Журнал "Системы Безопасности" № 1‘2018

w w w . a l l - o v e r - i p . r u n В И Д Е О Н А Б Л Ю Д Е Н И Е 77 l Обход механизма аутентификации. Чревато в случае применения ненадежного пароля или пароля, установленного производите- лем по умолчанию. l Кража конфиденциальной информации, хранящейся непосредственно на устрой- стве. l Удаленное управление устройствами через Test- и Debug-порт. Debug-порт не имеет ограничений по пошаговой отладке кода, поэтому злоумышленники могут взять устройство под полный контроль посред- ством этого системного ресурса. l Утечка персональных данных при их сборе, передаче или обработке с помощью устройств Интернета вещей. Угрозы уровня сети l Вторжения в беспроводную сеть. Дефек- ты беспроводных протоколов, например отсутствие эффективного метода аутен- тификации, могут привести к неавтори- зованному доступу к персональным дан- ным. l Атака, направленная на нешифрованный сетевой трафик, передающийся между устройствами, облаком и мобильными тер- миналами. l Атаки на IP-системы из сети Интернет. l DDoS-атаки. Угрозы уровня приложений l Трудности апгрейда и обеспечения безопас- ности различных устройств, управляемых на уровне платформы. l Риски конфиденциальности и безопасно- сти, вызываемые несанкционированным доступом. l Отсутствие обновления или проверки настроек безопасности в течение продолжи- тельного периода времени. Если оценить множество скрытых рисков без- опасности аппаратных и программных средств IoT, а также сетевого окружения, становится очевидно, что будущее за системами видеона- блюдения, построенными на основе концеп- ции Интернета вещей и многомерной защите оконечных устройств, данных, приложений и сетей. Пять постулатов цифрового мира Аналоговые системы видеонаблюдения строи- лись на закрытых сетях, и производители сосре- дотачивали свои усилия на создании простой в применении продукции с высокими эксплуата- ционными характеристиками и приемлемой ценой. Защищенность от кибератак не была критичным условием. Но в процессе стреми- тельного перехода на сетевые технологии недо- статок внимания вопросам кибербезопасности привел к тому, что главные достоинства анало- говых систем – удобство и простота использо- вания – начали затмевать несоответствие тре- бованиям защиты от информационных угроз в цифровую эпоху. Индустрия видеонаблюдения не так давно столкнулась с проблемами кибербезопасности, причина того кроется в особенностях эволю- ционного развития технических средств. Одна- ко это не означает, что рынок настолько уязвим, как считают некоторые эксперты. Ведущие вен- доры ведут скоординированную работу по борьбе с потенциальными рисками безопасно- сти и уже довольно эффективно защищают свои решения. Объективно говоря, проблема кибербезопасно- сти не является специфичной для видеонаблю- дения. Это проблема общества в целом. На рынке ИТ задачи кибербезопасности наблю- даются повсеместно. Можно выделить пять базовых постулатов. 1. Уязвимости широко распространены Нет таких ИТ-систем или технических средств, которые бы не имели уязвимости. Более того, уязвимости весьма распространены. Каждый ИТ-продукт содержит в себе миллион строк кода, достаточно одной ошибки, чтобы создать угрозу всей системе. Не существует универсаль- ного автоматического или ручного способа обнаружить все потенциальные проблемы кибербезопасности ни в автоматическом, ни в ручном режиме. Защищать следует систему целиком Чтобы защитить систему видеонаблюдения, камеры, регистраторы, серверы, ПО, сете- вое оборудование и инфраструктура долж- ны взаимно дополнять друг друга, чтобы обеспечить всестороннюю безопасность решения. Проблема защищенности любо- го элемента может отразиться на всей системе. Безопасность открытых библиотек под вопросом Во многих системах видеонаблюдения используются инструменты популярных открытых библиотек. Они общедоступны и бесплатны, но зачастую таят в себе огромные риски безопасности. За последние годы в раз- ных криптографических библиотеках, таких как Struts2 и OpenSSL, были обнаружены несколько серьезных уязвимостей. Многие инструменты открытых библиотек применяют- ся в различных информационных системах нижнего уровня. Поэтому любые уязвимости создают угрозу для целых отраслей, а не систем или продуктов. Безопасность находится в подвижном равновесии Нет такого понятия, как "абсолютная безопас- ность". Безопасность всегда относительна. Техни- ческие решения и приемы, которые сегодня счи- таются безопасными, завтра могут оказаться нена- дежными. Иначе говоря, в безопасности нельзя достичь конечной цели. Каждое техническое средство будет сталкиваться с проблемами защи- щенности на протяжении своего жизненного цикла. Управление системой должно быть адекватным Важнейшим элементом системы безопасности является человек. Если пользователь не спосо- бен адекватно управлять даже хорошо защи- щенной системой, ее безопасность находится под вопросом. Многие инциденты безопасности в системах видеонаблюдения связаны именно с неадекватной эксплуатацией и управлением, например со слабыми паролями, отсутствием файрволов или аппаратных средств защиты. Кибербезопасность должна войти в привычку пользователей: следует регулярно знакомиться с уведомлениями от производителей, обновлять ПО до новейшей версии и своевременно уста- навливать патчи. n www.secuteck.ru февраль – март 2018 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru К ибербезопасность не является проблемой конкретных стран или компаний. Все государства и организации должны понимать, что вопросы кибербезопасности равно важны для всех и требуют международного сотрудничества