Πως να προστατεύσετε το σύστημα βίντεο-επιτήρησης από κυβερνοεπιθέσεις
Οι κυβερνοεπιθέσεις και γενικότερα οι ψηφιακές απειλές αυξάνονται διαρκώς, οπότε η ύπαρξη μιας στρατηγικής και ένα πλαίσιο μέτρων για την αντιμετώπισή τους είναι επιβεβλημένη και στο τομέα των συστημάτων φυσικής ασφάλειας και ειδικότερα των έργων βίντεο-επιτήρησης.
Του Δημήτρη Σκιάννη
Πιθανότατα είστε αρκετά βέβαιοι για την πληρότητα των λειτουργιών του IP συστήματος ασφαλείας που έχετε επιλέξει και τοποθετήσει. Έχετε εγκαταστήσει τις κατάλληλες δικτυακές κάμερες στα σωστά σημεία και σε συνδυασμό με ένα αποτελεσματικό λογισμικό VMS για την καλύτερη δυνατή διαχείριση τους, έχετε καλύψει τις βασικές απαιτήσεις. Είναι επίσης πιθανό να συνδυάζετε το σύστημα βίντεο-επιτήρησης με ένα σύστημα ελέγχου πρόσβασης στις εισόδους της εγκατάστασης, παρέχοντας μια ενοποιημένη πλατφόρμα ασφάλειας.
Μέχρι πριν μερικά χρόνια λοιπόν, αν η αποτελεσματικότητα και η απόδοση λειτουργίας του συστήματος ήταν επαρκής, τότε δεν χρειαζόταν κάτι άλλο. Σήμερα όμως με την καθολική δικτύωση των πάντων και τους κινδύνους που ελλοχεύουν σε ότι αφορά τις κυβερνοεπιθέσεις ανακύπτουν και άλλα σημαντικά ερωτήματα όπως:
Κατά πόσο το σύστημα φυσικής ασφάλειας προστατεύεται από τις ψηφιακές απειλές; Τι είδους δεδομένα διατηρούνται στο εκάστοτε σύστημα και πως αυτά μπορούν να προστατευτούν, προκειμένου να μην διαρρεύσουν με ότι αυτό συνεπάγεται για την ασφάλεια του χώρου αλλά και τα προβλεπόμενα πρόστιμα από τον GDPR.
Προκειμένου να απαντήσουμε σε αυτά τα ερωτήματα ας δούμε πρώτα πως οι επίδοξοι κακόβουλοι hackers μπορούν να αποκτήσουν πρόσβαση στο σύστημα ασφαλείας σας μέσω «brute force» ή «man-in-the-middle» επιθέσεις και πως μπορείτε να τους αποτρέψετε να παραβιάσουν το δίκτυο σας.
Πως οι hackers αποκτούν πρόσβαση σε συστήματα ασφάλειας
Σήμερα και εξ’ αιτίας της τεράστιας έκτασης της διασυνδεσιμότητας των συσκευών αλλά και των πολλαπλών δυνατότητων πρόσβασης σε ένα σύστημα φυσικής ασφάλειας από διαφορετικά σημεία, είναι λογικό τα IP συστήματα ασφάλειας να έχουν ένα πιο αυξημένο βαθμό τρωτότητας απέναντι σε επιθέσεις που εκδηλώνονται στον ψηφιακό κόσμο. Ότι ισχύει πλέον για όλα τα πληροφοριακά συστήματα ενός οργανισμού ή και ιδιωτών, ισχύει και για τα συστήματα φυσικής ασφάλειας που συνδέονται μέσω IP στο internet.
Επιθέσεις Brute–force – Μερικές επιθέσεις βασίζονται σε απλή φιλοσοφία. Με μια παραδοσιακή brute-force μέθοδο, για παράδειγμα, ο hacker «ανακαλύπτει» τα passwords. Αν αναλογιστούμε οτι τα περισσότερα passwords που επιλέγουν οι χρήστες είναι σχετικά απλά, ο αλγόριθμος του επίδοξου εισβολέα μπορεί εύκολα να τα ανακαλύψει. Ωστόσο, η επιλογή ιδιαίτερα πολύπλοκων passwords δεν είναι πάντα η λύση, καθώς οι χρήστες θα τα ξεχνούν πιο συχνά, με αποτέλεσμα τη συχνή διαδικασία ανάκτησής τους. Η οποία, φυσικά, κάνει πιο εύκολη την υποκλοπή του νέου password από τον hacker. Ακόμα κι αν εφαρμόσετε δικλείδες ασφαλείας απέναντι σε ανθρώπινο σφάλμα, η κυβερνοεπίθεση μπορεί να στοχεύσει απευθείας το σύστημα και τα δεδομένα του.
