Le telecamere di sicurezza sono prodotti importanti ai sensi del CRA?
Riepilogo
Una telecamera smart-home connessa venduta per la sicurezza fisica deve essere pianificata come prodotto di Classe I Importante. La classe può cambiare quando lo stesso hardware è venduto per un'altra finalità: videochiamate, videosorveglianza professionale, infrastruttura di registrazione, controllo degli accessi o un altro prodotto di sicurezza.
Il primo registro da creare è un memorandum di classificazione e perimetro per la variante esatta della telecamera. Deve nominare la funzione di sicurezza prevista, il contesto di vendita, gli elementi digitali forniti, il periodo di supporto e la motivazione del percorso scelto.
Il registro del periodo di supporto deve partire dall'uso atteso della telecamera, dalle ragionevoli aspettative dell'utente, dalla natura del prodotto, dalla finalità prevista e dal supporto dei componenti pertinenti. La soglia minima del CRA è di almeno cinque anni, salvo che il prodotto sia previsto per un uso inferiore a cinque anni, e la data di fine, almeno mese e anno, deve essere chiaramente indicata al momento dell'acquisto.
Come si classifica una release di telecamera?
Parta dall'offerta, non dall'involucro della telecamera. Il percorso dipende dall'affermazione commerciale, dalla funzione su cui l'acquirente fa affidamento e dagli elementi digitali forniti con quella release.
Venduta per videochiamate, riunioni o comunicazione generica.
Periferica di comunicazione; non sorveglianza domestica di sicurezza.
Firmware del dispositivo, driver o integrazione con l'app di riunioni. Nessun cloud di monitoraggio né flusso di allarme forniti.
Venduta per la sorveglianza domestica, il monitoraggio dei neonati, la sicurezza del campanello o l'integrazione con l'allarme.
La sicurezza o il monitoraggio domestico è la funzione su cui l'acquirente fa affidamento.
Firmware, memoria locale, app, cloud del fabbricante, servizio di aggiornamento e gestione delle vulnerabilità quando forniti per quella funzione.
Venduta come videosorveglianza professionale, infrastruttura di registrazione o parte di un altro prodotto di sicurezza.
Il vero prodotto può essere il registratore, il VMS, il firewall, la VPN, il controllo degli accessi, la funzione biometrica o di identità.
Telecamera più registratore, server di gestione, cloud per l'installatore, servizio di controllo degli accessi o appliance di sicurezza.
Usi il diagramma come strumento di instradamento, non come registro definitivo della classificazione. Il registro scritto richiede comunque l'affermazione esatta, l'uso previsto e il perimetro consegnato. Per una telecamera smart-home, la formula chiave è prodotti smart-home con funzionalità di sicurezza. Una telecamera venduta per la sorveglianza domestica, il monitoraggio delle intrusioni, il monitoraggio dei neonati o l'integrazione con l'allarme rientra in quella categoria. Una webcam generica di solito no.
Verifichi poi se un'altra funzione elencata stia svolgendo il lavoro di controllo. La classificazione come prodotto Importante segue la funzionalità principale del prodotto, non le parti che si trovano al suo interno: integrare un componente rilevante per la sicurezza non trascina il resto dell'offerta nel percorso Importante. Se la telecamera è in realtà venduta come firewall, gateway VPN, lettore di controllo accessi, dispositivo di autenticazione biometrica, sistema di gestione delle identità o prodotto di gestione degli accessi privilegiati che include una lente, classifichi prima quella funzione principale.
Per la videosorveglianza professionale, non forzi la categoria smart-home. Una telecamera CCTV professionale, un VMS o un NVR può comunque essere un prodotto con elementi digitali ai sensi del CRA e richiedere requisiti di sicurezza, pianificazione del periodo di supporto, gestione delle vulnerabilità e documentazione tecnica. La classe dipende dall'uso previsto, dal perimetro consegnato e dalla funzione principale.
Il memorandum di classificazione deve rispondere a quattro domande:
- La telecamera è venduta per la sicurezza domestica, il monitoraggio dei neonati, la sicurezza del campanello o l'integrazione con l'allarme?
- La telecamera è la funzione principale del prodotto, oppure il vero lavoro è svolto da una funzione di firewall, VPN, controllo accessi, biometria o identità?
- Quali elementi digitali sono forniti per la funzione prevista: firmware, memoria locale, app, cloud del fabbricante, servizio di aggiornamento e gestione delle vulnerabilità?
- Quali sistemi restano fuori dall'offerta del fabbricante: router del cliente, registratore di terzi, rete dell'installatore, fornitore di identità esterno o centrale di vigilanza?
Perimetro del prodotto ed elementi consegnati
Per un fabbricante di telecamere, il perimetro di conformità è raramente solo l'involucro plastico. Deve seguire il prodotto immesso sul mercato e gli elementi digitali necessari alla funzione di sicurezza prevista.
Per impostazione predefinita rientrano nel perimetro del fabbricante di telecamere: il firmware del dispositivo e ogni servizio in esecuzione, lo stack dell'interfaccia di rete, la memoria di bordo, l'app companion che l'acquirente è invitato a installare, qualsiasi cloud ospitato dal fabbricante che fornisca le funzioni documentate del prodotto, l'infrastruttura di aggiornamento OTA e il processo di gestione delle vulnerabilità che la sostiene.
Restano fuori da quel perimetro, salvo che il fabbricante venda effettivamente quel livello: il router domestico dell'acquirente, un VMS o NVR di terzi scelto dal cliente, la rete del cantiere dell'installatore, un fornitore di identità esterno usato per il SSO e una centrale di vigilanza professionale con contratto separato.
Nessuna quando questi prodotti provengono da altri fabbricanti. Se il fabbricante della telecamera vende anche il registratore, il VMS, il servizio di identità o il bridge cloud come parte della propria offerta, ciascuno può essere un prodotto CRA separato con il proprio fascicolo.
Fascicolo del prodotto · Dichiarazione UE di conformità · Marcatura CE · Dichiarazione del periodo di supporto · Istruzioni per l'utente · Registro della valutazione della conformità
Conservati dal fabbricante della telecamera per dieci anni dopo l'immissione sul mercato, o per la durata del periodo di supporto, se più lungo. Se si usa un percorso di valutazione da terza parte, il relativo output va conservato nello stesso fascicolo.
