Är säkerhetskameror viktiga produkter enligt CRA?
Sammanfattning
En uppkopplad smart hem-kamera som säljs för fysisk säkerhet bör planeras som en Viktig Klass I-produkt. Klassen kan ändras när samma kamerahårdvara säljs för ett annat syfte: videosamtal, professionell CCTV, inspelningsinfrastruktur, åtkomstkontroll eller en annan säkerhetsprodukt.
Det första registret att skapa är ett klassificerings- och avgränsningsmemo för den exakta kameravarianten. Det bör namnge den avsedda säkerhetsfunktionen, säljkontexten, levererade digitala element, supportperioden och motiveringen för vägval.
Registret över supportperiod bör utgå från kamerans förväntade användning, rimliga användarförväntningar, produktens natur, avsedda syfte och stöd för relevanta komponenter. CRA-golvet är minst fem år om inte produkten förväntas användas i mindre än fem år, och slutdatumet, åtminstone månad och år, måste anges tydligt vid köp.
Hur klassificerar du en kamerautgåva?
Börja med erbjudandet, inte kamerahöljet. Vägen beror på säljpåståendet, funktionen som köparen förlitar sig på och de digitala element som levereras med utgåvan.
Säljs för videosamtal, möten eller allmän kommunikation.
Kommunikationskringutrustning; inte hushållssäkerhetsövervakning.
Enhetens firmware, drivrutin eller integration med mötesapp. Inget medlevererat övervakningsmoln eller larmflöde.
Säljs för hemövervakning, babyövervakning, säkerhetsdörrklocka eller larmintegration.
Hushållssäkerhet eller övervakning är funktionen som köparen förlitar sig på.
Firmware, lokal lagring, app, tillverkarmoln, uppdateringstjänst och sårbarhetshantering när de levereras för den funktionen.
Säljs som professionell övervakning, inspelningsinfrastruktur eller del av en annan säkerhetsprodukt.
Inspelaren, VMS, brandväggen, VPN, åtkomstkontrollen, den biometriska eller identitetsbaserade funktionen kan vara den verkliga produkten.
Kamera plus inspelare, hanteringsserver, installatörsmoln, åtkomstkontrolltjänst eller säkerhetsapparat.
Använd diagrammet som ett hjälpmedel för vägval, inte som det slutgiltiga klassificeringsregistret. Det skriftliga registret behöver fortfarande det exakta påståendet, avsedd användning och den levererade avgränsningen. För en smart hem-kamera är nyckelfrasen smart hem-produkter med säkerhetsfunktioner. En kamera som säljs för hemövervakning, intrångsövervakning, babyövervakning eller larmintegration hör hemma i den kategorin. En allmän webbkamera gör vanligtvis inte det.
Testa sedan om en annan listad funktion gör det styrande arbetet. Viktig klassificering följer produktens kärnfunktion, inte de delar som råkar följa med inuti den: att bädda in en säkerhetsrelevant komponent drar inte in resten av erbjudandet i den viktiga vägen. Om kameran i själva verket säljs som en brandvägg, VPN-gateway, åtkomstkontrolläsare, biometrisk autentiseringsenhet, identitetshanteringssystem eller produkt för hantering av privilegierad åtkomst som råkar innehålla en lins, klassificera den kärnfunktionen först.
För professionell övervakning, tvinga inte in den i kategorin smart hem. En professionell CCTV-kamera, VMS eller NVR kan fortfarande vara en produkt med digitala element enligt CRA och behöver fortfarande säkerhetskrav, planering av supportperiod, sårbarhetshantering och teknisk dokumentation. Klassen beror på avsedd användning, levererad avgränsning och kärnfunktion.
Klassificeringsmemot bör besvara fyra frågor:
- Säljs kameran för hushållssäkerhet, babyövervakning, säkerhetsdörrklocka eller larmintegration?
- Är kameran produktens kärnfunktion, eller är det en brandvägg, VPN, åtkomstkontroll, biometrisk eller identitetsfunktion som gör det verkliga arbetet?
- Vilka digitala element levereras för den avsedda funktionen: firmware, lokal lagring, app, tillverkarmoln, uppdateringstjänst och sårbarhetshantering?
- Vilka system ligger utanför tillverkarens erbjudande: kundens router, tredjepartsinspelare, installatörsnätverk, extern identitetsleverantör eller övervakningscentral?
Produktavgränsning och levererade element
För en kameratillverkare är efterlevnadsavgränsningen sällan bara plasthöljet. Den bör följa produkten som släpps ut på marknaden och de digitala element som behövs för den avsedda säkerhetsfunktionen.
Inom kameratillverkarens avgränsning som standard: enhetens firmware och varje tjänst som körs på den, nätverksgränssnittsstacken, lagring på enheten, den medföljande appen som köparen instrueras att installera, varje tillverkarvärd moln som levererar produktens dokumenterade funktioner, OTA-uppdateringsinfrastrukturen och processen för sårbarhetshantering bakom den.
Utanför den avgränsningen om inte tillverkaren faktiskt säljer lagret: köparens hemmarouter, en tredjeparts VMS eller NVR som kunden valt, en installatörs platsnätverk, en extern identitetsleverantör som används för SSO och en professionell övervakningscentral under ett separat avtal.
Ingen när dessa produkter kommer från andra tillverkare. Om kameratillverkaren också säljer inspelaren, VMS, identitetstjänsten eller molnbryggan som del av sitt erbjudande kan vart och ett vara en separat CRA-produkt med eget produktdossier.
Produktdossier · EU-försäkran om överensstämmelse · CE-märkning · Uttalande om supportperiod · Användarinstruktioner · Bedömning av överensstämmelse
Innehas av kameratillverkaren i tio år efter att kameran släppts ut på marknaden, eller under supportperioden, beroende på vilket som är längst. Om en tredjepartsväg för bedömning används, behåll det resultatet i samma dossier.
