¿Cómo combatir las ciberamenazas en los sistemas de vídeo?
En el marco de la sesión ‘Buenas prácticas de ciberseguridad’ que se desarrolló en Sicur 2022 y que organizaron la Asociación de Directivos de Seguridad Integral (ADSI) y la Asociación Española de Empresas de Seguridad (AES), desde Axis Communications hablaron sobre la importancia de combatir las ciberamenazas en los sistemas de vídeo. Alberto Alonso, solution engineer de la compañía, ofreció algunas claves a los asistentes y explicó el enfoque de Axis Communications en materia de ciberseguridad.
“En Axis decimos que queremos ser una empresa de confianza en ciberseguridad, ya que ésta es una responsabilidad compartida entre todos los agentes. Para confiar y ser fiable, lo primordial es la transparencia y eso es lo que nosotros aplicamos a los sistemas de videovigilancia”, afirmó Alberto Alonso, solution engineer de Axis Communications, al inicio de su ponencia destacando que “para que haya seguridad en el ciclo de vida del producto” desde la compañía entienden que el proceso tiene que ser de 360º, es decir, desde el Diseño del mismo, pasando por la Fabricación y la Distribución y Logística. “En este punto perdemos de vista el producto porque nosotros somos fabricantes y tenemos que asegurarnos de tener unos partners de confianza”, indicó Alonso y señaló que aquí es donde entra en juego la Instalación del producto.
Alberto Alonso, solution engineer de Axis Communications, durante su ponencia en Sicur Cyber.
Identificación de dispositivos
¿Cómo saber que el Sistema conecta con un dispositivo autorizado y que el vídeo no ha sido manipulado? El experto comentó que el componente de seguridad Axis Edge Vault permite la identificación automática y segura de los nuevos dispositivos durante la Instalación. Además, protege la identidad del dispositivo, una colección de certificados, incluyendo una versión firmada digitalmente del número de serie único del dispositivo: Signed Video (vídeo firmado), añade una comprobación criptográfica a cada fotograma, la cual es firmada con la identidad del dispositivo.
“Nosotros tenemos una Guía para la securización de dispositivos, es decir, en Axis proveemos la información para establecer las pautas para las vulnerabilidades críticas, pero hay quien tiene que poner el producto en marcha y esos son los instaladores”, señaló Alberto Alonso. Esta Guía para la securización de dispositivos de Axis ofrece consejos a todas las personas encargadas de la implementación de los dispositivos de vídeo; establece una configuración de referencia y una estrategia para la securización del sistema para hacer frente al entorno cambiante y utiliza CIS v7.1 para definir los controles de seguridad críticos.
Herramientas Axis
El solution engineer de Axis Comunications quiso hacer hincapié en las herramientas, como la de instalación y configuración del producto: Axis Device Manager. “Es una herramienta superpotente para instaladores ya que ahorra una enorme cantidad de tiempo y esfuerzo en instalación y operaciones”. La instalación es un punto importante, pero, según aclaró Alonso, “más importante es el Mantenimiento para garantizar correctamente le ciclo de vida del producto, y para este Mantenimiento también tenemos dispositivos como el Módulo TPM (prestación de hardware) que permite el almacenamiento seguro de certificados y claves criptográficas, con lo que la cámara solo arrancará con el firmware autorizado, protege contra la manipulación del firmware durante la actualización y la cámara puede ser restaurada a un estado de confianza.
Consideraciones sobre la gestión del ciclo de vida
- Vida útil: cuando el fabricante mantiene a la venta el producto y va añadiendo funcionalidades.
- Soporte Firmware: mientras el fabricante ofrece actualizaciones del firmware para mitigar vulnerabilidades.
En este sentido, el experto habló del Firmware con soporte de larga duración (LTS), al cual no se han añadido funciones, permite un soporte durante más tiempo, así como la corrección de errores y parches de vulnerabilidad con el mismo nivel de integración (VMS).
Asimismo, explicó que la herramienta de mantenimiento y gestión de dispositivos incrementa el conocimiento monitorizando el estado del sistema en el panel de control; planifica de forma proactiva el sistema de vigilancia conociendo información detallada sobre la garantía, el fin del soporte técnico, etc.; y supervisa la conectividad con el acceso remoto a los sitios y la gestión centralizada de usuarios. “En Axis -continuó Alonso-, también tenemos capacidad de publicar las vulnerabilidades y esto es una cuestión de madurez y transparencia”.
Y finalmente, tras el Mantenimiento, llega la Desinstalación. Esta fase también es muy importante porque “hay que tener los procesos para limpiar los productos de toda la información que contenga y que pueda ser utilizada en otros dispositivos que sí están en funcionamiento”.
Consideraciones sobre la gestión del ciclo de vida
- Fin de la vida útil: cuando el fabricante deja de vender la tecnología.
- Fin de soporte: cuando un fabricante deja de ofrecer actualizaciones del firmware.
En definitiva, tal y como reiteró Alberto Alonso, para mantener la seguridad en todo el ciclo de vida de un producto desde el Diseño hasta la Desinstalación del mismo, es de vital importancia la cooperación y responsabilidad de todos los agentes implicados.