Robust cybersäkerhet har aldrig varit viktigare eftersom mängden cyberattacker fortsätter att öka. Faktum är att dataintrång ökade med 72 % under 2023, vilket var en ny rekordnivå eftersom skadliga aktörer utnyttjade sårbarheter som exponerades av distansarbete. Cyberbrottslingar kan vara mycket motiverade motståndare som drivs av potentialen till ekonomisk vinning eller utbredda störningar.
Lyckligtvis lämnas inte företagen helt ensamma och utan vägledning. Myndigheter är angelägna om att minska riskerna för företag och kunddata genom att implementera bestämmelser som hjälper till att standardisera försvaret mot attacker. Underlåtenhet att följa detta kan leda till betydande böter för verksamheten i händelse av dataintrång.
Detta sätter produkttillverkare i en svår sits efersom de måste känna till de bestämmelser som kunderna kommer att utsättas för och säkerställa att deras produkter uppfyller kraven. Detta kräver kontinuerlig övervakning och vaksamhet, eftersom bestämmelser kan ändras, uppstå eller antas olika av olika regioner. Globala tillverkare måste ligga steget före regelkurvan för att undvika framtida problem med de uppgraderingar som krävs för att upprätthålla efterlevnaden.
Styrning kontra efterlevnad
Ur ett kundperspektiv är efterlevnad av bestämmelser bara utgångspunkten för att skydda kritiska data. Organisationer måste fokusera på både styrning och efterlevnad. Dessa termer kan ibland förväxlas eftersom de är nära sammankopplade. Styrning avser de interna policyer som organisationer själva inför. Dessa tenderar att överträffa myndighetsbestämmelser och skräddarsys efter deras individuella riskprofil och hotstrukturen i branschen.
Å andra sidan representerar efterlevnad de åtgärder som vidtagits för att säkerställa att dessa interna policyer och bestämmelser följs. Det är viktigt att dessa åtgärder balanserar säkerheten med användarens upplevelse, utan att skapa onödig friktion i processerna. Dessa åtgärder kan granskas av tredje part och bör klara granskning.
Både styrning och efterlevnad utvärderas kontinuerligt när nya hot dyker upp och sårbarheter upptäcks. Tillverkare har därför inte bara till uppgift att ha produkter och tjänster som uppfyller regelefterlevnad, utan även att uppfylla alla kunders krav på styrning.
Globalt tänk kring regelverk
Tyvärr är bestämmelserna inte standardiserade över olika geografiska områden. Globala tillverkare av videoövervakningsteknik utmanas av skillnaderna i regelverk mellan olika regioner.
Till exempel har EU-kommissionen infört direktivet om säkerhet i nätverks- och informationssystem (NIS2), en utökning av det tidigare NIS-direktivet. Detta direktiv syftar till att stärka kraven på kritisk infrastruktur och leverantörer av samhällsviktiga tjänster för att införa tillräckliga säkerhets- och incidentåtgärder. Underlåtenhet att följa reglerna kan få betydande ekonomiska och juridiska konsekvenser.
Jämför detta med USA:s förordning 14028 om att förbättra nationens cybersäkerhet som utfärdades 2021. Detta ålägger federala myndigheter, men även sådana privata företag som tillhandahåller produkter och tjänster, att följa de utökade bestämmelserna.
Andra länder och regioner runt om i världen har sina egna specifika tillvägagångssätt, vilket skapar ett komplext regelverk. Detta gäller särskilt om ett företag är baserat i ett land, till exempel USA, och verkar globalt. De måste följa de lokala standarderna i de länder de gör affärer med eller riskera att inte kunna efterleva dem.
Att framgångsrikt navigera i de olika dataskydds- och cybersäkerhetsbestämmelserna mellan olika geografiska områden börjar med en djup kunskap och förståelse av dessa bestämmelser, kombinerat med bästa praxis för att skydda känsliga data mot cyberattacker. Detta avgör vilken typ av cybersäkerhetsskydd som ska införlivas i produkterna för att stödja kundernas egna efterlevnadsåtgärder.
Upprätthålla en stark hantering av produktens livscykel
Även med omfattande kunskap om regelverk får tillverkare inte tappa fokus på den ständigt föränderliga hotstrukturen. Firmware i produkter ska uppdateras regelbundet och i linje med nya sårbarheter. Problem kan uppstå där äldre produkter fortfarande används och som ibland inte längre kan uppdateras.
Därför måste cybersäkerhet betraktas som en del av hanteringen av produktens livscykel. Om produkterna är äldre än en viss ålder kanske de inte längre är cybersäkra. Detta kompliceras av ändrade bestämmelser, vilket också kan innebära att enheten inte längre uppfyller kraven. Att åtgärda detta kan innebära att tillverkaren måste granska programvara och firmware som är äldre än fem år, vilket kan vara mycket svårt.
Utanför tillverkarens fyra väggar finns ytterligare ett område som behöver uppmärksammas: leveranskedjan. Eftersom cybersäkerhet är en hög prioritet måste organisationer i tillverkarens leveranskedja kunna visa hur de hanterar cybersäkerhet och dataskydd. Detta inkluderar hur de uppfyller bestämmelserna och varför de är ”säkra” att göra affärer med. Med denna kunskap kan tillverkare vara säkra på att de inte oavsiktligt introducerar risker i sina produkter.
I takt med att kunderna vidtar mer omfattande åtgärder för att säkerställa att de produkter de köper är mer kompatibla inom områden som komponentinköp, produkttillverkning, organisationens hållbarhet och cybersäkerhet är det viktigare än någonsin för organisationer att vara transparenta.
Att vara öppen om sårbarheter, tillhandahålla en lista över komponenter som krävs i produktprogramvara i form av en materiallista för programvaran (SBOM ) och programvaruuppdateringar, för att nämna några, bygger förtroende, vilket i dagens globala landskap är en viktig handelsvara.
Håll kundens bästa i åtanke
När det gäller cybersäkerhet är det viktigt att organisationer förstår de hot de står inför och deras egna risker och sårbarheter, utöver de bestämmelser som deras kunder måste följa.
Som tillverkare av enheter som kunderna använder i sina säkerhetsoperationer kommer ett globalt förhållningssätt till cybersäkerhetsåtgärder att betala sig. Det håller kundens behov i framkant genom att säkerställa att produkterna uppfyller de strängaste bestämmelserna från olika marknader. Om befintliga bestämmelser införs på nya marknader är produkterna dessutom redan kompatibla, vilket eliminerar behovet av att uppdatera firmware. På så sätt agerar tillverkarna med kundens bästa i åtanke och stödjer dem i deras mål att hålla sina data säkra och trygga.