Designdossier för cyberresiliens · Komponentförteckning · Process för sårbarhetshantering · Redovisningspolicy · Säker uppdateringsmekanism
Inkludera den publicerade enskilda kontaktpunkten, testbevisning för säkra standardinställningar, verifiering av signerade uppdateringar och motiveringen för supportperioden.
Komponenttillsynsregister · Leverantörens försäkran · Säkerhetsråd från leverantör
Kameratillverkaren förblir ansvarig för valet av chip. Där ett chip, en modul eller ett säkert element själv är en CRA-produkt, stöder leverantörens försäkran och råd tillverkarens tillsyn snarare än ersätter den.
Komponentförteckningen övervakas mot nya sårbarheter; sårbarhetsprocessen triagerar fynden; kostnadsfria säkerhetsuppdateringar rullar ut korrigeringar med råd, automatiskt där det är möjligt.
En aktivt utnyttjad kamerasårbarhet startar en klocka: en tidig varning ska skickas inom 24 timmar, sårbarhetsnotifieringen inom 72 timmar och den slutliga sårbarhetsrapporten inom 14 dagar efter att en korrigerande eller dämpande åtgärd finns tillgänglig. En allvarlig säkerhetsincident följer en separat klocka med samma steg på 24 timmar och 72 timmar, plus en slutgiltig incidentrapport inom en månad efter incidentnotifieringen.
Hushåll som kör de berörda kamerorna får också höra från tillverkaren. Tillverkaren talar om för de påverkade ägarna, och för den bredare kundbasen där exponeringen motiverar det, vad som är fel och vilka steg de själva kan tillämpa: tvingad firmwareuppdatering, appuppgradering, lösenordsåterställning, valfri avstängning av tjänst eller fabriksåterställning före återförsäljning.
Arkitekturkontrollpunkter för kameran
Kamerautgåvans dossier bör följa den faktiska videoprodukten, inte en generell IoT-checklista. En Wi-Fi-kamera med batteri, en PoE-domekamera, en utomhuskamera med mobilnät och en kamera som säljs med en NVR kan dela en klassdiskussion medan de behöver olika tekniska register.
Läs diagrammet som en karta över utgåvedossiret, inte som ett obligatoriskt driftsättningsmönster. Tillverkaren måste fortfarande skriva den exakta variantavgränsningen för sin egen kamera, app, molntjänst, uppdateringsväg och supportmodell.
- Video- och kontrollväg. Identifiera varje väg som kan visa, lagra, exportera eller styra video: lokal ström, webb-UI, appsession, molnrelä, delningslänk, supportexport och kompatibilitetspåstående för NVR eller VMS.
- Lokal exponering. Skanna kameran efter idrifttagning och efter uppdatering. Visa vilka tjänster som är åtkomliga, vilka som kräver autentisering och vilka strömnings- eller adminvägar som förblir avstängda.
- Kundsystem. Behandla routern, installatörsnätverket, tredjepartsinspelaren, den externa identitetsleverantören och övervakningscentralen som utanför kameratillverkarens produkt om inte tillverkaren säljer det lagret som del av erbjudandet.
- Backender som tillverkaren tillhandahåller. Avgör in eller ut för kontotjänsten, signeringspipelinen, händelse- eller notifieringstjänsten, supportportalen, flaggtjänsten för betalfunktioner och varje moln-ML-väg.
- Uppdateringsbehörighet. Behandla uppdateringsbehörighet som ett tvåvägsutbyte: kameran kontrollerar eller tar emot uppdateringsmetadata, och uppdateringstjänsten returnerar ett signerat firmware- eller apppaket för den exakta varianten. Behåll register över signerade uppdateringar, återställningsplats, nedgraderingsavslag och användarnotifiering med utgåvan.
- Leverantörsindata. Ge SoC, Wi-Fi-modulen, mediestacken, AI-modellen, P2P-SDK:n och bootloadern en ägare, version, rådövervakning och utgåvebeslut.
- Loop efter marknadsplacering. Sårbarhetsrapporter, allvarliga incidenter, leverantörsråd och fältfel bör uppdatera hotmodellen, registret över kvarstående risk, det tekniska dossiret och nästa utgåvegrind.
Genomarbetad riskbedömning för en kamera
Läs resten av detta avsnitt som ett genomarbetat kameraexempel snarare än en checklista att kopiera. Avsikten är att visa det djup i beslutet som en kameratillverkare bör kunna försvara för en specifik variant: valen av chipset och modul, firmwarebyggnaden, molnreläet, OTA-kanalen, leverantörsråden du faktiskt övervakar, säljkanalen du anmält dig till och supportfönstret du åtagit dig.
Vilken produkt bedömer vi?
Illustrativt exempelprodukt, inte en verklig enhet: ExampleCo IndoorCam X1, en smart hem-kamera för inomhusbruk som säljs i EU för hushållssäkerhetsövervakning. Den spelar in video och ljud i 1080p, lagrar klipp på ett microSD-kort, strömmar live video till ägaren via en mobilapp, exponerar ett lokalt webbadmin-gränssnitt vid idrifttagning, använder BLE för förstagångsanslutning, ansluter via Wi-Fi och tar emot signerade firmwareuppdateringar från tillverkaren.
Produktavgränsningen för detta exempel inkluderar kamerahårdvaran, inbyggd firmware, microSD-inspelning, mobilappens parningsflöde, tillverkarens molnrelä, kontotjänst, OTA-uppdateringstjänst, säkerhetsrådsprocess och kontakt för sårbarhetsrapportering. Den inkluderar inte kundens router, tredjeparts VMS/NVR, hemautomationsplattform eller en professionell övervakningscentral.
Produkten är avsedd för icke-tekniska hushållsanvändare i en inomhusmiljö i hemmet. Den är inte avsedd för industriell CCTV, övervakning av offentliga utrymmen, åtkomstkontroll, biometrisk autentisering eller identitetsverifiering, arbetsplatsövervakning eller säkerhetsdrift för kritisk infrastruktur.
