Společnost Axis Communications získala certifikaci shody s normou pro kybernetickou bezpečnost ETSI EN 303 645. Certifikace platí pro širokou škálu produktů Axis s operačním systémem AXIS OS 11 nebo vyšším a vztahuje se víc než na 150 současných zařízení Axis i na zařízení nová, která uvede trh.
AXIS OS je operační systém založený na Linuxu, který pohání většinu síťových produktů Axis. Certifikaci vydala organizace Underwriters Laboratories (UL TS B.V.) a provedli ji v jedné ze zkušebních laboratoří UL ve Spojených státech. Společnost Axis bude tuto certifikaci dál pravidelně testovat a aktualizovat, aby si zachovala její platnost i pro budoucí produkty.
Kyberbezpečnost zařízení po celou dobu jejich životního cyklu
Norma ETSI EN 303 645 obsahuje 68 technických požadavků, které stanovují základní úroveň kybernetické bezpečnosti pro dané zařízení. Požadavky se týkají také podpory hardwarových bezpečnostních prvků, jako je bezpečné ukládání klíčů, a výchozích bezpečnostních prvků, jako např. je-li zapnutý protokol HTTPS a nejsou nastavena žádná univerzální defaultní hesla. Další aspekt zahrnuje správu životního cyklu, tedy například definovanou dobu podpory bezpečnostních aktualizací zařízení. Testy zahrnují i metodiku pro snižování rizika zranitelností při vývoji softwaru, transparentní politiku správy zranitelností a podporu osvědčených postupů při zpracování osobních údajů. Všechny tyto požadavky se zohledňují s osvědčenými postupy v daném odvětví a pomáhají zajistit, aby certifikované produkty měly požadovanou úroveň zabezpečení po celou dobu svého životního cyklu.
Relevantní nejen v Evropské unii
Normu vypracoval Evropský institut pro telekomunikační normy (ETSI) – nezávislá nezisková organizace pro standardizaci v oblasti informací a komunikací. Ačkoli normu ETSI EN 303 645 vyvinula Evropa, je relevantní pro celosvětové použití. Norma je v úzkém souladu s dalšími standardy, certifikacemi i právními předpisy souvisejícími s kybernetickou bezpečností v různých odvětvích v následujících zemích/regionech:
- Evropská unie (EU Cybersecurity Resilience Act, EU Radio Equipment Directive),
- Finsko (Finnish Cybersecurity Label),
- Německo (BSI – IT Security Label),
- Velká Británie (UK Product Security and Telecommunications Infrastructure Act & Code of Practice for Consumer IoT Security),
- Spojené státy (NIST IR 8425, Cyber Trust Mark),
- Indie (TEC Code of Practice for Securing Consumer Internet of Things),
- Vietnam (Cyber Information Security Requirements for Internet of things),
- Singapur (Cybersecurity Labelling Scheme),
- Austrálie (Code of Practice – Securing the Internet of Things for Consumers).
Detailní popis celé normy je dostupný zdarma na webových stránkach ETSI.
U certifikací to nesmí končit
Certifikace třetích stran založené na příslušných otevřených standardech lze použít k prokázání shody s připravovanou legislativou nebo v očekávání jejího přijetí. Kybernetická bezpečnost však nejsou jen certifikace. K dosažení vyšší úrovně kybernetické bezpečnosti je nutné jít nad rámec požadovaných standardů. Důkazem je mimo jiné podpora společnosti Axis pro sítě s nulovou důvěrou (zero-trust networking), program odměn za vyhledávaní bugů (bug bounty program) a přístup ke kybernetické bezpečnosti s ohledem na delší životní cyklus zařízení.
Odvětví IT se svými rychle se měnícími obchodními a bezpečnostními inovacemi obvykle postupuje mnohem rychleji, než aby s ním mohly držet krok standardy a certifikace. Proto je potřeba pohlížet na normy a certifikace jako na jeden z mnoha prvků, které můžou být v určitých situacích užitečné. Zaměřit se pouze na certifikace za účelem zaškrtávaní kolonek v seznamu nemusí nutně přinést požadovanou hodnotu zákazníkovi a může způsobit, že výrobci budou zaostávat v technologických inovacích a ve vývoji.