V roce 2021 odhalila kybernetická bezpečnostní firma Cyfirma kritickou bezpečnostní chybu v softwaru předního výrobce sledovacích zařízení, která potenciálně umožňovala neoprávněnou kontrolu sledovacích kamer. Navzdory rychlé opravě zůstalo ještě o rok později v ohrožení více než 80 000 kamer. Skupiny podvodníků zneužily tyto zranitelnosti, zaměřovaly se na infrastrukturu a služby podniků ve více než stovce zemí a zasáhly více než 2 300 organizací.
Primárním účelem sledovacích systémů je ochrana fyzického majetku. Nedostatečné zabezpečení nebo špatná správa ale může proměnit sledovací systém ve slabinu, která umožňuje prolomení ochrany dat a ohrožuje celkovou kybernetickou bezpečnost. Proto je nezbytná pečlivá správa zabezpečení těchto systémů. Ta vyžaduje pečlivé vyhodnocení výběru, nasazení i údržby.
Vzhledem ke komplexní povaze zabezpečení sledovacího systému a správě zdrojů potřebné k udržení nasazení na podnikové úrovni společnost Synology doporučuje, aby společnosti věnovaly čas na pečlivé posouzení potenciálních zranitelností svého systému. Toto posouzení by mělo zahrnovat:
- zabezpečení systému pro ochranu IT infrastruktury
- zabezpečení přenosu, aby se zabránilo narušení dat
- zabezpečení dat pro zachování integrity videa
- zabezpečení redundance pro zajištění nepřerušovaného provozu.
Zabezpečení systému a zařízení
Podle výzkumu Palo Alto Networks pochází 70 % kybernetických bezpečnostních incidentů buď z phishingu, nebo ze zranitelnosti softwaru. To zdůrazňuje, že při udržování bezpečnosti sledovacího systému je důležité začít se zabezpečením systému a oprávnění.
Prvním kritériem je zabezpečení systému: zvažte, jak často VMS (Video Management System) nebo výrobci zařízení aktualizují svůj software, jak rychle opravují nedostatky v zabezpečení a jaké jsou průběžné náklady na aktualizace a podporu. Rychlá reakce je zásadní pro zabránění malwaru v pronikání do systémů poté, co byla odhalena zranitelnost. To je zvláště důležité, když síť není dostatečně chráněna, takže zařízení jsou vystavena zero-day útokům .
Synology má například specializovaný tým pro reakci na bezpečnostní incidenty (SIRT), který rychle řeší zranitelnosti CVE a snaží se vyřešit závažné problémy do 24 hodin. Aby však tento druh podpory byl účinný při opravování zranitelných míst a odrážení útoků, musejí správci také pravidelně aktualizovat systém, aby jej udržovali na nejnovější verzi.
Kromě přímého zneužití bezpečnostních nedostatků mohou hackeři získat přístup k systému prostřednictvím phishingu nebo sociálního inženýrství, což činí podrobnou kontrolu oprávnění kritickou. Dohledové systémy obvykle umožňují nastavení oprávnění na základě rolí. V Synology jsme ale zaznamenali, že mnoho společností spadá do binárního přístupu k oprávněním, který poskytuje neomezený přístup na vysoké úrovni všem manažerům a minimální základní přístup bezpečnostním pracovníkům. Toto rozdělení odpovědnosti může vést k řadě problémů, ale zejména činí organizaci zranitelnou vůči poškození prostřednictvím kompromitovaných identit uživatelů.
Dodržování principu minimálních oprávnění a rozdělení odpovědností může významně snížit riziko chyb nebo infiltrace. Jako příklad uveďme maloobchodní řetězec. V tomto případě mohou mít manažeři prodejen oprávnění kontrolovat záběry a upravovat nastavení kamery, ale smazání záběrů by mělo vyžadovat schválení vyšší úrovně, zatímco drastické změny, jako jsou změny systémových protokolů, by byly vyhrazeny pro vedení firmy.
Společnost Synology doporučuje model zabezpečení s nulovou důvěrou se svým VMS, Surveillance Station. Ten zvyšuje zabezpečení prostřednictvím dvoufaktorového ověřování pro důležité úkoly a šifrovacích klíčů pro prohlížení záznamů. To zajišťuje robustní zabezpečení tím, že neoprávněný přístup k videosouborům bude bez dešifrovacích funkcí neúčinný.
Ochrana přenosu a záznamu
Při přenosu ze síťových kamer na záznamové servery nebo při přístupu k datům na záznamových serverech ze strany klienta existuje riziko zachycení během přenosu. Při nákupu kamer a systémů pro správu dohledu se proto ujistěte, že podporují šifrování HTTPS pro připojení i přístup a že snímky lze chránit pomocí SRTP.
Kromě procesu přenosu také zvažte, zda má sledovací systém další ochranná opatření pro samotné video soubory. Surveillance Station například nabízí funkci pro přidání vodoznaků účtu diváka do obrázků – to může pomoci vysledovat zdroj, pokud dojde k úniku záběrů. Poskytuje také funkci maskování soukromí, která umožňuje nastavení maskovaných oblastí během nahrávání pro ochranu důvěrných informací.
Záloha souborů
Organizace, jako jsou vládní nebo finanční instituce, často vyžadují archivaci záznamů po delší dobu. Řádné uchování zaznamenaných dat je také hlavním zájmem organizací na podnikové úrovni. Uchovávání dat z kamer vyžaduje nejen dostatečný úložný prostor, ale také kompletní zálohy. Tím výrazně redukuje riziko ztráty v důsledku poškození nebo náhodného smazání. Pravidlo zálohování 3-2-1 zůstává praktickým přístupem k plánování záloh, tzn.:
- 3 kopie dat
- na 2 různých nosičích
- s 1 kopií uloženou mimo pracoviště
Při výběru sledovacího systému zvažte, zda výrobce může poskytnout komplexní řešení pro vícebodové zálohování. Řešení Synology nabízí podnikům možnost zálohovat na jiné servery i do cloudových destinací. Toto zálohovací řešení lze nastavit v rámci Surveillance Station, což správcům usnadňuje konfiguraci a zároveň zajišťuje, že systém vyhovuje standardům zálohování.
Redundance serveru
Pokud je odstraněný, vypnutý nebo zničený, pak server nemůže zaznamenávat záběry z dohledu. Zloději nebo jiní záškodníci mohou narušit chod serveru, aby zabránili nahrávání záznamu. Výpadky serveru mohou ale mohou nastat i bez úmyslného zavinění. Co když dojde k incidentu, když je zrovna záznamový server mimo provoz a neukládá žádné záznamy?
Mechanismy redundance zajišťují, že sledování pokračuje v provozu, i když je primární záznamový server mimo provoz. To je zvláště důležité pro systémy, které mají fungovat 24 hodin denně, 7 dní v týdnu. Mezi běžné metody redundance patří zřízení HA (High Availability), kdy organizace nastavují další „pasivní“ server. Ten neustále synchronizuje data z „aktivního“ serveru. Pokud aktivní server zaznamená neočekávaný výpadek, převezme řízení pasivní server. Ten pokračuje v nahrávání záběrů a zabraňuje prostojům.
Pro udržení bezpečnosti dohledu je nutné stanovit systematické standardy a pečlivě je v průběhu času dodržovat. Spolupráce s renomovaným poskytovatelem komplexních sledovacích řešení s dobrou pověstí v oblasti kybernetické bezpečnosti může v této věci výrazně snížit zátěž IT.
Objevte více informací o Surveillance Station.