Innan du skriver hottabellen, testa de tre kameravägar som vanligen driver riskbedömningen: videoförvar, enhetsidentitet och exponering efter idrifttagning. Dessa diagram förvandlar det genomarbetade exemplet till tekniska frågor i stället för en generell hotlista.
Detaljer om videoförvar: källan är kamerans sensor, mikrofon och encoder, med bildjusteringsblob, ljudväg, integritetsmask, AI-detekteringsindata och strömprofiler kopplade till en firmwarebyggnad. Den lokala visningsvägen inkluderar ONVIF, RTSP, webbförhandsvisning eller webbläsare och verifieras genom en autentiserings- och exponeringsskanning. Fjärrvisningsvägen inkluderar molnrelä, P2P-SDK eller ägarapp och verifieras genom ett test av tokenomfång och relä. Den lokala medievägen inkluderar microSD-klipp och flyttbar lagring och verifieras genom återställnings- och kortborttagningstest. Supportvägen inkluderar supportpaket och diagnostikexport och verifieras genom en redaktionschecklista.
Test för återställning, avbindning och RMA-radering visar vilken video, vilka tokens och vilka kontolänkar som tas bort före återförsäljning, renovering eller överlämning till support.
Ägarskap är en separat kontroll från videoförvar. En kamera kan ha en skyddad ström och ändå misslyckas om en gammal ägare, delad användare eller återställd telefon behåller åtkomst efter överföring.
Detaljer om identitetslivscykel: provisionering skapar kamerans nyckel eller certifikat, registrerar hårdvaruidentiteten och låser produktionens debugåtkomst. Ägarens idrifttagning använder ett verifierat konto plus en kortlivad QR-, BLE- eller appanspråkstoken för engångsbruk och stänger förstagångsfönstret efter att kameran bundits. Normal drift använder samma återkallelsemodell för lösenordsåterställning, kontoåterställning, återställning vid förlorad telefon, familjedelning, gästtittare och webbläsarsessioner. Ägaröverföring kräver en behörig avbindningsväg, tar bort det gamla kontot, återkallar delade användare och avbryter aktiva sessioner innan kameran kan göras anspråk på igen. Fabriksåterställning, RMA och renovering tar bort kontolänken, inloggningsuppgifter, klipp och diagnostik enligt produktdesignen; RMA-hantering bör inte bli en väg för stöldtvätt.
Missbrukstest: en idrifttagningstoken löper ut, är engångs och kan inte återanvändas av en närliggande angripare efter ägarens anspråk; en gammal telefon, gästanvändare eller webbläsarsession kan inte behålla live eller inspelad åtkomst efter återställning; och lokal återställning lämnar inte molnbindning, kontotokens eller klipp kvar.
Efter att ägarskap testats, kontrollera vad som fortfarande är åtkomligt från nätverket, appen, flyttbara medier och supportarbetsflöden. Detta håller exponeringsöversynen kopplad till det faktiska levererade beteendet i stället för ett generellt portskanningsresultat.
Detaljer om åtkomstytor: lokala LAN-tjänster inkluderar RTSP, ONVIF, webb-UI och upptäcktsändpunkter, och utgåveregistret är exponeringsskanningen. Fjärrvisning inkluderar molnrelä, delning och enhetsidentitet, och utgåveregistret är testet av molntokenens omfång. Flyttbara medier inkluderar microSD-klipp, återställningsbeteende och lagringsbeslut, och utgåveregistret är resultatet av microSD-återställningen. Supportdiagnostik inkluderar loggar, kraschdumpar och supportläge, och utgåveregistret är granskningsstickprovet för supportläget.
Vilka tillgångar skyddar vi?
Kameror skyddar mycket olika saker i samma hölje. Ett inspelat klipp från ett barns sovrum, ett ägarkonto som kan panorera linsen och en signeringsnyckel för firmware som styr varje enhet som skickats i år bor alla bakom en produkt. Lista dem som separata tillgångar först, eftersom kontrolluppsättningen, testbevisningen och utgåveregistret skiljer sig skarpt mellan dem.
| Tillgång | Varför den spelar roll | Var den finns |
|---|---|---|
| Live och inspelad video/ljud | Exponerar privata rum, rutiner, besökare, barn, husdjur och samtal | Sensor, RAM, encoder, microSD, strömbuffert, molnrelä |
| Ägarkonto och återställningsfaktor | Ett övertagande kan ge fjärrvisning, enhetsåterställning och ändringar av delning | Mobilapp, identitetstjänst, e-post-/SMS-återställningsväg |
| Inloggningsuppgift mellan enhet och moln | Beständig förtroendetoken; svår att rotera över en utplacerad flotta | Säkert element eller skyddad lagring, tjänst för kontobindning |
| Förtroendeankare för firmwaresignering | Om brutet kan uppdateringskanalen bli en kanal för skadlig kod | Uppstartkedja, nyckellager, signeringstjänst, utgåvepipeline |
| Lokal nätverksposition | Kameran sitter inuti hushållets LAN och kan se lokala peers | Wi-Fi-gränssnitt, DHCP-leasing, mDNS-/SSDP-vy |
| Diagnostik- och supportpaket | Kan läcka serienummer, konto-ID, nätverksnamn och kraschspår | Enhetsloggar, supportportal, intern supportverktygsuppsättning |
| Användarinstruktioner och supportdatum | Driver säker idrifttagning, uppdateringsförväntningar och hantering av supportens slut | Förpackning, webbmanual, app-UI, produktlistning |
Var är de huvudsakliga förtroendegränserna?
