«Шерифи» кібербезпеки на «Дикому Заході»

Світ кібербезпеки можна розглядати як «Дикий Захід».  Зараз до Інтернету підключено безліч пристроїв Інтернету речей (IoT), що робить цю тему актуальною.



 

 Серед цих пристроїв є камери відеоспостереження. Пристрої Інтернету речей – це комп’ютери, на яких використовується програмне забезпечення, що робить їх уразливими.  Як сказав відомий євангеліст кібербезпеки Мікко Хіппонен: «Якщо пристрій розумний, він вразливий!»









 

 Хіппонен прав. Щодня в програмному забезпеченні виявляються нові вразливості, незалежно від виробника.  У 2019 понад 12 000 вразливостей по всьому світу були оприлюднені і зареєстровані як CVE (Common Vulnerability and Exposure) в Національній базі даних вразливостей (NVD) [1].  На жаль, вразливості – це даність.  Що дійсно важливо, так це те, як компанія справляється і усуває їх.  Поінформованість про вразливість кібербезпеки життєво важлива для захисту вас, вашого бізнесу і Інтернету, але також важливо розуміти, що вразливість не є синонімом «чорного ходу» і не обов’язково вказує на «дешеву якість».



 

 Але є компанії, які вбудовують гарантії в свої процеси розробки, щоб знизити ризики. Вони є «шерифами», що роблять кроки, щоб зробити світ «Дикого Заходу» трохи безпечнішим.





 

 Чому Hikvision вибирає Secure-by-Design?



 

 Камери відеоспостереження, як і всі інші пристрої Інтернету речей, вразливі для кібератак. На щастя, виробники пристроїв IoT можуть значно зменшити ці вразливості під час виробництва пристроїв, використовуючи процес, званий Secure-by-Design.



 

 Впровадження Secure-by-Design вимагає прихильності з боку керівництва виробника і серйозних інвестицій в ресурси і технології, що може привести до більш тривалого виробничого процесу і більш високу вартість пристрою IoT.  Вартість часто є причиною того, що деякі виробники пристроїв Інтернету речей не використовують Secure-by-Design (і вони дійсно дешевші).



 

 Hikvision – виробник пристроїв IoT, який дуже серйозно ставиться до безпеки та конфіденційності і впровадив Secure-by-Design в свій виробничий процес.  Керівництво підтримує цей процес і навіть створило спеціальну внутрішню структуру кібербезпеки, що відповідає за безпеку продукту.  Ця група також є центральною контактною особою з усіх інших питань кібербезпеки.

 

Життєвий цикл розробки безпеки Hikvision (HSDLC) є важливою частиною програми кібербезпеки Hikvision.  Перевірки кібербезпеки проводяться на кожному етапі розробки продукту – від концепції до доставки. Наприклад, тестування продукту відбувається на етапі перевірки, компанія також регулярно запрошує відомі охоронні компанії і публічні платформи тестування для проведення тестування на проникнення.



 

 Чи означає це, що всі продукти Hikvision несприйнятливі до злому? Ні, ця гарантія не може бути надана, але HSDLC є свідченням виробника, який докладає всіх зусиль для створення максимально кібербезпечних продуктів.



 

На додаток до процесу Secure-by-Design, Hikvision відкрила лабораторію Центру прозорості вихідного коду (SCTC) в Каліфорнії в 2018 році, ставши першою в галузі лабораторією, яка відкрила такий центр.  У цьому центрі уряд США, Канади та правоохоронні органи можуть переглядати і оцінювати вихідний код пристроїв Hikvision IoT (IP-камери і мережеві відеореєстратори).



 

Важливо підкреслити, що жоден продукт не є безпечним на 100%. У Hikvision діє програма управління вразливостями при виявленні вразливості в продукті. На сьогоднішній день вразливості, про які було повідомлено Hikvision і / або стали загальнодоступними, були виправлені в останній прошивці Hikvision і легко доступні на веб-сайті Hikvision.



 

Крім того, Hikvision є CNA CVE і зобов’язується продовжувати працювати зі сторонніми хакерами і дослідниками безпеки, щоб своєчасно знаходити загрози, виправляти і публічно випускати оновлення для продуктів. Ці вразливості зібрані в Національній базі даних вразливостей (NVD) і є загальнодоступними.



 

Питання кібербезпеки для розгляду 

 

Кібербезпека IoT-пристроїв – це тема, до якої необхідно серйозно підходити, і вона повинна відігравати важливу роль в процесі розробки продукту, починаючи з етапу концепції продукту IoT.  Це вимагає часу, інвестицій і знань.



 

 Обміркуйте наступні питання:



 

Чи довіряю я виробнику недорогий камери спостереження?

 

Чи є у цього виробника спеціалізована організація з кібербезпеки?

 

Як цей виробник справляється з вразливими?





 

Ці питання кожен повинен задати собі при покупці, будь то камера або будь-який інший продукт IoT.





 

 Абсолютною 100% -ної гарантії безпеки немає, але Hikvision використовує найкращі в галузі методи забезпечення кібербезпеки своїх камер. Співпраця з клієнтами, установниками, дистриб’юторами і партнерами, а також повна прозорість є ключовими елементами для успішного захисту пристроїв Інтернету речей.



 

Коли ви читаєте новини про кібербезпеку, ми пропонуємо вам не обмежуватися заголовками і по-справжньому познайомитися з компаніями, що виробляють пристрої IoT.  Перш ніж купувати камеру безпеки або будь-який пристрій IoT, ознайомтеся з методами кібербезпеки виробника, знайдіть компанію з надійною програмою управління вразливостями, компанію, яка підтримує Secure-by-Design і Privacy-by-Design, а також компанію, яка наймає професіоналів в області кібербезпеки, готових відповісти на ваші запитання.  Пам’ятайте, на «Дикому Заході» є і шерифи, і бандити.