Há dez anos, os relatórios da Global Surveillance revelaram as graves consequências que as violações de dados poderiam ter. Mas não eram apenas os governos que estavam em risco, pois vírus como o Heartbleed surgiram em 2014, representando uma ameaça para empresas e indivíduos. Para os dispositivos ligados a redes IP, incluindo câmaras de vigilância, estes incidentes demonstraram claramente a necessidade de abordar as vulnerabilidades inerentes.
A longa história da Axis com a segurança cibernética
Atualmente, muitos parceiros e utilizadores finais fizeram progressos significativos na sua jornada para alcançar uma cibersegurança forte. Mas a cibersegurança é um objetivo em constante mudança e, para uma maior garantia, as organizações devem continuar a estabelecer parcerias com os fornecedores que combinam políticas e procedimentos abrangentes de cibersegurança com uma abordagem transparente.
Para algumas organizações, pode ainda ser um desafio para a administração disponibilizar um orçamento para a cibersegurança. Compreender o âmbito completo dos riscos de cibersegurança é essencial, especialmente quando se escolhe entre os recursos e orçamentos disponíveis e os riscos acima referidos, e pode ser útil aprender com a experiência de uma organização que já tenha percorrido com êxito o caminho necessário para garantir a sua proteção de cibersegurança.
Atualmente, a Axis percorreu um longo caminho desde o início da sua jornada de cibersegurança e alcançou um nível de maturidade em que a cibersegurança está na vanguarda da nossa oferta de soluções e da forma como operamos como empresa. Esperamos que a partilha da jornada que percorremos para atingir a maturidade forneça lições úteis para ajudar os parceiros e utilizadores finais a desenvolver uma estratégia de segurança cibernética robusta.
Desenvolver a consciencialização
Em 2014, a Axis decidiu definir uma estratégia para se concentrar e atingir a maturidade da segurança cibernética. Até então, a segurança cibernética no mercado de segurança física baseada em IP não estava na agenda da maioria dos fabricantes, integradores ou utilizadores finais, uma vez que a segurança cibernética não era uma questão importante, porque muitos sistemas ainda eram analógicos e mesmo as primeiras redes digitais não estavam frequentemente ligadas a redes abertas.
No entanto, a conetividade IP (Internet Protocol) era o futuro das câmaras de segurança. A indústria de PCs já tinha passado por um período de maturação no início dos anos 2000, e depois vieram os desafios de 2013. No entanto, a Axis já tinha começado a reforçar a cibersegurança antes disso, uma vez que as nossas câmaras já incluíam controlos de segurança básicos, como a gestão de utilizadores, o protocolo HTTPS e a filtragem de IP. A equipa de I&D da Axis também estava a realizar actividades de segurança básicas nessa altura, como a verificação de vulnerabilidades, bem como a fornecer actualizações de firmware e técnicas de controlo de acesso à rede utilizando a norma IEEE 802.1X. Mas a evolução das ameaças exigia uma nova estratégia.
Desenvolver a maturidade
Os ataques de cibersegurança de grande visibilidade que ocorreram em 2013 foram um catalisador para a Axis se concentrar mais na cibersegurança, tornando-se a primeira empresa a atingir este objetivo no mercado das câmaras de vídeo. Mas, nessa altura, também começámos a receber perguntas de parceiros e clientes sobre como melhorar a cibersegurança. Como parte do projeto para definir uma estratégia inicial de cibersegurança, a Axis publicou, em 2015, a primeira versão do Axis Hardening Guide para ajudar os parceiros e utilizadores finais a proteger as suas redes, dispositivos e serviços.
Um dos primeiros testes da nossa crescente maturidade foi aceitar que a cibersegurança não podia ser alcançada apenas com o fornecimento de novas funcionalidades de segurança. Era também necessário desenvolver, melhorar e manter estratégias, processos e políticas ao longo do tempo. Isto foi conseguido, em parte, através da colaboração com clientes, incluindo, por exemplo, bancos de investimento e organizações de segurança que já tinham atingido a maturidade no seu percurso de cibersegurança, aprendendo ao mesmo tempo com todas estas experiências.