En kamera sitter på fem platser samtidigt: själva enheten, microSD-kortet som vem som helst i rummet kan ta bort, hemnätverket som den delar med telefoner och okända IoT-peers, tillverkarens backend som berör varje kamera i fältet, och ägarens telefon eller webbläsare som håller livesessionen. Var och en ändrar angriparens möjlighet och kräver en annan kontrollyta, så modellen för förtroendegränser listar dem separat även om de kopplas samman.
| Miljö | Förväntat skydd | Varför det ändrar sannolikheten |
|---|---|---|
| Inuti kameran | Fysisk åtkomst är begränsad, men reparation, stöld, återförsäljning och debug-pads finns | Lägre fjärrsannolikhet, högre konsekvens om nycklar är extraherbara |
| microSD/lokala medier | Vem som helst med tillträde till rummet kan ta bort eller kopiera kortet | Lokal åtkomst är trolig i hem med gäster, städpersonal, hyresgäster eller återförsäljning |
| Hemnätverk | Delas med laptops, telefoner, TV-apparater, skrivare och okända IoT-enheter | En komprometterad peer kan attackera lokal admin, upptäckt eller strömtjänster |
| Tillverkarens backend | Internetexponerad och delad över den installerade flottan | Ett misstag i backenden skalar från ett hushåll till många |
| Ägarens enhet | Telefoner och webbläsare är exponerade för phishing, skadlig kod och kontoåteranvändning | Kontokompromettering kringgår ofta enhetshärdning |
Vilka hot bör utvärderas först?
Detta exempel börjar med sexton produktspecifika hot. Poängen är inte att vara uttömmande; den är att visa den nivå av spårbarhet som en tillverkare bör kunna försvara.
| ID | Hotscenario | Tillgång i riskzonen | Ingångspunkt |
|---|---|---|---|
| T1 | En delad eller förutsägbar förstagångshemlighet låter en angripare göra anspråk på kameran innan ägaren slutfört idrifttagningen | Ägarkonto, videoström | BLE-introduktion / lokal idrifttagning |
| T2 | Det lokala webbadmin-gränssnittet accepterar svaga inloggningsuppgifter eller förblir öppet efter idrifttagning | Konfiguration, strömåtkomst | Hemnätverk |
| T3 | En stulen mobilapp-token förblir giltig efter lösenordsåterställning och fortsätter öppna kameraflödet | Ägarkonto, live video/ljud | Ägarens enhet / molnrelä |
| T4 | P2P-reserv, STUN/TURN/ICE-hantering, UPnP eller hole punching exponerar kameran direkt när relävägen misslyckas eller blockeras | Firmwaretjänster, strömåtkomst | Internetnära relävägen |
| T5 | ONVIF/RTSP svarar på LAN med svag autentisering eller upptäckbara ström-URL:er | Live video/ljud | Hemnätverk |
| T6 | Återställningsplatsen accepterar en osignerad, gammal eller nedgraderad firmware-bild | Firmwareintegritet, signeringsförtroendeankare | OTA / återställningsväg |
| T7 | UART/JTAG-pads tillåter åtkomst vid uppstart under stöld, reparation eller återförsäljning | Enhetshemligheter, firmware, loggar | Fysisk debugåtkomst |
| T8 | microSD-klipp är läsbara efter kortborttagning eller efter att kameran sålts vidare | Inspelad video/ljud | Lokala medier |
| T9 | BLE-introduktion exponerar Wi-Fi-uppgifter eller enhetens parningshemlighet för en närliggande angripare | Wi-Fi-uppgift, ägarkonto | BLE-idrifttagningsfönster |
| T10 | Supportpaket inkluderar serie, konto, SSID, tokenfragment eller privata kraschspår | Diagnostikdata, kontolänkbarhet | Supportuppladdning |
| T11 | En leverantörssårbarhet i Wi-Fi-modulen eller mediestacken upptäcks inte under supportperioden | Firmware, tillgänglighet, strömkonfidentialitet | Lucka i leverantörsråd |
| T12 | RMA- eller återförsäljningsåterställning misslyckas med att radera kontobindning, klipp eller enhetens inloggningsuppgifter | Ägarkonto, inspelade medier, inloggningsuppgift mellan enhet och moln | Returväg |
| T13 | Upptäckttjänster avslöjar modell, firmware, serie eller strömmetadata för varje enhet på LAN:et | Enhetsfingeravtryck, strömexponering | ONVIF / WS-Discovery / mDNS |
| T14 | RTSP-strömmaren är skyddad annorlunda än webb-UI:t, vilket lämnar en liveström åtkomlig efter adminhärdning | Live video/ljud | Lokal strömtjänst |
| T15 | Ett fel i en tredjeparts P2P- eller medie-SDK tillåter förutsägelse eller uppräkning av enhets-UID, enhetsimitering eller kompromettering av strömsession | Live video/ljud, enhetsuppgift | Molnrelä / SDK |
| T16 | Kamerans firmware använder en leverantörs ISP-, Wi-Fi- eller AI-blob som inte finns i SBOM-bevakningsprocessen | Firmwareintegritet, sårbarhetshantering | Leverantörsfirmware |
Hur bör de inledande riskerna rangordnas?
Använd en enkel intern rubrik innan du väljer kontroller. I detta exempel baseras sannolikhet på exponering och angriparens möjlighet; påverkan baseras på integritetsskada, flottskala, beständighet och om hotet komprometterar en säkerhetsmekanism. De exakta etiketterna spelar mindre roll än motiveringen som skrivs bredvid varje beslut.
Använd en utgåvegrindstege så att inte varje kamerarisk får samma beslut:
| Grindbeslut | Innebörd för denna kamerautgåva |
|---|---|
| Blockera utgåva | Kameran levereras inte förrän det misslyckade testet klaras: parning, strömautentisering, verifiering av signerade uppdateringar, RMA-radering eller exponeringsskanning av tjänster efter idrifttagning, beroende på hotet. |
| Blockera om inte dokumenterad | Utgåva får ske endast när en kompenserande kontroll, variantspecifik begränsning eller motivering för installatörsläge skrivs, granskas och fästs i kamerans utgåvedossier. |
| Leverera med övervakning | Kameran levereras, men utgåvedossiret namnger den aktiva övervakningssignalen (leverantörens CVE-flöde, P2P-SDK-råd, missbrukstelemetri) och den ingenjör som äger den under supportperioden. |
| Överför till vägledning | Exponeringen beror på hemnätverket, ägarens telefon eller en tredjepartsinspelare utanför kameratillverkarens erbjudande, så dossiret behåller installatörs- eller användarvägledning i stället för att försöka kontrollera kundsidan. |
| Acceptera | Vissa kameraytor (dokumenterade upptäcktssvar, LAN-metadata) bär inneboende kvarstående risk, så dossiret registrerar bevisningen för minimering och motiveringen för att acceptera det som återstår. |
| ID | Sannolikhet | Påverkan | Grindbeslut | Varför |
|---|---|---|---|---|
| T1 | Medel | Hög | Blockera utgåva | Förstagångsövertagande är realistiskt och undergräver ägarskapet |
| T2 | Hög | Medel | Blockera utgåva | Hem-LAN innehåller obetrodda peers och återanvända lösenord |
| T3 | Medel | Hög | Blockera utgåva | Stöld av kontotoken ger fjärrvisning utan att röra kameran |
| T4 | Låg | Hög | Blockera om inte dokumenterad | Sällsynt väg, men direkt exponering kan skala; en levererad produkt behöver ett dokumenterat beslut om relä och NAT-traversal |
| T5 | Medel | Hög | Blockera utgåva | Lokal strömexponering är ett direkt integritetsfel |
| T6 | Låg | Hög | Blockera utgåva | Uppdateringskompromettering är beständig och flottövergripande |
| T7 | Medel | Medel | Blockera om inte dokumenterad | Fysisk debug är trolig under stöld, reparation eller återförsäljning; utgåvan behöver en motivering för debug-lås eller service |
| T8 | Hög | Medel | Blockera om inte dokumenterad | Lokal kortborttagning är vanlig; antingen skydda klippen eller dokumentera tydligt begränsningen för flyttbara medier |
| T9 | Medel | Hög | Blockera utgåva | Introduktion är kortvarig men exponerar hemnätverksuppgifter |
| T10 | Medel | Medel | Blockera om inte dokumenterad | Läckor av supportdata kan vara svåra att märka; supportexport måste minimeras, redigeras eller uttryckligen avaktiveras |
| T11 | Medel | Hög | Leverera med övervakning | Leverantörs-CVE:er förväntas under supportperioden; utgåvan behöver en ägare och rådövervakning |
| T12 | Medel | Hög | Blockera utgåva | Retur- och återförsäljningsvägar är förutsebara för konsumentenheter |
| T13 | Medel | Medel | Acceptera | Vissa LAN-metadata är inneboende för dokumenterade upptäcktsprotokoll; den kvarstående risken accepteras endast med exponeringsminimering och användarvägledning för valfri upptäckt där det stöds |
| T14 | Medel | Hög | Blockera utgåva | Strömautentisering kan inte vara svagare än den dokumenterade åtkomstmodellen |
| T15 | Låg | Hög | Leverera med övervakning | Svagheter i SDK eller relä kan påverka många enheter, så utgåvan behöver versionsägarskap och missbruksövervakning |
| T16 | Medel | Hög | Blockera om inte dokumenterad | Stängda eller leverantörsunderhållna bloben behöver en utgåveägare, rådkanal och uppdateringsväg, eller ett skriftligt beslut om kvarstående risk |
Vilka designkontroller ändrar riskbilden?
Koppla varje kontrollrad till ett specifikt kameratest, inte en generell checklista för säker utveckling. Utgåvedossiret bör kunna peka från ett hot-ID till det exakta parningstestet, skanningen av strömautentisering, verifieringsloggen för signerad uppdatering, tjänsteinventeringen efter idrifttagning eller RMA-raderingsregistret som bevisar att kontrollen körs på den levererade kamerabyggnaden.
| Hot | Designkontroll | Bevisning som tillverkaren bör behålla |
|---|---|---|
| T1, T2 | Idrifttagningshemlighet per enhet, tvingad ägarregistrering, inget delat standardlösenord, idrifttagningsgränssnittet stängs efter registrering | Idrifttagningstestlogg, policy för inloggningsuppgifter, negativt test för icke-autentiserad adminåtkomst |
| T3 | Kortlivade apptokens, enhetsbundna sessioner, återkallelse på serversidan vid lösenordsåterställning, övervakning av inloggningsanomalier | Tokenlivslängdspolicy, återkallelsetest, missbrukstest för kontoåterställning |
| T4, T5 | Avaktivera UPnP som standard, autentiserat relä, autentiserad ONVIF/RTSP, tjänsteinventering efter idrifttagning | Nätverksexponeringsskanning, strömautentiseringstest, granskning av reläkonfiguration |
| T6 | Säker uppstart, signerad OTA, monoton versionsräknare, signaturkontroll av återställningsplats, rollback-policy | Bevisning för uppstartkedja, uppdateringsverifieringstest, nedgraderingsavslagstest |
| T7 | Produktionsfuser för debug, förseglade eller dokumenterade debug-pads, inga hemligheter i läsbar UART-utdata | Hårdvaruproduktionschecklista, verifiering av debug-lås, anteckning om risk vid demontering |
| T8 | Krypterad microSD-inspelning där kameravarianten stöder det (Eufy, TP-Link Tapo på modeller som stöds); säker radering vid fabriksåterställning; tydlig användarvarning tryckt i manualen och i appen för varianter som spelar in okrypterat | Designanteckning för lagring, återställningstest, skärmbild av användarinstruktion, fångst av varning i appen |
| T9 | Autentiserad BLE-parning, kort parningsfönster, Wi-Fi-hemlighet överförs aldrig i klartext, hastighetsbegränsning för parning | Granskning av parningsprotokoll, RF-test, felmodstest |
| T10 | Minimering av supportpaket, tokenredaktion, användarsamtycke före uppladdning, lagringsgräns | Supportschema, redaktionstest, supportarbetsflödesbevisning |
| T11 | SBOM-övervakning, bevakning av leverantörsråd, triage av påverkad komponent, utgåveprocess för signerade uppdateringar | SBOM-diffslogg, register över leverantörsråd, triagebeslut |
| T12 | RMA-raderingsflöde, molnavbindning, rotation av inloggningsuppgifter vid återställning, checklista för renoverad enhet | Returlinjechecklista, återställningsbevisning, granskning av molnavbindning |
| T13, T14 | Tjänsteinventering efter idrifttagning, autentiserade ström-URL:er, minimering av upptäcktssvar, profil-/versionstestbevisning | Exponeringsskanningar, ONVIF/RTSP-autentiseringstest, granskning av upptäcktssvar |
| T15 | P2P-SDK-inventering, sessionstokenomfång, entropi för enhets-UID, SDK-rådövervakning, test för imitation och missbrukscase | SDK-versionsregister, UID-uppräkningstest, enhetsimitationstest |
| T16 | Leverantörsfirmwareinventering för ISP, Wi-Fi, encoder och AI-komponenter; komponentägare och uppdateringsväg | Leverantörens komponentlista, register över rådövervakning, utgåvebeslutslogg |
Vilken kvarstående risk återstår efter kontroller?
