Hanwha Vision: Cyber Resilience Act & NIS2
Cyber Resilience Act (CRA)
Európsky zákon Cyber Resilience Act (CRA) je navrhované nariadenie, ktoré by stanovilo minimálne požiadavky na kybernetickú bezpečnosť pre produkty s digitálnymi prvkami. CRA je stále vo vývoji, ale očakáva sa, že bude prijaté v rokoch 2023/4.
CRA je v súčasnosti vo vývoji pod CEN/CENELEC alebo ETSI (aj to ešte nie je jasné). Keď máme ako výrobca jasnú definíciu zákona, môžeme s ním testovať naše produkty a postupy. Dovtedy sa môžeme „certifikovať sami“, pokiaľ sa budeme riadiť podľa toho, čo bolo doteraz publikované.
Nariadenie Cyber Resilience Act bude ďalekosiahlym aktom a bude možno také veľké, ako bolo nariadenie GDPR na zabezpečenie webových stránok a osobných údajov. Pokuty budú obrovské, so sankciami až do výšky 15 miliónov eur alebo 2,5 percenta z celosvetového obratu spoločnosti.
Výrobcovia budú zodpovední za to, že ich výrobky budú v súlade s nariadením. Budú musieť zaviesť systém riadenia kybernetickej bezpečnosti a viesť záznamy o svojich činnostiach v oblasti dodržiavania predpisov.
CRA budú presadzovať vnútroštátne orgány v každom členskom štáte EÚ. Tieto orgány budú mať právomoc vyšetrovať podozrenia z porušenia CRA a prijať donucovacie opatrenia proti výrobcom, ktorí nedodržiavajú predpisy.
Je to krokom k zlepšeniu kybernetickej bezpečnosti produktov s digitálnymi prvkami v EÚ. Pomôže to chrániť spotrebiteľov pred kybernetickými útokmi a zabezpečí, aby výrobcovia brali bezpečnosť vážne.
Keďže Hanwha Vision je výrobcom produktov s digitálnymi prvkami, pripravujeme sa na Cyber Resilience Act už teraz.
Ovplyvnené budú všetky spoločnosti, ktoré vyrábajú produkty so SOC a/alebo firmvérom
Od inteligentných televízorov a WiFi routerov až po inteligentné chladničky a nakoniec CCTV zariadenia
Aby sa produkty kvalifikovali podľa nariadenia CRA, musia spĺňať nasledujúce základné požiadavky:
- Musia byť navrhnuté a vyvinuté s ohľadom na bezpečnosť
- Musia byť chránené pred známymi zraniteľnosťami
- Musia byť pravidelne aktualizované bezpečnostnými záplatami
- Musia poskytnúť používateľom informácie o ich bezpečnostných funkciách a o tom, ako ich bezpečne používať
Hanwha Vision verí, že spĺňa všetky podstatné požiadavky uvedené vyššie.
Hanwha zaviedla bezpečnostné opatrenia
Hanwha Vision sprísňuje svoje bezpečnostné opatrenia už mnoho rokov, čo vyvrcholí v ôsmich hlavných bodoch bezpečnosti. Tieto témy sa priebežne testujú, revidujú a podľa potreby aktualizujú.
Ak sa nájde slabina, Hanwha Vision otestuje, potvrdí, opraví a zverejní zistenia.
Osem hlavných oblastí politiky kybernetickej bezpečnosti Hanwha Visions je:
1) Súlad s NDAA
Odstránenie všetkých PRC chipsetov z produktov Hanwha. Presunutie celej výroby preč od PRC.
2) Wisenet 7
Pokročilý systém na čipe (Advanced System On Chip – SoC)
3) S-CERT
Bezpečnostný tím: Bezpečnostno-počítačový pohotovostný tím
4) Zdroje
Centrálne úložisko zabezpečenia webových stránok: Globálny zdroj pre komunikáciu v oblasti kybernetickej bezpečnosti
5) Spevnenie
Praktický sprievodca nastavením: Podrobný sprievodca pre 4 úrovne implementácie zabezpečenia
6) Zverejnenie
Politika zverejňovania bezpečnostných chýb: Jasná a zverejnená politika zdieľania zraniteľností
7) Cyber Essentials
Akreditácia treťou stranou: akreditačná schéma podporovaná vládou UK
8) Zabezpečené v predvolenom nastavení
Vlastná certifikácia: Schéma komisára pre kamerové systémy UK
NDAA
Pred viac ako štyrmi rokmi mala Hanwha Vision predvídavosť, že začne odstraňovať všetky kremíkové čipy ARC zo svojich produktov, ako aj presúvať všetky svoje výrobné závody a subdodávateľov z PRC.
