Контакты
Подписка
МЕНЮ
Контакты
Подписка

Кибербезопасность: нужно ли уделять ей отдельное внимание в системах физической безопасности?

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Кибербезопасность:нужно ли уделять ей отдельное внимание в системах физической безопасности?

Практически каждый день кибербезопасность упоминается в новостях, будь то уязвимости в государственных информационных системах, кибертерроризм или кражи данных кредитных карт миллионов клиентов крупных торговых сетей. Но, как и защита физического имущества, кибербезопасность становится главной темой заголовков, только когда она не справляется со своей задачей
Денис Ляпин
Технический тренер Axis Communications Россия и СНГ

Долгое время системы физической безопасности были исключительно аналоговыми, а их связь с ИТ-сетью была сильно ограничена. Поэтому ответственным за физическую безопасность не нужно было беспокоиться о сетевой безопасности, а сотрудникам ИТ-отдела – думать об уязвимостях камер видеонаблюдения и прочих устройств. Конечно, взломы были всегда, в том числе и аналоговых систем (классическими примерами являются взломы радионянь или систем дистанционного открытия дверей гаража). Сегодня, когда системы безопасности на базе IP-технологий со всеми их преимуществами получают повсеместное распространение, все стороны должны понимать, что правила игры изменились и о безопасности нужно заботиться во всех аспектах.

Отделы физической и информационной безопасности должны "дружить"

Сложность заключается в том, что у сотрудников отдела физической безопасности и ИТ-отдела разные приоритеты и принципы работы, поэтому они зачастую не понимают друг друга, не говоря уже про лексический/терминологический барьер. Но чаще их отношения напоминают территориальные споры или перебрасывание нежеланной ноши: отдел физической безопасности не считает кибербезопасность своей обязанностью, а ИТ-отдел даже не знает о потенциальных уязвимостях устройств, у которых нет конкретных владельцев или пользователей.


После недавнего разговора о кибербезопасности с одним из клиентов мне запомнилась фраза: "Мы же не Пентагон" (что в переводе значит: "Мы рады, что Axis об этом думает, и это интересно, но для нас это сейчас неактуально"). Затем обычно следует фраза: "Кибербезопасностью занимается ИТ-отдел. В мои обязанности входит лишь защита здания". В то же время при общении с сотрудниками ИТ-отдела нередко выясняется, что они не знают о потенциальной уязвимости незащищенных IP-камер или же не имеют полномочий на работу с ними, поскольку многие системы "по традиции" являются закрытыми.

Что мы как представители отрасли можем сделать, чтобы специалисты по физической безопасности относились к ИТ-безопасности серьезно? И наоборот – как побудить сотрудников ИТ-отдела разговаривать с коллегами из отдела физической безопасности на понятном им языке? В действительности все может быть и не так страшно.

Общий язык можно найти!

К счастью, в некоторых организациях и компаниях между этими двумя отделами налажена эффективная коммуникация и есть понимание общих целей. Многие организации можно разделить на три категории в зависимости от уровня осознания существующих угроз.

Возглавляют список организации, чья торговая марка, деятельность или репутация основываются на доверии и безопасности, например банки. Физическая и компьютерная безопасность являются для них одним из главных приоритетов и неотъемлемой частью корпоративной культуры. Они часто с недоверием относятся к новым технологиям, пока не убедятся, что те не угрожают их безопасности. Поэтому ИТ-отделы таких организаций крайне редко решаются подключить к сети новые IP-устройства без надлежащей проверки поставщика, а также тестирования и настройки самих устройств.

За ними идут организации, которые осознают, что могут подвергнуться кибератаке или что их устройства могут участвовать в них, но не обладают специальными знаниями для надлежащей оценки рисков и способов их устранения. По крайней мере, они готовы выслушивать рекомендации, даже если кибербезопасность не является для них вопросом первостепенной важности. Основная проблема таких компаний в разрезе кибербезопасности в том, что управление достаточно сложными сетями требует много времени, а ресурсов для полноценного контроля каждого подключаемого к сети устройства чаще всего недостаточно.


И, наконец, существуют небольшие компании, которые очень мало знают о кибербезопасности и еще меньше о том, что перед подключением к сети такие устройства, как камеры, требуют надежной защиты. В таких компаниях редко есть штатный ИТ-менеджер, не говоря уже об отдельном специалисте по обеспечению физической безопасности. Таким компаниям нужны устройства с предельно простой автоматизированной настройкой, в том числе для получения удаленного доступа к видео. В этом и кроется немалая опасность, так как не все доступные технологии обеспечивают надежную защиту, в том числе и от несанкционированного доступа к изображению.