Kontroller stänger inte dossiret. Efter att kameran levererats kör tillverkaren fortfarande de aktivt hanterade riskerna: uppdateringskanalen för firmware, vägar för övertagande av ägarkonto och den långa svansen av leverantörs-CVE:er i Wi-Fi-stacken, mediebiblioteken och P2P-SDK:erna som dyker upp under hela supportperioden. Det kvarstående registret är trovärdigt endast när tillverkaren kan peka på live-övervakning av dessa signaler, triagebeslut för nya råd, signerade uppdateringar som faktiskt nådde de installerade kamerorna, ägarmeddelanden som gick ut, och en registrerad korrigerande åtgärd bakom var och en.
| Kvarstående område | Varför den finns kvar | Driftsbevisning |
|---|---|---|
| Komprometterad ägarenhet | Tillverkaren kan inte fullt ut kontrollera användarens telefon, webbläsare, e-post eller lösenordshygien | MFA-stöd, tokenåterkallelse, varning om misstänkt inloggning, användarvägledning |
| Leverantörssårbarhet upptäckt efter utgåva | Mediebibliotek, Wi-Fi-firmware, kärnor och TLS-bibliotek kommer att fortsätta få CVE:er | SBOM-bevakning, intag av leverantörsråd, påverkansanalys, patchregister |
| Lokal fysisk åtkomst | En kamera i ett hem kan stjälas, säljas vidare, repareras eller nås av gäster | Återställningsflöde, debug-lås-bevisning, lagringsvarning, RMA-raderingsregister |
| Drift av nätverksexponering | Firmwareuppdateringar, reläändringar eller funktionsflaggor kan återöppna tjänster | Exponeringsskanning per utgåva, tjänsteinventering, ändringsgodkännande |
Utgåvegrinden är själva riskregistret. Lägg inte till ett separat "säkerhetsgranskat"-kort som upprepar samma arbete. Vid godkännande bör utgåveägaren kunna peka från de blockerade eller villkorade hoten till den avslutande bevisningen: parnings- och strömtester för T1/T2/T5/T14, tokenåterkallelse för T3, test av signerade uppdateringar för T6, lagrings-/återställningsbevisning för T8, RMA-raderingsbevisning för T12 och leverantörsövervakning för T11/T16.
Kameraägarskap från koncept till support
Ledägarskapet skiftar när kameran rör sig från produktdefinition till levande support. Använd denna överlämning för att tilldela en ledare, ett underhållet register och en granskningsgrind vid varje steg medan produkten ändras.
Detaljer om ägarskap: produkt och säkerhet äger variantens avgränsningsmemo i konceptfasen. Produktsäkerhet tillsammans med firmware och moln äger kartan över förtroendegränser, hotregistret och grindstegen i arkitekturfasen. Firmware-, moln-, app- och leverantörsägare underhåller regler för signerade uppdateringar, token- och sessionskontroller, komponentmanifest, leverantörsrådflöden och beslut om funktionsflaggor under implementeringen. QA tillsammans med produktsäkerhet underhåller exponeringsskanningar, strömautentiseringstest, videoförvarstest, övningar för återställning eller RMA-radering och beslut om kvarstående risk under verifieringen. Efterlevnad och utgåveägaren underhåller utgåvepaketet, indexet för det tekniska dossiret, instruktionerna, uttalandet om supportperiod, den signerade försäkran, importörspaketet och rapporteringsberedskapen. PSIRT, support och teknik underhåller intag, triage av leverantörsråd, användarmeddelanden, signerade korrigeringar, slutpunktspensionering, regressionstester och register över korrigerande åtgärder efter utgåva.
Detaljer om överlämning: frys avgränsningen före arkitekturarbete, frys designintentionen före implementering, frys kandidaten före verifiering, frys beslutet före utgåva och håll utgåvan i drift genom supportperioden. Inkommande rapporter, leverantörsråd, incidentutfall och regressionsresultat öppnar nästa avgränsningsmemo, hotregister och komponentmanifest.
Karta över tillverkarens bevisning
En granskare eller bedömare från anmält organ går igenom ett tekniskt kameradossier på samma sätt som en installatör går igenom kartongen: från den märkta produkten, genom de medlevererade digitala elementen, till den supportbevisning som köparen lovats. Raderna nedan namnger de register som kameratillverkare håller aktuella för den genomgången; varje rad bör vara ett underhållet dokument i produktmappen, inte en stickprovsskärmdump som tas före godkännande.