To umožnilo Hanwha Vision zachovať si prístup na americký trh a do iných regiónov, kde sú produkty založené na PRC buď prísne obmedzené alebo zakázané vo vládnych inštaláciách.
WISENET 7 Chipset
Hanwha Vision neustále aktualizuje bezpečnostné funkcie Wisenet System On Chip (SoC). Každá iterácia čipsetu Hanwha pridávala viac a viac bezpečnostných prvkov ako štandard.
Hanwha momentálne používa čipset Wisenet 7 a obsahuje nasledujúce bezpečnostné prvky:
- Secure Boot (overenie bootovacieho obrazu)
- Bezpečné úložisko
- Zabezpečený operačný systém (nezávislý operačný systém pre bezpečnostné informácie)
- Overenie aplikácie
- Zabezpečený JTAG (obmedzený port JTAG)
- Certifikát zariadenia
- Vzájomná autentifikácia
- Overenie reťazca dôvery
- Overenie falšovania firmvéru
- Šifrovanie obrazu videa
- Protokol TLS
S-CERT
Hanwha Vision prevádzkuje tím pre odozvu na bezpečnostné zraniteľnosti (S-CERT). S-CERT je tím určený na riešenie všetkých možných bezpečnostných zraniteľností produktov Hanwha Vision a na získanie bezpečnostných certifikácií, ako je UL CAP.
S-CERT tiež zabraňuje bezpečnostným zraniteľnostiam penetračným testovaním a bezpečnostnými kontrolami.
Zdroje
Hanwha Vision otvorene zverejňuje centrálny bezpečnostný archív webových stránok a je globálnym zdrojom pre komunikáciu v oblasti kybernetickej bezpečnosti
Spevnenie
Hanwha Vision publikuje praktických sprievodcov nastavením, ako aj články o tom, ako nastaviť zabezpečené siete.
Zverejnenie
Hanwha Vision má zásadu úplného zverejňovania Ak sa zistia zraniteľné miesta alebo slabé stránky, potom je našou zásadou zverejniť, čo sú, akonáhle budú testované a potvrdené. Hanwha Vision má jasnú a zverejnenú politiku zdieľania zraniteľností.
Cyber Essentials
Hanwha Vision úzko spolupracovala s akreditačnou schémou podporovanou vládou UK s názvom Cyber Essentials.
Cyber Essentials je britská schéma, ktorá umožňuje spoločnostiam otestovať sa na základe ich zásad kybernetickej bezpečnosti a získať certifikát, ktorý vlastní orgán ústrednej vlády.
Schéma sa zameriava na všetko, čo súvisí s IT v rámci spoločnosti, ako sú organizačné údaje, služby, softvér, zariadenia, podnikové VPNS, ako aj typ žiadateľa. Po zhromaždení a preverení sa vydá certifikát, ktorý možno vyhľadať na webovej stránke Národného centra kybernetickej bezpečnosti
Zabezpečenie v predvolenom nastavení
Hanwha Vision tiež spolupracuje s britskou NCSC na akreditačnom systéme Secure By Default
Uvádzajú, že na to, aby bola kybernetická bezpečnosť skutočne efektívna, musí byť bezpečnosť zabudovaná od základov. Hardvér musí byť navrhnutý tak, aby odolal fyzickým útokom a poskytoval bezpečné úložisko pre ostatné komponenty. Operačné systémy musia využívať funkcie zabezpečenia hardvéru a aplikácie musia používať správne funkcie zabezpečenia operačného systému.
Hanwha Vision splnila všetky náležitosti požadované AND a je akreditovaným členom
NIS2
Smernica NIS2 (Network and Information Security Directive) je právnym predpisom, ktorý prijal Európsky parlament a Rada Európskej únie v decembri 2020. Cieľom smernice je zlepšiť kybernetickú bezpečnosť sietí a informačných systémov (NIS) v celej Európskej únii.
