Кибербезопасность систем видеонаблюдения

Круглый стол в журнале "Технологии Защиты"

Эксперты отвечают на вопросы журнала "Технологии Защиты"

Сегодня никто не отрицает серьезность проблемы кибербезопасности вообще и IP-систем видеонаблюдения в частности. Но почему снова и снова производители систем и нормальные пользователи оказываются в роли «обороняющихся»? Что мешает уже при разработке решений учитывать тот факт, что IP-камера, подключенная к интернету, это, по сути, компьютер, который потенциально может представлять интерес для хакеров?


Станислав Гучиа
директор по работе со стратегическими клиентами Axis Communications

Представленные на рынке IP-камеры условно можно разделить на ОЕМ-продукты и устройства, производители которых сами разрабатывают чипы и камеры.

Последние, в том числе и наша компания, в каждой новой прошивке, в каждом новом чипе предусматривают всю необходимую защиту от вторжений, алгоритмы которых уже известны. Безусловно, невозможно обеспечить стопроцентную защиту системы от всех возможных угроз, но мы можем проанализировать вторжения, которые произошли, и уже известные угрозы. Поэтому в каждой новой версии наших чипов и прошивки мы стараемся усилить защиту тех слабых мест, которые нам известны. К сожалению, компании, работающие на OEM-основе, не имеют такой возможности, поэтому их оборудование и системы менее защищены.

Наша компания работает на различных вертикальных рынках, и мы очень хорошо понимаем задачи и сложности соответствующих вертикалей и специфических сред. В частности, в транспортном сегменте очень серьезное внимание уделяется вопросам киберзащиты. Есть специальные нормативные документы, обязывающие производителей оборудования для данного сегмента обеспечивать соответствующую степень защиты своих систем. Кроме того, 26 июля 2017 года был принят Федеральный закон № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». А с 1 января 2018 года вступила в силу статья 274.1. главы 28 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Наша компания анализирует информацию о любых возможных потенциальных и реальных атаках, быстро реагирует и учитывает это в своих продуктах, а также предупреждает о возможных угрозах своих пользователей.


Константин Сапожников
ведущий эксперт Bosch Security and Safety Systems

Здесь необходимо поговорить о нескольких факторах. Во-первых, рынок систем безопасности долгое время был достаточно консервативен, поэтому о многих проблемах IT-индустрии применительно к системам безопасности долгое время просто не задумывались. Однако сегодня мы видим, что сегмент видеонаблюдения Кибербезопасность систем видеонаблюдения является крайне динамичным и быстроразвивающимся, постоянно внедряются новые технологии, в погоне за новыми рынками сбыта производители часто обновляют линейки оборудования, иногда не уделяя должное внимание вопросам тестирования на предмет безопасности новых продуктов.

Кроме этого, заказчики в погоне за оптимизацией бюджетов часто выбирают недорогое, ориентированное в основном на бытовое применение, оборудование, для защиты средних и крупных объектов. Кроме того, установка систем видеонаблюдения имеет тенденцию к упрощению, и, по сути, многие небольшие и даже средние объекты до нескольких сотен камер сегодня можно запустить по принципу Plug-and-Play. К сожалению, быстрота запуска системы иногда не позволяет в полной мере реализовать весь комплекс мер, направленных на ее защиту.


Юрий Цывинский
руководитель технической поддержки IDIS

То, что производители и пользователи «обороняются» - это нормальный процесс, было бы странно увидеть их в роли «атакующих». Но если без шуток, то большинство производителей полагают, что задача по обеспечению защиты должна решаться пользователем и, в лучшем случае, будет достаточным предоставить рекомендации по решению этой задачи. А пользователь, прошу обратить внимание, не интегратор, а именно пользователь считает, что производитель и интегратор уже обеспечили его защиту. Что касается разработки решений, то производителей, определяющих проблему сетевой безопасности как приоритетную, можно пересчитать на пальцах одной руки.