Fascicolo di rischio di cibersicurezza · Inventario dei componenti · Processo di gestione delle vulnerabilità · Politica di divulgazione · Meccanismo di aggiornamento sicuro
Includa il punto unico di contatto pubblicato, l'evidenza di test sulle impostazioni sicure predefinite, la verifica dell'aggiornamento firmato e la motivazione del periodo di supporto.
Registro di diligenza sui componenti · Dichiarazione di conformità del fornitore · Avvisi di sicurezza del fornitore
Il fabbricante della telecamera resta responsabile della scelta del chip. Quando un chip, un modulo o un elemento sicuro è esso stesso prodotto CRA, la dichiarazione di conformità del fornitore e i relativi avvisi supportano la diligenza del fabbricante, non la sostituiscono.
L'inventario dei componenti è monitorato a fronte di nuove vulnerabilità; il processo di gestione delle vulnerabilità classifica le rilevazioni; gli aggiornamenti di sicurezza gratuiti distribuiscono correzioni con i relativi avvisi, in automatico dove possibile.
Una vulnerabilità attivamente sfruttata della telecamera fa partire un orologio: l'allerta precoce è dovuta entro 24 ore, la notifica di vulnerabilità entro 72 ore e la segnalazione finale di vulnerabilità entro 14 giorni dalla disponibilità di una misura correttiva o di mitigazione. Un grave incidente di sicurezza segue un orologio separato con gli stessi passi a 24 e 72 ore, più una segnalazione finale di incidente entro un mese dalla notifica dell'incidente.
Le famiglie che utilizzano le telecamere interessate ricevono comunicazione anche dal fabbricante. Il fabbricante informa i proprietari coinvolti e, se l'esposizione lo merita, la più ampia base di clienti, su cosa sia accaduto e quali misure possano applicare loro stessi: aggiornamento firmware forzato, aggiornamento dell'app, reset della password, disattivazione opzionale di un servizio o ripristino di fabbrica prima della rivendita.
Punti di controllo dell'architettura della telecamera
Il fascicolo di release della telecamera deve seguire il prodotto video effettivo, non una checklist IoT generica. Una telecamera Wi-Fi a batteria, una telecamera dome PoE, una telecamera esterna cellulare e una telecamera venduta con un NVR possono condividere la discussione sulla classe ma richiedono registri di ingegneria diversi.
Legga il diagramma come mappa del fascicolo di release, non come schema di installazione obbligato. Il fabbricante deve comunque redigere il perimetro esatto della variante per la propria telecamera, app, servizio cloud, via di aggiornamento e modello di supporto.
- Percorso video e di controllo. Identifichi ogni percorso che possa visualizzare, memorizzare, esportare o controllare il video: flusso locale, interfaccia web, sessione app, relay cloud, link di condivisione, esportazione di supporto e compatibilità dichiarata con NVR o VMS.
- Esposizione locale. Esegua la scansione della telecamera dopo la configurazione e dopo l'aggiornamento. Mostri quali servizi sono raggiungibili, quali richiedono autenticazione e quali percorsi di streaming o amministrazione restano disabilitati.
- Sistemi del cliente. Tratti router, rete dell'installatore, registratore di terzi, fornitore di identità esterno e centrale di vigilanza come esterni al prodotto del fabbricante, salvo che il fabbricante fornisca quel livello come parte dell'offerta.
- Backend forniti dal fabbricante. Includa o escluda il servizio di account, la pipeline di firma, il servizio di eventi o notifiche, il portale di supporto, il servizio di flag per funzionalità a pagamento e qualsiasi percorso di ML su cloud.
- Autorità di aggiornamento. Tratti l'autorità di aggiornamento come scambio a due vie: la telecamera verifica o riceve i metadati di aggiornamento e il servizio di aggiornamento restituisce un pacchetto firmato di firmware o di app per quella variante esatta. Conservi con la release i registri di aggiornamento firmato, slot di ripristino, rigetto del downgrade e notifica all'utente.
- Ingressi dei fornitori. Assegni a SoC, modulo Wi-Fi, stack multimediale, modello di IA, SDK P2P e bootloader un responsabile, una versione, un monitoraggio degli avvisi e una decisione di release.
- Ciclo post-vendita. Le segnalazioni di vulnerabilità, gli incidenti gravi, gli avvisi dei fornitori e i guasti sul campo devono aggiornare il modello di minaccia, il registro del rischio residuo, il fascicolo tecnico e la prossima porta di release.
Valutazione del rischio della telecamera, esempio applicato
Legga il resto di questa sezione come un esempio applicato a una telecamera, non come una checklist da copiare. L'intento è mostrare il livello di decisione che un fabbricante di telecamere deve essere in grado di difendere per una variante specifica: le scelte di chipset e modulo, la build del firmware, il relay cloud, il canale OTA, gli avvisi dei fornitori effettivamente monitorati, il canale di vendita firmato e la finestra di supporto a cui ci si è impegnati.
Quale prodotto stiamo valutando?
Prodotto illustrativo a titolo di esempio, non reale: ExampleCo IndoorCam X1, una telecamera smart-home da interno venduta nell'UE per il monitoraggio della sicurezza domestica. Registra video e audio a 1080p, salva clip su scheda microSD, trasmette video live al proprietario tramite app mobile, espone un'interfaccia web di amministrazione locale durante la configurazione, usa BLE per l'onboarding al primo utilizzo, si collega in Wi-Fi e riceve aggiornamenti firmware firmati dal fabbricante.
Il perimetro di prodotto per questo esempio comprende l'hardware della telecamera, il firmware embedded, la registrazione su microSD, il flusso di pairing dell'app mobile, il relay cloud del fabbricante, il servizio di account, il servizio di aggiornamento OTA, il processo di avvisi di sicurezza e il contatto per la segnalazione delle vulnerabilità. Non include il router del cliente, un VMS/NVR di terzi, la piattaforma di domotica né una centrale di vigilanza professionale.
