Jimmy Ek mener at cybersikkerhet er avgjørende for Axis Communications, og at selv om selskapet er en ledende aktør i sikkerhetsbransjen, har virksomhetens røtter alltid ligget i IT og nettverk.
– Tilkobling og de digitale kravene som følger med, har alltid vært en del av vårt DNA. Det som har endret seg over tid, er hvor bredt denne filosofien anvendes.
– I dag er ikke cybersikkerhet begrenset til produktutvikling; den gjennomsyrer alle avdelinger i organisasjonen og strekker seg videre ut i leverandørkjeden og partnerøkosystemet vårt.
Hvordan da?
– Vi har alltid hatt som mål å ligge over bransjens cybersikkerhetsstandarder, men landskapet er i endring. Rammeverk har lenge formet vår sikre utviklingslivssyklus, men nye regelverk som NIS2 og CRA har ført til et enda sterkere fokus på å kunne dokumentere etterlevelse – ikke bare hevde at man oppfyller kravene.
– Disse regelverkene har bidratt til å formalisere prosesser vi allerede hadde på plass, fra dokumentert styring og Software Bills of Materials til sårbarhetshåndtering og livssyklusstyring.
– Vi har utviklet oss fra å være gode på cybersikkerhet til å demonstrere det på en transparent og strategisk måte, og til å integrere det i alle beslutninger vi tar som selskap.
Hvordan sikrer dere at produktene oppfyller kravene til «security by design» og «security by default» som omtales i CRA?
– Security by design og security by default var etablerte prinsipper hos Axis lenge før de ble juridisk terminologi. Hvert produkt vi utvikler, gjennomgår formell trusselmodellering, sikker koding og kodegjennomgang, støttet av både statiske og dynamiske analyseverktøy. Før lansering er penetrasjonstesting og validering obligatorisk.
– Fra et «by default»-perspektiv leveres produktene våre i en herdet konfigurasjon, med sikre kommunikasjonsprotokoller, sterk autentisering, prinsippet om minste privilegium og tjenester deaktivert dersom de ikke er nødvendige. Firmware signeres, secure boot implementeres der det støttes, og brukerne veiledes gjennom installasjonsguider som sikrer trygge konfigurasjoner fra starten av.
Kan du gi eksempler på konkrete tekniske eller organisatoriske tiltak dere har implementert for å styrke cybersikkerheten i produkter og tjenester?
– Vi kombinerer teknisk innovasjon med strukturert styring, noe som fremgår av vår publiserte dokumentasjon Axis Security Development Model (ASDM). På den tekniske siden benytter vi signert firmware, secure boot, rollebasert adgangskontroll, revisjonslogging og kryptering for både kommunikasjon og lagrede data, inkludert FIPS-validert kryptografi der det er relevant.
– Organisatorisk er cybersikkerhet fullt integrert i vårt styringssystem.
Kan du gi noen eksempler?
– Vi har dedikerte ressurser som kontinuerlig overvåker, vurderer og responderer på potensielle sårbarheter i produktene og tjenestene våre, støttet av en samordnet prosess for sårbarhetsrapportering og en formell produktlivssykkelpolicy som tydelig definerer lansering, vedlikehold og avslutning av support.
– Tredjepartstesting og programmer for leverandørsikkerhet styrker ytterligere denne kulturen for kontinuerlig forbedring. Vi er også ISO 27001-sertifisert for vår interne IT-infrastruktur og benytter beste praksis, som flerfaktorautentisering og sikkerhetskontroller i flere lag, for å beskytte vår egen virksomhet. Å beskytte oss selv er en forutsetning for å beskytte kundene våre – alt er del av det samme ansvaret.
CRA stiller sikkerhetskrav til produkter med digitale elementer, der produsentene har det overordnede ansvaret. Hvordan påvirker dette dere – og markedet generelt?
– For oss validerer CRA en metode vi har brukt i mange år, og gir en strukturert, transparent og ansvarlig modell for produktsikkerhet. Det nye er det juridiske rammeverket som krever at alle produsenter av tilkoblede enheter oppfyller konsistente standarder før produkter kan selges i EU.
– Dette vil heve nivået for hele bransjen. Produsenter som har basert seg på minimale sikkerhetstiltak, vil merke at etterlevelse er kostbart, mens de som allerede har høy modenhet, vil være bedre posisjonert for å konkurrere. CRA vil bidra til økt transparens, tydeligere ansvar og på lengre sikt større tillit til tilkoblede teknologier.
NIS2 skal styrke cybersikkerheten i samfunnskritiske tjenester, der sluttkunden har det overordnede ansvaret. Utdanner dere partnere eller sluttkunder for å sikre at løsningene leveres i tråd med NIS2-kravene?
– Selv om vi ikke tilbyr formell eller akkreditert opplæring spesifikt rettet mot NIS2, forstår vi at vår rolle som teknologiprodusent er å muliggjøre etterlevelse gjennom sikre løsninger, transparent dokumentasjon og tydelige implementeringsretningslinjer. Vi tilbyr herdingsguider, referansearkitekturer og konfigurasjonssjekklister som ligger tett opp mot prinsippene i NIS2, og hjelper kundene med å designe og drifte sikre systemer.
