A Axis Communications recebeu uma certificação de conformidade com a norma de cibersegurança ETSI EN 303 645. A certificação é válida para uma vasta gama de produtos Axis que trabalham com o AXIS OS 11 ou superior, e aplica-se atualmente a mais de 150 dispositivos Axis, assim como a novos dispositivos em lançamento. O AXIS OS é o sistema operativo Linux que alimenta a maioria dos produtos de rede da Axis. A certificação foi emitida pela Underwriters Laboratories (UL TS B.V.) e executada num dos laboratórios de ensaio da UL nos Estados Unidos. No futuro, a Axis irá testar e atualizar regularmente esta certificação para manter a sua validade em produtos futuros.
A norma ETSI EN 303 645 contém 68 provisões de requisitos técnicos que definem a base de cibersegurança para os dispositivos ligados. Os requisitos abrangem os próprios dispositivos, incluindo o suporte de funcionalidades de segurança físicas, como o armazenamento seguro de chaves, e funcionalidades de segurança predefinidas, como a ativação de HTTPS e a ausência de palavras-passe predefinidas. Outro aspeto envolve a gestão do ciclo de vida, como a definição de um período de assistência para as atualizações de segurança dos dispositivos. Outros incluem a existência de uma metodologia para reduzir o risco de vulnerabilidades no desenvolvimento de software, a existência de uma política transparente de gestão de vulnerabilidades e de utilização das melhores práticas no tratamento de dados pessoais. Estes requisitos têm em consideração as melhores práticas do setor que ajudam a garantir que os produtos certificados têm por base um nível mínimo de segurança ao longo de todo o ciclo de vida.
A norma foi desenvolvida pelo Instituto Europeu de Normas de Telecomunicações (ETSI), uma organização independente, sem fins lucrativos, de normalização da informação e das comunicações. Embora tenha sido desenvolvida na Europa, a norma ETSI EN 303 645 é relevante para utilização global e tem uma vasta aplicabilidade. Esta norma está em sintonia com outras normas, certificações e legislações relacionadas com a cibersegurança de múltiplos setores e nos seguintes países/regiões:
- União Europeia (Ato legislativo da UE sobre a ciber-resiliência, Diretiva da UE relativa aos equipamentos de rádio)
- Finlândia (Selo Finlandês de Cibersegurança)
- Alemanha (BSI - Selo de Segurança de TI)
- Reino Unido (Projeto de Lei de Segurança de Produtos e Infraestrutura de Telecomunicações do Reino Unido e Código de Prática para a Segurança de IoT do Consumidor)
- Estados Unidos (NIST IR 8425, programa Cyber Trust Mark)
- Índia (Código de Prática para a Segurança de IoT do Consumidor da TEC)
- Singapura (Sistema de rotulagem de cibersegurança)
- Austrália (Código de Práticas - Garantir a segurança da IoT para o consumidor)
A norma está disponível de forma gratuita no website da ETSI.
As certificações de terceiros baseadas em normas abertas relevantes podem ser utilizadas para demonstrar a conformidade com a legislação futura ou em antecipação da mesma. No entanto, a cibersegurança é mais do que meras certificações. Para alcançar níveis mais elevados de cibersegurança, é necessário ir para além das normas. Isso é demonstrado, entre outras coisas, pelo suporte da Axis às redes zero-trust, um programa de recompensa por deteção de bugs e uma abordagem à cibersegurança relativa ao ciclo de vida dos dispositivos.
As rápidas mudanças comerciais e inovações relativas a segurança no setor da TI fazem com que as normas e certificações dificilmente acompanhem o seu ritmo de avanço. Desta forma, as normas e as certificações devem ser vistas como apenas um dos muitos elementos que podem ser úteis em determinadas situações. Centrar a atenção apenas nas certificações não traz necessariamente o valor desejado para o cliente e pode fazer com que os fabricantes se atrasem na inovação e no progresso tecnológicos.