| Bevisningsområde | Vad som ska fångas för en säkerhetskamera |
|---|---|
| Produktidentitet | Modell, firmware-versioner, medföljande app, molntjänst, hårdvarurevisioner |
| Avsett syfte | Om produkten säljs för hemsäkerhet, babyövervakning, säkerhetsdörrklocka eller professionell övervakning |
| Riskbedömning | Kameraåtkomst, videokonfidentialitet, uppsättning av inloggningsuppgifter, lokal nätverksexponering, molnens API-exponering |
| SBOM och bevisning för hårdvarukomponenter | Firmware-paket, inbyggda Linux-/RTOS-komponenter, bildbehandlingsbibliotek, firmware för Wi-Fi-/Ethernet-modul, SoC och säkert element där det finns |
| Säkra standardinställningar | Inget delat standardlösenord, säker förstagångsidrifttagning, autentiserad adminåtkomst, skyddad fjärråtkomst |
| Uppdateringsmekanism | Signerade firmwareuppdateringar, rollback-strategi, uppdateringstillgänglighet under supportperioden |
| Sårbarhetshantering | CVD-policy, rapporteringskontakt, triagearbetsflöde, säkerhetsrådsprocess |
| Användarinstruktioner | Säker installation, kontouppsättning, uppdateringsinställningar, redovisning av supportens slut |
| Spårbarhet och kontakt | Kameramodell och serieschema, partiidentifierare, förpackningsmärkning, EU-tillverkar- eller importörskontakt, supportperiodens slutdatum tryckt där köparen kan läsa det före köp, och en publicerad sårbarhetsrapporteringsadress som besvaras av ett mänskligt säkerhetsteam |
Väg för bedömning av överensstämmelse
Välj vägen för överensstämmelse efter att kamerans avgränsning, riskbedömning, kontroller och kvarstående risker är tydliga. Annars kan vägvalet springa förbi det tekniska registret.
Viktig Klass I kräver inte automatiskt ett anmält organ i varje fall. Vägen med intern kontroll är endast tillgänglig när de tillämpliga standarderna, specifikationerna eller ordningarna är fullt tillämpade för de tillämpliga kraven.
Bekräfta om relevanta harmoniserade standarder, gemensamma specifikationer eller EU-certifieringsordningar på säkerhetsnivå minst betydande finns och täcker de tillämpliga väsentliga säkerhetskraven. Om de inte finns, endast delvis tillämpas eller inte täcker alla relevanta krav, använd modul B+C eller modul H.
För en verklig kamerautgåva, förbered utgåvedossiret som om en tredjepartsgranskning kan behövas, bekräfta sedan vägen när de tillämpliga standarderna och ordningarna är tydliga för den exakta kameraprodukten.
Behåll den valda vägen med utgåvegodkännanderegistret, inklusive de referenser som man stödjer sig på, de krav som de täcker och eventuella luckor som tvingat fram en tredjepartsväg.
Tillverkarens utgåvegodkännande
Innan kameran släpps på EU-marknaden bör godkännandet samla klassificeringen, avgränsningen, hotmodellen, kontrollerna, uppdateringsvägen och processen efter marknadsplacering i ett beslut. Tabellen nedan är den korta utgåvedossier som en granskare bör kunna navigera från.
| Utgåvefråga | Kameraspecifik bevisning |
|---|---|
| Varför är denna produkt klassificerad som en smart hem-säkerhetskamera? | Uttalande om avsedd användning, säljkanal, installationskontext, produktvarianter och klassificeringsmotivering |
| Vad är exakt produkten med digitala element? | Kamerahölje, firmware, lokala gränssnitt, mobilapp, molnbehandling som levereras med produkten, uppdateringstjänst och uteslutna tredjeparts driftsättningssystem |
| Vilka är åtkomstvägarna med högst risk? | Admin-UI, ONVIF/RTSP, lokal nätverksupptäckt, moln-API:er, kontoåterställning, fjärrvisning, microSD-åtkomst, debug-portar och tjänsteuppgifter |
| Vad har säkrats som standard? | Inget delat standardlösenord, skyddad förstagångsidrifttagning, autentiserad adminåtkomst, översyn av exponerade tjänster, krypteringsbeslut och säker fjärråtkomst |
| Hur kommer kameran att uppdateras säkert? | Signerad firmware, nyckelförvar, rollback-beteende, återställning vid partiell flash, uppdateringstillgänglighet, användarnotifiering och kostnadsfria säkerhetsuppdateringar under supportperioden |
| Hur kommer sårbarheter att hanteras efter leverans? | Offentlig kontakt, CVD-policy, triagearbetsflöde, SBOM-övervakning, bevakning av leverantörsråd, säkerhetsrådsprocess, beredskap för tidig varning inom 24 timmar, beredskap för notifiering inom 72 timmar och bevisning för slutrapport |
Överlämningskontroller för ekonomiska aktörer
Utgåvedossiret bör göra överlämningen från tillverkare till importör, distributör och säljare under eget varumärke testbar. För kameror är den svaga punkten vanligtvis inte CE-märket ensamt; det är om leveransen, listningen, appen, molntjänsten och uppdateringskanalen fortfarande matchar den bedömda utgåvan.
Detaljer om överlämning mellan ekonomiska aktörer: tillverkaren eller tillverkaren under eget varumärke äger tillverkardossiret för den exakta kamerautgåvan. Importören verifierar klassificeringsmotiveringen, försäkran, CE-märkningskontrollen, det tekniska dossierindexet, uttalandet om supportperiod, kontakten för sårbarhetsrapportering, hanteringen av komponentinventering, instruktioner på destinationens språk och importörsidentiteten innan leveransen släpps på EU-marknaden. Distributören kontrollerar synliga tillsynssignaler före försäljning, inklusive CE-märkning, medlevererade dokument, spårbarhet för tillverkare och importör, instruktioner på destinationens språk, support- och uppdateringsuttalanden, konsistens i onlinelistning och kända signaler om bristande överensstämmelse.
Stoppvillkor: pausa leverans eller listning om utgåvedossiret, spårbarheten, supportuttalandet, app- eller molnberoendet, uppdateringskanalen eller känd sårbarhet ger anledning att tro att utgåvan inte är förenlig. Läs varje mandat för auktoriserad representant separat från importörens eller distributörens tillsyn. Utlösare för tillverkarrollen: kör en ny analys av tillverkarrollen när eget varumärke, firmware, app, moln, uppdateringskanal, brygga, NVR-paket eller ändringar i avsedd användning kan påverka överensstämmelse eller avsett syfte. Håll frågor om GDPR, radioutrustningsdirektivets cybersäkerhet, biometri, AI-förordningen och NIS2 separata från CRA:s klassificeringssvar.
Använd nästa figur som en rollchecklista. Det första överlämningsdiagrammet visar leverans- och listningsflödet; detta separerar de kontroller som ägs av importören, distributören, den auktoriserade representanten, säljaren under eget varumärke och granskaren för angränsande regelverk.
Varje rollpanel kopplar de verifieringar som aktören måste köra med stoppvillkoret som pausar leverans, listning eller utgåva. Importören och distributören sitter på själva CRA-flödet. Den auktoriserade representanten gäller endast när tillverkaren ligger utanför EU och läses separat från importörens eller distributörens tillsyn. Kontroller för säljare under eget varumärke kan skapa en tillverkarroll om en ändring kan påverka överensstämmelse eller avsett syfte; klassificering, försäkran om överensstämmelse, teknisk dokumentation, rapporteringsprocess och plan för supportperiod kan inte ärvas som ett informellt leverantörslöfte. Angränsande regelverk (GDPR, radioutrustningsdirektivets cybersäkerhet, AI-förordningen, NIS2) stannar utanför CRA:s klassificeringssvar och behöver sina egna separata bedömningar.
Vanliga frågor
Är smarta säkerhetskameror Klass I eller Kritiska enligt CRA?
Smart hem-säkerhetskameror är vanligen Viktig Klass I när deras kärnfunktion är fysisk säkerhet i smarta hem. En kamera är inte Kritisk enbart för att den behandlar video eller sitter på ett känsligt nätverk.
Klassificeringsregister: ett memo som namnger den exakta kameravarianten, säljpåståendet, den avsedda säkerhetsfunktionen, levererade digitala element och motiveringen för vägval.
Behöver en smart hem-säkerhetskamera ett anmält organ?
Inte alltid. Det praktiska testet är om tillverkaren fullt ut kan stödja sig på de tillämpliga standarderna, gemensamma specifikationerna eller en kvalificerad europeisk cybersäkerhetscertifieringsordning för kamerans väsentliga cybersäkerhetskrav. Om den täckningen saknas eller endast är partiell, planera för tredjepartsvägen i stället för att anta intern kontroll.
Vägvalsregister: lista de referenser som man stödjer sig på för den exakta kameraprodukten, de krav som de täcker, eventuella luckor och den valda vägen.
Är en professionell CCTV-kamera eller NVR automatiskt i samma kategori?
Nej. Klassificera inte professionell övervakning enbart genom ordet "kamera". En CCTV-kamera, VMS eller NVR kan fortfarande vara en produkt med digitala element och fortfarande behöva CRA-säkerhetsarbete, men vägen beror på avsedd användning, levererade element och funktionen som kunden förlitar sig på.
Avgränsningsregister: ett variantmemo för professionell övervakning som täcker kameran, inspelaren, VMS, installatörsmolnet, fjärråtkomstvägen och eventuella separata produkter som levereras med erbjudandet.
Vad händer om kameran inkluderar ansiktsigenkänning, åtkomstkontroll, brandvägg eller VPN-funktioner?
Behandla det som ett varningstecken för klassificering. Om kameran huvudsakligen är en smart hem-säkerhetskamera kan dessa funktioner vara del av kamerans riskbedömning. Om produkten huvudsakligen är en åtkomstkontrolläsare, biometrisk autentiseringsenhet, VPN-gateway, brandvägg, IDS/IPS eller annan listad cybersäkerhetsprodukt, klassificera den kärnfunktionen först och tvinga inte in produkten i kamerakategorin. Detta spelar roll eftersom vissa kategorier bär en strängare väg; till exempel är brandväggar och IDS/IPS Klass II.
Återkontrollutlösare: öppna en separat kärnfunktionskontroll när kameran styr identitet, åtkomst, nätverksfiltrering, VPN-åtkomst eller intrångsdetektering snarare än endast videoövervakning.
Ändrar molnvideolagring produktens avgränsning?
Molnlagring ändrar inte automatiskt klassen. Om tillverkarens molnbehandling är utformad av eller under tillverkarens ansvar, och kameran inte skulle utföra en av sina funktioner utan den, behandla den behandlingen som del av produktavgränsningen, bevisningen och riskbedömningen. Produktklassificeringen följer fortfarande kamerans kärnfunktion om inte en annan listad funktion är den primära.
Avgränsningsregister: en molnberoendekarta som visar vilka molntjänster som levereras med kameran, vilka funktioner som inte fungerar utan dem, vilka data de behandlar och vilka system som ligger utanför tillverkarens erbjudande.
Bör ONVIF, RTSP eller den lokala webbadminen förbli aktiverade efter idrifttagning?
Endast om utgåvan har en dokumenterad åtkomstmodell för den ytan. En konsumentkamera kan exponera lokal strömning eller administration för legitim idrifttagning, installatörs- eller inspelaranvändning, men utgåvedossiret bör visa om ytan förblir åtkomlig efter registrering, vilken autentisering som skyddar den, om transportkryptering används och vilken användarinställning eller variantpåstående som motiverar det.
Testartefakt: tjänsteskanningar efter idrifttagning och efter uppdatering, ONVIF/RTSP-autentiseringstest, granskning av upptäcktssvar och utgåvebeslutet för varje lokal yta.
När bör riskbedömningen uppdateras?
Uppdatera den när det släppta kameratillståndet ändras på ett sätt som påverkar förtroendet: en ny ONVIF-profil, ett fjärrvisningsläge, ett kontoåterställningsflöde, ett molnrelä, en OTA-kanal, ett chipset, en firmware-bas, en ändring av mobilappens autentisering, ett supportpaketfält eller fabriksåterställningsbeteende. En utgåvenotering räcker inte om den ändrade funktionen återöppnar en attackväg.
Återkontrollutlösare: varje funktion eller leverantörsändring som ändrar åtkomst, uppdateringsbehörighet, lagrad video, kontobindning, supportdata eller återställningsbeteende öppnar avgränsningen och riskbedömningen.