În 2021, firma de securitate cibernetică Cyfirma a descoperit o problemă critică de securitate în software-ul unui producător important de sisteme de supraveghere, care putea permite controlul neautorizat al camerelor de supraveghere. În ciuda unui patch de securitate rapid, peste 80.000 de camere au rămas în pericol un an mai târziu. Grupuri rău intenționate au exploatat aceste vulnerabilități, vizând infrastructura și serviciile întreprinderilor din peste o sută de țări și afectând peste 2 300 de organizații.
Scopul principal al sistemelor de supraveghere este de a proteja bunurile fizice, însă securitatea inadecvată sau gestionarea deficitară pot transforma sistemul de supraveghere într-o vulnerabilitate care expune întreprinderile la încălcări ale securității datelor și la amenințări de securitate cibernetică. Prin urmare, gestionarea meticuloasă a securității acestor sisteme este esențială, necesitând o evaluare atentă în timpul selecției, implementării și întreținerii.
Având în vedere natura complexă a securității sistemelor de supraveghere și gestionarea resurselor necesare pentru a menține o implementare la nivel de întreprindere, Synology recomandă companiilor să își facă timp pentru a evalua meticulos potențialele vulnerabilități ale sistemului lor. Această evaluare trebuie să includă securitatea sistemului pentru a proteja infrastructura IT, securitatea transmisiei pentru a evita încălcarea securității datelor, securitatea datelor pentru a menține integritatea video și securitatea redundanței pentru a asigura funcționarea neîntreruptă.
Securitatea sistemelor și a dispozitivelor
Conform cercetării realizate de Palo Alto Networks, 70% din incidentele de securitate cibernetică provin fie din phishing, fie din vulnerabilități software. Acest lucru evidențiază importanța de a începe cu securitatea sistemului și a permisiunilor atunci când se menține siguranța unui sistem de supraveghere.
Primul aspect de luat în considerare este securitatea sistemului: luați în considerare frecvența cu care VMS (Video Management System) sau producătorii de dispozitive își actualizează software-ul, promptitudinea cu care remediază vulnerabilitățile de securitate și costurile continue pentru actualizări și asistență. Un răspuns rapid este esențial pentru a preveni infiltrarea programelor malware în sisteme după ce a fost descoperită o vulnerabilitate. Acest lucru este deosebit de important atunci când rețeaua nu este apărată corespunzător, lăsând dispozitivele expuse atacurilor de tip zero-day.
Synology, de exemplu, are o echipă dedicată de răspuns la incidente de securitate (SIRT) care abordează cu promptitudine vulnerabilitățile CVE, cu scopul de a rezolva problemele cu impact ridicat în termen de 24 de ore. Cu toate acestea, pentru ca acest tip de asistență să fie eficient în remedierea vulnerabilităților și prevenirea atacurilor, administratorii trebuie, de asemenea, să actualizeze periodic sistemul pentru a-l menține la cea mai recentă versiune.
Dincolo de exploatarea directă a deficiențelor de securitate, hackerii pot obține acces la sistem prin phishing sau inginerie socială, ceea ce face esențial controlul detaliat al permisiunilor. Sistemele de supraveghere permit de obicei setări de permisiuni bazate pe roluri, dar la Synology am observat că multe companii cad într-o abordare binară a permisiunilor, acordând acces nelimitat la nivel înalt tuturor managerilor și acces minim de bază întregului personal de securitate. Această distribuție a responsabilității poate duce la o varietate de probleme, dar în special face ca organizația să fie vulnerabilă la daune prin compromiterea identităților utilizatorilor.
Aderarea la principiul privilegiilor minime și distribuirea responsabilităților pot reduce semnificativ riscul de erori sau infiltrare. Ca exemplu, să luăm în considerare un lanț de retail. În acest caz, managerii magazinului ar putea avea autoritatea de a revizui înregistrările și de a ajusta setările camerei, dar ștergerea înregistrărilor ar trebui să necesite aprobarea la nivel superior, în timp ce schimbările drastice, cum ar fi modificarea protocoalelor sistemului, ar fi rezervate corporației.
