‘Secure-by-design’ and ‘secure-by-default’: buzzwords or necessities in the security industry?

"Secure-by-design" i "secure-by-default": modne hasła czy konieczność w branży bezpieczeństwa?

czerwca 10, 2021

Cancel

Resetuj

Prześlij

Aby chronić swoje dane i zasoby, potrzebujesz rozwiązań wideo, które są "bezpieczne od etapu projektowania" i "bezpieczne domyślnie". Ale co tak naprawdę oznaczają te powszechnie używane terminy z zakresu cyberbezpieczeństwa? I jak można się upewnić, że producent urządzeń wideo spełnia wszystkie swoje obietnice dotyczące cyberbezpieczeństwa?", pyta Fred Streefland, dyrektor ds. cyberbezpieczeństwa w Hikvision EMEA.

W większości przypadków lepiej jest unikać żargonu technicznego na rzecz jasnych, zwięzłych opisów, ale nie zawsze jest to możliwe. Niektóre terminy po prostu się utrwaliły i jeśli chodzi o cyberbezpieczeństwo, bardzo często słyszy się o "secure-by-design" i "secure-by-default".

Ale co dokładnie oznaczają te terminy? I dlaczego są one tak ważne dla Twojej firmy i strategii cyberbezpieczeństwa?

Co to jest ‘secure-by-design’?

Secure-by-design" to filozofia lub podejście, które ma na celu włączenie bezpieczeństwa do każdego etapu procesu produkcyjnego produktu. Zaczyna się w fazie koncepcyjnej, kiedy kamera wideo lub inny produkt jest jeszcze na desce kreślarskiej, i rozciąga się przez rozwój i testowanie, aż do końcowej produkcji i dostawy.

Ale oczywiście nie wystarczy myśleć o bezpieczeństwie podczas opracowywania nowych produktów. Muszą być również podjęte konkretne kroki w celu oceny bezpieczeństwa na każdym etapie.

Na przykład podczas opracowywania oprogramowania urządzeń niezbędne są wzajemne przeglądy, aby zminimalizować liczbę błędów i zapewnić, że w kodzie nie ma luk bezpieczeństwa. Ponadto, produkty powinny być poddawane rygorystycznym i niezależnym testom penetracyjnym, aby upewnić się, że nie ma w nich łatwych do wykorzystania luk.

A co jeśli chodzi o ‘secure-by-default’?

Ponownie, termin "secure-by-default" jest często używany, ale często bez wyjaśnienia lub kontekstu. Prawdziwe znaczenie słowa "secure-by-default" polega na tym, że produkty są konfigurowane pod kątem maksymalnego bezpieczeństwa, gdy opuszczają fabrykę - nawet jeśli te ustawienia oznaczają, że niektóre funkcje są wyłączone.

Jak zawsze, należy zachować równowagę między bezpieczeństwem a funkcjonalnością, i zawsze masz możliwość zmniejszenia ustawień bezpieczeństwa i zwiększenia funkcjonalności swoich produktów - w zależności od Twojej tolerancji na ryzyko. Bezpieczne domyślne ustawienia fabryczne zapewniają jednak maksymalną ochronę cybernetyczną już od pierwszego dnia instalacji - co jest doskonałym punktem wyjścia.

5 kluczowych pytań dotyczących cyberbezpieczeństwa dla producenta urządzeń

Jeśli chodzi o "secure-by-design" i "secure-by-default", odpowiedzialność spoczywa na producencie urządzenia. Pytanie brzmi: skąd wiesz, czy wybrany przez Ciebie producent urządzeń traktuje cyberbezpieczeństwo wystarczająco poważnie?

Najlepszym sposobem, aby się tego dowiedzieć, jest zadanie producentowi wielu pytań dotyczących jego zobowiązań i praktyk w zakresie bezpieczeństwa cybernetycznego. Pytania takie jak:

1. Czy "secure-by-design" to priorytetowa inwestycja dla Twojej firmy?

Należy wziąć pod uwagę, że projektowanie bezpiecznego produktu od podstaw jest o wiele bardziej kosztowne, dlatego należy zapewnić budżet na wzajemną weryfikację, testowanie i inne działania, które sprawdzają bezpieczeństwo urządzeń w całym cyklu projektowania i produkcji.

2. Czy posiadasz dedykowany zespół ds. bezpieczeństwa cybernetycznego?

Producenci wideo, którzy poważnie podchodzą do kwestii bezpieczeństwa produktów, zazwyczaj posiadają dedykowany zespół ds. bezpieczeństwa cybernetycznego, którego zadaniem jest bieżąca weryfikacja procesów i produktów.

3.Czy udostępniacie publicznie (w białych księgach lub innych komunikatach) szczegóły dotyczące Waszych produktów "secure-by-design"?

Ponownie, producenci, którzy poważnie podchodzą do kwestii bezpieczeństwa cybernetycznego, muszą być transparentni w kwestii szczegółów implementacji "secure-by-design". Szczegóły te powinny być udostępniane publicznie, najlepiej udokumentowane w białych księgach.

4. Co się stanie, jeśli po zainstalowaniu systemu wideo będę potrzebował wsparcia w zakresie bezpieczeństwa cybernetycznego?

Producenci dbający o bezpieczeństwo powinni mieć dedykowany zespół posprzedażowy, który może zająć się wszelkimi pytaniami lub problemami związanymi z bezpieczeństwem, które pojawią się w trakcie instalacji.

5. Czy wszystkie Twoje produkty są fabrycznie "zabezpieczone"?

Odpowiedzialni producenci robią to w standardzie - ale mimo to warto zapytać na wszelki wypadek.

Hikvision i cyberbezpieczeństwo

W firmie Hikvision inwestujemy miliony dolarów i tysiące godzin pracy działu badawczo-rozwojowego rocznie, aby zapewnić, że nasze produkty są w pełni bezpieczne - zarówno w fazie projektowania, jak i w fazie domyślnej.

W praktyce, pod czujnym okiem naszego zespołu ds. bezpieczeństwa cybernetycznego, wprowadzamy funkcje bezpieczeństwa cybernetycznego do wszystkich naszych produktów - z rygorystycznymi recenzjami i testami penetracyjnymi przeprowadzanymi na każdym etapie procesu rozwoju i produkcji. Jesteśmy również całkowicie transparentni w kwestii narzędzi i procesów, których używamy do tworzenia produktów "secure-by-design" i chętnie dzielimy się tymi informacjami z naszymi klientami.

Wreszcie, ale co równie ważne, wszystkie produkty Hikvision są dostarczane w konfiguracji "secure-by-default", co pozwala na podejmowanie własnych decyzji w zakresie równoważenia bezpieczeństwa i funkcjonalności produktu.

Find out more

Po więcej informacji na temat cyberbezpieczeństwa zapraszamy na blog: ‘How to balance your data privacy requirements with effective video security’. Możesz również zajrzeć na cybersecurity page po więcej informacji nt. naszej strategii lub contact us skontaktuj się z nami bezpośrednio.