Тед Тиан
директор департамента продуктов и решений Dahua Technology

Производители и пользователи всегда уделяли огромное внимание безопасности продукции. Наша компания учитывает не только надежность системы, но и основные аспекты всего цикла разработки: проектирование, производство и обновления с целью защиты от уязвимостей. Базовый уровень безопасности должен обеспечивать защиту и возможность противостоять различным атакам.

Важно, наряду с пассивным управлением при устранении уязвимостей и реагированием на инциденты, принимать активные меры против бэктрекинга; опираясь на отчеты по анализам первопричин возникновения уязвимостей, использовать цикл разработки безопасного программного обеспечения (SDL), который позволяет повышать безопасность продукции при проектировании. Серьезные производители обязательно проводят оценку сетевой безопасности и проверку продукции на основе моделирования угроз, анализа атак и библиотеке схем атак, полностью имитируя различные атаки.

Хорошо, если к этой работе привлекаются сторонние эксперты, которые проводят проверки безопасности, защиты конфиденциальности, соответствия, комплексные испытания и оценку продукции, после чего составляются отчеты по оценке безопасности продукции на уровне отрасли.


Денис Ляпин
региональный тренер в Восточной Европе Axis Communications

В роли обороняющихся и производители, и пользователи будут до тех пор, пока существуют хакеры. Взломать можно любую систему, вопрос лишь в ресурсах и затраченном времени. Другое дело, когда для взлома и большой квалификации не требуется. Это говорит о том, что квалификации не хватило или у поставщика, или у интегратора, или конечного потребителя.

Кибербезопасность для поставщика – это не продукт или характеристика камеры, которые можно купить и поставить галочку, что он есть. Это целый процесс, который выстраивается не за один день. И сюда относится не только повышение защищенности устройств, но и процедуры, технологии, инструменты. Нельзя просто так взять и приобрести зрелось в этом аспекте, если за прошедшие условные 10 лет внимания этому уделялось крайне мало.

Кибербезопасность для интегратора начинается с собственных знаний, доверия определенному поставщику, следованию его рекомендациям и требованиям конечного потребителя. В системах безопасности, в которых наиболее часто применяются системы видеонаблюдения, осведомленность о киберугрозах если и растет, то что с этим делать зачастую все еще не понятно, поскольку требуются специалисты. А это – инвестиции в знания либо собственных сотрудников, либо наем дополнительных. Нет сомнения в том, что интеграторы с определенной экспертизой в этом вопросе будут иметь больший спрос на свои услуги.

Кибербезопасность для конечного потребителя так же заключается в знаниях, требованиях к поставщикам услуг и оборудованию. Чем меньше знаний, тем меньше требований. Поэтому внутреннее взаимодействие отдела, отвечающего за внедрение системы видеонаблюдения с IT-департаментом предприятия необходимо. Только благодаря совместным усилиям и могут появиться процедуры отбора поставщиков оборудования, требования к инсталляции новых и обслуживанию имеющихся устройств, которые помогут снизить риски киберугроз.

Только когда все три участника, а иногда – с учетом проектной организации – четыре, осведомлены о проблеме и уделили ей должное внимание, риски сведены к минимуму.

Какова специфика хакерских атак с использованием таких объектов, как IP-камеры и сетевые видеорегистраторы?


Константин Сапожников
ведущий эксперт Bosch Security and Safety Systems

Специфика во многом определяется задачами злоумышленников. Сегодня можно выделить несколько основных целей, которые часто преследуются при атаках. Это, во-первых, использование ресурсов системы не по назначению. Во-вторых, нарушение доступности системы. И в-третьих, перехват изображений и/или метаданных.

Для камер довольно часто нападение ведется по следующим векторам: использование незащищенных соединений (например, http); уязвимые пароли или недостаточно частая их смена; возможность выполнения стороннего программного кода на уровне микропрограммного обеспечения камеры; выполнение криптографических операций для аутентификации и шифрования вне модуля доверенной платформы (TPM); изменение конфигурации и настроек оборудования без ведома пользователя.

