Pētījumi par lietu interneta (IoT) ierīču tirgus fiziskās drošības daļu liecina, ka savienoto drošības iekārtu ieviešana rada sarežģītus kiberdrošības izaicinājumus.
Priekšrocības un ieguvumi
Savienotās fiziskās drošības iekārtas, piemēram, videonovērošanas kameras un viedās piekļuves kontroles sistēmas, piedāvā neskaitāmas priekšrocības apsaimniekotājiem un drošības speciālistiem, kas atbild par mazumtirdzniecības, rūpniecības, valdības un citu organizāciju telpu drošību. Integrētās IP-video ierakstīšanas sistēmas ar mākoņkrātuves ierakstīšanas un administrēšanas funkcijām ir populāras to lietotāju vidū, kuriem ir maz laika, lai iegādātos un integrētu dažādas kameras un video ierakstu aparatūru (NVR vai DVR).
Pētījuma dati
Aizvadītajā gadā tika veikts pētījums ar mērķi identificēt 10 riskantākās IoT ierīces. Šī pētījuma ietvaros analizēja 8 miljonus ierīču vairāk nekā 500 uzņēmumos. Tika aplūkoti tādi faktori kā, piemēram, unikālie riski, kurus rada atrašanās vieta, kā arī šajās platformās atklāto ievainojumu biežums un nopietnība.
Izrādījās, ka fiziskās piekļuves kontroles sistēmas bija riskantākā ierīču klase. HVAC (apkures, ventilācijas un gaisa kondicionēšanas) sistēmās atradās otrajā vietā, savukārt videonovērošanas kameru sistēmas nonāca trešajā vietā.
Drošības speciālistu sadarbība
Fiziskās un kiberdrošības speciālistiem ir jāsadarbojas vairāk nekā jebkad agrāk, jo abas puses ir pieradušas pie nerimstošām pārmaiņām, ko radījuši pandēmijas riski un izaicinājumi.
Videonovērošanas kameras ir lielisks piemērs tam, kur šīs puses saduras. Īpašuma apsaimniekotājs vai drošības speciālists, galvenokārt sadarbojoties tikai ar kameru piegādātāju, var būt pilnvarots novērtēt, iegādāties un izvietot kameras, uzstādīt tās, izmantojot Wi-Fi tīklu, un iestatīt lietotāju kontus, lai attālināti administrētu sistēmas ierakstus.
Lai gan tas izklausās pēc izolēta projekta, realitātē katra no šīm kamerām pievieno tīklam jaunas ierīces ar savu operētājsistēmu un papildus programmatūras funkcijām. Jebkura no tām var ietvert vājās vietas vai citādi paplašināt kopējo digitālo uzbrukumu virsmu, par kuru atbild kiberdrošības speciālisti.
Labi pārvaldīta izvietošana ir droša izvietošana, tāpēc ir būtiski jau laikus noskaidrot, kurš ir atbildīgs par datiem un attēliem, ko šīs ierīces ievāc. Praksē tas nozīmē, ka fiziskās un kiberdrošības speciālisti nosaka, kur fiziski tiks uzstādītas kameras, un identificē, kuriem tīkliem kamerām būs jāpiekļūst izvietošanas ietvaros. Ir svarīgi nodrošināt tīkla segmentāciju, kas izolē kameras un citas IoT ierīces no jutīgākām iekārtām.
Paaugstināts trešo pusu risks
Mūsdienu realitāte paredz, ka, iegādājoties videonovērošanas kameras un cita veida fiziskās drošības kontroles sistēmas, reti tiek nopirkta vien kamera vai metāla detektors. Parasti iekārtas ražotājs izmanto privātu mākoņpakalpojumu vai citu tīkla funkciju. Dažreiz šī savienojamība ir funkciju kopums, piemēram, iespēja skatīt un pārvaldīt ierīces no mobilās lietotnes, bet citkārt šī savienojamība ir slēptāka. Piegādātājs var pieprasīt, lai ierīce, izmantojot tīklu, piekļūtu internetam, piemēram, lai saņemtu garantijas vai produkta atjauninājumus.
Kā piemēru var minēt neseno Verkada kameru incidentu, kad iebrucējs ieguva pieejas datus un piekļuva Verkada neatkarīgajai mākoņa platformai. Tas savukārt nozīmēja, ka iebrucējs varēja ielūkoties visā pasaulē izvietoto Verkada kameru sistēmu video plūsmās, klientiem to nemanot.
Šāda tipa kameras ar ierakstu glabāšanu mākoņkrātuvē tiek izmantotas visur, un tām ir skaidras ieviešanas, lietojamības un veiktspējas priekšrocības. Taču nedrīkst aizmirst, ka, piesaistot pakalpojumu sniedzējus savam tīklam, ir paaugstināts trešo pušu risks, tāpēc ir jāsaprot, kā īpašuma apsaimniekotājs vai drošības speciālists un piegādātājs spēs tikt galā ar tādiem jautājumiem kā, piemēram, piekļuves un personas datu glabāšana.
Uzticība drošības ierīcēm
Tā kā IoT fiziskās drošības un novērošanas ierīces funkciju un skaitļošanas jaudas ziņā arvien attīstās, jāatceras nekad nepiešķirt ierīcēm automātiskas vai īpašas privilēģijas tikai to drošības lietojuma dēļ.
Ieskatoties šo ierīču kodā un aparatūrā, redzams, ka tās darbojas ļoti līdzīgi videokonferenču sistēmām, viedajiem termostatiem, ēku automatizācijas rīkiem un citām netradicionālām ierīcēm, par kurām jau sen zināms, ka tām ir vajadzīga spēcīga nulles uzticamības (zero-trust) drošības politika.
Nulles uzticamība nozīmē, ka tiek uzskaitīta katra tīkla ierīce, taču netiek paplašinātas piekļuves privilēģijas un norit ierīces darbību pārraudzība, lai varētu atbilstoši rīkoties ārkārtas situācijā vai gadījumā, ja ierīces nedarbojas atbilstoši.
Neviena tehnoloģija nav nevainojama, un kiberdrošības pārvaldība ir saistīta ar riska toleranci, kompromisiem un draudu mazināšanu. Tā ietver riskus, kas attiecas gan uz cilvēkiem, gan īpašumiem, piemēram, ugunsgrēkus, digitālos draudus darbinieku datiem, svarīgus komercnoslēpumus vai korporatīvo reputāciju [1].
[1] https://www.asisonline.org/security-management-magazine/monthly-issues/security-technology/archive/2021/june/three-cybersecurity-risk-issues-to-consider-with-surveillance-systems/