Il prodotto è destinato a utenti domestici non tecnici in un ambiente domestico al chiuso. Non è destinato a CCTV industriale, sorveglianza di spazi pubblici, controllo degli accessi, autenticazione biometrica o verifica dell'identità, monitoraggio sul posto di lavoro o operazioni di sicurezza per infrastrutture critiche.
Prima di redigere la tabella delle minacce, provi i tre percorsi della telecamera che di solito guidano la valutazione del rischio: custodia del video, identità del dispositivo ed esposizione post-configurazione. Questi diagrammi trasformano l'esempio applicato in domande di ingegneria invece di un elenco generico di minacce.
Dettagli della custodia del video: la sorgente è il sensore della telecamera, il microfono e l'encoder, con blob di tuning dell'immagine, percorso audio, maschera privacy, ingressi di rilevazione IA e profili di flusso legati a una build di firmware. Il percorso di visualizzazione locale include ONVIF, RTSP, anteprima web o browser ed è verificato da una scansione di autenticazione ed esposizione. Il percorso di visualizzazione remota include relay cloud, SDK P2P o app del proprietario ed è verificato da un test di scope del token e del relay. Il percorso multimediale locale include clip su microSD e memoria removibile ed è verificato con test di ripristino e rimozione della scheda. Il percorso di supporto include bundle di supporto ed esportazione diagnostica ed è verificato da una checklist di redazione.
I test di ripristino, disassociazione e cancellazione RMA dimostrano quali video, token e collegamenti di account vengono rimossi prima della rivendita, della rigenerazione o del passaggio al supporto.
La titolarità è un controllo separato dalla custodia del video. Una telecamera può avere un flusso protetto e fallire comunque se un vecchio proprietario, un utente condiviso o un telefono recuperato mantiene l'accesso dopo il trasferimento.
Dettagli del ciclo di vita dell'identità: il provisioning crea la chiave o il certificato della telecamera, registra l'identità hardware e blocca l'accesso di debug di produzione. La configurazione del proprietario usa un account verificato più un token monouso di breve durata (QR, BLE o app) e chiude la finestra di primo utilizzo dopo l'associazione. L'esercizio normale usa lo stesso modello di revoca per reset password, recupero account, recupero da telefono smarrito, condivisione familiare, ospiti viewer e sessioni del browser. Il trasferimento del proprietario richiede un percorso di disassociazione autorizzato, rimuove il vecchio account, revoca gli utenti condivisi e termina le sessioni attive prima che la telecamera possa essere rivendicata di nuovo. Reset di fabbrica, RMA e rigenerazione rimuovono il collegamento all'account, le credenziali, le clip e la diagnostica secondo il progetto del prodotto; la gestione RMA non deve diventare un canale di riciclaggio del furto.
Test di abuso: un token di configurazione scade, è monouso e non può essere riutilizzato da un attaccante vicino dopo la rivendica del proprietario; un vecchio telefono, un utente ospite o una sessione del browser non possono mantenere l'accesso live o registrato dopo il recupero; e un reset locale non lascia legami cloud, token di account o clip residui.
Dopo aver testato la titolarità, verifichi cosa resta raggiungibile dalla rete, dall'app, dai supporti rimovibili e dai flussi di supporto. Questo mantiene la revisione dell'esposizione legata al comportamento effettivamente spedito invece di un risultato generico di port-scan.
Dettagli delle superfici di accesso: i servizi LAN locali includono RTSP, ONVIF, interfaccia web ed endpoint di discovery, e il registro di release è la scansione di esposizione. La visualizzazione remota include relay cloud, condivisione e identità del dispositivo, e il registro di release è il test di scope del token cloud. I supporti rimovibili includono clip su microSD, comportamento del ripristino e decisioni di memorizzazione, e il registro di release è il risultato del ripristino della microSD. La diagnostica di supporto include log, crash dump e modalità di supporto, e il registro di release è un campione di audit della modalità di supporto.
Quali asset stiamo proteggendo?
Le telecamere proteggono cose molto diverse nello stesso involucro. Una clip registrata della camera di un bambino, un account proprietario che può muovere l'obiettivo e una chiave di firma del firmware che controlla ogni dispositivo spedito quest'anno vivono dietro lo stesso prodotto. Li elenchi come asset separati, perché l'insieme dei controlli, l'evidenza dei test e il registro di release divergono nettamente.
| Asset | Perché conta | Dove si trova |
|---|---|---|
| Video e audio live e registrati | Espone stanze private, abitudini, visitatori, bambini, animali e conversazioni | Sensore, RAM, encoder, microSD, buffer di flusso, relay cloud |
| Account del proprietario e fattore di recupero | Una compromissione può consentire visualizzazione remota, reset del dispositivo e modifiche di condivisione | App mobile, servizio di identità, percorso di recupero via email/SMS |
| Credenziale dispositivo-cloud | Token di fiducia persistente, difficile da ruotare su una flotta installata | Elemento sicuro o memoria protetta, servizio di associazione account |
| Anchor di fiducia per la firma del firmware | Se compromesso, il canale di aggiornamento può diventare canale di malware | Catena di boot, keystore, servizio di firma, pipeline di release |
| Posizione sulla rete locale | La telecamera si trova all'interno della LAN domestica e vede i peer locali | Interfaccia Wi-Fi, lease DHCP, vista mDNS/SSDP |
| Bundle diagnostico e di supporto | Può divulgare numeri di serie, ID account, nomi di rete e tracce di crash | Log del dispositivo, portale di supporto, strumenti di supporto interno |
| Istruzioni per l'utente e data di supporto | Guida l'installazione sicura, le aspettative di aggiornamento e la gestione del fine supporto | Confezione, manuale web, interfaccia dell'app, scheda prodotto |
Quali sono i principali confini di fiducia?
