Mūsdienās tehnoloģijas pavērušas ne tikai plašas iespējas, bet diemžēl radījušas arī jaunas kiberuzbrukumu metodes. Šoreiz stāsts būs par videonovērošanas kamerām. Ja kādreiz tās varēja uzskatīt vien par fiziskās drošības sastāvdaļu un kameras lielākoties glabāja minimālus datus, nu situācija ir mainījusies. Digitālo tehnoloģiju attīstība panāca, ka kameras tika pievienotas globālajam tīklam (IP/TCP), tā nokļūstot arī kiberapdraudējuma lokā.
Ikviena iekārta, kas ir pieslēgta tīklam, ir pakļauta kibernozieguma riskam, taču ir daudz faktoru, kas to samazina, vai tieši pretēji – palielina. Atkarībā no sistēmā ietvertajiem datiem, videonovērošanas sistēmas aizsargāšana no kiberdraudiem var būt pat kritiski svarīga. Te būs svarīgākās lietas, ar ko sākt!
Parole – visa sākums
Videonovērošanas sistēmas nav nekāds izņēmums – paroļu drošība ir pirmais solis, kam jāpievērš uzmanība. Tieši tāpat kā ikvienai viedierīcei, arī kameru paroles bieži vien ir īsas, vienkāršas un neatbilst drošības prasībām. Lielākajai daļai ražotāju kameru ir pieejama tīmekļa-bāzēta grafiskā saskarne (GUI) un sākotnēji izmantotais lietotājvārds un parole ir publiski pieejama internetā. Lai samazinātu riskus, ko rada noklusētie piekļuves dati, ir jāizveido jauna parole, kas labākajā gadījumā sastāv vismaz no 16 rakstzīmēm.
Arī kameras GUI pieejamība var radīt riskus paroles uzminēšanai, DoS un DDoS uzbrukumiem. Ir kameras, kuras piedāvā iespēju atspējot GUI funkcionalitāti. Lai mazinātu paroļu uzlaušanas mēģinājumus, videonovērošanas sistēmu, tās komponentes un pašas kameras ir jāizvieto izolētā tīkla segmentā, kas ir fiziski vai loģiski (VLAN) nodalīts. Svarīgi ņemt vērā labāko paroļu lietošanas praksi – nedalīt kontu paroles vairākām personām, atslēgt iebūvēto kontu un izveidot jaunu, ja ražotājs šādu iespēju piedāvā.
Portu pārvaldība
Mēdzam saskarties ar situācijām, kad nepieciešama attālināta piekļuve VNS un kamerām – nereti šī attālinātā pieslēgšanās nepieciešama ārpakalpojumu sniedzējiem vai nodaļu vadītājiem ražošanas procesu pārvaldībā. Neatkarīgi no pieslēgšanās mērķa, to iespējams nodrošināt, eksponējot DVR, NVR vai VMS sistēmu globālajā tīmeklī. HHTP servisu eksponēšana ir bieži sastopama un tā uzskatāma par būtisku apdraudējuma risku, radot lielu daudzumu eksploitu un jaunu ievainojamību. Tās var tikt izmantotas ne tikai uzbrukuma realizācijā – jāņem vērā arī ļaundaru interese piekļuvei videonovērošanas kamerām, lai iegūtos datus izmantotu laupīšanā, šantāžā un citos noziegumos.
