende verantwoordelijkheid tussen alle belanghebbenden van vitaal belang is voor het behoud ervan.
Cybersecurity ingebouwd: hoe Axis beveiligingsrisico's minimaliseert
"Cybersecurity is een fundamenteel en natuurlijk onderdeel van het DNA van Axis", zegt Jonas Falk, Director Cybersecurity, Software Development bij Axis. "Het is een integraal onderdeel van alles wat we doen, van de ontwikkeling van nieuwe technologie tot onze eigen dagelijkse werkzaamheden. Bij Axis wordt vanaf het begin van het ontwikkelingsproces van een nieuw product aandacht besteed aan beveiliging, en deze focus blijft gedurende de hele levenscyclus van het product bestaan."
Om ervoor te zorgen dat dit gebeurt, heeft een speciaal cyberbeveiligingsteam van Axis, de Axis Software Security Group, het Axis Security Development Model (ASDM) gedefinieerd dat ontwikkelingsteams begeleidt bij het minimaliseren van het risico op kwetsbaarheden in Axis-producten tijdens ontwerp en implementatie. De groep leidt de methodologie en activiteiten, waaronder tests met gesimuleerde cyberaanvallen, die helpen om de beveiliging van Axis-producten te verbeteren.
De meeste netwerkapparaten van Axis worden aangestuurd door AXIS OS, het besturingssysteem van Axis. Terwijl AXIS OS de functies van Axis-producten aanstuurt, is het ook ontworpen om het risico op kwetsbaarheden te verminderen en de beveiliging van producten te verbeteren vanaf het moment dat ze worden geïnstalleerd tot het moment dat ze uit gebruik worden genomen. Er worden voortdurend nieuwe AXIS OS-versies voor apparaten beschikbaar gesteld, inclusief de nieuwste beveiligingspatches en bugfixes.
"Een belangrijke stap die Axis heeft gezet, was de transformatie van de ontwikkeling van software voor apparaten van een individuele aanpak voor elk product naar een softwareplatform dat tegenwoordig de basis vormt voor de meeste Axis-producten", zegt Andre Bastert, Global Product Manager AXIS OS Cybersecurity bij Axis. "Focussen op een gemeenschappelijk platform op basis van AXIS OS betekent dat we gemakkelijker kunnen zorgen voor ontwikkeling en updates om de beveiliging op een efficiënte en tijdige manier te verbeteren."
Een belangrijk aspect van Axis' kracht op het gebied van cyberbeveiliging komt ook voort uit de sterke basis die wordt geleverd door het hardware gebaseerde beveiligingsplatform Axis Edge Vault. Edge Vault waarborgt de integriteit van Axis-apparaten en maakt de uitvoering mogelijk van handelingen waarvoor crypto grafische sleutels nodig zijn. Edge Vault verbetert de bescherming van de toeleveringsketen en biedt veilige key storage. Het maakt ook functies zoals signed video mogelijk. Signed video voegt een crypto grafische controlesom toe, waarmee kan worden bewezen dat de video niet is bewerkt sinds deze de camera verliet, wat vooral belangrijk is bij een onderzoek of vervolging.
Cybersecurity kan echter niet worden bereikt door alleen nieuwe beveiligingsfuncties te ontwikkelen. Er is een beveiligingsfundament nodig, met een overkoepelende strategie die bestaat uit processen en beleidsregels die in de loop van de tijd worden geïmplementeerd en verbeterd.
Transparantie in cybersecurity
"Het is belangrijk voor klanten om de risico's in de toeleveringsketen te beperken van netwerkproducten die in hun systemen zijn geïntegreerd, en bij Axis zijn we van mening dat klanten transparantie van hun leveranciers verdienen om hen te helpen de risico's te beperken," zegt Andre. "Daarom vinden we het zo belangrijk om transparant te zijn, op gebieden zoals het beheer van softwarekwetsbaarheden, om een verantwoordelijke partner te zijn in het helpen beschermen van onze klanten."
Axis is goedgekeurd als Common Vulnerabilities and Exposures (CVE) Numbering Authority (CNA) voor haar producten. Het CVE-programma biedt het kader en de tools waarmee organisaties over de hele wereld nieuw geïdentificeerde kwetsbaarheden kunnen beheren en bekendmaken. Deelname aan het CVE-programma getuigt van de toewijding van een organisatie aan het volgen van ethische best practices voor het beheer van kwetsbaarheden met een focus op klanten.
Als onderdeel van de toewijding van Axis om de cybersecurity van zijn producten te garanderen, laat het bedrijf zowel interne als externe bronnen de producten testen om de beveiliging te helpen verbeteren. Axis faciliteert ook een bug bounty-programma waarbij beveiligingsonderzoekers die kwetsbaarheden in AXIS OS ontdekken in aanmerking komen voor een geldelijke beloning. Wanneer nieuwe kwetsbaarheden worden ontdekt, verhelpt Axis de problemen en maakt ze publiekelijk bekend, zodat klanten tijdig passende maatregelen kunnen nemen.
Deze transparante aanpak strekt zich ook uit tot het openlijk beschikbaar stellen van een software stuklijst (SBOM) voor AXIS OS. De SBOM bevat een lijst van alle softwarecomponenten waaruit de AXIS OS-release bestaat, zodat deze vrij toegankelijk is voor beoordeling. Deze praktische maatregelen worden ook ondersteund door ISO 27001-naleving.
Tools die klanten kunnen gebruiken om cybersecurity te optimaliseren
Cyberdreigingen ontwikkelen zich voortdurend omdat cybercriminelen nieuwe technieken leren en ontwikkelen om door de verdediging heen te dringen. Daarom moeten alle belanghebbenden - fabrikanten, partners, systeemintegrators en eindgebruikers - niet alleen de verantwoordelijkheid delen voor het implementeren van cybersecuritymaatregelen, maar deze ook voortdurend onderhouden.
Axis ondersteunt partners en klanten in deze complexe arena door de cybersecurity in haar aanbod te versterken. Dit omvat het bieden van richtlijnen en tools om het klanten gemakkelijker te maken Axis-producten zo veilig mogelijk te beheren en te gebruiken.
Tools zoals AXIS Device Manager en het aanvullende AXIS Device Manager Extend helpen klanten bij het efficiënt instellen en beheren van Axis-producten gedurende hun hele levenscyclus. Eindgebruikers kunnen de tools gebruiken om een cybersecuritybeleid te implementeren, waarschuwingen te krijgen voor nieuwe AXIS OS-updates en productfirmware efficiënt bij te werken.
"Axis kan de technologieën, tools en richtlijnen leveren om onze producten te ondersteunen, maar ze zullen niet helpen als klanten zelf, met hulp van de systeemintegrator, niet de stappen nemen om de beveiliging van hun producten actief en continu te onderhouden," zegt Andre. "Iedereen moet zijn steentje bijdragen."
Cybersecurity altijd in het achterhoofd houden
Omdat cybersecurity een bewegend doel is, hanteert Axis een aanpak van voortdurende focus op cybersecurity. "Cybersecurity is een essentieel onderdeel van de dagelijkse activiteiten bij Axis", zegt Jonas. "We streven er niet alleen naar om producten te leveren die ingebouwde beveiligingsmaatregelen hebben, maar ook om ervoor te zorgen dat er beveiligingsprocessen zijn die onze eigen activiteiten regelen om de risico's van de toeleveringsketen voor onze producten te beperken."