2020-08-12

Videoövervakning – Del 3 av 6

"Branschen måste bli bättre på cybersäkerhet"

Anders Karlsson menar att säkerhetsbranschen gör för lite för att förbättra cybersäkerheten inom videoövervakning.

Anders Karlsson menar att säkerhetsbranschen gör för lite för att förbättra cybersäkerheten inom videoövervakning.

– Företag måste inse att ett säkerhetssystem är som vilket annat IT-system som helst och ska behandlas därefter. De måste flytta eller utveckla kompetens mellan IT-avdelningen och säkerhetsavdelningen, säger Anders Karlsson, produktansvarig för säkerhetsprodukter i Norden på Bosch Building Technologies.

Anders Karlsson menar att det finns väldigt många videoövervakningssystem som körs med ”default”-lösenord, användarnamn och ”default”-ip-adresser och öppna portar.

– Tyvärr görs inte mycket förrän problem uppstått, säger han.

Cybersäkerhet från början

Bosch tillverkar både hårdvara och mjukvara, vilket ger extra utmaningar enligt Anders Karlsson.

– När vi bygger våra system använder vi de interna riktlinjerna från Bosch. Vi har dotterbolag som enbart sysslar med IT-säkerhet och krypteringshantering, penetrationstester och hur man hanterar ”machine till machine-data” på ett säkert sätt och även levererar det till andra kunder än Bosch.

Cybersäkerhet implementeras med andra ord redan vid utvecklingsstadiet. Dessutom gör externa partners som till exempel Kaspersky Labs penetrationstester både på färdigproducerade produkter och under utvecklingstiden.

– Vår ambition är också att följa branschstandarder – att inte utveckla egna unika säkerhetslösningar utan att gå mot det som finns i IT-världen, oavsett om det gäller en molntjänst eller lagring i en egen miljö, säger Anders Karlsson.

Bosch har också i största möjliga mån inbyggt hårdvarubaserat stöd för TPM-moduler, krypterings- och nyckelhantering i systemen.

Inte tillräckligt

Anders Karlsson menar att säkerhetsbranschen gör för lite för att förbättra cybersäkerheten inom videoövervakning. Vid till exempel upphandlingar ställs IT-krav som produkter, system och lösningar ska uppfylla men sedan efterlevs det inte.

– I praktiken installeras det ungefär som det gjorts de senaste 20 åren och utan att ta hänsyn till de grundläggande säkerhetsaspekterna som har efterfrågats från början, säger Anders Karlsson.

Konsulter måste bli bättre

Han berättar att många tillverkare av videoövervakningsprodukter utbildar och certifierar installatörer och konsulter för att öka slutkundernas medvetenhet om cybersäkerhet.

– Där finns stor förbättringspotential. Vissa konsulter är otroligt kompetenta, andra är mer ”old school” och är visserligen duktiga på det de gör men förväntar sig att andra tar tag i IT-säkerhetsbitarna och då blir tyvärr ingenting gjort.

Samtidigt menar Anders Karlsson att Sverige är bättre än vissa av grannländerna. I Finland upplevs till exempel övergången från analogt till IP många gånger som osäker med hänvisning till cybersäkerhet. Men i själva verket kan ett IP-system vara lika säkert eller säkrare än ett analogt system.

– Branschen har ett ansvar att tala om det här, för branschen blir lidande och växer inte lika mycket beroende på säkerhetsaspekter som begränsar, säger Anders Karlsson.

Myndigheter imponerar

Anders Karlsson, produktansvarig för säkerhetsprodukter i Norden på Bosch Building Technologies.
Anders Karlsson, produktansvarig för säkerhetsprodukter i Norden på Bosch Building Technologies.

Men det finns också många goda exempel. Det finns stora myndigheter som har väldigt hög kompetens och stor kunskap och där en fysisk säkerhetsprodukt ses som vilken IT-produkt som helst. Penetrationstester och säkerhetsanalyser av både IT och fysisk säkerhet ses som en självklarhet.

– Du måste vara uppdaterad, för branschstandarderna förändras och utvecklas varje månad och det gäller att hänga med och det är svårt för dem som inte arbetat med det här i vardagen.

Därför efterfrågar också fler kunder lösningar som är redan är säkrade till en viss nivå vid installationstillfället.

– De som har lite mindre vana av IT-säkerhetsinstallationer använder alltmer av de här lösningarna. Och där börjar tillverkarna bli mycket duktigare jämfört med bara för ett år sedan, säger Anders Karlsson.

Resurser och kostnader

Akilleshälen med cybersäkerhet är resursbrist och kostnadskrav enligt Anders Karlsson.

– Du kan ha den säkraste kameran, den säkraste IT-plattformen men om det tar för lång tid att installera och det är för dyrt att uppdatera, konfigurera, och underhålla ett system, så kommer det till syvende och sist inte bli att man använder det, under förutsättningar att du inte har ett jätteproblem.

Därför menar han att det är avgörande att fundera på vad det finns för risker. Vad händer om någon kommer åt och kan se bildmaterial från kameror, eller ställer om någonting så att kamerorna inte larmar? Kan någon komma åt integritetskränkande material på din server, eller ta sig in i företagets IT-system?

– Jag tror tyvärr att många tänker att ”nej, det är inte så stor risk, det spelar inte så stor roll om någon kan titta på kameran som sitter på en lastkaj” och hanterar resurserna efter det. Om någon däremot kan logga in på företagets vanliga IT-system via säkerhetssystemet, då tror jag att företaget kan använda ganska mycket resurser och mycket kapacitet för att skydda sig, avslutar Anders Karlsson.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med SecurityUser.com.



Leverantörer
Ändra marknad
Till toppen av sidan