Nenoslēgtu un eksponētu servisu/portu izmantošana redzama arī haktīvistu grupās, piemēram, 2022. gada aprīlī vairāk nekā 100 videonovērošanas kameru tiešraides tika apkopotas Anonymous haktīvistu izveidotā tīmekļvietnē (https://behindenemylines.live/ vietnes saturs mainīts 1. aprīlī, vēsturiskā versija redzama https://web.archive.org/web/20220401104817). Šīs kameras fiziski izvietotas Krievijā un vairums kalpojušas par attālinātās saziņas līdzekli konferenču zālēs, tādēļ bijušas pieslēgtas internetam. To starpā redzamas ne tikai valsts iestāžu sapulču zāles, bet arī veikalu, noliktavu, pašvaldību, ražotņu un citām vajadzībām izmantotas kameras, kuru drošība, acīmredzami, nav bijusi prioritāte. (https://twitter.com/YourAnonTV/status/1511656225687154688)
Tīkla satiksmes kontrole
Jebkurai lokāli uzstādītai DVR/NVR/VMS ir jābūt aizsargātai un izvietotai aiz ugunsmūra, īpaši, ja tā tiek ievietota internetā jebkāda veida attālinātai piekļuvei. Arī šajā gadījumā, tāpat kā ikvienai sistēmai, ugunsmūra kārtulu (rules) pārvaldībā un funkcionalitātē ieteicams izvēlēties nākamās paaudzes risinājumus, kas piedāvā tīkla protokolu un pakešu analīzes iespējas. Būtiski definēt nepieciešamos portus un tos servisus, kas nepieciešami VNS funkcionēšanai, kā arī atļaut tikai vajadzīgo komunikāciju tīklā, liedzot visu pārējo. Pieslēdzoties tīklam attālināti, iespējams ierobežot atļautās avota (source) IP adreses, piemēram, ļaujot ārpakalpojuma sniedzējam pieslēgties tikai vienai IP adresei.
Drošības pārvaldība
VNS tāpat kā jebkurai sistēmai ir operētājsistēma un iekārtas programmatūra (Firmware). Arī VNS nav izņēmums attiecībā uz prasībām, kam jānodrošina, lai monitorings, ievainojamību pārvaldība, piekļuves kontrole un atjauninājumi atbilstu visām prasībām. Labākās prakses un dažādu vadlīniju rekomendācijas ir attiecināmas uz VNS tādā pašā mērogā kā uz jebkuru citu sistēmu. Nereti tiek aizmirsts par kameru vai citu VNS komponenšu atjauninājumiem – arī tie ir ļoti būtiski.
Kopējā ievainojamību pārvaldībā jāiekļauj arī VNS, kas ļaus identificēt nepilnības, neuzliktus ielāpus, trūkumus konfigurācijā un sistēmas komponenšu jaunākās versijas.
Citi uzbrukuma vektori
Pārsteidzošs daudzums tīkla iekārtu, tai skaitā VNS, veic tīklā nešifrētu datu apraidi. Riski un sekas būtiski paaugstinās gadījumos, ja VNS tiek uzglabāti ieraksti vai kameru rādiuss ietver saturu, kas uzskatāms par ierobežotas pieejamības, vai sistēma ir izvietota neizolētā tīklā. Nešifrētas satiksmes pārtveršanas gadījumā ir iespējams iegūt piekļuves informāciju, kas pakļauj VNS un pašu tīklu kompromitēšanai. Atsevišķos gadījumos draud arī GDPR regulas pārkāpumi. Labākā prakse paredz tikai šifrētu datu apraidi un komunikācijā izmantot SSL vai līdzvērtīgu mehānismu. Šifrēšanu jāizmanto arī videoierakstu un to rezerves kopiju glabāšanai.
Mūsu sistēma – mūsu atbildība
Neatkarīgi no tā, vai VNS uzturēšanu un administrēšanu nodrošināt paši vai uzticat apsardzes uzņēmumam, ir jāņem vērā dažādi drošības aspekti – sākot ar iekārtu uzstādīšanu un pirmreizējo konfigurāciju, līdz pat rūpīgai līguma pārskatīšanai, lai tehniskā specifikācija ietvertu minimālās IT drošības prasības attiecībā uz to uzturēšanu, atbilstu Latvijas Republikas normatīvajiem aktiem un datu drošībai, kā arī vispārēji nodrošinātu drošības līmeni.
Rūpējamies par VNS tāpat kā par citām sistēmām un neļaujam tai kļūt par IT infrastruktūras vājo posmu!
Raksta autore: Ieva Lauga, TET IT Drošības auditore