Una telecamera si trova in cinque luoghi contemporaneamente: il dispositivo stesso, la scheda microSD che chiunque nella stanza può rimuovere, la rete domestica condivisa con telefoni e peer IoT sconosciuti, il backend del fabbricante che tocca ogni telecamera sul campo e il telefono o browser del proprietario che mantiene la sessione live. Ciascuno cambia l'opportunità per l'attaccante e richiede una superficie di controllo diversa, perciò il modello di confini di fiducia li elenca separatamente anche se sono connessi.
| Ambiente | Protezione attesa | Perché cambia la probabilità |
|---|---|---|
| All'interno della telecamera | L'accesso fisico è limitato, ma riparazione, furto, rivendita e pad di debug esistono | Probabilità remota minore, conseguenza maggiore se le chiavi sono estraibili |
| microSD / supporti locali | Chiunque abbia accesso alla stanza può rimuovere o copiare la scheda | L'accesso locale è plausibile in case con ospiti, addetti delle pulizie, inquilini o rivendita |
| Rete domestica | Condivisa con portatili, telefoni, TV, stampanti e dispositivi IoT sconosciuti | Un peer compromesso può attaccare l'amministrazione locale, la discovery o i servizi di streaming |
| Backend del fabbricante | Esposto a internet e condiviso sull'intera flotta installata | Un errore nel backend si propaga da una sola famiglia a molte |
| Endpoint del proprietario | Telefoni e browser sono esposti a phishing, malware e riuso di password | La compromissione dell'account aggira spesso l'irrobustimento del dispositivo |
Quali minacce vanno valutate per prime?
Questo esempio inizia con sedici minacce specifiche di prodotto. Non si tratta di essere esaustivi, ma di mostrare il livello di tracciabilità che un fabbricante deve poter difendere.
| ID | Scenario di minaccia | Asset a rischio | Punto di ingresso |
|---|---|---|---|
| T1 | Un segreto di primo utilizzo condiviso o prevedibile consente a un attaccante di rivendicare la telecamera prima che il proprietario completi la configurazione | Account del proprietario, flusso video | Onboarding BLE / configurazione locale |
| T2 | L'interfaccia web di amministrazione locale accetta credenziali deboli o resta aperta dopo la configurazione | Configurazione, accesso al flusso | Rete domestica |
| T3 | Un token mobile rubato resta valido dopo il reset della password e continua ad aprire il feed della telecamera | Account del proprietario, video e audio live | Endpoint del proprietario / relay cloud |
| T4 | Il fallback P2P, la gestione STUN/TURN/ICE, UPnP o l'hole punching espongono direttamente la telecamera quando il percorso di relay fallisce o è bloccato | Servizi del firmware, accesso al flusso | Percorso di relay adiacente a internet |
| T5 | ONVIF/RTSP risponde sulla LAN con autenticazione debole o URL di flusso scopribili | Video e audio live | Rete domestica |
| T6 | Lo slot di ripristino accetta un'immagine firmware non firmata, vecchia o di downgrade | Integrità del firmware, anchor di fiducia per la firma | OTA / percorso di ripristino |
| T7 | I pad UART/JTAG consentono accesso al boot durante furto, riparazione o rivendita | Segreti del dispositivo, firmware, log | Accesso fisico di debug |
| T8 | Le clip su microSD sono leggibili dopo la rimozione della scheda o dopo la rivendita della telecamera | Video e audio registrati | Supporti locali |
| T9 | L'onboarding BLE espone la credenziale Wi-Fi o il segreto di pairing del dispositivo a un attaccante vicino | Credenziale Wi-Fi, account del proprietario | Finestra di setup BLE |
| T10 | I bundle di supporto includono numero di serie, account, SSID, frammenti di token o tracce private di crash | Dati diagnostici, collegabilità dell'account | Upload di supporto |
| T11 | Una vulnerabilità del fornitore nel modulo Wi-Fi o nello stack multimediale non viene rilevata durante il periodo di supporto | Firmware, disponibilità, riservatezza del flusso | Lacuna negli avvisi del fornitore |
| T12 | Il ripristino in RMA o per rivendita non cancella associazione account, clip o credenziali del dispositivo | Account del proprietario, supporti registrati, credenziale dispositivo-cloud | Percorso di reso |
| T13 | I servizi di discovery rivelano modello, firmware, numero di serie o metadati di flusso a ogni dispositivo sulla LAN | Impronta del dispositivo, esposizione del flusso | ONVIF / WS-Discovery / mDNS |
| T14 | Lo streamer RTSP è protetto in modo diverso dall'interfaccia web, lasciando un flusso live raggiungibile dopo l'hardening amministrativo | Video e audio live | Servizio di streaming locale |
| T15 | Una falla di un SDK P2P o multimediale di terzi consente predizione o enumerazione dell'UID, impersonificazione del dispositivo o compromissione della sessione di flusso | Video e audio live, credenziale del dispositivo | Relay cloud / SDK |
| T16 | Il firmware della telecamera usa un ISP, un blob Wi-Fi o IA del fornitore che non è nel processo di monitoraggio dell'SBOM | Integrità del firmware, gestione delle vulnerabilità | Firmware del fornitore |
Come si classificano i rischi iniziali?
Usi una semplice rubrica interna prima di scegliere i controlli. In questo esempio, la probabilità si basa sull'esposizione e sull'opportunità per l'attaccante; l'impatto si basa sul danno alla privacy, sulla scala della flotta, sulla persistenza e sull'eventuale compromissione di un meccanismo di sicurezza. Le etichette esatte contano meno della motivazione scritta accanto a ogni decisione.