Уязвимость IoT-устройств – приманка для хакеров

В конечном счете и ИТ-отдел, и отдел физической безопасности должны относиться к проблеме серьезно и работать сообща, а не перекладывать друг на друга ответственность, пока не произойдет атака. Как этого добиться? К сожалению, многие недавние события показывают, что происходит на практике.

Всего несколько месяцев назад атака ботнета Mirai продемонстрировала, насколько уязвимы могут быть бесчисленные IoT-устройства и какие широкие возможности в связи с этим открываются для хакеров. В течение нескольких месяцев киберпреступники заразили миллионы устройств, включая IP-камеры, цифровые видеорегистраторы, домашние маршрутизаторы и т.д. Затем в сентябре 2016 г. с их помощью впервые была осуществлена массированная DDoS-атака (распределенная атака типа "отказ в обслуживании") на сайт известного журналиста в области обеспечения безопасности KrebsOnSecurity.com. Спустя месяц последовала крупнейшая в истории DDoS-атака на Dyn.com, одну из ведущих инфраструктурных интернет-компаний США, обеспечивающую работу Netflix, Spotify, Amazon и многих других сервисов.

Как повысить защищенность от киберугроз

Некоторые могут сказать, что задержка в совершении покупки – это не самая страшная угроза для нашей цивилизации, но это лишь пример того, что можно сделать с устройствами обеспечения физической безопасности, недостаточно защищенными от кибератак. Большинство зараженных бот-нетом Mirai устройств были "защищены" с помощью легко угадываемых паролей или паролей по умолчанию, которые никогда не менялись или, что еще хуже, имели "вшитые" учетные данные с правами администратора, которые было НЕВОЗМОЖНО поменять. Эти "лазейки" в устройствах, вероятно, были встроены, чтобы производителю было легче отлаживать их на этапе разработки, но так и не были устранены перед запуском в производство.

К сожалению, эпизоды с раскрытием таких "вшитых" учетных данных появляются в прессе все чаще – и вывод из этого прост: все больше устройств становятся потенциально опасными и могут подвергнуться заражению.

В начале 2017 г. в газете Washington Post появилась информация о том, что полиция Вашингтона в течение трех дней не могла получить записи со своих камер видеонаблюдения из-за того, что 70% устройств хранения были взяты под управление хакерами.

И мы знаем, что это не последний случай. Интернет вещей является легкой мишенью и контролируется слишком малым количеством людей, которые просто не в состоянии отследить атаку, пока не станет слишком поздно. Как показал пример ботнета Mirai, атака может практически не влиять на сам хост, что еще больше затрудняет выявление факта взлома, если не проявлять предельную бдительность.

Глядя на зарубежный опыт, наше законодательство также стремится реагировать на возрастающий уровень киберугроз, ужесточая наказания за различные виды киберпреступлений. И даже если "мы с вами не Пентагон" и вряд ли кто-то вздумает атаковать нас, то участие собственных устройств в совершении кибератак на различные ресурсы репутации тоже не прибавит.

Для защиты от кибератак пользователям можно дать такие рекомендации:

  1. Установите сложный пароль.
  2. Распределите права доступа.
  3. Отключите неиспользуемые службы.
  4. Следите за обновлениями микропрограммного обеспечения (прошивки).
  5. Ограничьте доступность изделий в сети Интернет.
  6. Уточните у производителя защищенность технологий для получения удаленного доступа к видео.
  7. Облачное хранение? Поинтересуйтесь, где этот сервер и кому он принадлежит.
    Ваши камеры отличаются только логотипом от многих других? Уточните, на чьей базе (OEM) они сделаны.
  8. Какие есть инструменты для одновременной настройки, в том числе большого количества изделий?

Как видите, важно также понимать, и кому вы доверяете, и насколько ваш поставщик заботится о защищенности своих изделий и вашем времени.

В руководстве по усилению защиты можно получить более подробные рекомендации для камер Axis: http://www.axis.com/ru/ru/about-axis/cybersecurity.

AXIS Camera Management – бесплатное служебное ПО для работы с камерами AXIS в системах любого масштаба, позволяющее легко и быстро внедрять конфигурации компонентов безопасности, обновлять пароли и прошивки, создавать точки восстановления с настройками камер на заданную дату и многое другое.

Устройства Axis работают на открытой платформе. Это означает, что они проверены на предмет уязвимостей тысячами независимых разработчиков.

AXIS COMMUNICATIONS, OOO
125284, Москва,
Ленинградский просп., 31А,
стр. 1, этаж 16
Тел/факс: (495) 940-6682
www.axis.com

Опубликовано: Журнал "Системы безопасности" #2, 2017
Посещений: 5389

  Автор

Денис Ляпин

Денис Ляпин

Технический тренер по России и СНГ компании Axis Communications

Всего статей:  9

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций