De senaste åren har cyberhotlandskapet och därmed även hotbilden mot infrastruktur för säkerhetskameror förändrats dramatiskt enligt Kenneth Bergmann. Attackerna har blivit mer riktade, samordnade och tekniskt avancerade.

En integrerad del av varje produkt

– I stället för att förlita sig på svaga lösenord utnyttjar cyberbrottslingar nu kända sårbarheter och felkonfigurerade moln- eller fjärrhanteringssystem. Kameror kapas ibland och förvandlas till massiva botnät för DDoS-attacker, medan ransomware i allt högre grad riktar in sig på hela video management- infrastrukturer snarare än enskilda enheter, säger Kenneth Bergmann.

Han menar också att det sker en ökning av attacker på firmware- nivå, vilket belyser hur viktigt det är att bygga in skydd direkt i hårdvaran. Utvecklingen bekräftar I-Pros övertygelse om att cybersäkerhet måste vara inbäddad från “the silicon level” till mjukvarulager och utgöra en integrerad del av varje produkt snarare än ett valfritt tillägg.

De vanligaste attackerna

De vanligaste attackerna mot kameror och videoplattformar utnyttjar enligt Kenneth Bergmann svaga lösenord, föråldrad firmware eller dålig konfiguration.

– Angripare använder ofta sårbarheter för att ta kontroll över enheter eller lägga till dem i botnät för DDoS-attacker. Ransomware- grupper har börjat fokusera på servrar som hanterar videodata, i syfte att låsa kritiska system.

Det finns också växande bevis för manipulation av leveranskedjan, där skadlig kod introduceras under firmwareuppdateringar, säger han.

Dessutom medför det snabba införandet av AI-baserad analys nya hot, såsom försök att fånga upp eller manipulera metadata, vilket gör robust kryptering och modellskydd viktigare än någonsin, betonar han.

Minst FIPS 140-2 level 3

I-Pro har en stark profil inom cybersäkerhet och menar cybersäkerhet börjar långt innan en produkt når marknaden. Bolaget följer ett strikt “security-by-design framework” som definierar hur varje element i en kamera eller ett system utformas, byggs och underhålls. –

Arkitekturen inkluderar säkra startprocesser, isolerade hårdvarukomponenter och firmware som bara kan köras efter att dess digitala signatur har verifierats. All data och kontrollkanaler krypteras med TLS och HTTPS med FIPS-validerade algoritmer, säger Kenneth Bergmann.

Varje I-Pro-kamera är certifierad enligt minst FIPS 140-2 level 3, och de senaste modellerna går nu mot FIPS 140-3-efterlevnad, vilket Kenneth Bergmann menar säkerställer konfidentialitet och integritet i hela kedjan.

– Utöver våra interna kontroller genomgår varje produkt oberoende penetrationstester och kontinuerliga tredjepartsrevisioner. Denna skiktade metod säkerställer att säkerhet är invävd i varje utvecklingsstadium, från chipset- designen till AI-analysen som fungerar “at the edge, säger han.

Formellt rapporteringsprogram

Sårbarhetshantering är en kontinuerlig och transparent process snarare än en reaktion på isolerade incidenter för I-Pro.

– Vi upprätthåller ett formellt rapporteringsprogram genom vilket forskare, partners och kunder kan rapportera sårbarheter som sedan verifieras, tilldelas en CVE om så är lämpligt och spåras tills de är helt lösta.

Firmware-uppdateringar släpps enligt ett planerat kvartalsschema, och brådskande patchar utfärdas omedelbart vid behov. Varje uppdatering signeras digitalt och verifieras av enheten för att förhindra manipulation, och detaljerade råd publiceras på bolagets kundsupportportal så att användarna vet exakt vad som har åtgärdats och hur de ska tillämpa det.

– Våra produkter stöds under hela sin livscykel, med insikter från penetrationstester, bugg-feedback (bug-bounty feedback) och fälterfarenhet som matas direkt in i nya utvecklingscykler. Detta skapar en sluten feedback-slinga – tidig upptäckt, patcha snabbt, avslöja öppet och kontinuerligt härda nästa generation, säger Kenneth Bergmann.

Tillverkare – integratör – slutkund

När det gäller ansvarsfördelningen mellan tillverkare, integratörer och slutkunder menar Kenneth Bergmann att cybersäkerhet inom videoövervakning är mest effektiv när alla intressenter delar ansvaret.

– Som tillverkare designar I-Pro-produkter som är säkra som standard och kombinerar “hardened” firmware, krypterad kommunikation och kontinuerlig uppdateringssupport. Systemintegratörer spelar en avgörande roll i att driftsätta och konfigurera dessa system på ett säkert sätt – hantera autentiseringsuppgifter, segmentera nätverk och anpassa installationer till bästa praxis. Slutanvändare upprätthåller sedan motståndskraft genom vaksam drift: tillämpar uppdateringar, upprätthåller åtkomstkontroller och övervakar avvikelser, säger han.