– Vi gjennomfører også workshops, akademikurs og partnersesjoner som hjelper organisasjoner med å forstå hvordan Axis-teknologi kan støtte deres overordnede cybersikkerhetsstrategi, og knytte tekniske kontroller til krav innen policy, prosesser og rapportering.
Hvordan jobber dere med oppdateringer, patching og livssyklushåndtering for å møte de økte kravene i NIS2 og CRA?
– Patchhåndtering og transparens i livssyklusen er grunnleggende for tillit. Vi opprettholder en dokumentert firmware-utgivelsesplan og publiserer oppdateringer utenfor denne syklusen dersom kritiske sårbarheter oppstår.
– Hvert produkt har en tydelig definert supporttidslinje, slik at kundene vet nøyaktig når sikkerhetsoppdateringer vil være tilgjengelige, og når produktet når end-of-life.
– Våre oppdateringsvarsler inneholder fullstendige tekniske detaljer, anbefalte tiltak og retningslinjer for risikoreduksjon i tilfeller der patching må utsettes. Målet er å gjøre sikkert vedlikehold forutsigbart, sporbar og med lavest mulig risiko for brukerne.
Hvordan vil NIS2, CER og særlig CRA påvirke markedet for nettverksbaserte sikkerhetsløsninger fremover?
– Samlet sett representerer disse regelverkene et viktig steg i å tydeliggjøre cybersikkerhetsansvaret i hele verdikjeden. Produsenter som Axis får et klart ansvar for produktsikkerhet, mens operatører må kunne dokumentere motstandsdyktighet og beredskap for hendelser.
– På mange måter vil dette styrke bransjen ved å heve standardene, forbedre transparensen og akselerere innovasjon innen områder som sikker identitet, automatisert patching og sporbarhet i leverandørkjeden.
Men?
– Regulering alene garanterer ikke fremgang. Vi vil fortsatt se organisasjoner bruke mer energi på å finne grunner til hvorfor de ikke trenger å følge regelverkene, fremfor å fokusere på det som virkelig betyr noe: å bygge sikre og robuste systemer.
– Realiteten er at noen vil tilpasse seg og bevege seg fremover, mens andre risikerer å bli hengende etter.
Den amerikanske NDAA-loven utelukker visse kinesiske teknologier fra offentlige prosjekter, og kameraleverandører fremhever ofte at produktene deres er NDAA-kompatible. Finnes det i Norden formelle eller uformelle krav til NDAA-etterlevelse i offentlige anskaffelser?
– Det finnes ingen direkte parallell til NDAA i Sverige eller Norden, men organisasjoner som har kontrakter med amerikanske myndigheter, eller som inngår i globale leverandørkjeder knyttet til slike rammeverk, må likevel kunne dokumentere etterlevelse.
– Som følge av dette ser vi referanser til NDAA-tilpassede krav i lokale anbud og partnervurderinger.
Åpne kontra proprietære systemer har blitt et stadig mer debattert tema i bransjen, ikke minst som følge av strengere cybersikkerhetskrav. Er åpne systemer en forutsetning for å optimalisere motstandsdyktighet over tid?
– Absolutt. Åpenhet, når den er forankret i standarder som ONVIF og støttet av dokumenterte API-er, muliggjør fleksibilitet, transparens og interoperabilitet. Løsninger basert på åpen kildekode kan forsterke dette ytterligere ved å legge til rette for fellesskapsdrevet forbedring og gjennomgang, noe som kan styrke sikkerheten.
– Proprietære systemer kan fremstå som praktiske på kort sikt, men kan innebære langsiktig risiko dersom de begrenser innsyn eller sikkerhetsoppdateringer.
– Vi har alltid argumentert for åpne, standardbaserte integrasjoner fordi de gir kundene mulighet til å bygge flerleverandørøkosystemer som kan utvikles sikkert over tid.
Avslutningsvis: I 2022 ble Axis rammet av et alvorlig cyberangrep. Hvilke lærdommer tok dere med dere fra denne hendelsen?
– Hendelsen er godt dokumentert, og jeg mener at vår åpenhet overfor kunder og partnere bidro sterkt til å opprettholde tilliten gjennom hele perioden.
– Vi så på hendelsen som en mulighet til å lære. Den bekreftet mange deler av vår eksisterende strategi, samtidig som den avdekket områder der vi kunne styrke oss ytterligere – og vi handlet deretter.
– Siden den gang har vi gjennomført de tiltakene vi kommuniserte, og styrket både vårt tekniske forsvar og våre interne prosesser.
– Erfaringen har til slutt gjort oss sterkere som organisasjon og bekreftet vår overbevisning om at cybersikkerhet er en kontinuerlig reise – en reise bygget på transparens, forbedring og ansvarlighet.
Global
