De siste årene har cybertrusselbildet – og dermed også trusselbildet mot infrastrukturen for sikkerhetskameraer – endret seg dramatisk, ifølge Kenneth Bergmann. Angrepene har blitt mer målrettede, koordinerte og teknologisk avanserte.
En integrert del av hvert produkt
– I stedet for å basere seg på svake passord utnytter cyberkriminelle nå kjente sårbarheter og feilkonfigurerte sky- eller fjernstyringssystemer. Kameraer kapres iblant og gjøres om til massive botnett for DDoS-angrep, mens ransomware i økende grad retter seg mot hele video management-infrastrukturer snarere enn enkeltstående enheter, sier Kenneth Bergmann.
Han peker også på en økning i angrep på firmware-nivå, noe som understreker hvor viktig det er å bygge inn beskyttelse direkte i maskinvaren. Utviklingen bekrefter I-Pros overbevisning om at cybersikkerhet må være innebygd fra «silisium-nivået» og opp gjennom programvarelagene, og være en integrert del av hvert produkt – ikke et valgfritt tillegg.
De vanligste angrepene
De vanligste angrepene mot kameraer og videoplattformer utnytter ifølge Kenneth Bergmann svake passord, utdatert firmware eller mangelfull konfigurasjon.
– Angripere bruker ofte sårbarheter til å ta kontroll over enheter eller legge dem til i botnett for DDoS-angrep. Ransomware-grupper har begynt å fokusere på servere som håndterer videodata, med mål om å låse kritiske systemer.
Det finnes også økende bevis på manipulasjon i leverandørkjeden, der skadelig kode introduseres under firmware-oppdateringer, sier han.
I tillegg medfører den raske innføringen av AI-basert analyse nye trusler, som forsøk på å avlytte eller manipulere metadata. Dette gjør robust kryptering og modellbeskyttelse viktigere enn noensinne, understreker han.
Minst FIPS 140-2 nivå 3
I-Pro har en sterk cybersikkerhetsprofil og mener at cybersikkerhet starter lenge før et produkt når markedet. Selskapet følger et strengt «security-by-design framework» som definerer hvordan hvert element i et kamera eller system utformes, bygges og vedlikeholdes.
– Arkitekturen inkluderer sikre oppstartsprosesser, isolerte maskinvarekomponenter og firmware som kun kan kjøres etter at den digitale signaturen er verifisert. All data og alle kontrollkanaler krypteres med TLS og HTTPS ved bruk av FIPS-validerte algoritmer, sier Kenneth Bergmann.
Hvert I-Pro-kamera er sertifisert i henhold til minst FIPS 140-2 nivå 3, og de nyeste modellene beveger seg nå mot etterlevelse av FIPS 140-3. Dette sikrer konfidensialitet og integritet gjennom hele kjeden, mener han.
– I tillegg til våre interne kontroller gjennomgår hvert produkt uavhengige penetrasjonstester og kontinuerlige tredjepartsrevisjoner. Denne lagdelte tilnærmingen sikrer at sikkerhet er vevd inn i hvert utviklingsstadium – fra chipset-design til AI-analysen som kjøres «at the edge», sier han.
Formelt rapporteringsprogram
Sårbarhetshåndtering er for I-Pro en kontinuerlig og transparent prosess, snarere enn en reaksjon på isolerte hendelser.
– Vi opprettholder et formelt rapporteringsprogram der forskere, partnere og kunder kan rapportere sårbarheter. Disse verifiseres, tildeles en CVE der det er relevant, og spores til de er fullstendig utbedret.
Firmware-oppdateringer lanseres etter en planlagt kvartalsvis syklus, og kritiske patcher utstedes umiddelbart ved behov. Hver oppdatering signeres digitalt og verifiseres av enheten for å forhindre manipulering. Det publiseres også detaljerte veiledninger i selskapets kundestøtteportal, slik at brukerne vet nøyaktig hva som er utbedret og hvordan det skal implementeres.
– Våre produkter støttes gjennom hele livssyklusen, med innsikt fra penetrasjonstester, bug-feedback (bug-bounty-tilbakemeldinger) og erfaringer fra feltet som mates direkte inn i nye utviklingssykluser. Dette skaper en lukket tilbakemeldingssløyfe – tidlig oppdagelse, rask patching, åpen kommunikasjon og kontinuerlig herding av neste generasjon, sier Kenneth Bergmann.
Produsent – integratør – sluttkunde
Når det gjelder ansvarsfordelingen mellom produsenter, integratorer og sluttkunder, mener Kenneth Bergmann at cybersikkerhet innen videoovervåking er mest effektiv når alle interessenter deler ansvaret.
– Som produsent designer I-Pro produkter som er sikre som standard, med herdet firmware, kryptert kommunikasjon og kontinuerlig støtte for oppdateringer. Systemintegratorer spiller en avgjørende rolle i sikker utrulling og konfigurasjon – håndtering av autentiseringsopplysninger, nettverkssegmentering og tilpasning til beste praksis. Sluttbrukere opprettholder deretter motstandsdyktighet gjennom årvåken drift: installerer oppdateringer, opprettholder tilgangskontroller og overvåker avvik, sier han.
I-Pro ser sin rolle som å gi hver interessent verktøyene, informasjonen og de raske oppdateringene som trengs for at hvert ledd i kjeden forblir sterkt gjennom hele produktets levetid.
