Розвінчання міфів про…
Розвінчання міфів про кібербезпеку в індустрії безпеки
“Не варто вірити всьому, що ви читаєте – особливо коли тема настільки ж важлива, як кібербезпека. Ось чому ми вирішили розвінчати деякі поширені міфи про кібербезпеку – допомагаючи вам вибирати виробників пристроїв на основі достовірних фактів, а не на основі уявлень”, – каже Фред Стріфленд, директор з кібербезпеки та конфіденційності в Hikvision EMEA.
Сьогодні кожен може опублікувати свої погляди, думки та версії «правди» у соціальних мережах та на інших онлайн-платформах. Водночас постачальники медіа все більше узгоджуються з іншими зацікавленими сторонами та точками зору – надаючи певну упередженість у висвітленні ними людей та подій.
Через це багато соціальних коментаторів писали, що ми зараз живемо в пост-фактичну епоху, коли «люди частіше сприймають аргументи на основі своїх емоцій та переконань, а не аргументи на основі фактів».
Але це не урок соціології – це блог про кібербезпеку. А це означає, що це шанс розглянути вплив дезінформації та «фейкових новин» на нашу галузь.
Тож давайте детальніше розглянемо деякі поширені міфи про кібербезпеку, які зумовлені емоційними реакціями, а не фактами, і тим, наскільки вони заплутані, а в деяких випадках навіть небезпечні.
Розвінчання трьох поширених міфів про кібербезпеку
Міф 1: Вразливі місця безпеки такі ж, як і “бекдори”
Кожного разу, коли в камері або іншому пристрої, підключеному до мережі, виявляється вразливість безпеки, засоби масової інформації люблять називати це “бекдором”.
Справа в тому, що вразливі місця та бекдор – це дві абсолютно різні речі.
Уразливості можуть виникнути на будь-якому пристрої, підключеному до мережі, який містить як апаратне, так і програмне забезпечення. Насправді, вразливості неминучі і трапляються випадково, і дослідження показують, що ми можемо очікувати від 2 до 3 помилок на кожні 1000 рядків коду.
Незважаючи на цей факт, виробники пристроїв, що дбають про безпеку, зводять до мінімуму вразливості, де це можливо, використовуючи технологічні виробничі процеси «за безпекою». Якщо ви уявите, що деякі бізнес-програми складаються з кількох мільйонів рядків коду, а сучасні автомобілі можуть містити навіть більше 100 мільйонів рядків коду, ви можете розрахувати.
З іншого боку, бекдори – це лазівки в безпеці, які спеціально додаються до програмного забезпечення пристрою, щоб дозволити виробникам або іншим отримувати доступ до пристроїв та даних, що на них зберігаються.
У рідкісних випадках виробники тимчасово додають бекдори до продуктів для підтримки процесів розробки, тестування або обслуговування – і ці бекдори не видаляються випадково.
Міф 2: Виробники додають бекдори до своєї продукції з незаконних причин
Цьому міфу легко протистояти просто тому, що ці «незаконні причини» (наприклад, шпигунство) просто неможливі. Пристрої безпеки, такі як камери, встановлені в мережах клієнтів, фактично «огороджуються кільцями» з точки зору безпеки, переважно розміщені в автономній мережі та часто захищені брандмауерами та іншими пристроями безпеки. І навіть якщо кінцевий користувач вирішить зберігати дані з цих пристроїв у хмарі, постачальники хмарних послуг мають ліцензійні угоди про надання послуг (SLA), які зберігають їх конфіденційність, забезпечуючи недоступність даних зовнішніми компаніями, такими як виробники пристроїв.
Найважливішою причиною розвінчання цього міфу є той факт, що кінцеві користувачі, які купують ці камери, несуть відповідальність за отримані ними дані/відеоматеріали. Іншими словами, вони є зберігачами даних, які обробляють дані та контролюють відеоматеріали, які згідно із законом (згідно з GDPR) повинні залишатися конфіденційними. Таємний доступ до відеоматеріалів на цих пристроях неможливий без згоди кінцевого користувача.
Тож маючи на увазі, що навіть пристрої з бекдорами не можна використовувати для шпигунства за компаніями, окремими особами чи країнами, міф миттєво руйнується. Зрозуміло, що фактично функції безпеки, вбудовані в пристрої, мережі та центри обробки даних – у поєднанні з обов’язками кінцевих користувачів щодо захисту даних – роблять шпигунство та інші зловживання бекдорами буквально неможливими.
Міф 3: Додавання бекдорів до продуктів не становить реального ризику для виробника
Знову ж таки, цей міф можна легко розвінчати, особливо тому, що виробники пристроїв, які додають до своїх продуктів бекдори, втрачають абсолютно все.
Зрештою, гучні бізнес-скандали та порушення даних показали нам, що правда завжди випливає. Більше того, якщо буде виявлено, що компанія навмисно додала бекдор до товару, їх репутація, разом з бізнесом, буде знищена практично за одну ніч.
Це означає, що всі компанії, а особливо великі компанії, які мають власні можливості з питань ІС та НДДКР, мають цілий ряд механізмів стримувань і противаг, щоб гарантувати, що до продукту навмисно не додаються жодні бекдори. Особливо це стосується індустрії безпеки, де виробники повинні захищати дані та операції клієнтів цілодобово та без вихідних.