Επιθέσεις “man–in–the–middle” – Με τη χρήση ενός packet-sniffer, ο hacker μπορεί να υποκλέψει δεδομένα που ίσως περιέχουν passwords ή άλλα, ευαίσθητα δεδομένα, κατά τη μεταφορά τους εντός ενός δικτύου. Η μέθοδος “man-in-the-middle” υφίσταται όταν ένας χρήστης παρεμβάλλεται μεταξύ του αποστολέα και του παραλήπτη των πληροφοριών. Πολύ συχνά ο hacker απλώς παρακολουθεί την ανταλλαγή δεδομένων μέχρι να ανιχνεύσει πακέτα που περιέχουν usernames ή/και passwords, οπότε παίρνει εύκολα αυτό που χρειάζεται. Επιπλέον, αφού δει και ίσως τροποποιήσει τα δεδομένα αυτά, ο hacker μπορεί να τα στείλει στον παραλήπτη χωρίς αυτός να γνωρίζει ότι η σύνδεση δεν είναι ασφαλής. Έτσι, ούτε ο αποστολέας αλλά ούτε και ο παραλήπτης γνωρίζουν οτι τα δεδομένα τους έχουν υποκλαπεί.
Αξιολογώντας την ψηφιακή ασφάλειας του συστήματός
Πρόσφατες κυβερνοεπιθέσεις σε υψηλού επιπέδου στόχους έκαναν εμφανή τη σημασία επιλογής ενός ασφαλούς συστήματος παρακολούθησης. Οι συνέπειες μιας παραβίασης μπορούν να είναι καταστρεπτικές, διαρρέοντας ευαίσθητα δεδομένα στο Διαδίκτυο, κλονίζοντας την εμπιστοσύνη των πελατών και οδηγώντας σε υπέρογκες αποζημιώσεις αλλά και πρόστιμα
Είναι επιβεβλημένη η επιλογή αξιόπιστων λύσεων από επώνυμους κατασκευαστές συστημάτων βίντεο-επιτήρησης, οι οποίοι επενδύουν στη θωράκισή των προϊόντων τους από κυβερνοεπιθέσεις και δίνουν βαρύτητα στην προστασία των δεδομένων. Αυτό, ενίοτε, απαιτεί μια ενδελεχή έρευνα του κατασκευαστή και του προϊόντος του. Ιδού τι μπορείτε να ελέγξετε προτού καταλήξετε στην αγορά ενός συστήματος.
Τι είναι κρυπτογραφημένο και τι όχι;- Παρότι πολλά συστήματα παρακολούθησης προσφέρουν κρυπτογράφηση των δεδομένων ενώ μεταδίδονται, αυτό που χρειάζεστε είναι μια ολοκληρωμένη, end-to-end κρυπτογράφηση. Τα δεδομένα δεν αφορούν μόνο εικόνα και ήχο αλλά και δεδομένα GPS, analytics, συναλλαγές μέσω POS ή ATM. Η end-to-end κρυπτογράφηση εφαρμόζεται σε κάθε στάδιο δημιουργίας, μεταφοράς και αποθήκευσης των δεδομένων, από κάμερα σε καταγραφικό και από καταγραφικό στο cloud ή σε φυσικά μέσα αποθήκευσης. Βέβαια, είναι αρκετά απαιτητική σε πόρους συστήματος (ιδίως CPU), οπότε πρέπει να βεβαιωθείτε οτι έχετε επαρκή επεξεργαστική ισχύ για να την εφαρμόσετε.
Συμμετρική και ασύμμετρη κρυπτογράφηση- Υπάρχουν δύο ήδη αλγορίθμων κρυπτογράφησης, οι συμμετρικοί και οι ασύμμετροι. Με έναν συμμετρικό αλγόριθμο, τα κλειδιά κρυπτογράφησης και αποκρυπτογράφησης είναι τα ίδια. Αυτοί οι αλγόριθμοι χρησιμοποιούνται κυρίως για μαζική κρυπτογράφηση μεγάλου όγκου δεδομένων και δεν απαιτούν πανίσχυρα υπολογιστικά συστήματα. Το μειονέκτημά τους είναι πως όποιος έχει το κλειδί αποκρυπτογράφησης μπορεί να αποκρυπτογραφήσει τα δεδομένα, ακόμα κι αν δεν ήταν ο παραλήπτης τους.
