In a cybersecurity Wild West, look for the Sheriffs!

Cancel

Resetuj

Prześlij

września 04, 2020

W ostatnim czasie media coraz częściej przyrównują świat cyberbezpieczeństwa do „Dzikiego Zachodu”. Gorącym tematem pozostaje szeroka gama urządzeń, jakie możemy podłączyć do sieci. Wśród nich znaleźć możemy kamery bezpieczeństwa. Urządzenia podłączane do sieci to w rzeczywistości komputery wykorzystujące oprogramowanie, co czyni je podanymi na ataki. Jak mówił znany ekspert od cyberbezpieczeństwa, Mikko Hypponen: „ Jeżeli urządzenie jest inteligentne, jest też podatne na ataki!”.

Hypponen ma rację. Każdego dnia, w oprogramowaniu różnego rodzaju znajduje się nowe luki. W 2019 roku ponad 12 000 luk w zabezpieczeniach na całym świecie zostało upublicznionych i zgłoszonych jako podatność CVE (ang. Common Vulnerability and Exposure) w amerykańskiej Krajowej Bazie Podatności (ang. National Vulnerability Database - NVD). Niestety, luki w zabezpieczeniach są nieuniknione. To, co jest tak naprawdę istotne, to jak producent sobie z nimi radzi.

Świadomość, że luki w zabezpieczeniach istnieją, jest kluczowa jeśli chcesz chronić siebie, swój biznes oraz Internet. Ważne jest również to, by zrozumieć, że luki nie są synonimem tzw. „backdooru” i nie muszą oznaczać niskiej jakości sprzętu.

Są firmy, które wprowadzają zabezpieczenia do swoich procesów rozwojowych tak, by zmniejszyć ryzyko ataku. Ich działanie można przyrównać do pracy szeryfów, którzy dbają o bezpieczeństwo Dzikiego Zachodu.

Hikvision i Secure-by-Design

Podobnie jak w przypadku innych urządzeń podłączanych do sieci, kamery bezpieczeństwa, są podatne na cyberataki. Na szczęście ich producenci mogą znacznie zmniejszyć ryzyko zagrożenia już na etapie produkcji, dzięki procesowi zwanemu Secure-by-Design.

Wdrożenie tego rozwiązania wymaga zaangażowania zespołu zarządzającego producenta oraz poważnych inwestycji w zasoby i technologie, co może skutkować dłuższym procesem produkcyjnym i wyższym kosztem urządzenia. Cena jest zwykle powodem, dla którego producenci rezygnują z procesu Secure-by-Design. Taki krok pozwala im obniżyć koszt produkcji sprzętu.

Jako producent urządzeń podłączanych do sieci, Hikvision traktuje bezpieczeństwo i prywatność klientów bardzo poważnie, dlatego proces Secure-by-Deisgn jest zawsze jednym z elementów produkcyjnych. Kierownictwo firmy wspiera proces, a nawet stworzyło dedykowaną wewnętrzną grupę odpowiedzialną za cyberbezpieczeństwo produktów. Należący do niej pracownicy to również osoby kontaktowe w kwestiach związanych z cyberbezpieczeństwem.

Tzw. cykl życia rozwoju zabezpieczeń Hikvision (ang. Hikvision Security Development Life Cycle - HSDLC) jest istotną częścią programu bezpieczeństwa cybernetycznego Hikvision. Testy cyberbezpieczeństwa są przeprowadzane na każdym etapie rozwoju produktu - od koncepcji po dostawę. Przykładem jest testowanie produktu, które ma miejsce podczas fazy weryfikacji. Hikvision współpracuje regularnie ze znanymi firmami z branży bezpieczeństwa oraz platformami testowymi. Czy oznacza to, że wszystkie produkty Hikvision są odporne na ataki hakerów? Niestety, nikt nie może tego zagwarantować. Jednakże oznaczenie HSDLC to gwarancja, że producent dołożył wszelkich starań, aby produkty były tak bezpieczne, jak to tylko możliwe.

Oprócz procesu Secure-by-Design, Hikvision otworzyło w 2018 roku w Kalifornii własne laboratorium – Centrum przejrzystości kodu źródłowego (ang. Source Code Transparency Center - SCTC). Było to pierwsze takie miejsce na całym świecie. W kalifornijskim centrum władze USA, Kanady oraz organy ścigania mogą przeglądać i oceniać kody źródłowe urządzeń Hikvision (kamer IP i sieciowych rejestratorów wideo).

Trzeba jednak podkreślić, że żaden produkt nie może gwarantować 100% bezpieczeństwa. Hikvision opracowało specjalny Program Zarządzania Podatnościami, dzięki któremu może reagować zawsze wtedy, gdy wykryte zostanie zagrożenie. Do tej pory luki w zabezpieczeniach, które zostały zgłoszone firmie Hikvision lub podane do wiadomości publicznej, zostały załatane w najnowszym oprogramowaniu Hikvision, które jest dostępne na stronie internetowej Hikvision. Dodatkowo firma Hikvision uzyskała status CVE Numbering Authority i zobowiązała się do dalszej współpracy z zewnętrznymi hakerami-testerami oraz ekspertami ds. bezpieczeństwa w celu wyszukiwania, poprawiania i publicznego udostępniania aktualizacji produktów. Luki są gromadzone w Krajowej Bazie Podatności i są dostępne publicznie. Firma Hikvision zaleca, by klienci, którzy są zainteresowani zakupem kamer bezpieczeństwa, zawsze pytali o poziom zabezpieczenia sprzętu przez producenta oraz o to, czy mają oni odpowiednie procedury w przypadku zgłoszenia luki przez użytkownika.

Pytania związane z cyberbezpieczeństwem

Cyberbezpieczeństwo to kwestia, którą musimy traktować poważnie i która powinna odgrywać kluczową rolę w procesie rozwoju produktu, począwszy od fazy koncepcyjnej. Wymaga to czasu, pieniędzy oraz wiedzy.

Skup się na następujących pytaniach:

Czy ufam producentowi taniej kamery?
Czy ten producent posiada dział zajmujący się cyberbezpieczeństwem?
Czy ten producent gwarantuje załatanie potencjalnych luk w oprogramowaniu?

Są to pytania, które każdy z nas powinien zadać sobie podczas zakupu kamery lub innego dowolnego produktu podłączanego do sieci.

Nigdy nie możemy mieć 100% gwarancji bezpieczeństwa, ale Hikvision robi wszystko, by oferowany przez firmę sprzęt spełniał najwyższe standardy cyberbezpieczeństwa. Współpraca z klientami, instalatorami, dystrybutorami i partnerami, a także przejrzystość to kluczowe elementy niezbędne do stworzenia bezpiecznych urządzeń.

Gdy czytasz wiadomości o cyberbezpieczeństwie, wyjrzyj poza nagłówki i postaraj się dowiedzieć więcej o producentach sprzętu. Przed zakupem kamery monitoringu lub każdego innego urządzenia korzystającego z dostępu do sieci, sprawdź jakie są praktyki firmy. Postaraj się wybrać producenta, który łata luki w oprogramowaniu, dostosowuje się do zasad Secure by Design i Privacy by Design oraz zatrudnia specjalistów ds. cyberbezpieczeństwa, którzy są gotowi i chętni do pomocy.