Het beveiligen van IoT-apparaten moet vandaag de dag van begin tot eind centraal staan. Waar het thema vroeger vooral als aanvulling werd gezien, is het nu fundamenteel onderdeel van productontwikkeling en partnerbeleid. Volgens Fabian de Clippelaar, Engineer bij Axis Communications, komt die verschuiving niet uit de lucht vallen. “De groeiende rekenkracht van apparaten biedt kansen voor innovatie. Maar als die kracht niet op de juiste manier wordt toegepast of beveiligd, kan dat ook serieuze problemen veroorzaken.”
Beveiligingscamera’s en andere IoT-apparaten zijn in korte tijd geëvolueerd tot volwaardige minicomputers met krachtige processoren en uitgebreide softwarefunctionaliteit. Daarmee worden ze aantrekkelijk doelwit voor cybercriminelen die botnets willen opbouwen of via kwetsbaarheden toegang zoeken tot bedrijfsnetwerken. Voor Axis was het jaren geleden, toen het de toename aan zag komen, reden om het roer drastisch om te gooien. Vanaf het eerste ontwerp worden cybersecuritymaatregelen meegenomen in de levenscyclus van ieder product. En ver daarna blijft men zoeken naar optimalisatie.
Kwetsbaarheden liever zichtbaar dan verborgen
Axis wil zich onderscheiden door open en transparant om te gaan met kwetsbaarheden. Het bedrijf registreert actief beveiligingslekken bij de internationale CVE-database en heeft een bug bounty-programma ingericht om onderzoekers te stimuleren kwetsbaarheden te melden. Ook pentesters en securityexperts worden nadrukkelijk ondersteund via de Axis-website, ze worden beloond voor het melden van kwetsbaarheden. Hen wordt tijdig gevraagd melding te maken, waarna Axis binnen acht weken een patch uitbrengt.
De Clippelaar benadrukt dat dit geen vrijblijvende keuze is, maar een bewuste strategie om vertrouwen te vergaren. “Wij kunnen het niet alleen doen. Onze devices krijgen geen stempeltje van ‘cybersecure’. Als de gebruiker of systeemintegrator de configuratie niet goed doet, ontstaat er nog steeds een risico.” Het onderstreept dat cybersecurity in de ogen van Axis een gezamenlijke verantwoordelijkheid is, waarbij leveranciers, integrators en eindgebruikers ieder hun rol moeten nemen.
Die open houding moet voorkomen dat kwetsbaarheden worden weggemoffeld of pas laat naar buiten komen. Axis publiceert meldingen altijd proactief, zodat IT-beheerders kunnen inschatten of directe actie nodig is, of dat een update kan wachten tot een regulier onderhoudsmoment. Deze transparantie past bij de verwachting van een hoge mate van verantwoording en documentatie, waardoor partners en gebruikers snel kunnen schakelen.
Het komt allemaal samen in wat het bedrijf het Security Development Model noemt. Hier werken meer dan honderd medewerkers dagelijks aan security by design. Het proces omvat risicoanalyses, threat modeling en uitgebreide pentesten voordat firmware wordt vrijgegeven.
Tip: Axis-camera’s zien dankzij metadata meer dan je denkt
Eigen besturingssysteem als fundament
Het securitybeleid van Axis is grotendeels gebouwd rondom het zelf ontwikkelde besturingssysteem. Waar veel fabrikanten leunen op generieke platformen, kiest Axis voor een Linux-gebaseerd OS dat volledig in eigen beheer wordt ontwikkeld en onderhouden. “Wij maken ons eigen operating systeem en daar zijn wij zelf voor in controle wat erin zit”, legt De Clippelaar uit. Dat betekent dat Axis precies weet welke componenten in elk product aanwezig zijn. Om dat inzicht te versterken publiceert het bedrijf voor elk apparaat een software bill of materials (SBOM), waarin de exacte softwareonderdelen worden benoemd.
Ook de distributie van updates verloopt uitsluitend via de eigen infrastructuur. Dat biedt voordelen wanneer er bijvoorbeeld kwetsbaarheden in standaardcomponenten als Apache-servers worden ontdekt. “Soms gebruiken wij die onderdelen helemaal niet, dus hebben we eigenlijk een vals risico”, zegt De Clippelaar. Door die grip kan Axis sneller reageren en onnodige paniek voorkomen.
Hardening vanaf dag één
Op die basis bouwt Axis aanvullende beveiligingslagen, zodat apparaten ook direct uit de doos beter beschermd zijn. Nieuwe camera’s zijn na installatie bijvoorbeeld slechts één uur zichtbaar op het netwerk, waarna ze onzichtbaar worden voor scanners. Een kwetsbaar protocol als UPnP is standaard uitgeschakeld, en het traditionele admin-account is verwijderd.
Gebruikers moeten verplicht sterke wachtwoorden instellen: zes tot tien karakters met speciale tekens, of 128 karakters als alleen letters worden gebruikt. Dat stuit soms op weerstand in de markt, erkent De Clippelaar, maar het draagt wel direct bij aan de hardening van producten. “Dit wordt niet altijd gewaardeerd vanuit de markt, maar we zetten wel stappen om producthardening vanaf het beginpunt over te leggen.”
