A Axis Communications recebeu uma certificação de conformidade com a norma de segurança cibernética ETSI EN 303 645. A certificação é válida para uma ampla variedade de produtos AXIS executando AXIS OS 11 ou superior, e se aplica a mais de 150 dispositivos AXIS atualmente, bem como a novos que serão lançados. O AXIS OS é o sistema operacional baseado em Linux que alimenta a maioria dos produtos de rede AXIS. A certificação foi emitida pelo Underwriters Laboratories (UL TS B.V.) e foi realizada em uma das instalações de testes da UL nos Estados Unidos. No futuro, a Axis testará e atualizará regularmente essa certificação para manter sua validade para futuros produtos.
A norma ETSI EN 303 645 contém 68 disposições de requisitos técnicos que definem a linha de base de segurança cibernética para dispositivos conectados. Os requisitos abrangem os próprios dispositivos, incluindo suporte a recursos de segurança baseados em hardware, como armazenamento seguro de chaves, e recursos de segurança padrão, como HTTPS habilitado e sem senhas padrão. Outro aspecto envolve o gerenciamento do ciclo de vida, como ter um período de suporte definido para atualizações de segurança do dispositivo. Outros incluem ter uma metodologia para reduzir o risco de vulnerabilidades no desenvolvimento de software; ter uma política transparente de gerenciamento de vulnerabilidades; e apoiar as melhores práticas no processamento de dados pessoais. Esses requisitos levam em consideração as melhores práticas do setor que ajudam a garantir que os produtos certificados tenham um nível mínimo de segurança de base durante todo o seu ciclo de vida.
A norma é desenvolvida pelo Instituto Europeu de Normas de Telecomunicações (ETSI), uma organização independente, sem fins lucrativos, de padronização de informações e comunicações. Embora desenvolvida na Europa, a ETSI EN 303 645 é relevante para uso global e tem ampla aplicabilidade. A norma se alinha estreitamente com outras normas, certificações e legislações relacionadas à segurança cibernética em todos os setores e nos seguintes países/regiões:
- União Europeia (Lei de Resiliência de Segurança Cibernética da UE, Diretiva de Equipamentos de Rádio da UE)
- Finlândia (Selo finlandês de segurança cibernética)
- Alemanha (BSI - Selo de segurança de TI)
- Reino Unido (Lei de Segurança de Produtos e Infraestrutura de Telecomunicações do Reino Unido e Código de Práticas para a Segurança da IoT do Consumidor)
- Estados Unidos (NIST IR 8425, Cyber Trust Mark)
- Índia (Código de Práticas da TEC para Proteger a Internet das Coisas do Consumidor)
- Vietnã (Requisitos de Segurança da Informação Cibernética para a Internet das Coisas)
- Cingapura (Esquema de rotulagem de segurança cibernética)
- Austrália (Código de Prática - Protegendo a Internet das Coisas para Consumidores)
A norma está disponível gratuitamente no site da ETSI.
Certificações de terceiros com base em normas abertas relevantes podem ser usadas para demonstrar conformidade com ou antecipação de futura legislação. No entanto, a segurança cibernética é mais do que apenas certificações. Para alcançar níveis mais altos de segurança cibernética, é necessário ir além dos padrões. Isso é demonstrado, entre outras coisas, pelo suporte da Axis à rede Zero Trust, um programa de recompensa por bugs e uma abordagem de ciclo de vida do dispositivo à segurança cibernética.
O setor de TI, com seus negócios em rápida mudança e inovações orientadas à segurança, geralmente avança mais rápido do que as normas e certificações podem acompanhar. Portanto, as normas e certificações devem ser vistas como um dos muitos elementos que podem ser úteis em determinadas situações. Concentrar-se apenas nas certificações para fins de caixa de seleção não fornece necessariamente o valor desejado ao cliente e pode fazer com que os fabricantes fiquem atrasados na inovação e no progresso tecnológicos.