SecurityUser.com

2017-10-13

Så säkrar tillverkarna sina säkerhetsprodukter mot cyberangrepp

Det har på senare år väckt stor uppmärksamheten att utrustning för fysisk säkerhet har hackats och banat väg för intrång  i nätverk. Den uppmärksamheten har bidragit till en ökat medvetenhet kring behovet av ökad cybersäkerhet hos produktleverantörer inom sektorn fysisk säkerhet.

I Detektors senaste nummer (4/2017) har flera företrädare för ledande tillverkare kommit till tals och fått frågan om hur de arbetar med att förebygga att de produkter som levereras inte ska hackas. Securityworldmarket.com publicerar ett utdrag ur reportaget.

Många företag gör tredjepartstester och anlitar experter (hackers) som försöker bryta sig in i de egna produkterna. En annan viktig åtgärd för att göra produk- terna säkrare är att ha tydliga rutiner för när en bugg upptäcks.

Försöker hacka mjukvaran
Bosch är en av de tillverkare som har lyft fram sitt arbete med datasäkerhet och har utrustat sina kameror med en pålitlig plattformsmodul för att säkert lagra certifikat som behövs för autentisering och kryptering.

– Jag tror att cybersäkerhet är en stor oro eftersom allt är uppkopplat – och saker som är uppkopplade är sårbara om du inte hanterar dem rätt. Bosch fokuserar på datasäkerhet i allt vi lanserar på marknaden. Vi har ett företag som heter Escrypt och de testar alla våra produkter och mjukvara innan lansering. Det finns ett mycket bra testförfarande för det och de genomför penetrationstester på våra produkter, säger Boudewijn Hak, Regional BU Marketing på Bosch.

Den sydkoreanska passerkontrolltillverkaren Suprema gör också penetrationstester.
– Vi har lärt oss att förbereda oss för cyberattacker och vi genomför olika typer av penetrationstester för alla produkter som vi tillverkar och vi anlitar experter som går in i hårdvaran, försöker hacka sig in i mjukvaran och bygger väggar så att de skyddas från externa attacker, säger HC Kim, Director of Global Sales på Suprema.

För honom är det uppenbart varför penetrationstester är nödvändiga:
– Eftersom vi har mjukvaruenheter som är IP-anslutna och när du har en IP-anslutning måste du vara medveten om att det finns hackare som försöker komma in i systemet och ställa till med något, så vi är mycket noggranna med det här.

Tredjepartstester
Tim Biddulph, Head of Product Management på Hanwha, säger att Hanwha uppdaterade sin cybersäkerhetsstrategi under 2012.
– Vi stängde alla bakdörrar och tog bort alla sårbarheter som vi kunde hitta. Vid den tiden införde vi också tredjepartstester, vi publicerar våra testkriterier och vår policy för cybersäkerhet och det viktiga är att vi har en dedikerat ”response team”, så när vi upptäcker sårbarheter reagerar vi inom sju dagar på dem och fixar dem så snart som möjligt, säger han.

Tim Biddulph varnar för att saker och ting kan gå fel snabbt om det inte finns någon som reagerar när problemen rapporteras och sårbarheter kan drabba många.
– Det kan drabba hela verksamheten över hela landet, så vi måste vara medvetna om cybersäkerhet och se till att alla sköter sin uppgift.

Kanadensiska Genetec använder en ”multi front”-approach:
– Det börjar med att säkra vår egen infrastruktur och genomföra olika typer av certifieringar och revisioner så att vi är säkra på att cybersäkerheten är hög. Det andra är att vi lär våra kunder de saker som vi har lärt oss och hjälper dem att göra något liknande. Vi har arbetat mycket med att härda vår mjukvara, men också systemdesignen eftersom vår programvara bara är en komponent i ett större system och brottslingar kommer naturligtvis att sikta in sig på den svagaste länken, säger Genetecs vd Pierre Racz.

Genetec har också ett ”cyber emergency response team” som kan användas av deras kunder om de attackeras.

Martin Gren säger att Axis prioritet i arbetet med cybersäkerhet är att utbilda partners.
– Vi försöker utbilda slutkunderna och ge dem härdningsguider, det är något som vi har gjort länge och vi har också policys för hur vi ska göra när vi upptäcker cybersäkerhetsproblem i våra produkter, för alla som tillverkar en stor mjukvara med mycket kod får räkna med att det kommer att finnas buggar. Det viktiga är att ha rutiner för när du hittar en bugg, säger Axisgrundaren.

Alla har vidtagit åtgärder
En annan som uttalar sig är Vanderbilts vd Joe Grillo som säger att företaget regelbundet kontrollerar alla sina produkter med hjälp aven oberoende tredje part för att säkerställa att de inte har brister.

ID- och passerkontrollföretaget HID använder en ”identity in access management-grupp” som fokuserar mycket på cybersäkerhet, berättar Anthony Petrucci , som är företagets högsta chef för Corporate Communications and Global Public Relations

Keen Yao, Vice President för International Business Centre hos världens största leverantör av videoövervakningsprodukter, betonar att Hikvision började använda mer komplexa lösenord i sina produkter 2014 och att det alltid kommer att finnas buggar men att det är viktigt att öka investeringar i forskning- och utveckling för att förbättra produkternas cybersäkerhet.

Mobotix vd Thomas Lausten håller med. Han säger att cybersäkerhet är en mycket viktig del vid all produktutveckling på Mobotix:
– Det är något som återspeglas i all vår utveckling och testande och det görs på ett mycket solitt tyskt sätt. Alla tester och tillverkning görs i Tyskland och det gör det möjligt för oss att säkerställa en bra kvalitetskontroll, säger han avslutningsvis.


Till toppen av sidan