Lenger enn CRA og NIS2
Både NIS2 og Cyber Resilience Act redefinerer minimumsforventningene til cybersikkerhet i Europa. For I-Pro validerer de en filosofi selskapet har fulgt i årevis: secure-by-design-arkitektur, signert firmware, koordinert sårbarhetsrapportering og dokumentert livssyklusstøtte, mener Kenneth Bergmann.
– Siden maskinvaren vår allerede bruker FIPS-validerte kryptografiske løsninger, er alle kameraer sertifisert i henhold til minst FIPS 140-2 nivå 3, med den nyeste generasjonen på vei mot FIPS 140-3. AI-styringssystemet vårt oppfyller også kravene i ISO/IEC 42001. Han understreker at I-Pro i mange tilfeller går lenger enn NIS2 og CRA.
– I stedet for å behandle NIS2 og CRA som rene etterlevelsesøvelser, ser vi dem som muligheter til å vise vår modenhet og vårt lederskap som en pålitelig, sikkerhetsdrevet produsent.
Kryptering, sertifikater og autentisering
Ifølge I-Pro utgjør kryptering, sertifikater og autentisering det sentrale sikkerhetsfundamentet for kamerasystemene – de beskytter data, identitet og tilgang på tvers av alle lag i infrastrukturen. Hver I-Pro-enhet bruker moderne krypteringsstandarder for å beskytte video-, lyd- og kontrolldata både under overføring og i hvile. Kenneth Bergmann påpeker også at unike digitale sertifikater gir hvert kamera en verifiserbar identitet og muliggjør sikker onboarding og gjensidig autentisering mot management-systemer. Sterk brukerautentisering og rollebasert tilgangskontroll sikrer i tillegg at kun autorisert personell kan gjøre endringer eller se data.
– Hvert I-Pro-kamera leveres med et unikt X.509-sertifikat utstedt av en betrodd rot-CA. Dette muliggjør sikker onboarding, gjensidig autentisering og kryptert kommunikasjon med VMS-, sky- eller edge-enheter. Ved å integrere automatisert sertifikatfornyelse og en zero trust-arkitektur sørger vi for at kommunikasjonen – selv i svært store virksomheter eller offentlig sektor – forblir konfidensiell og manipulasjonssikker i mange år fremover, sier han.
AI medfører nye cybersikkerhetsutfordringer
AI har endret hva kameraer kan gjøre, men skaper også nye cybersikkerhetsutfordringer. Risikoer som data-poisoning, modelltyveri eller bevisst manipulering av treningsdata kan undergrave både nøyaktighet og tillit, mener I-Pro.
Selskapet reduserer disse risikoene gjennom sikre og isolerte AI-utviklingsmiljøer, kryptert lagring av modeller og «runtime»-verifisering for å sikre at algoritmer ikke kan endres etter utrulling.
– Alle AI-funksjoner kjøres direkte «at the edge», noe som minimerer eksponeringen mot skyen og holder sensitive data lokalt. For å styrke dette rammeverket etablerte vi i 2024 et internt AI Ethics Committee og ble det første selskapet i vår sektor som oppnådde ISO/IEC 42001-sertifisering for ansvarlig AI-styring. Dette sikrer at hver analytisk funksjon vi leverer er transparent, rettferdig og ansvarlig.
NDAA blir stadig viktigere utenfor USA
Den amerikanske National Defense Authorization Act (NDAA) sikrer at produkter er godkjent for bruk av myndigheter og offentlige institusjoner. I-Pro oppfyller kravene og mener at etterlevelse av NDAA blir stadig viktigere også utenfor USA – i praksis har den blitt et globalt referansepunkt for tillit i leverandørkjeden og produktintegritet.
– Mange europeiske myndigheter og operatører av kritisk infrastruktur foretrekker nå NDAA-kompatible løsninger som del av sine anskaffelsesretningslinjer. For I-Pro viser denne sertifiseringen full åpenhet i innkjøp og produksjon, og gir kundene trygghet for at ingen skjulte komponenter eller uverifiserte tredjepartsavhengigheter kompromitterer enhetenes integritet, sier Kenneth Bergmann.
Sluttbrukernes valg av leverandør
Han mener sluttbrukere bør velge leverandører som integrerer cybersikkerhet og AI-styring i selskapets DNA, for å sikre at installasjonen er så cybersikker som mulig.
Ved å kombinere secure-by-design, transparent sårbarhetshåndtering og ISO 42001-tilpasset AI-overvåking sikres langsiktig systemintegritet og etterlevelse.
– Kryptering, autentisering og sertifikathåndtering må være integrerte deler av produktet, ikke valgfrie tillegg. Etterlevelse av internasjonale rammeverk som NIS2, CRA, NDAA, FIPS 140-2 og 140-3 samt ISO/IEC 42001 bør være dokumenterbar, ikke bare påstått, sier Kenneth Bergmann.
Like viktig er ifølge ham transparent dokumentasjon, regelmessige tredjepartsrevisjoner og definerte serviceavtaler for oppdateringer og hendelseshåndtering.
– Kort sagt bør kunder velge leverandører med en kultur bygget på ansvarlighet og åpenhet.
.jpeg?w=480&action=fill&sh=5cfc3 "Bildet er fra en seremoni i forbindelse med en sjefsinnsettelse til Forsvarets personell- og vernepliktssenter (FPVS) i 2024. Da ble daværende oberst Pål Svarstad takket av som sjef for FPVS. Nå er han ny nestkommanderende i Cyberforsvaret. På bildet står han sammen med forsvarssjef Eirik Kristoffersen (til venstre). Foto: Vanessa Andrea Vågstøl Hilland / Forsvaret")
Global