Если говорить об устройствах записи и хранения на базе UNIX, то справедливы большинство пунктов, относящиеся к камерам. При этом устройства на базе ОС Windows имеют следующие особенности: отсутствие безопасного управления правами доступа пользователей (например, через Microsoft Active Directory); использование недостаточно надежных механизмов аутентификации доступа; отсутствие регулярных обновлений.


Юрий Цывинский
руководитель технической поддержки IDIS

Говоря о специфике, мы имеем право ссылаться на авторитетное мнение экспертов, таких, например, как антивирусный эксперт Лаборатории Касперского Денис Легезо или на исследования Positive Technologies. Атаки на видеокамеры свойственно «хактивистам», пранкерам, вуайеристам, иногда для организации DDOS-атак, но атака на систему видеонаблюдения, включающую в себя сетевое оборудование и серверы – один из вариантов преодоления сетевого периметра, для получения доступа в локальную сеть предприятия и выполнения произвольного кода, и этот способ так же доступен реальным профессиональным хакерам, целью которых является получение финансовых выгод.


Тед Тиан
директор департамента продуктов и решений Dahua Technology

Пользователи применяют ненадежные пароли для входа в аккаунт или не меняют пароли регулярно и не меняют пароли по умолчанию, как рекомендует производитель. Они настраивают прямое подключение устройств к сети интернет без какой-либо защиты, в результате чего возможен несанкционированный доступ. Не обращают внимание на предупреждения производителей сетевого оборудования по поводу безопасности и несвоевременно обновляют системы.

Хакеры используют словарь паролей для взлома. Они составляют вредоносные сообщения, необходимые для атаки на нормально работающие сервисы, а для совершения атак покупают информацию о подключении устройств (например, IP-адреса, номера аккаунтов и пароли) по незаконным каналам. Для проведения атак сетевых устройств хакеры используют уязвимости операционных систем (Windows или Linux). Слабая сетевая IT-инфраструктура позволяет им осуществлять атаку на внутренние сети. Для атак на сетевое оборудование хакеры используют Dos/DDos, вызывая сбои в работе сетевого оборудования. Хакеры используют сетевые атаки, ограниченные сети, локальные атаки, ближние атаки и другие. Они пользуются тем, что клиенты несвоевременно обеспечивают обновление ПО сетевого оборудования и используют N DAY уязвимости.


Денис Ляпин
региональный тренер в Восточной Европе Axis Communications

Наиболее массовое распространение имеют атаки, в которых используются известные уязвимости устройств, пароли устройств по умолчанию или слишком простые пароли. Сюда можно отнести DDOS-атаки, майнинг. Среди атак, более чувствительных для владельца устройств, можно назвать сброс на заводские настройки, смена паролей на устройствах. Реже – это нацеленные атаки на систему конкретного предприятия или другие системы предприятия, слабым звеном в котором могут являться устройства видеонаблюдения. Ущерб от нацеленных атак может быть еще выше.

Проблемы защиты IP-систем видеонаблюдения невозможно решить, что называется, в одностороннем порядке, учитывать новые вызовы должны все стороны. В связи с этим: что должны делать производители? Системные интеграторы? Конечные заказчики / службы безопасности?


Станислав Гучиа
директор по работе со стратегическими клиентами Axis Communications

Так как IP-камера является одним из элементов IP-инфраструктуры, то она уязвима, как и другие элементы. Поэтому большая ответственность за обеспечение защищенности лежит на вендоре, который должен постоянно заниматься анализом произошедших атак, чтобы обеспечить возможность внедрить в камеру все необходимые компоненты и системы, максимально защищающие ее от уже известных угроз.

Системным интеграторам важно понимать, что вся построенная ими система должна быть адекватно защищена от возможных угроз. Необходимо, чтобы все компоненты и система в целом имели определенный уровень защиты. Нет смысла использовать в системе только один защищенный элемент, так как в итоге вся система оказывается уязвимой так же, как если бы все элементы были не защищены.

