Det finns cybersäkerhets-standarder för kameror som primärt är utvecklade för konsumentnära IoT-produkter, där fokus ligger på att undvika de enklaste felen: inga standardlösenord, grundläggande uppdateringsmöjlighet och viss dokumentation.
– Det är viktiga åtgärder för den breda marknaden, men de är just det, en miniminivå, säger Sean Österborg.
Han betonar att kameror som används i verksamhetskritiska sammanhang måste kunna visa att de står emot riktade angrepp över tid, under drift, med konstant föränderliga attackytor och attackvektorer.
Certifieringar som går att granska
Keenfinity bygger sitt arbete på IEC 62443, både på utvecklingsnivå (62443-4-1) och produktnivå (62443-4-2).
– Det betyder att säkerheten inte bara kontrolleras i slutprodukten, utan är inbyggd i hela processen: hotmodellering, kodgranskning, firmware-signering, secure boot, patchhantering och SBOM-transparens.
Det kompletteras av UL 2900-2-3, där kameror testas av oberoende part med strukturerad sårbarhetsanalys och validering av motståndskraft i själva apparaten.
– Det här är certifieringar som går att granska, verifiera och följa upp per modell och per firmwareversion, inte bara referera till i en produktbeskrivning.
Inte bara lägstanivån
Sean Österborg menar att det avgörande är att Keenfinity arbetar med ”secure by default”.
– Kunden ska inte behöva “bygga säkerhet” efter installation, den ska redan finnas där. Skillnaden är tydlig, vissa certifieringar visar att man uppfyller lägstanivån. Vi certifierar, dokumenterar och driver våra system så att säkerheten är robust, granskad och hållbar i drift. Det är det som krävs när kamera- och videodata är en del av organisationens faktiska säkerhetsförmåga, inte bara ett videoflöde på en skärm. Våra certifieringar är inga pappersprodukter, säger han.
En klassad tillgång
Uppkopplade kamerasystem genererar inte bara video, utan även rika metadata om händelser, rörelser och tidpunkter. Den datan är i praktiken verksamhetsinformation och behöver därför hanteras som en klassad tillgång, menar Sean Österborg.
– Det innebär tydlig behörighetsstyrning, olika roller ska ha olika åtkomstnivåer, och det ska vara definierat vem som får se vad, när och i vilken form.
Han anser också att arbetssättet behöver moderniseras.
– I stället för att manuellt gå igenom råvideo bör utredningar baseras på metadata och AI-driven analys. Det gör att man identifierar relevanta händelser snabbare och samtidigt minskar exponeringen av persondata.
Grundläggande konfigurationsbrister
Det vanligaste misstagen som företag gör när det gäller cybersäkerhet i sina kamerabevakningslösningar är enligt Sean Österborg grundläggande konfigurationsbrister såsom standardlösenord, delade konton, kameror i samma nät som ”kontors- IT” och okrypterad trafik.
– Utan segmentering, certifikathantering med mera, kan en komprometterad klient ge åtkomst till hela videoinfrastrukturen. Protokoll och portar som lämnas aktiverat exponerar dessutom videoströmmar mot internet, säger han och sammanfattar sin syn:
– Segmentera nätet, säkra firmware och lagring, etablera spårbarhet och arbeta metadata-centrerat, annars blir kamerasystemet en underskattad attackyta.
AI – en tillgång och ett hot
AI kommer kraftigt förbättra förmågan att upptäcka avvikelser och automatisera korrelationer mellan nätverkstrafik, åtkomstloggar och kamerahändelser, vilket gör säkerhetsarbetet både proaktivt och skalbart, betonar Sean Österborg.
– Men samma teknik höjer också angriparnas kapacitet, automatiserade skript kan snabbt prova tusentals konfigurationer, phishing blir mer trovärdigt, och angripare kan försöka manipulera indata eller modeller för att underminera detektion.
Risk med illa tränade videoanalysmodeller
Särskilt allvarligt anser Sean Österborg att riskerna är med illa tränade eller dåligt förvaltade videoanalysmodeller. Data-poisoning, drifting och ”adversarial patterns” kan göra att ett system konsekvent missar eller feltolkar händelser.
– Många kommersiella modeller saknar robust testning mot sådana angrepp, återanvänder öppna dataset utan kontext eller provning, och har bristande spårbarhet i träningsdata, vilket är faktorer som gör dem ”lätta” att kringgå i praktiken, avslutar han.
.jpg?w=480&action=fill&sh=32678 "Kärnan i Zenitel VAIA är en ny patenterad förstärkararkitektur som levererar transformatorliknande utgångsprestanda utan behovet av traditionella, skrymmande klumpiga transformatorlösningar.")
Global