Synology recomandă un model de securitate de încredere zero cu VMS-ul său, Surveillance Station, sporind securitatea prin autentificare cu doi factori pentru sarcinile critice și chei de criptare pentru vizualizarea înregistrărilor. Acest lucru asigură o securitate robustă prin asigurarea faptului că accesul neautorizat la fișierele video este ineficient fără capacități de decriptare.
Protecția transmisiilor și a înregistrărilor
Indiferent dacă se transmite de la camerele de rețea la serverele de înregistrare sau se accesează datele de pe serverele de înregistrare din partea clientului, există riscul de interceptare în timpul transmisiei. Prin urmare, atunci când achiziționați camere și sisteme de gestionare a supravegherii, asigurați-vă că acestea suportă criptarea HTTPS pentru conexiuni și acces și că imaginile pot fi protejate cu SRTP.
Dincolo de procesul de transmisie, analizați dacă sistemul de supraveghere dispune de măsuri suplimentare de protecție pentru fișierele video în sine. De exemplu, Surveillance Station oferă funcționalitatea de a adăuga watermark-uri ale contului spectatorului la imagini, ceea ce poate ajuta la urmărirea sursei în cazul în care imaginile sunt divulgate. De asemenea, acesta oferă o funcție de mascare a confidențialității, care permite setarea de zone mascate în timpul înregistrării pentru a proteja informațiile confidențiale.
Copie de rezervă a fișierelor
Organizațiile precum instituțiile financiare și agențiile guvernamentale au adesea nevoie ca imaginile de supraveghere să fie arhivate pentru o perioadă extinsă. Păstrarea corespunzătoare a datelor înregistrate este, de asemenea, o preocupare majoră pentru organizațiile la nivel de întreprindere. Păstrarea și conservarea datelor de supraveghere necesită nu numai spațiu de stocare suficient, ci și backup-uri complete pentru a reduce riscul de pierdere din cauza deteriorării sau ștergerii accidentale. Regula de backup 3-2-1 rămâne o abordare practică a planificării backup-urilor.
Atunci când selectați un sistem de supraveghere, analizați dacă producătorul poate oferi o soluție unică pentru backup multipunct. Soluția Synology oferă întreprinderilor opțiunea de a face copii de siguranță atât pe alte servere, cât și pe destinații cloud. Această soluție de backup poate fi configurată în cadrul Surveillance Station, facilitând configurarea de către administratori și asigurând în același timp conformitatea sistemului cu standardele de backup.
Redundanța serverelor
Un server nu poate înregistra imagini de supraveghere dacă este îndepărtat, oprit sau distrus. Hoții sau persoanele rău intenționate pot interfera cu serverul pentru a se împiedica să fie înregistrați, iar întreruperile serverului pot apărea chiar și fără influență externă. Ce se întâmplă dacă are loc un incident în timp ce serverul de înregistrare este oprit, astfel încât nu sunt salvate înregistrări?
Mecanismele de redundanță asigură că supravegherea continuă să funcționeze atunci când serverul principal de înregistrare este defect, ceea ce este deosebit de important pentru sistemele care ar trebui să funcționeze 24 de ore din 24, 7 zile din 7. Metodele comune de redundanță includ stabilirea HA (High Availability, disponibilitate ridicată), în care organizațiile instalează un server „pasiv” suplimentar care sincronizează constant datele de la serverul „activ”. În cazul în care serverul activ se confruntă cu o întrerupere neașteptată, serverul pasiv preia controlul, continuând să înregistreze imagini și evitând timpii morți.
Pentru a menține securitatea supravegherii, este necesar să se stabilească standarde sistematice și să se adere cu atenție la acestea de-a lungul timpului. Colaborarea cu un furnizor de renume de soluții de supraveghere end-to-end, cu o bună reputație în domeniul securității cibernetice, poate reduce semnificativ volumul de muncă IT în această privință.
Best Practice | Creează o arhitectură de supraveghere sigură și inteligentă cu Surveillance Station
🔗Mai multe informații: Synology Surveillance Station