Что касается конечного заказчика, то это более сложный вопрос. Для различных вертикалей существуют свои законы и требования к системам безопасности. Так, в транспортной вертикали действует закон о необходимом уровне кибербезопасности. Конечный заказчик должен четко понимать, какие требования существуют в данной вертикали, и строить систему в соответствии с ними. При этом службы безопасности конечного заказчика должны учитывать и тот факт, что даже если система защищена, важно, чтобы эксплуатирующая сторона четко выполняла правила и требования эксплуатации, в том числе и требования к киберзащите.


Константин Сапожников
ведущий эксперт Bosch Security and Safety Systems

Производитель, прежде всего, должен постоянно обеспечивать всестороннее тестирование своих продуктов на устойчивость к киберугрозам. Помимо этого, очень важна информационная составляющая: интеграторы и заказчики должны получать весь необходимый инструментарий для обеспечения и поддержания безопасности систем видеонаблюдения. Заказчикам важно правильно проводить оценку рисков и рассчитывать вложения не только на установку, но и на поддержание своей системы в актуальном состоянии.


Юрий Цывинский
руководитель технической поддержки IDIS

Производители, которым важна их репутация, должны применять современные подходы по сетевой безопасности. Крайний раз, для того, чтобы попасть в интерфейс настроек камеры, мне пришлось разрешить в браузере выполнять все, что только возможно. Для сервисных функций многие оставляют backdoor. Что касается конечных пользователей, интеграторов, у многих подход такой: если работает – не трогай. Поэтому операционные системы, прошивки не обновляются, следовательно, при выпуске производителем обновлений, устраняющих уязвимости, они не применяются. И важно внедрять на предприятиях, патч-менеджмент, но, к сожалению, не на всех системах обновления возможны, особенно это касается систем, собранных из компонентов разных производителей.


Тед Тиан
директор департамента продуктов и решений Dahua Technology

Производители несут ответственность за безопасность продукции на базовом уровне цикла исследований и разработок SDL, а также за обеспечение безопасности сетевых системных устройств. Уровень качества безопасности продукции, защита конфиденциальности, моделирование угроз, испытания безопасности, комплексные испытания, управление уязвимостями и реагирование на инциденты совершенствуются на всестороннем уровне. Обеспечиваются решения для обеспечения безопасности продукции и процедуры обновления и восстановления, связанные с безопасностью.

Важно оценивать риски для сетевой безопасности по всей производственно-сбытовой цепочке и принимать многочисленные меры: передовые технологии, брошюры, новостные письма, распространяемые по онлайн-каналам, информацию о безопасности в руководствах для продукции или при проведении офлайн-обучения клиентов, что обеспечивает повышение возможностей контроля конфигурации и осведомленность о проблемах безопасности для системных интеграторов, инсталляторов и конечных пользователей. Пользователи получают более защищенную продукцию, при этом партнеры и клиенты знают особенности правильной эксплуатации устройств.

Системные интеграторы несут ответственность за установку оборудования, чтобы не допускать возникновения дефектов или уязвимостей, которые могут использоваться злоумышленниками или нарушать политику безопасности систем из-за неправильной эксплуатации.

Привычки конечных пользователей являются еще одним важнейшим аспектом безопасности сетевого оборудования. Даже если безопасность постоянно повышается, пользователи должны принимать надлежащие меры защиты, в противном случае, риск быть подвергнутым атаке никуда не исчезнет. При использовании системы пользователи должны устанавливать сложные пароли, а также регулярно их менять. Пользователи должны менять пароли по умолчанию в соответствии с рекомендациями производителя, регулярно внедрять новые процедуры и осуществлять доступ в сеть согласно необходимым сценариям применения. Не рекомендуется напрямую подключаться к сети интернет. Если конечный пользователь, это предприятие/команда, необходимо провести обучение сотрудников по обеспечению безопасности, научить их понимать известные риски для безопасности, обнаруживать риски в процессе эксплуатации и своевременно сообщать о них службе безопасности, чтобы были приняты необходимые меры.


