Spoločnosť Axis Communications získala certifikáciu zhody s normou pre kybernetickú bezpečnosť ETSI EN 303 645. Certifikácia platí pre širokú škálu produktov Axis s operačným systémom AXIS OS 11 alebo a vyšším. Vzťahuje sa na viac ako 150 aktuálnych zariadení Axis, aj na nové zariadenia.
AXIS OS je operačný systém založený na Linuxe, ktorý poháňa väčšinu sieťových produktov Axis. Certifikáciu vydala organizácia Underwriters Laboratories (UL TS BV) a vykonali ju v jednom zo skúšobných laboratórií UL v Spojených štátoch. Spoločnosť Axis bude túto certifikáciu naďalej pravidelne testovať a aktualizovať, aby zachovala jej platnosť aj pre budúce produkty.
Kybernetická bezpečnosť zariadení po celú dobu ich životného cyklu
Norma ETSI EN 303 645 obsahuje 68 technických požiadaviek, ktoré stanovujú základnú úroveň kybernetickej bezpečnosti pre dané zariadenie. Požiadavky sa týkajú aj podpory hardvérových bezpečnostných prvkov, ako je bezpečné ukladanie kľúčov a východiskových bezpečnostných prvkov, ako napr. či je zapnutý protokol HTTPS a či nie sú nastavené žiadne univerzálne default heslá. Ďalší aspekt zahŕňa správu životného cyklu, teda napríklad definovanú dobu podpory bezpečnostných aktualizácií zariadení. Testy zahŕňajú aj metodiku na znižovanie rizika zraniteľností pri vývoji softvéru, transparentnú politiku správy zraniteľností a podporu osvedčených postupov pri spracúvaní osobných údajov. Všetky tieto požiadavky sa zohľadňujú s osvedčenými postupmi v danom odvetví a pomáhajú zabezpečiť, aby certifikované produkty mali požadovanú úroveň zabezpečenia po celú dobu ich životného cyklu.
Relevantné nielen v Európskej únii
Normu vypracoval Európsky inštitút pre telekomunikačné normy (ETSI) – nezávislá nezisková organizácia pre štandardizáciu v oblasti informácií a komunikácií. Hoci normu ETSI EN 303 645 vyvinula Európa, je relevantná i pre celosvetové použitie. Norma je v úzkom súlade s ďalšími štandardmi, certifikáciami i právnymi predpismi súvisiacimi s kybernetickou bezpečnosťou v rôznych odvetviach v nasledujúcich krajinách a regiónoch:
- Európska únia (EU Cybersecurity Resilience Act , EU Radio Equipment Directive )
- Fínsko (Finnish Cybersecurity Label)
- Nemecko (BSI – IT Security Label)
- Veľká Británia (UK Product Security and Telecommunications Infrastructure Act & Code of Practica for Consumer IoT Security)
- Spojené štáty (NIST IR 8425, Cyber Trust Mark)
- India (TEC Code of Practica for Securing Consumer Internet of Things)
- Vietnam (Cyber Information Security Requirements for Internet of Things)
- Singapur (Cybersecurity Labelling Scheme)
- Austrália (Code of Practica – Securing the Internet of Things for Consumers)
Detailný popis celej normy je dostupný zadarmo na webových stránkach ETSI.
Pri certifikácii to nesmie skončiť
Certifikácie tretích strán, ktoré sú založené na príslušných otvorených štandardoch, možno použiť na preukázanie zhody s pripravovanou legislatívou alebo v očakávaní jej prijatia. Kybernetická bezpečnosť však nie je zaručená len certifikátom. Na dosiahnutie vyššej úrovne bezpečnosti je nutné ísť až nad rámec požadovaných štandardov. Dôkazom je okrem iného podpora spoločnosti Axis pre siete s nulovou dôverou (zero-trust networking), program odmien za vyhľadávanie bugov (bug bounty program), ako aj prístup ku kybernetickej bezpečnosti s ohľadom na dlhší životný cyklus zariadení.
Odvetvie IT so svojimi rýchlo sa meniacimi obchodnými a bezpečnostnými inováciami obvykle postupuje oveľa rýchlejšie, než by s ním dokázali držať krok štandardy a certifikácie. Preto je potrebné pozerať sa na normy a certifikácie ako na jeden z mnohých prvkov, ktoré môžu byť v určitých situáciách užitočné. Zamerať sa iba na certifikácie za účelom zaškrtávania kolónok v zozname nemusí nutne priniesť požadovanú hodnotu zákazníkovi a môže spôsobiť, že výrobcovia budú zaostávať v technologických inováciách a v ich vývoji.