Voor ontwikkelaars betekent dit soms extra werk, omdat standaardgebruikers geen admin-rechten meer hebben. Voor cybercriminelen wordt het echter aanzienlijk moeilijker om apparaten over te nemen of te misbruiken.
Secure boot houdt keten schoon
Een ander speerpunt in de strategie van Axis is het beschermen van de supply chain. Hiervoor heeft het bedrijf eerder Edge Vault geïntroduceerd. Deze bescherming moet de integriteit van de IoT-devices waarborgen. Via secure boot en signed operating systems voorkomt het bedrijf dat camera’s tijdens transport of installatie kunnen worden aangepast. Ook worden sleutels op een veilige manier opgeslagen.
De Clippelaar schetst een scenario: “Stel, we hebben 300 camera’s die naar een Nederlandse distributeur gaan. Onderweg wordt de vrachtwagenchauffeur overvallen en iemand installeert een ander operating system op de camera’s. Door secure boot zal de camera niet opstarten als het operating system is veranderd.”
Ook firmware-updates zijn voorzien van digitale handtekeningen. Als een camera een niet-ondertekende update detecteert, weigert deze door te starten. Zo wordt gewaarborgd dat alleen officiële software draait, ongeacht de omstandigheden tijdens levering of installatie.
Zero Trust tot in de fabriek
Door de dreiging van IoT-devices en het feit dat organisaties verspreid over meerdere locaties werken wordt Zero Trust ook steeds belangrijker binnen het bedrijfsleven. Axis speelt daarop in met het protocol 802.1X. Daarmee kunnen bedrijven apparaten veilig onboarden zonder te vertrouwen op eenvoudige MAC-adressen, die relatief eenvoudig te vervalsen zijn.
De Clippelaar deelt een voorbeeld van een Nederlands bedrijf dat met honderden afgelegen vestigingen onlangs bewust voor een veilige aanpak koos. Door gebruik te maken van de ingebouwde Device ID-certificaten kon de organisatie nieuwe apparaten veilig aansluiten zonder risico op spoofing.
Voor Nederlandse klanten is ook de herkomst van apparaten cruciaal. Axis lost dit op met hardwarematige Device ID’s, die zijn ondertekend door een Axis Root-certificaat dat fysiek beveiligd is in thuisland Zweden. Het principe lijkt op de SSL-certificaten, waarmee banken hun websites beveiligen. Zo kunnen klanten controleren of een apparaat daadwerkelijk van Axis afkomstig is en wordt voorkomen dat malafide hardware ongemerkt het netwerk binnendringt.
Authenticiteit van videobeelden: signed video
In de voorbije jaren is ook de echtheid van beelden een discussiepunt geworden. Dit komt mede door de opkomst van AI en deep fake-technologie. Hierdoor is het steeds moeilijker om authentiek van gemanipuleerd beeldmateriaal te onderscheiden. Axis speelt daarop in binnen Edge Vault, waarin de functie signed video zich bevindt. Deze technologie voegt digitale handtekeningen toe tussen videoframes. Daarmee kan worden bewezen dat opgenomen materiaal niet is gemanipuleerd.
“Stel er is iets gebeurd en je hebt video opgenomen. Dan ga je naar de rechtbank en komt iemand aan met: ‘Is dat wel een echt stukje film of is daar iets in gemanipuleerd?’” vertelt De Clippelaar. Met signed video kan iedere poging tot bewerking worden aangetoond, omdat de digitale handtekening dan niet meer klopt. Voor rechtbanken en opsporingsdiensten is dit een belangrijke stap in het behouden van bewijswaarde van videomateriaal.
Fundament voor vertrouwen
Axis hanteert duidelijke firmware-cycli voor zijn eigen besturingssysteem Axis OS. Elk twee jaar verschijnt een nieuwe Active Track-versie, met vijf jaar actieve ondersteuning en nog eens vier jaar extended support. In totaal kunnen apparaten dus negen jaar rekenen op updates. Toch erkent De Clippelaar dat hardware technisch vaak veel langer meegaat dan die periode. Camera’s uit 2010 functioneren vaak nog uitstekend, maar de cybersecurity-eisen bepalen tegenwoordig de levensduur. Voor organisaties betekent dit dat vervanging vaker uit beveiligingsoverwegingen plaatsvindt dan uit noodzaak van functionaliteit.
Een ander voordeel is de platformstrategie van Axis. Alle apparaten, van camera’s tot intercoms en toegangscontrolesystemen, draaien op hetzelfde Axis OS. Daardoor kunnen patches en updates in één keer breed worden uitgerold, wat beheer eenvoudiger maakt voor IT-afdelingen.
Academy bereidt partners voor
Zoals we in het begin al aanhaalden, ziet Axis het ook als een gedeelde verantwoordelijkheid om een hoge mate van cybersecurity te realiseren. Om partners in dat verhaal mee te nemen, heeft Axis verschillende opleidingsprogramma’s ontwikkeld. Via de Axis Academy kunnen installateurs tweedaagse cursussen volgen waarin cybersecurity een vast onderdeel vormt. Voor grotere Solution Partners gelden strengere eisen, waaronder certificering via het Axis Certified Professional-programma.
Toch benadrukt De Clippelaar dat communicatie net zo belangrijk blijft als training. “Wij moeten als Axis helder blijven communiceren over onze rol, maar ook over wat klanten zélf kunnen ondernemen.”
Maatwerk versus standaardoplossingen
Soms vragen klanten om specifieke functionaliteit, zoals ingebouwde VPN-software op camera’s. Axis kan dergelijke maatwerkapplicaties ontwikkelen, maar waarschuwt dat dit duur is en toekomstige updates kan bemoeilijken. “Het is maatwerk, dus er zitten kosten aan verbonden. Maar wat gaan we dan doen als we van OS 12 naar OS 13 gaan? Die applicatie die geschreven is voor 12 gaat niet standaard werken voor 13.”
Daarom kiest Axis liever voor standaardoplossingen die breed kunnen worden ondersteund. Dit maakt het onderhoud eenvoudiger en voorkomt afhankelijkheden die op lange termijn problemen veroorzaken.
Iedereen is in transitie
Het valt De Clippelaar op dat eindklanten, waaronder gemeentes, steeds vaker gerichte vragen stellen over cybersecurity. Zo vragen zij concreet naar de IEC 62443-standaard voor het beveiligen van OT-systemen. Voor systeemintegrators betekent dit dat zij zich in rap tempo moeten verdiepen in onderwerpen die eerder nauwelijks op de agenda stonden. De Clippelaar merkt dat dit leidt tot onzekerheid bij integrators. “Bij veel integrators merk je dat het bewustzijn groeit, maar dat ze nog zoeken naar hoe ze cybersecurity concreet kunnen implementeren in hun projecten.” Toch dwingt het de hele keten om cybersecurity structureel mee te nemen in aanbestedingen en installatieprocessen.
Voor organisaties die moeite hebben grip te krijgen op de complexiteit van cybersecurity, bieden certificeringen aanvullend een handvat. Axis verwijst klanten regelmatig naar standaarden en frameworks die een bepaalde mate van zekerheid bieden. “Ik probeer vaak terug te verwijzen naar certificeringen,” zegt De Clippelaar. Door eisen te stellen aan certificeringen weten klanten dat producten voldoen aan specifieke beveiligingsrichtlijnen. Dat maakt het selectieproces overzichtelijker en draagt bij aan professionalisering van de markt.
Katalysator van dreigingen
De toenemende rol van AI maakt het speelveld nog complexer. Waar cyberaanvallen vroeger vaak bestonden uit eenvoudige DDoS-acties, zien security nu veel verfijndere methoden. “De aanvallen zijn veel geavanceerder geworden en daar moeten wij ook mee omgaan”, zegt De Clippelaar. Criminelen gebruiken AI om aanvallen te automatiseren en omzeilen traditionele detectiesystemen. Tegelijkertijd zetten securitybedrijven dezelfde technologie in om sneller bedreigingen te herkennen en te mitigeren. Het wordt een kat-en-muisspel dat continu in beweging is.
Camera’s en andere IoT-devices zijn daarbij een populair doelwit. Ze bevatten krachtige hardware, draaien 24/7 en zijn vaak verbonden met bedrijfsnetwerken. “Onze camera’s zijn in de laatste paar jaar drie keer slimmer geworden”, aldus De Clippelaar. “We hebben meer CPU- en Deep Learning Processing Unit-vermogen, alles veel meer uitgebreid, dus dat zijn gewoon allemaal minicomputers die beschikbaar staan op het netwerk.”
Een recente aanval, die overigens niet Axis-apparatuur omvatte, illustreerde hoe geraffineerd criminelen te werk gaan. Malafide code werd maandenlang onopgemerkt verspreid naar duizenden apparaten wereldwijd. Op een vooraf gekozen moment werden alle geïnfecteerde apparaten tegelijk ingezet voor een massale aanval. Dit soort scenario’s toont hoe belangrijk het is dat IoT-apparaten vanaf de basis beveiligd zijn.
Cybersecurity als fundament van IoT
De ontwikkeling van IoT-apparaten heeft beveiligingscamera’s veranderd van passieve sensoren in krachtige computers die zelf een risico vormen als ze niet goed beveiligd zijn. Axis speelt daarop in door cybersecurity structureel in zijn strategie te verankeren. Van eigen besturingssysteem en secure boot tot signed video en certificeringsprogramma’s: het bedrijf wil laten zien dat veiligheid geen bijzaak is, maar de basis van vertrouwen.
Voor organisaties betekent dit dat cybersecurity niet langer kan worden uitgesteld of afgeschoven. Het hoort bij iedere stap, van aanbesteding en installatie tot dagelijks beheer en vervanging. Alleen door gezamenlijke verantwoordelijkheid te nemen, kunnen IoT-devices een veilige rol spelen in een wereld waarin cyberaanvallen steeds geavanceerder worden.