Последствия взлома систем видеонаблюдения могут быть весьма печальны, начиная с утечки персональной информации и нарушения коммерческой тайны и заканчивая нарушением работы систем жизнеобеспечения, что, в свою очередь, ставит под угрозу жизнь и здоровье граждан. Ведь сейчас достаточно часто система виденаблюдения является частью единой системы автоматизации и безопасности здания (BMS – building management system), и нарушения работы системы контроля доступа и пожарной безопасности могут иметь травматические последствия для людей.
Ситуация с уязвимостями физической безопасности напоминает известную многим ситуацию с безопасностью IP-телефонии: когда систему телефонии переводили с TDM на IP, о сопутствующих IT-рисках часто забывали. Как следствие, могло иметь место мошенничество со звонками или нарушение доступности телефонии.
Системы видеонаблюдения выбираются, разрабатываются и внедряются департаментами физической безопасности, которые обычно достаточно далеки от анализа современных IT-угроз. Департаменты IT и IT-безопасности в лучшем случае привлекаются на этапах подключения систем в сеть предприятия. Иногда даже для видеонаблюдения строятся отдельные каналы связи и отдельный выход в Интернет, которые тоже редко обеспечивают защиту в соответствии со стандартами безопасности предприятия. Эксплуатация данных систем тоже осуществляется независимо от IT-процессов. А, как следует из упомянутого исследования, уязвимости видеонаблюдения часто связаны с уязвимостями операционных систем общего назначения, на которых установлено специализированное ПО.
Риторический вопрос «Что делать?»
Во-первых, необходимо организационно привлекать IT-специалистов и службу информационной безопасности к проектам по IP-видеонаблюдению. Ведь IP-видеонаблюдение — это еще один сервис сети, и если разложить этот сервис на компоненты (IP-камеры, сеть, ОС, ПО видеонаблюдения, система хранения, база данных, периметр подключения в корпоративную сеть и Интернет), то окажется, что потенциальные риски и уязвимости большинства этих компонент стандартны. Между тем меры защиты давно наработаны и известны. Очень много серверов видеонаблюдения работают поверх уcтаревших Windows 2000/2003. Простая установка патчей на Windows устраняет значительную часть уязвимостей. Кстати, Сisco в продуктах для физической безопасности изначально использовала ОС Linux, в отношении которой опубликовано меньшее количество уязвимостей по сравнению с указанными версиями Windows .
В-третьих, необходимо регулярно проводить аудит безопасности систем видеонаблюдения на предмет уязвимостей ПО, ошибок конфигураций, старых, “забытых” административных учетных записей и прочего. Для этого, наряду со сканерами уязвимостей общего назначения (коих великое множество), можно порекомендовать специализированные утилиты, такие как VideoJak и UCSniff.