Smernica sa vzťahuje na prevádzkovateľov základných služieb (Operators of Essential Services – OES) a poskytovateľov digitálnych služieb (Digital Service Providers – DSP). OES sú subjekty, ktoré poskytujú kritické služby pre ekonomiku alebo spoločnosť, ako je energetika, doprava, bankovníctvo a zdravotná starostlivosť. DSP sú entity, ktoré poskytujú online služby veľkému počtu používateľov, ako sú vyhľadávacie nástroje, platformy sociálnych médií a online trhy.
Smernica NIS2 vyžaduje, aby OES a DSP implementovali celý rad opatrení kybernetickej bezpečnosti, ako je hodnotenie rizík, hlásenie incidentov a reakcia na incidenty.
Smernica tiež vyžaduje, aby OES a DSP spolupracovali s príslušnými vnútroštátnymi orgánmi v prípade kybernetického bezpečnostného incidentu.
Výrobcovia bezpečnostných kamier (ako Hanwha Vision) sa podľa smernice NIS2 považujú za DSP. Preto sa od nich bude vyžadovať, aby zaviedli celý rad opatrení v oblasti kybernetickej bezpečnosti a dosiahli súlad so smernicou. Tieto opatrenia budú zahŕňať:
- Plne v súlade so zákonom Cyber Resilience ACT
- Vykonávanie pravidelných hodnotení rizík s cieľom identifikovať a posúdiť riziká pre ich siete a informačné systémy
- Implementácia vhodných bezpečnostných opatrení na zmiernenie rizík identifikovaných v ich hodnoteniach rizík
- Nahlasovanie kybernetických bezpečnostných incidentov príslušným vnútroštátnym orgánom
- Spolupráca s príslušnými vnútroštátnymi orgánmi v prípade kybernetického bezpečnostného incidentu
Smernica NIS2 je významným právnym predpisom, ktorý bude mať veľký vplyv na kybernetickú bezpečnosť sietí a informačných systémov v celej Európskej únii. Výrobcovia bezpečnostných kamier budú musieť podniknúť kroky na dosiahnutie súladu so smernicou, aby ochránili svoje siete a informačné systémy pred kybernetickými hrozbami.
Okrem opatrení požadovaných smernicou NIS2 budú musieť výrobcovia bezpečnostných kamier zvážiť aj implementáciu opatrení na zlepšenie kybernetickej bezpečnosti svojich produktov. Tieto opatrenia budú zahŕňať:
- Na ochranu citlivých údajov používajte silné heslá a šifrovanie
- Udržujte softvér aktuálny pomocou najnovších bezpečnostných záplat
- Implementujte rozsiahly plán reakcie na incidenty
- Školiť zamestnancov o osvedčených postupoch kybernetickej bezpečnosti
Tým, že zaistíme, že Hanwha Vision je úplne na vrchole toho, čo požaduje CRA a NIS2, môžeme potvrdiť, že úplne spĺňame to, čo od nás bude žiadať teraz aj v budúcnosti, keď bude rámec vytvorený.
Tým, že spoločnosť Hanwha Vision podnikne tieto kroky už teraz, môže pomôcť chrániť svoje produkty pred kybernetickými hrozbami a dodržiavať smernicu NIS2, ako aj CRA.
Zhrnutie
Hanwha Vision zavádza všetky pripravované požiadavky do pripravovaných aktov.
S výrobou už mimo PRC a našou globálnou politikou získavania komponentov najvyššej kvality od mnohých rôznych predajcov, ako aj z našich vlastných závodov. Naším konečným testom bola nedávna pandémia, keď Hanwha Vision bola stále schopná dodať väčšinu, ak nie celé portfólio produktov včas, bez toho, aby sme museli obmedzovať alebo vystavovať akýmkoľvek rizikám našich klientov a ich zákazníkov.
To nám dáva slobodu a flexibilitu pokračovať v dodávaní a zabezpečovaní všetkých našich bezpečnostných produktov. Od softvéru po NVR a IP kamery.
Produkty Hanwha Vision sú navrhnuté s ohľadom na CRA a NIS2.