Transparência sobre as vulnerabilidades
Nesta fase do processo para garantir a proteção da cibersegurança, as reuniões com investigadores independentes também nos ajudaram a desenvolver a nossa maturidade. Em 2016, um investigador independente descobriu uma vulnerabilidade crítica. Encontrámos uma solução para este problema e fomos reconhecidos pela nossa resposta ágil e grande transparência. Esta situação também demonstrou a necessidade de actualizações regulares do software, bem como a vantagem de utilizar um software de plataforma única, em vez de manter várias versões em diferentes dispositivos.
Graças ao desenvolvimento de políticas e procedimentos, foi possível resolver rapidamente os problemas causados quando foi identificada outra vulnerabilidade - a chamada "Devil's Ivy", localizada no código gSOAP amplamente utilizado em produtos do sector da segurança. A revista Wired elogiou a Axis pela sua transparência na comunicação da deteção precoce deste bug aos concorrentes, uma vez que a vulnerabilidade foi descoberta num pacote de código aberto utilizado pelos fornecedores para desenvolver suporte para a interface de comunicação utilizando o protocolo ONVIF.
Significativamente, a nossa experiência com investigadores independentes demonstrou a necessidade de dar prioridade à cibersegurança. Para ajudar a atingir este objetivo, comprometemo-nos a participar na iniciativa Building Security in Maturity Model (BSIMM), um projeto criado para facilitar a implementação de iniciativas ou programas de segurança de software actuais, avaliando as práticas de organizações com cibersegurança madura.
Atingir a maturidade da cibersegurança
Em 2017, essas políticas e procedimentos de segurança cibernética foram formalizados no Axis Security Development Model (ASDM), que tornou a segurança cibernética uma parte integrante do desenvolvimento de software da Axis. Para garantir que todo o desenvolvimento de produtos se baseia nas melhores práticas, o Axis Software Security Group (SSG), criado para colaborar com os engenheiros de desenvolvimento da Axis durante as fases de conceção, desenvolvimento e teste, foi também lançado para minimizar o risco de vulnerabilidades.
A experiência anterior tinha demonstrado que a transparência era também um requisito fundamental para uma proteção sólida da cibersegurança. Assim, em 2017, publicámos a Política de Gestão de Vulnerabilidades da Axis para garantir um esforço conjunto em todas as fases de desenvolvimento para identificar e mitigar potenciais vulnerabilidades. Ao mesmo tempo, o número de câmaras IP instaladas no mercado aumentou exponencialmente. Para permitir atualizações eficientes pela equipe de gerenciamento para garantir a proteção da segurança cibernética, as ferramentas do AXIS Device Manager e, posteriormente, o AXIS Device Manager Extend, lançado como uma solução complementar, começaram a desempenhar um papel cada vez mais proeminente.
Orientando as organizações em sua jornada para garantir a segurança cibernética
Desde 2019, graças ao desenvolvimento de processos e equipas especializadas e com o apoio dos recursos necessários, a cibersegurança tem sido uma parte essencial da atividade normal da Axis. A cibersegurança atingiu uma fase de maturidade na Axis, mas, com base no que aprendemos com as nossas próprias experiências, este objetivo continua a ser vital.
Ao orientar as organizações no seu próprio processo para alcançar a melhor cibersegurança, é essencial sublinhar a importância de compreender as ameaças para o desenvolvimento de políticas e procedimentos, em vez de se concentrar apenas nas funcionalidades oferecidas pelos produtos de cibersegurança. Tendo conseguido isto, é essencial lembrar que a cibersegurança é um processo contínuo, com recursos e conhecimentos contínuos e essenciais para a manter actualizada.
Como parte do desenvolvimento contínuo, a Axis recebeu aprovação como Autoridade de Numeração de Vulnerabilidades e Exposições Comuns (CVE) para os produtos Axis e lançou recentemente uma lista de materiais de software (SBOM) para o AXIS OS, incluindo um programa privado de recompensa por bugs que reforça o compromisso da Axis em desenvolver relações profissionais com investigadores de segurança externos e hackers éticos. A abertura e a honestidade criam confiança entre parceiros, clientes e todas as partes interessadas, e essa abordagem transparente ajuda a criar a defesa mais eficaz.