Денис Ляпин
региональный тренер в Восточной Европе Axis Communications

Кибербезопасность – общая ответственность. Производители: повышение защищенности своих устройств, своевременное устранение уязвимостей, применение лучших IT-практик в своих изделиях, выпуск и регулярное обновление руководств по усилению защиты выпускаемых устройств, выпуск профессиональных инструментов для обслуживания устройств и поддержания их киберзащиты, открытость в случае обнаружения уязвимости, публикация отчетов об уязвимостях, взаимодействие с участниками рынка с целью повышения их осведомленности и экспертизы.

Конечные потребители и интеграторы: инвестирование в знания и повышение осведомленности и экспертизы сотрудников, взаимодействие департаментов с IT, четкое понимание процедур и ответственности, оценка рисков, ответственный подход при выборе поставщика, следование рекомендациям по усилению защиты поставщика системы (открытые порты, обновление прошивок, сложные пароли, смена паролей, распределение прав доступа, VPN, использование сертификатов HTTPS, 802.1x и пр.), своевременное обслуживание программного и аппаратного обеспечения, инвентаризация, документирование.

Проектировщики: повышение знаний для возможности составления требований к функционалу и технологиям по киберзащите в устройствах (протоколы, сертификаты и пр.), наличие профессионального служебного ПО для обслуживания устройств и повышения их киберзащиты.

Почему многие руководители компаний не спешат внедрять решения, необходимые для обеспечения кибербезопасности IP-систем видеонаблюдения?


Станислав Гучиа
директор по работе со стратегическими клиентами Axis Communications

Часто руководители не понимают серьезность этого вопроса, так как не сталкивались с подобными угрозами, и им кажется, что это истории из какого-то фантастического фильма. Хотя случаи кибератак происходят все чаще и чаще. Это связано еще и с тем, что сегодня система видеонаблюдения, как правило, интегрирована в другие системы, и угроза может прийти с любой подсистемы или компонента. Поэтому крайне важно, чтобы все элементы системы были соответствующим образом защищены. Мы на встречах с заказчиками всегда очень подробно рассказываем о возможных угрозах, обучаем правильному применению оборудования для обеспечения необходимого уровня защиты систем.


Константин Сапожников
ведущий эксперт Bosch Security and Safety Systems

Отчасти это связано с тем, что в настоящий момент не всегда легко провести оценку рисков, связанных с атаками на подобные системы. Поэтому необходимость каких-либо дополнительных действий кажется неочевидной, а иногда и просто ненужной. Кроме этого, можно отметить, что специалисты по видеонаблюдению, на мнение которых, в том числе, опирается руководитель при принятии решений, только недавно начали массово повышать свои компетенции по этому вопросу и не всегда могут в полной мере провести необходимый комплекс процедур для комплексного анализа ситуации и выработке правильного подхода. Со стороны производителей сегодня, безусловно, наблюдается повышение внимания к данной проблематике, но конкретных предложений, например, по каким-либо тематическим семинарам или другим учебным практикам, направленным на практическое применение, на рынке все еще недостаточно.


Юрий Цывинский
руководитель технической поддержки IDIS

Не думаю, что это задача руководителей компании. Обоснованием внедрения и самим внедрением должны заниматься IT-специалисты, или те, кто отвечает за эксплуатацию и обслуживание системы. Но, как мы знаем, теоретическая угроза, редко когда побуждает принимать решения по защите. Кроме того, если обслуживающая или эксплуатирующая компания находится на подряде, то вряд ли она в этом заинтересована. И как говорится, пока жареный петух не клюнет…


Денис Ляпин
региональный тренер в Восточной Европе Axis Communications

В первую очередь, нужно приобретать не решения, а инвестировать в собственные знания, чтобы повысить осведомленность о наличии такой проблемы и уметь сформировать требования к любой приобретаемой системе с точки зрения кибербезопасности, наладить контакт между департаментами. Ну и, конечно же, отсутствие бюджетов на подобные решения не способствует решению проблем.

