Η προσέγγιση της Dahua για την Κυβερνο-ασφάλεια στην εποχή του Artificial Intelligence of Things (AIoT)

Στην εποχή του AIoT, ο κόσμος γίνεται εξυπνότερος. Όλα πλέον θα έχουν μια ηλεκτρονική “ταυτότητα” – online ID – και θα συνδέονται σε ένα τεράστιο δίκτυο συσκευών IoT, με υπολογιστές, κινητά τηλέφωνα, αισθητήρες και φυσικά κάμερες και άλλες μονάδες ασφάλειας. Σε όλα αυτά, κρίσιμη παράμετρος αναδεικνύεται το Cyber Security.

Dahua Technology

Σύμφωνα με έκθεση της Marketsandmarkets, το IoT χρησιμοποιείται εκτενώς σήμερα, στα έξυπνα αυτοκίνητα, στις έξυπνες μεγάλες κατασκευές και στα διασυνδεδεμένα σπίτια και σε πολλές άλλες εφαρμογές. Ωστόσο και επί του παρόντος, δεν υπάρχουν ενοποιημένα παγκόσμια τεχνικά πρότυπα για το IoT, ειδικά όσον αφορά τις επικοινωνίες. Αυτό έχει ως αποτέλεσμα, τη δυσκολία στη διαχείριση δεδομένων και διαλειτουργικότητας, που μπορεί να προκαλέσει έλλειμμα ασφάλειας στο δίκτυο IoT.  Το μέγεθος της παγκόσμιας αγοράς ασφάλειας του Διαδικτύου των Πραγμάτων (IoT) αναμένεται να αυξηθεί από 12,5 δισεκατομμύρια δολάρια ΗΠΑ το 2020, σε 36,6 δισεκατομμύρια δολάρια ