Tattile, važna međunarodna kompanija u oblasti inteligentnih transportnih rešenja (ITS), postavila je visok industrijski standard za sajber bezbednost svojih proizvoda. Kompanija Tattile, koja proizvodi ANPR / ALPR kamere, kao i software i firmare za ITS industriju, na vreme je prepoznala važnost bezbednosti. Naime, kompanija je sada sertifikovana kroz IEC-62443 i ISO-27001 standarde.
Standard IEC-62443 se odnosi na informacije za implementaciju elektronski bezbednih sistema industrijske automatizacije i upravljanja (IACS), dok se ISO 27001 odnosi na informacije za implementaciju sistema upravljanja bezbednošću informacija. IEC 62443 je primenljiv na proizvode, a ISO 27001 na organizacije.
Kako poslednjih godina broj otkrivenih bezbednosnih izazova konstantno raste, ovo se čini kao pravi potez. Još je važnije kada se uzme u obzir da kamere i softveri koji obrađuju registarske oznake drže mnogo privatnih i ličnih podataka.
ANPR / ALPR kamere: kao i mnoga druga mrežna oprema nije izuzeta od sajber napada iz nekoliko razloga. Pre svega, kako su postavljene na javnim površinama, pristup prekršiocima je dosta olakšan. Takođe, radeći unutar povezanih sistema, kamere mogu biti deo većih mreža i međusobno povezane sa drugim uređajima.
Softver i firmver: Kamere mogu biti podložne nepoznatim pretnjama ako ne dobijaju redovna ažuriranja od proizvođača ili korisnika zbog ranjivosti softvera i firmvera.
Uzimajući u obzir ove opasnosti i ugroženost vrlo bitnih i skupih sistema, Tattile je želeo da povede implementaciju bezbednosnog softvera u ITS industriji.
U tu svrhu Tattile je razvio Stark softversku platformu od nule. Cilj je bio postizanje dvostruke sertifikacije, gore pomenuti: IEC-62443 i ISO-27001.
IEC-62443 sertifikacija: Sertifikat orijentisan na proizvod
IEC-62443 sertifikat je uspostavilo nekoliko globalnih kompanija za testiranje, inspekciju i sertifikaciju (TIC). Šeme su zasnovane na referentnim standardima i definišu metode ispitivanja, politike nadzora, politike javne dokumentacije i druge specifične aspekte njihovog programa. Programe sertifikacije za sajber bezbednost za standarde IEC-62443 nude širom sveta mnoga ugledna sertifikaciona tela (CB), uključujući Bureau Veritas. Tattile je odabrao međunarodno priznatu metodologiju DevSecOps za razvoj Stark platforme. Ova metodologija obezbeđuje najbolje bezbednosne standarde od projektovanja do faze isporuke i prepoznata je kao najsavremeniji alat.
Najopipljivije bezbednosne prednosti koje generiše DevSecOps metodologija su:
Smanjenje rizika: DevSecOps omogućava pravovremenu identifikaciju bezbednosnih rizika zahvaljujući namenskim alatima koji kontinuirano analiziraju sve baze koda.
Pouzdanost i integritet proizvoda: osigurava da su proizvodi sigurni dizajnom, osiguravajući robusnost i funkcionalni integritet.
Usvajanje standardnih bezbednosno orijentisanih metodologija, od kojih je DevSecOps najveći izraz, garantuje usklađenost dizajna sa strogim kriterijumima utvrđenim IEC-62443 sertifikatom.
Kako se svakodnevno pojavljuju novi tipovi sajber napada, ključno je preduzeti pravovremene mere kako bi se osiguralo da sistem ostane bezbedan i usklađen sa IEC-62443. Ovo se može postići blagovremenom primenom bezbednosnih zakrpa i povezanih ažuriranja softvera na sistem. U tom duhu, Stark bi Tattile pruža najmanje 12 godišnjih ažuriranja.
ISO 27001: Standard bezbednosti za kompanije
Tattile je takođe stekao infrastrukturni sertifikat: ISO/IEC-27001:2013 (poznat kao ISO-27001), sertifikat Međunarodnog standarda bezbednosti informacija koji opisuje najbolje prakse za ISMS (sistem upravljanja bezbednošću informacija).
Tattile primenjuje najbolje prakse za bezbednost informacija i obezbeđuje eksternu ekspertsku verifikaciju (Bureau Veritas) da se bezbednošću podataka upravlja u skladu sa međunarodnim standardima.
Zašto je sertifikacija bitna
Informaciona bezbednost ima dvostruki uticaj na korisnike:
A) Potvrda da je obrada informacija (uključujući podatke koje pružaju korisnici) u skladu sa međunarodnim standardima za upravljanje osetljivim podacima (na primer, GDPR ili Zakon o privatnosti).
B) Garantovati adekvatnu IT infrastrukturu kako bi se sprečilo „ubacivanje koda“, uvođenje zlonamernog koda sa negativnim posledicama po klijenta.
U tom smislu, Tattile je implementirao sofisticiranu IT infrastrukturu, uključujući:
– NIDS (sistem za otkrivanje upada u mrežu)
– Periodični testovi penetracije
– SOC (bezbednosni operativni centar) 24/7
– Ograničen i praćen pristup serverskim sobama
– Sprovođenje politike lokalne bezbednosti na svim uređajima kompanije Tattile
Koraci koje Tattile preduzima u ITS industriji su zaista važni. Ispunjavanje međunarodnih standarda ne donosi samo papir već i pokazuje posvećenost kompanije bezbednosti. A to je važno za sve nas. Svedoci smo sajber napada koji su paralisali jedan od najvećih sistema u Srbiji prethodnih par meseci. Upravo iz tog razloga, ovakve inicijative, posebno u saobraćaju donose preko potrebnu sigurnost korisnicima.