Usi una scala di porte di release affinché non tutti i rischi della telecamera ricevano la stessa decisione:
| Decisione di porta | Significato per questa release di telecamera |
|---|---|
| Blocca la release | La telecamera non viene spedita finché il test fallito non passa: pairing, autenticazione del flusso, verifica dell'aggiornamento firmato, cancellazione RMA o scansione di esposizione dei servizi post-configurazione, a seconda della minaccia. |
| Blocca salvo documentazione | La release può procedere solo se è scritto, revisionato e fissato al fascicolo di release un controllo compensativo, un limite specifico della variante o una motivazione di modalità installatore. |
| Spedisci con monitoraggio | La telecamera viene spedita, ma il fascicolo di release nomina il segnale di monitoraggio attivo (feed CVE del fornitore, avvisi sull'SDK P2P, telemetria di abuso) e l'ingegnere responsabile durante il periodo di supporto. |
| Trasferimento a istruzioni | L'esposizione dipende dalla rete domestica, dal telefono del proprietario o da un registratore di terzi fuori dall'offerta del fabbricante, perciò il fascicolo conserva istruzioni per installatore o utente invece di tentare di controllare il lato cliente. |
| Accetta | Alcune superfici della telecamera (risposte di discovery documentate, metadati LAN) comportano rischio residuo intrinseco, perciò il fascicolo registra l'evidenza di minimizzazione e la motivazione dell'accettazione del residuo. |
| ID | Probabilità | Impatto | Decisione di porta | Perché |
|---|---|---|---|---|
| T1 | Media | Alta | Blocca la release | Il takeover al primo utilizzo è realistico e mina la titolarità |
| T2 | Alta | Media | Blocca la release | Le LAN domestiche contengono peer non fidati e password riusate |
| T3 | Media | Alta | Blocca la release | Il furto del token di account offre visualizzazione remota senza toccare la telecamera |
| T4 | Bassa | Alta | Blocca salvo documentazione | Percorso raro, ma l'esposizione diretta può scalare; un prodotto spedito necessita di una decisione documentata su relay e NAT traversal |
| T5 | Media | Alta | Blocca la release | L'esposizione del flusso locale è un fallimento diretto della privacy |
| T6 | Bassa | Alta | Blocca la release | La compromissione dell'aggiornamento è persistente e a livello di flotta |
| T7 | Media | Media | Blocca salvo documentazione | Il debug fisico è plausibile in caso di furto, riparazione o rivendita; la release richiede un blocco del debug o una motivazione di servizio |
| T8 | Alta | Media | Blocca salvo documentazione | La rimozione locale della scheda è comune; o si proteggono le clip o si documenta chiaramente il limite del supporto rimovibile |
| T9 | Media | Alta | Blocca la release | L'onboarding ha durata breve ma espone la credenziale di rete domestica |
| T10 | Media | Media | Blocca salvo documentazione | Le perdite di dati di supporto sono difficili da notare; l'esportazione di supporto deve essere minimizzata, censurata o disabilitata esplicitamente |
| T11 | Media | Alta | Spedisci con monitoraggio | Durante il periodo di supporto i CVE dei fornitori sono attesi; la release necessita di un responsabile e di un monitoraggio degli avvisi |
| T12 | Media | Alta | Blocca la release | Reso e rivendita sono percorsi prevedibili per i dispositivi consumer |
| T13 | Media | Media | Accetta | Alcuni metadati LAN sono intrinseci ai protocolli di discovery documentati; il rischio residuo è accettato solo con minimizzazione dell'esposizione e istruzioni all'utente per la discovery opzionale dove supportata |
| T14 | Media | Alta | Blocca la release | L'autenticazione del flusso non può essere più debole del modello di accesso documentato |
| T15 | Bassa | Alta | Spedisci con monitoraggio | Le debolezze di SDK o relay possono interessare molti dispositivi, perciò la release necessita di un responsabile di versione e di un monitoraggio degli abusi |
| T16 | Media | Alta | Blocca salvo documentazione | I blob chiusi o mantenuti dal fornitore necessitano di un responsabile di release, un canale di avvisi e una via di aggiornamento, oppure di una decisione di rischio residuo scritta |
Quali controlli di progettazione cambiano il quadro di rischio?
Leghi ogni riga di controllo a un test specifico della telecamera, non a una checklist generica di sviluppo sicuro. Il fascicolo di release deve poter puntare da un ID di minaccia al test di pairing esatto, alla scansione di autenticazione del flusso, al log di verifica dell'aggiornamento firmato, all'inventario dei servizi post-configurazione o al registro della cancellazione RMA che dimostra che il controllo è in esecuzione sulla build di telecamera spedita.
| Minacce | Controllo di progettazione | Evidenza che il fabbricante deve conservare |
|---|---|---|
| T1, T2 | Segreto di configurazione per dispositivo, enrolment forzato del proprietario, nessuna password predefinita condivisa, l'interfaccia di configurazione si chiude dopo l'enrolment | Log del test di configurazione, politica delle credenziali, test negativo per accesso amministrativo non autenticato |
| T3 | Token app di breve durata, sessioni legate al dispositivo, revoca lato server al reset password, monitoraggio delle anomalie di login | Politica di durata del token, test di revoca, test di abuso del recupero account |
| T4, T5 | Disabilitazione di UPnP per impostazione predefinita, relay autenticato, ONVIF/RTSP autenticato, inventario dei servizi dopo la configurazione | Scansione di esposizione di rete, test di autenticazione del flusso, revisione della configurazione del relay |
| T6 | Secure boot, OTA firmato, contatore di versione monotono, controllo della firma dello slot di ripristino, politica di rollback | Evidenza della catena di boot, test di verifica dell'aggiornamento, test di rigetto del downgrade |
| T7 | Fusibili di produzione per il debug, pad di debug sigillati o documentati, nessun segreto in uscita UART leggibile | Checklist hardware di produzione, verifica del blocco di debug, nota di rischio da teardown |
| T8 | Registrazione su microSD cifrata dove la variante di telecamera lo supporta (Eufy, TP-Link Tapo sui modelli compatibili); cancellazione sicura al reset di fabbrica; avvertenza utente chiara stampata sul manuale e in-app per le varianti che registrano senza cifratura | Nota di progetto della memoria, test di reset, screenshot delle istruzioni utente, cattura dell'avviso in-app |
| T9 | Pairing BLE autenticato, finestra di pairing breve, segreto Wi-Fi mai trasmesso in chiaro, limiti di rate sul pairing | Revisione del protocollo di pairing, test RF, test in modalità di guasto |
| T10 | Minimizzazione del bundle di supporto, redazione dei token, consenso dell'utente prima dell'upload, limite di conservazione | Schema del supporto, test di redazione, evidenza del flusso di supporto |
| T11 | Monitoraggio SBOM, monitoraggio degli avvisi dei fornitori, triage dei componenti interessati, processo di rilascio aggiornamenti firmati | Log delle diff di SBOM, registro degli avvisi del fornitore, decisioni di triage |
| T12 | Flusso di cancellazione RMA, disassociazione cloud, rotazione delle credenziali al reset, checklist per dispositivi rigenerati | Checklist della linea di reso, evidenza del reset, audit della disassociazione cloud |
| T13, T14 | Inventario dei servizi post-configurazione, URL di flusso autenticati, minimizzazione delle risposte di discovery, evidenza dei test di profilo e versione | Scansioni di esposizione, test di autenticazione ONVIF/RTSP, audit delle risposte di discovery |
| T15 | Inventario degli SDK P2P, scope dei token di sessione, entropia dell'UID del dispositivo, monitoraggio degli avvisi sugli SDK, test di impersonificazione e abuso | Registro delle versioni dell'SDK, test di enumerazione UID, test di impersonificazione del dispositivo |
| T16 | Inventario del firmware del fornitore per componenti ISP, Wi-Fi, encoder e IA; responsabile del componente e via di aggiornamento | Distinta base del fornitore, registro del monitoraggio degli avvisi, log delle decisioni di release |
Quale rischio residuo resta dopo i controlli?
