Andreas Silvede, Account Executive på Genetec för Norden och Baltikum, sitter med Axis på OPEN Malmö och förklarar varför en övergång till öppen teknik är avgörande i en värld med NIS 2
Vilken är din roll och kan du berätta om din senaste turné i Norden där du pratade om cybersäkerhet?
Jag är Enterprise Account Executive för Genetec i Norden, vilket innebär att jag drar nytta av mina 20 års erfarenhet av säkerhet i mitt konsultarbete och jag stödjer slutanvändare i hela norra Europa. Jag var nyligen med på en turné om cybersäkerhet i Norden. Ämnet har aldrig varit viktigare än nu eftersom reglerna har förändrats på alla sidor. Angriparna är fräckare och proffsigare än någonsin och deras hot är större, så regeringar pressar tillbaka och driver företag att skydda sig med en rad nya bestämmelser. EU:s NIS 2-direktiv är bland de mest anmärkningsvärda, men två saker är tydliga. Ett: Många lösningar på marknaden idag bidrar inte till att NIS 2 efterlevs. Och två: Det finns ett behov av mer utbildning om kraven och konsekvenserna av NIS 2, särskilt inom det fysiska säkerhetsområdet.
Varför är det så viktigt att ta hänsyn till cybersäkerhet och fysisk säkerhet tillsammans?
Dagarna då cybersäkerhet endast var it-fråga är sedan länge förbi. Hackare kommer alltid att attackera systemets svagaste punkt. Om de inte kan komma åt dina servrar på distans söker de efter en svagare punkt, vilket kan innebära att de måste kringgå ett passersystem för att få fysisk åtkomst till ett nätverk. Det innebär att alla som är involverade i upphandling eller driftsättning av fysiska säkerhetslösningar bör prioritera cybersäkerhet, och de på cybersidan måste arbeta för bättre fysisk säkerhet. De två områdena är sammanlänkade. Och i takt med att angriparna blir mer kreativa ser vi ett ökat behov av bästa möjliga säkerhet på alla sidor.
Berätta mer om NIS 2. Vem ansvarar för implementeringen?
Kortfattat utökar NIS 2 EU:s befintliga NIS-cybersäkerhetsregler och sätter press på många fler branscher att förbättra sina säkerhetsstandarder. EU ratificerade formellt lagstiftningen den 17 oktober och nu kommer medlemsländerna att rulla ut sina egna versioner i lokal lagstiftning. Det är slutanvändarnas ansvar att se till att deras säkerhetsbestämmelser följer reglerna, och det kommer att ha en enorm inverkan eftersom det rent krasst är väldigt få som är redo för det.
Finns det delar av NIS 2 som är specifika för fysisk säkerhet eller åtkomstkontroll?
NIS 2 definierar en koppling mellan cybersäkerhet och fysisk säkerhet för berörda enheter och kräver att dessa enheter på ett heltäckande sätt hanterar den fysiska säkerheten för sina cybersäkerhetsåtgärder och förhindrar obehörig fysisk åtkomst till sina data. NIS 2 kräver också kraftfulla policyer för åtkomstkontroll med multifaktorautentisering, end-to-end-kryptering och öppna, interoperabla plattformar som kan inspekteras ordentligt.
Innebär detta ett stort uppgraderingsprogram för berörda enheter?
Så kan det vara. NIS 2:s krav på öppenhet innebär att en stor del av den hårdvara som redan är installerad inom berörda enheter kanske inte uppfyller bestämmelsernas skrivelser. Speciellt egna system som inte har installerats med bästa praxis för cybersäkerhet kan visa sig vara icke-kompatibla. Något som är positivt är att regelverksmålen innebär en möjlighet för många företag att uppgradera och modernisera sina system i en öppen riktning, vilket förbättrar deras övergripande säkerhet – vilket antagligen är syftet med sådana bestämmelser. Öppenhet är numera mer än bara en filosofi eller ett sätt att bygga effektiva system. Det är ett måste, och den europeiska säkerhetsindustrin måste nu omfamna det fullt ut.
Vad bör organisationer tänka på när de utvärderar teknikleverantörer för sina fysiska säkerhetslösningar när det gäller cybersäkerhet?
Jag skulle hävda att ingenting har förändrats, i den meningen att företag alltid borde ha letat efter starka, öppna och heltäckande lösningar. Men bristande efterlevnad av NIS 2 kan innebära betydande böter för slutanvändarna, vilket innebär att de nu bör vara ännu mer noggranna med att säkerställa att hårdvaran och programvaran de installerar verkligen passar för ändamålet. Tjänsteleverantörer och systemintegratörer måste också göra det de ska, eftersom de kan få böter om de inte uppfyller kraven. Det innebär att alla, från användare till integratörer till leverantörer, måste vara fullt medvetna om sina lagstadgade skyldigheter och säkerställa att de som de arbetar med följer kraven.
Hur kan berörda enheter säkerställa att de håller sig till NIS 2?
NIS 2 ställer inte uttryckligen krav på utrustningstillverkare, så ansvaret för efterlevnad faller istället på enheter inom dess omfattning. Det innebär att berörda företag är pressade att förstå vad som krävs, måste rådgöra med experter som kan hjälpa dem att navigera i det ständigt föränderliga säkerhetslandskapet och måste ställa bättre krav på sina säkerhetslösningar. Slutanvändare bör prata med flera systemintegratörer för att hitta en plattform som verkligen passar deras behov. Integratörerna själva måste vara tydliga med konsekvenserna och direktiven i NIS 2, vara medvetna om komplexiteten i lokala implementeringar av direktivet och bygga lösningar som erbjuder kunderna efterlevnad från början till slut. Alla måste ta sitt ansvar.
Vilken roll spelar Axis och Genetec i kampen mot cyberbrottslighet?
Efterlevnad av NIS 2 handlar inte bara om att följa lagen. Direktivet har utformats för att förbättra cybersäkerheten. Det är positivt. NIS 2 kommer utan tvekan att göra stor skillnad för motståndskraften och effektiviteten hos slutanvändarnas system, så länge integratörerna väljer rätt komponenter. Axis och Genetec kan tillhandahålla dessa för passersystem och annat, och installera dem på ett sätt som garanterar att säkerhetssystemen är säkert sammankopplade. Vi tillhandahåller verkligt säkra öppna plattformar som, oavsett EU-direktiv eller inga direktiv, bör vara den absoluta utgångspunkten för alla fysiska säkerhetsinstallationer från och med nu. Och låt oss inte glömma effekten av evenemang som OPEN. Tillsammans hjälper vi till att utbilda branschen om kraften i att arbeta tillsammans på öppna plattformar, och branschen behöver enas i detta för att kunna erbjuda en verkligt säker framtid.
Hur var Axis OPEN i Malmö och vad är det viktigaste du tar med dig därifrån?
Det är alltid roligt att träffa andra i branschen och dela med sig av idéer och innovationer, och OPEN Malmö var ett fantastiskt tillfälle att få ut budskapet om öppna plattformar och NIS 2. Det finns fortfarande mycket arbete att göra, men jag blir uppmuntrad av att branschen rör sig i rätt riktning.