Με ένα ασύμμετρο αλγόριθμο γίνεται χρήση δύο διαφορετικών (αλλά μαθηματικά σχετιζόμενων) κλειδιών. Το “public” κλειδί χρησιμοποιείται για την κρυπτογράφηση των δεδομένων και μπορεί να διανεμηθεί ελεύθερα, αλλά απαιτείτα το “private” κλειδί για την αποκρυπτογράφησή τους. Και αυτό είναι σε ελάχιστα, συγκεκριμένα «χέρια». Ιδανική λύση για ψηφιακά πιστοποιητικά, ψηφιακές υπογραφές και Public Key Infrastructure (PKI). Τα μειονεκτήματά του είανι πως είναι πιο αργή από την συμμετρική κρυπτογράφηση και απαιτεί μεγαλύτερη υπολογιστική ισχύ.
Ασφάλεια λειτουργικού συστήματος (OS) – Η συζήτηση για την ασφάλεια των Linux-based λειτουργικών σε σχέση με τα Windows είναι μεγάλη. Αν και εν τέλει κάθε OS έχει τις «αδυναμίες» του, σε γενικές γραμμές ένα Linux-based OS είναι πιο ασφαλές αν έχει παραμετροποιηθεί κατάλληλα για ένα σύστημα καταγραφής video. Για συγκεκριμένες εφαρμογές, μπορούν να αφαιρεθούν από το OS οι αχρείαστες υπηρεσίες και να διατηρηθούν μόνο οι απολύτως απαραίτητες για τις απαιτήσεις του συστήματος. Έτσι, μειώνονται οι «κερκόπορτες» για τον επίδοξο εισβολέα. Επιπλέον, ένα τροποποιημένο Linux-based OS δεν βασίζεται σε κάποιον τρίτο για τις ενημερώσεις ασφαλείας του και δεν υπάρχει περίπτωση αυτόματης ενημέρωσής του, η οποία θα μπορούσε να το καταστήσει ευάλωτο. Ακόμα ένα πλεονέκτημά αφορά τις αυστηρές πολιτικές όσον αφορά τους πόρους συστήματος στους οποίους έχει πρόσβαση κάθε εφαρμογή, ουσιαστικά «αφοπλίζοντας» ένα κακόβουλο λογισμικό. Τέλος, ο open-source χαρακτήρας του Linux και οι εκατοντάδες χιλιάδες developers που ασχολούνται με αυτό εξασφαλίζουν πως οποιοδήποτε κενό ασφάλειας θα εντοπιστεί και θα διορθωθεί σχετικά γρήγορα.
Ποιος έχει πρόσβαση στο σύστημα; – Σε μια από τις σημαντικότερες περιπτώσεις hacking που καταγράφηκε πρόσφατα, χρησιμοποιήθηκε ένα Super-Admin account από τον εισβολέα, το οποίο έδινε σε ένα συγκεκριμένο χρήστη απεριόριστη πρόσβαση σε όλες τις κάμερες του cloud-based συστήματος. Προφανώς ένα τέτοιο account δημιουργεί αυξημένο κίνδυνο, οπότε απευθυνθείτε στον προμηθευτή σας ώστε να εξασφαλίσει οτι κάθε χρήστης έχει μόνο τα δικαιώματα που πραγματικά χρειάζεται και πως υπάρχουν οι κατάλληλες δικλείδες ασφαλείας, σε περίπτωση που ένας hacker αποκτήσει τον έλεγχο ενός account.
Passwords – Οι λύσεις ασφάλειας με τη χρήση passwords ακούγεται απλή, αλλά ελλοχεύει πολλούς κινδύνους σε περίπτωση κλοπής ή απώλειας ενός κωδικού. Ο σωστός προμηθευτής συστήματος παρακολούθησης δεν θα χρησιμοποιήσει ποτέ σταθερά, προεπιλεγμένα passwords στις συσκευές του και θα ενθαρρύνει την τακτική αλλαγή τους αλλά και τη δημιουργία πολύπλοκων κωδικών από τους admins και τους χρήστες.
Ειδοποιήσεις και αυτοέλεγχος- Οι κυβερνοεπιθέσεις διαρκώς εξελίσσονται και γίνονται ισχυρότερες. Έτσι, είναι σημαντικό να αποφασίσετε ποια χαρακτηριστικά θέλετε ενσωματωμένα στο σύστημά σας, ώστε να ενημερώνεστε εγκαίρως στην περίπτωση επίθεσης. Ορισμένα συστήματα έχουν ειδοποιήσεις κινδύνου και συναγερμούς, έτσι θα ενημερωθείτε άμεσα αν ανιχνευθούν προσπάθειες εισβολής, όπως επανειλημμένες αποτυχημένες προσπάθειες login ή κάποια επίθεση DDoS. Είναι επιβεβλημένη η επιλογή ενός συστήματος που διαρκώς ελέγχει για νέα και υφιστάμενα κενά ασφάλειας και αποστέλλει εγκαίρως τη σχετική ενημέρωση ώστε τα προβλήματα να διορθωθούν πριν εκδηλωθεί επίθεση.