Что касается систем видеонаблюдения, в большинстве случаев речь идет даже не о решении для обеспечения кибербезопасности, а о выборе поставщика, которому оказывается доверие стать частью сети предприятия, потому что в комплекте с системой видеонаблюдения заказчик получает (или не получает, если его нет) накопленный опыт производителя, реализованный в своей системе. Но так же часто выбор делается по принципу наименьшей цены.

Нужно ли разработать единую методику подсчета окупаемости инвестиций в кибербезопасность IP-систем видеонаблюдения?


Станислав Гучиа
директор по работе со стратегическими клиентами Axis Communications

Считаю, что этого делать не нужно, так как каждая система абсолютно индивидуальна, поэтому практически невозможно разработать методику расчета. Безусловно, необходимо учитывать возможные угрозы при разработке и производстве оборудования, чтобы максимально защитить свои продукты от нежелательных вмешательств, но рассчитать, насколько это окупается, невозможно. Это является своего рода страховкой.


Константин Сапожников
ведущий эксперт Bosch Security and Safety Systems

Безусловно, очень важно вести планомерную работу в этом направлении.


Юрий Цывинский
руководитель технической поддержки IDIS

Единая методичка? Не думаю, что это возможно. Вот как можно оценить ущерб от «слива» в сеть видео, где работник предприятия, например, разбавляет молоко? Или сколько стоит реальная утечка персональных данных? Сколько стоит репутация компании? Руководитель предприятия наверняка осознает, к чему может привести халатное отношение к сетевой безопасности и информационной безопасности, но мне кажется, что он должен быть в первую очередь осведомлен о состоянии дел на предприятии. Но как и кто донесет ему эту информацию – это уже совсем другая история.


Тед Тиан
директор департамента продуктов и решений Dahua Technology

С точки зрения рентабельности инвестиций эту проблему сложно оценить. Кибербезопасность – это распространенная проблема, с которой сталкиваются многие компании. Все, что мы можем сделать – быть ответственным производителем, активно реагировать на новые схемы сетевых атак и быстро разрабатывать средства защиты от новых уязвимостей. Наша группа реагирования на инциденты в области сетевой безопасности (PSIRT) имеет статус CNA в Mitre.Org и отвечает за получение и подтверждение всех проблем безопасности для продукции нашей компании. В то же время в соответствии со стандартами и нормами по реагированию на инциденты форума FIRST.Org, мы предоставляем уведомления об инцидентах и мерах реагирования на уязвимости, что обеспечивает безопасность для наших клиентов и конечных пользователей.


Денис Ляпин
региональный тренер в Восточной Европе Axis Communications

Подсчет окупаемости инвестиций в кибербезопасность обычно заключается в оценке рисков от киберугроз (вероятность и ущерб) и принятию соответствующих мер, причем в целом по предприятию. Системы видеонаблюдения могут иногда выпадать из фокуса и не учитываться, так как относятся к другому департаменту. Поэтому, как упоминалось выше, взаимодействие с IT-командой и строгое следование регламентам крайне важны.

Как таковую, окупаемость инвестиций в кибербезопасность оценить сложно, ведь речь идет больше о превентивной мере, о том что не случится/случится с меньшей вероятностью и какого ущерба удастся избежать/минимизировать. А риски и потенциальный ущерб у всех компаний свои, поэтому универсальную формулу на них наложить сложно.

Однако, если возвращаться к IP-системам видеонаблюдения и наличию у производителя оборудования и решений удобных инструментов обслуживания и сопровождения системы, то можно рассчитать по временным затратам стандартный подход и подход с использованием этих инструментов. Так можно показать значительную экономию по времени, которую можно перевести и в окупаемость. Но данный пример опять-таки не универсален, так как большинство поставщиков имеют служебное ПО и другие инструменты начального уровня, и разброс в функционале будет значительным.

Поэтому в первую очередь нужно помнить о том, что инвестиции в кибербезопасность – это мера превентивная. На окупаемость и снижение совокупной стоимости владения (Total Cost of Ownership) будут больше влиять качественные характеристики и технологии в приобретаемой системе или ее отдельных устройствах.