Кибербезопасность систем видеонаблюдения

Статья взята из журнала "Технологии Защиты" № 3-2019

На вопросы журнала отвечает Юрий Цывинский, руководитель технической поддержки IDIS

Сегодня никто не отрицает серьезность проблемы кибербезопасности вообще и IP-систем видеонаблюдения в частности. Но почему снова и снова производители систем и нормальные пользователи оказываются в роли "обороняющихся"? Что мешает уже при разработке решений учитывать тот факт, что IP-камера, подключенная к интернету, это, по сути, компьютер, который потенциально может представлять интерес для хакеров?

- То, что производители и пользователи "обороняются" - это нормальный процесс, было бы странно увидеть их в роли "атакующих". Но если без шуток, то большинство производителей полагают, что задача по обеспечению защиты должна решаться пользователем и, в лучшем случае, будет достаточным предоставить рекомендации по решению этой задачи. А пользователь, прошу обратить внимание, не интегратор, а именно пользователь считает, что производитель и интегратор уже обеспечили его защиту. Что касается разработки решений, то производителей, определяющих проблему сетевой безопасности как приоритетную, можно пересчитать на пальцах одной руки.

Какова специфика хакерских атак с использованием таких объектов, как IP-камеры и сетевые видеорегистраторы?

- Говоря о специфике, мы имее право ссылаться на авторитетное мнение экспертов, таких, например, как антивирусный эксперт Лаборатории Касперского Денис Легезо или на исследования Positive Technologies. Атаки на видеокамеры свойственно "хактивистам", пранкерам, вуайеристам, иногда для организации DDOS-атак, но атака на систему видеонаблюдения, включающую в себя сетевое оборудование и серверы - один из вариантов преодоления сетевого периметра, для получения доступа в локальную сеть предприятия и выполнения произвольного кода, и этот спопоб так же доступен реальным профессиональным хакерам, целью которых является получение финансовых выгод. 

Проблемы защиты IP-систем видеонаблюдения невозможно решить, что называется, в одностороннем порядке, учитывать новые вызовы должны все стороны. В связи с этим: что должны делать производители? Системные интеграторы? Конечные заказчики/ Службы безопасности?

- Производители, которым важна их репуация, должны применять современные подходы по сетевой безопасности. Крайний раз, для того, чтобы попасть в интерфейс настроек камеры, мне пришлось разрешить в браузере выполнять все, что только возможно. Для сервисных функций многие оставляют backdoor. Что касается конечных пользователей, интеграторов, у многих подход такой: если работает - не трогай. Поэтому операционные системы, прошивки не обновляются, следовательно, при выпуске производителем обновлений, устраняющих уязвимости, они не применяются. И важно внедрять на предприятиях, патч-менеджмент, но, к сожалению, не на всех системах обновления возможны, особенно это касается систем, собранных из компонентов разных производителей.

Почему многие руководители компаний не спешат внедрять решения, необходимые для обеспечения кибербезопасности IP-систем видеонаблюдения?

- Не думаю, что это задача руководителей компании. Обоснованием внедрения и самим внедрением должны заниматься IT-специалисты, или те, кто отвечает за эксплуатацию и обслуживание системы. Но, как мы знаем, теоретическая угроза, редко когда побуждает принимать решения по защите. Кроме того, если обслуживающая или эксплуатарующая компания находится на подряде, то вряд ли она в этом заинтересована. И как говорится, пока жареный петух не клюнет...

Нужно ли разработать единую методику подсчета окупаемости инвестиций в кибербезопасность IP-систем видеонаблюдения?

- Единая методичка? Не демаю, что это возможно. Вот как можно оценить ущерб от "слива" в сеть видео, где работник предприятия, например, разбавляет молоко? Или сколько стоит реальная утечка персональных данных? Сколько стоит репутация компании? Руководитель предприятия наверняка осознает, к чему может привести халатное отношение к сетевой безопасности и информационной безопасности, но мне кажется, что он должен быть в первую очередь осведомлен о состоянии дел на предприятии. Но как и кто донесет ему эту информацию - это уже совсем другая история.