Jimmy Ek menar att cybersäkerhet är avgörande för Axis Communications och att även om företaget är ledande inom säkerhetsbranschen, handlar bolagets historia om IT och nätverk.

– Uppkoppling, och de digitala krav som följer med det har alltid varit en del av vårt DNA. Det som har förändrats över tid är hur brett den filosofin tillämpas.

– I dag är cybersäkerhet inte begränsat till produktutveckling; det genomsyrar varje avdelning i organisationen och sträcker sig utåt in i vår leveranskedja och ekosystem av partners.

Hur då?

– Vi strävar alltid högre än branschens cybersäkerhetsstandarder, men landskapet förändras. Ramverk har länge format vår säkra utvecklingslivscykel, men nya regelverk som NIS2 och CRA har inneburit ett ännu mer relevant fokus på att visa på efterlevnad, inte bara påstå att man uppfyller kraven.

– Dessa regelverk har bidragit till att formalisera de processer som vi redan hade på plats, från dokumenterad styrning och “Software Bills of Materials” till sårbarhetshantering och livscykelhantering.

– Vi har utvecklats från att vara bra på cybersäkerhet till att demonstrera det transparent och strategiskt och integrera det i varje beslut vi fattar som företag.

Hur säkerställer ni att era produkter uppfyller kraven på “security by design” and “security by default” som nämns i CRA?

– Security by design och security by default var etablerade principer hos Axis – redan innan de blev juridisk terminologi. Varje produkt vi utvecklar genomgår formell hotmodellering, säker kodning och kodgranskning, med stöd av både statiska och dynamiska analysverktyg. Innan lansering är penetrationstester och validering obligatoriskt.

– Ur ett “by default”-perspektiv levereras våra produkter i en härdad konfiguration, med säkra kommunikationsprotokoll, stark autentisering, “least-privilege access” och tjänster inaktiverade om de inte krävs. Firmware signeras, “secure boot” implementeras där det stöds och användarna guidas genom installationsguider som framtvingar säkra konfigurationer från början.

Kan du ge exempel på specifika tekniska eller organisatoriska åtgärder som ni har implementerat för att stärka cybersäkerheten i era produkter och tjänster?

– Vi kombinerar teknisk innovation med strukturerad styrning, vilket syns i vår publicerade dokumentation “Axis Security Development Mode” (ASDM). På den tekniska sidan använder vi signerad firmware, “secure boot”, rollbaserad accesskontroll, revisionsloggning och kryptering för både kommunikation och vilande data, inklusive FIPS-validerad kryptografi där det är tillämpligt.

– Organisatoriskt sett är cybersäkerhet helt integrerat i vårt management-system.

Kan du ge exempel?

– Vi har dedikerade resurser som kontinuerligt övervakar, utvärderar och reagerar på potentiella sårbarheter i våra produkter och tjänster, med stöd av en samordnad process för sårbarhetsrapportering och en formell produktlivscykelpolicy som tydligt definierar release-, underhålls- och slutfaser för support.

– Tredjepartstestning och leverantörssäkringsprogram förstärker ytterligare denna kultur av kontinuerlig förbättring. Vi är även ISO 27001-certifierade för vår interna IT-infrastruktur och använder oss av “best practices”, såsom flerfaktorsautentisering och säkerhetskontroller i flera lager för att skydda vår egen miljö. Att skydda vår verksamhet säkerställer att vi skyddar våra kunder, allt är en del av samma ansvar.

CRA gäller säkerhetskrav för produkter med digitala element, där ni som tillverkare bär det yttersta ansvaret. Hur påverkar kraven er, och marknaden i stort?

– För oss validerar CRA en metod vi har använt i åratal, vilket ger en strukturerad, transparent och ansvarsfull modell för produktsäkerhet. Det nya är det rättsliga ramverket som kräver att alla tillverkare av uppkopplade enheter uppfyller konsekventa standarder innan produkter kan säljas i EU.

– Detta kommer att höja ribban för hela branschen. Tillverkare som har förlitat sig på minimala säkerhetsrutiner kommer märka att efterlevnad kostar, medan de som redan ligger på en hög mognadsnivå kommer att vara bättre positionerade för att konkurrera. CRA kommer att driva större transparens, tydligare ansvarsskyldighet och på lång sikt ge ökat förtroende för uppkopplade tekniker.

NIS2 ska stärka cybersäkerheten inom samhällsviktiga tjänster och här ligger det yttersta ansvaret hos slutkunden. Utbildar ni era partners eller slutkunder för att säkerställa att era lösningar levereras i enlighet med NIS2-kraven?

– Även om vi inte erbjuder formell eller ackrediterad utbildning specifikt inriktad på NIS2, förstår vi att vår roll som tekniktillverkare är att möjliggöra efterlevnad genom säkra lösningar, transparent dokumentation och tydliga implementeringsriktlinjer. Vi tillhandahåller härdningsguider, referensarkitekturer och konfigurationschecklistor som ligger nära principerna i NIS2, och hjälper kunder att designa och använda säkra system.

