A consequência de uma violação de segurança pode incluir a perda de confidencialidade, bem como o comprometimento da integridade e da disponibilidade dos dados. Qualquer organização com dispositivos em rede IP, incluindo câmaras de vigilância, deve dar resposta às vulnerabilidades que a ligação à Internet apresenta. Por isso, a cibersegurança é uma prioridade na Axis.
Como a cibersegurança requer vigilância e manutenção contínuas, a responsabilidade de manter a segurança não cabe apenas aos fabricantes, mas também aos parceiros e clientes, que também têm de desempenhar a sua função para maximizar a proteção.
Neste artigo, explicamos a abordagem da Axis à cibersegurança e por que razão uma responsabilidade partilhada e contínua entre todas as partes interessadas é vital para a manter.
Cibersegurança integrada: como a Axis minimiza os riscos de segurança
"A cibersegurança é uma parte fundamental e natural do ADN da Axis", afirma Jonas Falk, Diretor para a cibersegurança, Desenvolvimento de software na Axis. "É parte integrante de tudo o que fazemos, desde o desenvolvimento de novas tecnologias até às nossas próprias operações diárias. Na Axis, as considerações sobre a segurança são abordadas logo no início do processo de desenvolvimento de um novo produto, e este foco continua ao longo do ciclo de vida do mesmo."
Para garantir que isto acontece, uma equipa de cibersegurança dedicada da Axis, o Grupo de Segurança de Software da Axis, definiu o Modelo de Desenvolvimento de Segurança da Axis (ASDM) que orienta as equipas de desenvolvimento no sentido de minimizar o risco de vulnerabilidades nos produtos da Axis durante a conceção e implementação. O grupo guia a metodologia e as atividades, incluindo testes que envolvem ciberataques simulados, que ajudam a melhorar a segurança dos produtos Axis.
A maioria dos dispositivos em rede da Axis utiliza o AXIS OS, o sistema operativo da Axis. Embora o AXIS OS acione as funcionalidades dos produtos Axis, também foi concebido para reduzir o risco de vulnerabilidades e melhorar a segurança dos produtos, desde a implementação até ao desmantelamento. As novas versões do AXIS OS para dispositivos são disponibilizadas de forma contínua e incluem as mais recentes correções de segurança e reparações de erros.
"Um passo significativo dado pela Axis foi a transformação do desenvolvimento de software para dispositivos a partir de uma abordagem individual para cada produto para uma plataforma de software que, atualmente, é a base da maioria dos produtos Axis", afirma Andre Bastert, Gestor Global de Produtos AXIS OS Cybersecurity (Cibersegurança AXIS OS) na Axis. "O foco numa plataforma comum baseada no AXIS OS significa que podemos garantir mais facilmente o desenvolvimento e atualizações para melhorar a segurança de uma forma eficiente e atempada."
Um aspeto fundamental da força da Axis na cibersegurança também vem da base forte fornecida através da plataforma de segurança baseada em hardware, designada Axis Edge Vault. O Edge Vault protege a integridade dos dispositivos Axis e permite a execução de operações que requerem chaves criptográficas. O Edge Vault melhora a proteção da cadeia de distribuição e fornece armazenamento seguro de chaves. Também permite funcionalidades como vídeo assinado. O vídeo assinado adiciona uma soma de controlo criptográfica, o que permite provar que o vídeo não foi editado desde que saiu da câmara, o que é particularmente importante numa investigação ou processo judicial.
No entanto, a cibersegurança não pode ser alcançada apenas através do desenvolvimento de novas funcionalidades de segurança. É necessária uma base de segurança, com uma estratégia global que inclua processos e políticas que sejam implementados e melhorados ao longo do tempo.
Ter transparência na cibersegurança
"É importante que os clientes mitiguem os riscos da cadeia de distribuição de produtos de rede integrados nos respetivos sistemas e, na Axis, acreditamos que os clientes merecem ter transparência a partir dos seus fornecedores para os ajudar a mitigar os riscos", afirma Andre. "É por isso que damos tanta importância à transparência, em áreas como a gestão de vulnerabilidades de software, para sermos um parceiro responsável na proteção dos nossos clientes."
A Axis é aprovada como Autoridade de Numeração de Vulnerabilidades e Exposições Comuns (CVE) (CNA) para os seus produtos. O Programa CVE fornece a estrutura e as ferramentas que permitem que organizações em todo o mundo façam a gestão e divulguem vulnerabilidades recém-identificadas. A adesão ao Programa CVE comprova o compromisso de uma organização em seguir as melhores práticas éticas de gestão de vulnerabilidades com foco nos clientes.
Enquanto parte do compromisso da Axis em garantir a cibersegurança dos seus produtos, a empresa dispõe de recursos internos e externos para testar os produtos e ajudar a melhorar a segurança. A Axis também facilita um programa de recompensa por erros, em que os investigadores de segurança que descobrem vulnerabilidades no AXIS OS são elegíveis para receber um prémio em dinheiro. Quando são descobertas novas vulnerabilidades, a Axis corrige os problemas e divulga-os publicamente para que os clientes possam tomar medidas atempadas e adequadas.
Esta abordagem transparente também se estende à disponibilização aberta de uma lista de materiais de software (SBOM) para o AXIS OS. O SBOM fornece uma lista de todos os componentes de software que compõem a versão do AXIS OS, proporcionando o acesso livre para revisão. Estas medidas práticas também são apoiadas pela conformidade com a ISO 27001.
Ferramentas que os clientes podem utilizar para otimizar a cibersegurança
As ciberameaças evoluem continuamente à medida que os cibercriminosos aprendem e desenvolvem novas técnicas para penetrar nas defesas. É por isso que todas as partes interessadas – fabricantes, parceiros, integradores de sistemas e utilizadores finais – devem partilhar não só a responsabilidade de implementar medidas de cibersegurança, como também de mantê-las de forma contínua.
A Axis apoia os parceiros e clientes nesta complexa área reforçando a cibersegurança nas suas ofertas. Isto inclui fornecer orientações e ferramentas para facilitar aos clientes a gestão e a operação dos produtos Axis da forma mais segura possível.
Ferramentas como o AXIS Device Manager e o AXIS Device Manager Extend complementar ajudam os clientes a configurar e gerir eficientemente os produtos Axis ao longo do respetivo ciclo de vida. Os utilizadores finais podem utilizar as ferramentas para ajudar a implementar políticas de cibersegurança, receber alertas de novas atualizações do AXIS OS e atualizar eficientemente o firmware do produto.
"A Axis pode fornecer as tecnologias, ferramentas e orientações para apoiar os nossos produtos, mas não ajudarão se os próprios clientes, com a ajuda do integrador de sistemas, não tomarem as medidas necessárias para manter ativamente e continuamente a segurança dos respetivos produtos", afirma Andre. "Todos têm de fazer a sua parte."
Manter a cibersegurança sempre em primeiro plano
Como a cibersegurança é um alvo em movimento, a Axis tem uma abordagem de foco contínuo na cibersegurança.
"A cibersegurança é uma parte essencial das atividades diárias na Axis", afirma Jonas. "Esforçamo-nos não só por fornecer produtos que tenham medidas de segurança integradas, mas também por garantir que existem processos de segurança que regem as nossas próprias operações e atividades para ajudar a mitigar os riscos da cadeia de distribuição associados aos nossos produtos."