I controlli non chiudono il fascicolo. Dopo la spedizione della telecamera, il fabbricante continua a gestire attivamente i rischi vivi: il canale di aggiornamento del firmware, i percorsi di takeover dell'account del proprietario e la lunga coda di CVE dei fornitori nello stack Wi-Fi, nelle librerie multimediali e negli SDK P2P che emergono durante il periodo di supporto. Il registro del residuo è credibile solo se il fabbricante può indicare il monitoraggio live di quei segnali, le decisioni di triage per i nuovi avvisi, gli aggiornamenti firmati che hanno effettivamente raggiunto le telecamere installate, gli avvisi al proprietario che sono partiti e un'azione correttiva registrata dietro ciascuno.
| Area residua | Perché resta | Evidenza operativa |
|---|---|---|
| Endpoint del proprietario compromesso | Il fabbricante non controlla del tutto telefono, browser, email o igiene delle password dell'utente | Supporto MFA, revoca dei token, allerta sui login sospetti, istruzioni per l'utente |
| Vulnerabilità del fornitore scoperta dopo il rilascio | Librerie multimediali, firmware Wi-Fi, kernel e librerie TLS continueranno a ricevere CVE | Monitoraggio SBOM, intake degli avvisi dei fornitori, analisi di impatto, registro delle patch |
| Accesso fisico locale | Una telecamera in casa può essere rubata, rivenduta, riparata o accessibile agli ospiti | Flusso di reset, evidenza del blocco di debug, avvertenza sulla memoria, registro della cancellazione RMA |
| Deriva dell'esposizione di rete | Aggiornamenti firmware, modifiche al relay o flag di funzionalità possono riaprire servizi | Scansione di esposizione release dopo release, inventario dei servizi, approvazione delle modifiche |
La porta di release è il registro del rischio stesso. Non aggiunga una scheda separata di «sicurezza revisionata» che ripeta lo stesso lavoro. Alla firma, il responsabile della release deve poter puntare dalle minacce bloccate o condizionate all'evidenza di chiusura: test di pairing e di flusso per T1/T2/T5/T14, revoca del token per T3, test di aggiornamento firmato per T6, evidenza di memorizzazione e reset per T8, evidenza della cancellazione RMA per T12 e monitoraggio dei fornitori per T11/T16.
Responsabilità dello sviluppo della telecamera dal concept al supporto
La responsabilità principale cambia mentre la telecamera passa dalla definizione del prodotto al supporto attivo. Usi questo trasferimento per assegnare un responsabile, un registro mantenuto e una porta di revisione a ogni fase durante la vita del prodotto.
Dettagli di responsabilità: prodotto e sicurezza detengono il memorandum di perimetro della variante nella fase di concept. Sicurezza di prodotto con firmware e cloud detengono la mappa dei confini di fiducia, il registro delle minacce e la scala delle porte in architettura. I responsabili di firmware, cloud, app e fornitori mantengono le regole di aggiornamento firmato, i controlli di token e sessione, il manifesto dei componenti, i feed di avvisi dei fornitori e le decisioni sui feature flag durante l'implementazione. Il QA con la sicurezza di prodotto mantiene scansioni di esposizione, test di autenticazione del flusso, test di custodia del video, esercitazioni di reset o cancellazione RMA e decisioni sul rischio residuo durante la verifica. Conformità e responsabile della release mantengono il pacchetto di release, l'indice del fascicolo tecnico, le istruzioni, la dichiarazione del periodo di supporto, la dichiarazione firmata, il pacchetto per l'importatore e la prontezza alla segnalazione. PSIRT, supporto e ingegneria mantengono intake, triage degli avvisi dei fornitori, avvisi all'utente, correzioni firmate, ritiro di endpoint, test di regressione e registri delle azioni correttive dopo la release.
Dettagli del trasferimento: congeli il perimetro prima del lavoro di architettura, congeli l'intento progettuale prima dell'implementazione, congeli il candidato prima della verifica, congeli la decisione prima della release e mantenga la release operativa lungo il periodo di supporto. Segnalazioni in arrivo, avvisi dei fornitori, esiti di incidenti e risultati di regressione riaprono il prossimo memorandum di perimetro, il registro delle minacce e il manifesto dei componenti.
Mappa delle evidenze del fabbricante
Un revisore o un valutatore di organismo notificato percorre un fascicolo tecnico di telecamera come un installatore percorre la scatola: dal prodotto etichettato, attraverso gli elementi digitali forniti, fino all'evidenza di supporto promessa all'acquirente. Le righe seguenti nominano i registri che i fabbricanti di telecamere tengono aggiornati per quel percorso; ogni riga deve essere un fascicolo mantenuto nella cartella del prodotto, non uno screenshot campione estratto prima della firma.
| Area di evidenza | Cosa catturare per una telecamera di sicurezza |
|---|---|
| Identità del prodotto | Modello, versioni firmware, app companion, servizio cloud, revisioni hardware |
| Finalità prevista | Se il prodotto è venduto per sicurezza domestica, monitoraggio dei neonati, sicurezza del campanello o videosorveglianza professionale |
| Valutazione del rischio | Accesso alla telecamera, riservatezza del video, configurazione delle credenziali, esposizione della rete locale, esposizione delle API cloud |
| Evidenza di SBOM e componenti hardware | Pacchetti firmware, componenti Linux/RTOS embedded, librerie di elaborazione delle immagini, firmware del modulo Wi-Fi/Ethernet, SoC ed elemento sicuro dove presente |
| Configurazione sicura per impostazione predefinita | Nessuna password predefinita condivisa, configurazione al primo utilizzo sicura, accesso amministrativo autenticato, accesso remoto protetto |
| Meccanismo di aggiornamento | Aggiornamenti firmware firmati, strategia di rollback, disponibilità di aggiornamenti lungo il periodo di supporto |
| Gestione delle vulnerabilità | Politica CVD, contatto per la segnalazione, flusso di triage, processo di avvisi di sicurezza |
| Istruzioni per l'utente | Installazione sicura, configurazione dell'account, impostazioni di aggiornamento, divulgazione di fine supporto |
| Tracciabilità e contatto | Schema di modello e numero di serie della telecamera, identificatore di lotto, marchi sulla confezione, contatto del fabbricante o importatore UE, data di fine supporto stampata dove l'acquirente possa leggerla prima dell'acquisto e indirizzo di segnalazione delle vulnerabilità pubblicato e gestito da un team di sicurezza umano |
Percorso di valutazione della conformità
Scelga il percorso di conformità dopo aver chiarito perimetro della telecamera, valutazione del rischio, controlli e rischi residui. Altrimenti la decisione sul percorso può precedere il registro di ingegneria.
La Classe I Importante non richiede automaticamente un organismo notificato in ogni caso. Il percorso di controllo interno è disponibile solo se le norme, le specifiche o gli schemi richiesti sono pienamente applicati per i requisiti pertinenti.
Confermi se esistono norme armonizzate pertinenti, specifiche comuni o schemi europei di certificazione almeno di livello di affidabilità sostanziale che coprano i requisiti essenziali applicabili. Se non esistono, sono applicati solo in parte o non coprono tutti i requisiti pertinenti, usi il Modulo B+C o il Modulo H.
Per una release reale di telecamera, prepari il fascicolo di release come se potesse essere necessaria una revisione da terza parte, poi confermi il percorso una volta chiare le norme e gli schemi applicabili al prodotto telecamera esatto.
Conservi il percorso scelto con il registro di firma di release, inclusi i riferimenti su cui ci si è basati, i requisiti che coprono e le eventuali lacune che hanno imposto un percorso da terza parte.
Firma di rilascio del fabbricante
Prima dell'immissione sul mercato dell'UE, la firma deve far convergere in un'unica decisione classificazione, perimetro, modello di minaccia, controlli, via di aggiornamento e processo post-vendita. La tabella seguente è il fascicolo di release breve da cui un revisore deve poter navigare.
| Domanda di release | Evidenza specifica per la telecamera |
|---|---|
| Perché questo prodotto è classificato come telecamera smart-home di sicurezza? | Dichiarazione di uso previsto, canale di vendita, contesto di installazione, varianti di prodotto e motivazione della classificazione |
| Cos'è esattamente il prodotto con elementi digitali? | Corpo telecamera, firmware, interfacce locali, app mobile, elaborazione cloud fornita con il prodotto, servizio di aggiornamento e sistemi di terzi esclusi dal perimetro |
| Quali sono i percorsi di accesso a rischio più elevato? | Interfaccia di amministrazione, ONVIF/RTSP, discovery di rete locale, API cloud, recupero account, visualizzazione remota, accesso microSD, porte di debug e credenziali di servizio |
| Cosa è stato reso sicuro per impostazione predefinita? | Nessuna password predefinita condivisa, configurazione al primo utilizzo protetta, accesso amministrativo autenticato, revisione dei servizi esposti, decisioni di cifratura e accesso remoto sicuro |
| Come verrà aggiornata la telecamera in sicurezza? | Firmware firmato, custodia delle chiavi, comportamento di rollback, ripristino con flash parziale, disponibilità di aggiornamenti, notifica all'utente e aggiornamenti di sicurezza gratuiti durante il periodo di supporto |
| Come saranno gestite le vulnerabilità dopo la spedizione? | Contatto pubblico, politica CVD, flusso di triage, monitoraggio SBOM, monitoraggio degli avvisi dei fornitori, processo di avvisi di sicurezza, prontezza all'allerta precoce di 24 ore, prontezza alla notifica di 72 ore ed evidenza della segnalazione finale |
Verifiche al passaggio tra operatori economici
Il fascicolo di release deve rendere verificabile il passaggio dal fabbricante a importatore, distributore e venditore con marchio privato. Per le telecamere, il punto debole non è di solito la sola marcatura CE; è se spedizione, scheda prodotto, app, servizio cloud e canale di aggiornamento corrispondono ancora alla release valutata.
Dettagli del passaggio tra operatori economici: il fabbricante o il fabbricante a marchio privato è titolare del fascicolo del fabbricante per la release esatta di telecamera. L'importatore verifica la motivazione della classificazione, la dichiarazione, il controllo della marcatura CE, l'indice del fascicolo tecnico, la dichiarazione del periodo di supporto, il contatto per la segnalazione delle vulnerabilità, la gestione dell'inventario dei componenti, le istruzioni nella lingua di destinazione e l'identità dell'importatore prima di immettere la spedizione sul mercato dell'UE. Il distributore verifica i segnali visibili di diligenza prima della vendita, inclusi marcatura CE, documenti forniti, tracciabilità del fabbricante e dell'importatore, istruzioni nella lingua di destinazione, dichiarazioni di supporto e aggiornamento, coerenza della scheda online e segnali di non conformità noti.
Condizioni di arresto: sospenda la spedizione o la scheda prodotto se il fascicolo di release, la tracciabilità, la dichiarazione di supporto, l'app o la dipendenza cloud, il canale di aggiornamento o una vulnerabilità nota fanno ritenere che la release non sia conforme. Legga il mandato del rappresentante autorizzato separatamente dalla diligenza di importatore o distributore. Trigger di ruolo fabbricante: esegua una nuova analisi del ruolo di fabbricante quando branding proprio, firmware, app, cloud, canale di aggiornamento, bridge, abbinamento con NVR o cambiamenti di finalità prevista possono incidere su conformità o destinazione d'uso. Mantenga separate dalla risposta di classificazione CRA le domande su GDPR, cibersicurezza della direttiva RED, biometria, Regolamento sull'IA e NIS2.