I-Pro ser sin roll som att förse varje intressent med de verktyg, information och snabba uppdateringar de behöver så att varje länk i kedjan förblir stark under hela produktens livstid.

Längre än CRA och NIS2

Både NIS2 och Cyber Resilience Act omdefinierar minimiförväntningarna på cybersäkerhet i hela Europa, och för I-Pro validerar de en filosofi som bolaget har följt i åratal: secure-by-design-arkitektur, signerad firmware, samordnad sårbarhetsredovisning och dokumenterat livscykelstöd, menar Kenneth Bergmann.

– Eftersom vår hårdvara redan använder FIPS-validerad kryptografi är alla kameror certifierade enligt minst FIPS 140-2 level 3, med den senaste generationen som avancerar till FIPS 140-3 – och vårt AI-styrningssystem uppfyller kraven i ISO/IEC 42001. Han betonar också att I-Pro i många fall går längre än NIS2 och CRA.

– Snarare än att behandla NIS2 och CRA som efterlevnadsövningar ser vi dem som möjligheter att visa vår mognad och vårt ledarskap som en betrodd, säkerhetsdriven tillverkare.

Kryptering, certifikat och autentisering

Kryptering, certifikat och autentisering utgör enligt I-Pro den centrala säkerhetsgrunden för deras kamerasystem – de skyddar data, identitet och access över alla lager av infrastrukturen. Varje I-Pro-enhet använder moderna krypteringsstandarder för att skydda video-, ljud- och kontrolldata både under överföring och i vila. Kenneth Bergmann påpekar också att unika digitala certifikat ger varje kamera dess verifierbara identitet och möjliggör säker onboarding och ömsesidig autentisering med management-system. Stark användarautentisering och rollbaserad accesskontroll säkerställer dessutom att endast behörig personal kan göra ändringar eller visa data.

– Varje I-Pro-kamera levereras med ett unikt X.509-certifikat utfärdat av en betrodd rot-CA, vilket möjliggör säker onboarding, ömsesidig autentisering och krypterad kommunikation med VMS-, moln- eller edge-enheter. Genom att integrera automatiserad certifikatförnyelse och en zero trust-arkitektur ser vi till att kommunikationen inom även det största företaget eller den offentliga sektorn förblir konfidentiell och manipulationssäker i många år framöver, säger han.

AI medför nya cybersäkerhetsutmaningar

AI har förändrat vad kameror kan göra, men det skapar också nya cybersäkerhetsutmaningar. Risker som data “poisoning”, modellstöld eller avsiktlig manipulation av träningsdata kan undergräva både noggrannhet och förtroende, menar I-Pro.

Företaget mildrar dessa hot genom säkra och isolerade AI-utvecklingsmiljöer, krypterad modellagring och “runtime”-verifiering för att säkerställa att algoritmer inte kan ändras när de väl är driftsatta.

– Alla AI-funktioner körs direkt “at edge”, vilket minimerar exponeringen mot molnet och bevarar känsliga data lokala. För att stärka detta ramverk inrättade vi en intern AI Ethics Committee 2024 och blev det första företaget i vår sektor att uppnå ISO/IEC 42001-certifiering för ansvarsfull AI-hantering. Detta säkerställer att varje analytisk funktion vi levererar är transparent, rättvis och ansvarsfull.

NDAA allt viktigare utanför USA

Amerikanska National Defense Authorization Act (NDAA) säkerställer att produkter är godkända för användning av myndigheter och offentliga institutioner. I-Pro uppfyller kraven och menar att efterlevnad av NDAA blir allt viktigare utanför USA – den har i praktiken blivit ett globalt riktmärke för förtroende i leveranskedjan och produktintegritet.

– Många europeiska myndigheter och operatörer av kritisk infrastruktur föredrar nu NDAA-kompatibla lösningar som en del av sina upphandlingsriktlinjer. För I-Pro visar denna certifiering fullständig transparens i inköp och produktion, vilket försäkrar kunderna om att inga dolda komponenter eller overifierade tredjepartsberoenden äventyrar enhetens integritet, säger Kenneth Bergmann.

Slutanvändarnas val av leverantör

Han tycker att slutanvändare bör välja en leverantör som integrerar cybersäkerhet och AI-styrning i sitt företags-DNA för att säkerställa att installationen är så cybersäker som möjligt.

Och genom att kombinera “secure-by-design”, transparent sårbarhetshantering och ISO 42001-anpassad AI-övervakning säkerställs långsiktig systemintegritet och efterlevnad.

– Kryptering, autentisering och certifikathantering måste vara en integrerad del av produkten, inte valfria tillägg. Efterlevnad av internationella ramverk som NIS2, CRA, NDAA, FIPS 140-2 och 140-3, samt ISO/IEC 42001 bör vara påvisbar, inte bara påstådd, säger Kenneth Bergmann.

Lika viktigt är enligt honom transparent dokumentation, regelbundna tredjepartsrevisioner och definierade serviceavtal för uppdateringar och incidenthantering.

 

– Kort sagt, kunder bör välja leverantörer vars kultur bygger på ansvarsskyldighet och transparens.