Блог Владимира Илибмана, менеджера Cisco по продуктам безопасности (http://gblogs.cisco.com/ru/vs/)
Внимание привлекла новость на сайте SecurityLab.ru о том, что, по результатам исследования, проведенного Интернет-партией Украины, 82% украинских систем видеонаблюдения уязвимы перед киберугрозами (http://www.securitylab.ru/news/442320.php). Опустим вопросы политики и легальности методов подобных исследований (в конце концов, никто ведь не отменял статью 361 УК Украины). Сфокусируемся на последствиях и причинах уязвимостей систем физической безопасности.
Последствия взлома систем видеонаблюдения могут быть весьма печальны, начиная с утечки персональной информации и нарушения коммерческой тайны и заканчивая нарушением работы систем жизнеобеспечения, что, в свою очередь, ставит под угрозу жизнь и здоровье граждан. Ведь сейчас достаточно часто система виденаблюдения является частью единой системы автоматизации и безопасности здания (BMS - building management system), и нарушения работы системы контроля доступа и пожарной безопасности могут иметь травматические последствия для людей.
Причин массовых уязвимостей систем видеонаблюдения много, но основная - одна: при внедрении новых систем физической безопасности и видеонаблюдения с использованием IP-протокола зачастую не учитываются сетевые и IT-угрозы. То же самое наблюдается при переходе с традиционных аналогово-цифровых систем на современное IP-видеонаблюдение.
Ситуация с уязвимостями физической безопасности напоминает известную многим ситуацию с безопасностью IP-телефонии: когда систему телефонии переводили с TDM на IP, о сопутствующих IT-рисках часто забывали. Как следствие, могло иметь место мошенничество со звонками или нарушение доступности телефонии.
Системы видеонаблюдения выбираются, разрабатываются и внедряются департаментами физической безопасности, которые обычно достаточно далеки от анализа современных IT-угроз. Департаменты IT и IT-безопасности в лучшем случае привлекаются на этапах подключения систем в сеть предприятия. Иногда даже для видеонаблюдения строятся отдельные каналы связи и отдельный выход в Интернет, которые тоже редко обеспечивают защиту в соответствии со стандартами безопасности предприятия. Эксплуатация данных систем тоже осуществляется независимо от IT-процессов. А, как следует из упомянутого исследования, уязвимости видеонаблюдения часто связаны с уязвимостями операционных систем общего назначения, на которых установлено специализированное ПО.
Риторический вопрос <Что делать?>
Во-первых, необходимо организационно привлекать IT-специалистов и службу информационной безопасности к проектам по IP-видеонаблюдению. Ведь IP-видеонаблюдение - это еще один сервис сети, и если разложить этот сервис на компоненты (IP-камеры, сеть, ОС, ПО видеонаблюдения, система хранения, база данных, периметр подключения в корпоративную сеть и Интернет), то окажется, что потенциальные риски и уязвимости большинства этих компонент стандартны. Между тем меры защиты давно наработаны и известны. Очень много серверов видеонаблюдения работают поверх уcтаревших Windows 2000/2003. Простая установка патчей на Windows устраняет значительную часть уязвимостей. Кстати, Сisco в продуктах для физической безопасности изначально использовала ОС Linux, в отношении которой опубликовано меньшее количество уязвимостей по сравнению с указанными версиями Windows .
Во-вторых, необходимо учитывать рекомендации вендоров систем видеонаблюдения о том, как безопасно установить, настроить и поддерживать видеонаблюдение на протяжении всего жизненного цикла. В качестве примера приведу презентацию с рекомендациями Cisco по построению безопасного видеонаблюдения: http://www.cisco.com/web/UA/expoukraine2011/pdfs/Surveillance_Network_design_amarchen.pdf. Важно, что большинство упоминаемых в презентации рекомендаций и дизайнов являются вендоро-независимыми и применимы при построении видеонаблюдении с использованием решений любого современного вендора видеонаблюдения.
В качестве ценного источника информации для сетевых инженеров при внедрении видеонаблюдения можно также порекомендовать документ, который поможет оценить готовность сети и сетевой безопасности к внедрению IP-видеонаблюдения, а также выработать требования к сетевой инфраструктуре: http://www.cisco.com/en/US/docs/solutions/Enterprise/Video/IPVS/IPVS_Network_Assessment.html#wp46572.
В-третьих, необходимо регулярно проводить аудит безопасности систем видеонаблюдения на предмет уязвимостей ПО, ошибок конфигураций, старых, "забытых" административных учетных записей и прочего. Для этого, наряду со сканерами уязвимостей общего назначения (коих великое множество), можно порекомендовать специализированные утилиты, такие как VideoJak и UCSniff.
Согласитесь, лучше найти уязвимости собственного видеонаблюдения самостоятельно, чем узнать о взломе своей системы из новостей.
Когда эта заметка уже была написана, появилась еще одна новость про безопасность или небезопасность систем видеонаблюдения -http://www.securitylab.ru/news/442517.php. Будьте внимательны!