Usi la figura successiva come checklist dei ruoli. Il primo diagramma di trasferimento mostra il flusso di spedizione e scheda prodotto; questo separa le verifiche di competenza di importatore, distributore, rappresentante autorizzato, venditore con marchio privato e revisore dei regimi adiacenti.
Ogni pannello di ruolo associa le verifiche che l'operatore deve eseguire alla condizione di arresto che sospende spedizione, scheda prodotto o release. Importatore e distributore stanno sul flusso CRA stesso. Il rappresentante autorizzato si applica solo quando il fabbricante è extra-UE e si legge separatamente dalla diligenza di importatore o distributore. Le verifiche del venditore a marchio privato possono creare un ruolo di fabbricante se un cambiamento può incidere su conformità o destinazione d'uso; classificazione, dichiarazione di conformità, documentazione tecnica, processo di segnalazione e piano del periodo di supporto non si ereditano come promessa informale del fornitore. I regimi adiacenti (GDPR, cibersicurezza della direttiva RED, Regolamento sull'IA, NIS2) restano fuori dalla risposta di classificazione CRA e richiedono valutazioni separate.
Domande frequenti
Le telecamere di sicurezza smart sono di Classe I o Critiche ai sensi del CRA?
Le telecamere smart-home di sicurezza sono tipicamente di Classe I Importante quando la loro funzione principale è la sicurezza fisica smart-home. Una telecamera non è Critica solo perché elabora video o si trova in una rete sensibile.
Registro di classificazione: un memorandum che nomina la variante esatta di telecamera, l'affermazione commerciale, la funzione di sicurezza prevista, gli elementi digitali forniti e la motivazione del percorso.
Una telecamera smart-home di sicurezza richiede un organismo notificato?
Non sempre. Il test pratico è se il fabbricante possa fare affidamento per intero sulle norme applicabili, sulle specifiche comuni o sulla copertura di uno schema europeo di certificazione di cibersicurezza ammissibile per i requisiti essenziali di cibersicurezza della telecamera. Se la copertura manca o è solo parziale, pianifichi il percorso da terza parte invece di presumere il controllo interno.
Registro del percorso di conformità: elenchi i riferimenti su cui ci si basa per la telecamera esatta, i requisiti coperti, eventuali lacune e il percorso scelto.
Una telecamera CCTV professionale o un NVR rientrano automaticamente nella stessa categoria?
No. Non classifichi la videosorveglianza professionale per la sola parola «telecamera». Una telecamera CCTV, un VMS o un NVR può comunque essere un prodotto con elementi digitali e richiedere lavoro CRA di sicurezza, ma il percorso dipende dall'uso previsto, dagli elementi forniti e dalla funzione su cui fa affidamento il cliente.
Registro di perimetro: un memorandum di variante per videosorveglianza professionale che copra telecamera, registratore, VMS, cloud per l'installatore, percorso di accesso remoto e ogni prodotto separato fornito con l'offerta.
Cosa succede se la telecamera include riconoscimento facciale, controllo accessi, firewall o VPN?
Lo consideri un segnale di allerta per la classificazione. Se la telecamera è principalmente una telecamera smart-home di sicurezza, quelle funzioni possono entrare nella valutazione del rischio della telecamera. Se il prodotto è principalmente un lettore di controllo accessi, un dispositivo di autenticazione biometrica, un gateway VPN, un firewall, un IDS/IPS o un altro prodotto di cibersicurezza elencato, classifichi prima quella funzione principale e non forzi il prodotto nella categoria telecamere. Conta perché alcune categorie hanno un percorso più severo; per esempio, firewall e IDS/IPS sono di Classe II.
Trigger di nuova verifica: apra un controllo separato sulla funzione principale quando la telecamera controlla identità, accesso, filtraggio di rete, accesso VPN o rilevamento delle intrusioni invece del solo monitoraggio video.
L'archiviazione cloud del video cambia il perimetro del prodotto?
L'archiviazione cloud non cambia automaticamente la classe. Se l'elaborazione cloud fornita dal fabbricante è progettata da, o sotto la responsabilità del, fabbricante e la telecamera non potrebbe svolgere una delle proprie funzioni senza di essa, tratti tale elaborazione come parte del perimetro, dell'evidenza e della valutazione del rischio del prodotto. La classificazione del prodotto segue comunque la funzionalità principale della telecamera, salvo che un'altra funzione elencata sia primaria.
Registro di perimetro: una mappa delle dipendenze cloud che mostri quali servizi cloud sono forniti con la telecamera, quali funzioni falliscono senza di essi, quali dati trattano e quali sistemi restano fuori dall'offerta del fabbricante.
ONVIF, RTSP o l'interfaccia web locale devono restare attivi dopo la configurazione?
Solo se la release ha un modello di accesso documentato per quella superficie. Una telecamera consumer può esporre lo streaming locale o l'amministrazione per un uso legittimo di configurazione, installatore o registratore, ma il fascicolo di release deve mostrare se la superficie resta raggiungibile dopo l'enrolment, quale autenticazione la protegge, se viene usata cifratura del trasporto e quale impostazione utente o dichiarazione di variante la giustifica.
Artefatto di test: scansioni dei servizi dopo configurazione e dopo aggiornamento, test di autenticazione ONVIF/RTSP, revisione delle risposte di discovery e decisione di release per ogni superficie locale.
Quando va aggiornata la valutazione del rischio?
La aggiorni ogni volta che lo stato rilasciato della telecamera cambia in modo da incidere sulla fiducia: un nuovo profilo ONVIF, una modalità di visualizzazione remota, un flusso di recupero account, un relay cloud, un canale OTA, un chipset, una base firmware, una modifica all'autenticazione dell'app mobile, un campo del bundle di supporto o un comportamento del ripristino di fabbrica. Una release note non basta se la funzione modificata riapre un percorso d'attacco.
Trigger di nuova verifica: qualsiasi modifica di funzionalità o fornitore che alteri accesso, autorità di aggiornamento, video memorizzato, associazione di account, dati di supporto o comportamento di reset riapre il perimetro e la valutazione del rischio.