– Vi genomför även workshops/ akademiutbildningar och partnersessioner som hjälper organisatio ner att förstå hur Axis-teknik kan stödja deras bredare cybersäkerhetsstrategi, och koppla tekniska kontroller till policy-, process- och rapporteringsskyldigheter.

Hur arbetar ni med uppdateringar, patchar och livscykelhantering för att möta de ökade krav som NIS2 och CRA ställer på leverantörer?

– Patchhantering och transparens i livscykeln är viktiga grunder för förtroende. Vi upprätthåller en ”documented firmware release cadence” och utfärdar uppdateringar utanför cykeln när kritiska sårbarheter uppstår.

– Varje produkt har en tydligt definierad supporttidslinje, vilket säkerställer att kunderna vet exakt när säkerhetsuppdateringar kommer att finnas tillgängliga och när produkten når slutet av supporten.

– Våra uppdateringsmeddelanden ger fullständiga tekniska detaljer, åtgärdssteg och riktlinjer för riskreducering i fall där patchning kan behöva skjutas upp. Målet är att göra säkert underhåll förutsägbart, spårbart och med så låg risk som möjligt för användarna.

Hur kommer NIS2, CER och särskilt CRA att påverka branschen för nätverksbaserade säkerhetslösningar framöver?

– Sammantaget representerar dessa regleringar ett viktigt steg i att förtydliga cybersäkerhetsansvaret i hela värdekedjan. Tillverkare som Axis kommer att ha ett tydligt ansvar för produktsäkerhet, medan operatörer måste visa motståndskraft och incidentberedskap.

– På många sätt kommer detta att stärka branschen genom att höja standarderna, förbättra transparensen och påskynda innovation inom områden som säker identitet, automatiserad patchning och spårbarhet i leveranskedjan.

Men?

– Reglering garanterar inte framsteg. Vi kommer fortfarande att se organisationer lägga mer energi på att hitta skäl till att de inte behöver följa regelverken snarare än att fokusera på det som verkligen spelar roll, att bygga säkra och motståndskraftiga system.

– Verkligheten är att vissa kommer att anpassa sig och fortsätta framåt, medan andra riskerar att hamna på efterkälken.

Den amerikanska NDAA-lagen utesluter viss kinesisk teknik från offentliga projekt och kameratillverkare betonar ofta att deras produkter är NDAA-kompatibla. Finns det i Norden ett formellt/ informellt krav på NDAA-efterlevnad vid offentlig upphandling?

– Det finns ingen motsvarighet till NDAA för Sverige eller Norden, men organisationer i Norden som har avtal med den amerikanska regeringen eller verkar inom globala leveranskedjor knutna till dessa ramverk måste fortfarande visa efterlevnad.

– Som ett resultat av det ser vi hänvisningar till NDAA-anpassade krav i lokala upphandlingar eller partnerbedömningar.

Öppna kontra proprietära system har blivit en alltmer debatterad fråga i branschen, inte minst till följd av skärpta krav på cybersäkerhet. Är öppna system en förutsättning för att optimera motståndskraften över tid?

– Absolut. Öppenhet, när den är grundad i standarder som Onvif och stöds av dokumenterade API:er, möjliggör flexibilitet, transparens och interoperabilitet. Lösningar med öppen källkod förstärker detta ytterligare genom att möjliggöra communitydrivna förbättringar och granskning, vilket kan stärka säkerheten.

– Proprietära system kan verka praktiska på kort sikt men kan bli långsiktiga risker om de begränsar synlighet eller säkerhetsuppdateringar.

– Vi har alltid förespråkat öppen, standardbaserad integration eftersom den ger kunderna möjlighet att bygga ekosystem med flera leverantörer som utvecklas säkert över tid.

Slutligen, 2022 drabbades Axis av ett allvarligt cyberintrång. Vilka lärdomar drog ni av den erfarenheten?

– Vad som hände är väldokumenterat, och jag tror att vår öppenhet med kunder och partners bidrog mycket till att upprätthålla förtroendet under hela den perioden.

– Vi såg händelsen som en möjlighet att lära sig. Det validerade många aspekter av vår befintliga strategi, samtidigt som den lyfte fram områden där vi kunde stärka oss ytterligare, och vi agerade därefter.

– Sedan dess har vi implementerat de förändringar vi sa att vi skulle göra, och stärkt både vårt tekniska försvar och våra interna processer.

– Erfarenheten har i slutändan stärkt oss som organisation och bekräftat vår övertygelse om att cybersäkerhet är en kontinuerlig resa, en resa som bygger på transparens, förbättring och ansvarsskyldighet.