SecurityWorldMarket

2023-06-20

Kritisk infrastruktur – Del 2 av 5

Skärpta EU-krav på cybersäkra teknikleveranser för fysisk säkerhet

Jimmy Ek, på Axis Communication.

Jimmy Ek, på Axis Communication.

Med digitaliseringen har hotet mot kritisk infrastruktur fått en ny dimension, då cyberattacker är betydligt enklare att genomföra än fysiska attacker.

– Cyberhotet är utan tvekan en game changer för alla som arbetar med att säkra kritisk infrastruktur, inklusive leverantörer av system för fysisk säkerhet, säger Jimmy Ek, på Axis Communication.

I EU:s NIS 2-direktiv bekräftas de skärpta kraven på leverantörer av fysiska säkerhetssystem.

Detta är en artikel i en serie på temat Kritisk infrastruktur. Längst ner hittar du länkar till övriga artiklar under samma tema.

Cyberattacker ökar i antal och blir alltmer sofistikerade. Samtidigt har de globala försörjningskedjornas starkt sammankopplade karaktär skapat en ökad sårbarhet, något som världen blivit tydligt varse om på senare tid.

– Den brist på halvledare som uppstod som en följd av pandemin visade på hur en liten störning kan leda till ett globalt omfattande problem för den integrerade teknikförsörjningskedjan, kommenterar Jimmy Ek.

På samma sätt kan en cyberattack få enorma konsekvenser, långt bortom den verksamhet som utsatts för angreppet. Därför är hög cybersäkerhet alltid viktigt och för kritisk infrastruktur i synnerhet.

Mer ansvar på leverantörerna

För regelföreskrivande organ och kravställande myndigheter är det inte lätt att hänga med i den ständiga föränderlighet som cyberhoten representerar. Många gånger är det meningslöst att definiera cybersäkerhetsåtgärder i regelverk, då de hinner bli inaktuella innan de publiceras. Därför har kravställarna i allt högre utsträckning lagt skyldigheter på leverantörerna av samhällsviktiga tjänster. De måste kunna bevisa att de har tekniken, processerna och resurserna samt de nödvändiga åtgärderna på plats så att de kan upprätthålla cybersäkerheten över tid. NIS 2-direktivet, som trädde i kraft i januari i år, är ett bra exempel på det.

NIS 2 är ett svar på det växande hotet mot kritisk infrastruktur och syftar till att höja den övergripande nivån av cybersäkerhet i EU. Direktivet täpper till luckorna som finns i det ursprungliga NIS-direktivet. EU:s medlemsstater har fram till oktober 2024 på sig att införliva direktivet i sin lagstiftning.

Tuffa krav på leverantörer

Enligt NIS 2 ska EU:s medlemsstater identifiera företag och organisationer som är operatörer och leverantörer av samhällsviktiga tjänster. Dessa aktörer åläggs att vidta lämpliga säkerhetsåtgärder och meddela relevanta nationella myndigheter om alla allvarliga cybersäkerhetsincidenter. Även leverantörer av molntjänster ska uppfylla säkerhets- och anmälningskraven enligt direktivet.

Tekniklösningar för fysisk säkerhet

I takt med att fysiska säkerhetssystem blir alltmer kopplade till andra affärsteknologier, vidgas naturligtvis den potentiella attackytan. Att säkerställa starka och relevanta cybersäkerhetsåtgärder är därför viktigare än någonsin, enligt Jimmy Ek

– På Axis har cybersäkerhet haft hög prioritet under många år och vi erbjuder en mängd inbyggda cybersäkerhetsfunktioner i våra nätverksprodukter. Men implementering och underhåll är också viktigt. Därför ägnar vi mycket tid åt samarbeten med våra partners i ämnet cybersäkerhet och kan på sätt säkerställa att principer för bästa praxis alltid tillämpas under en produkts livscykel, säger han.

Helhetstänk viktigt

De som designar och specificerar säkerhetslösningar har sålunda nu ansvaret för att den föreskrivna tekniken inte bara ska leva upp till kraven som det fysiska skyddet innebär, utan också att den ska klara cybersäkerhetskraven. Lösningarna måste klara anpassningar till föränderliga krav för att kunna upprätthålla regelefterlevnad. Därför måste säkerhetslösningen ses som en helhet, snarare än ett urval av separata enheter. Resultatet av samspelet mellan lösningens hårdvara och mjukvara, tillsammans med dess integration i den bredare infrastrukturen, är helt avgörande för om lösningen lever upp till kraven.

– Design, implementering och integration samt underhåll spelar alla en viktig roll för cybersäkerheten och ska kunna utvecklas över tid för att kunna möta cyberhoten. En lösning som förblir statisk kommer att utsättas för sårbarheter, kommenterar Jimmy Ek.

En game changer

Även om lösningarnas primära fokus är att möta de definierade operativa kraven för fysisk säkerhet, är IT- och cybersäkerhetsbestämmelser nu också högt väsentliga. Därför måste konsulter säkerställa att alla leverantörers produkter och system uppfyller den enskilda kundens säkerhetspolicy, inklusive alla relevanta regler som gäller för kundens organisation.

Krav på funktioner

Rekommenderade leverantörer och deras tillvägagångssättet för att utestänga cyberhot måste sålunda genomlysas. Funktioner som säker uppstart, signerad firmware, säkerhetskomponenter som möjliggör automatisk och säker identifiering av enheter samt en Trusted Platform Module (TPM) som adresserar de risker som finns idag, bör specificeras, liksom viktiga tredjepartscertifieringar, så som ISO27001. Lägg därtill att sårbarhetspolicyer, en tydligt definierad säkerhetsutvecklingsmodell samt en livscykelhanteringsmetod bör inkluderas. Tillsammans visar dessa policyer och processer en organisations mognad på cybersäkerhet och dess förmåga att anpassa sig till den föränderliga hotbilden.

Välkomnar kraven

Jimmy Ek ser positivt på de krav som ställs för att säkra kritisk infrastruktur.

– Att det från myndighetshåll ställs högre krav på teknikleveranser och underhåll ser vi som positivt. Alla måste hjälpas åt och ta ansvar för att bidra till att trygga säkerheten kring kritisk infrastruktur på bästa sätt, säger han avslutningsvis.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med Securityworldmarket.com.

E-post: sales-se@axis.com
Webb: www.axis.com
Läs mer om Axis Communications AB

Nyheter från startsidan
Till "Tema"  

Leverantörer
Ändra marknad
Global North America Middle East United Kingdom Sweden Norway Denmark
Till toppen av sidan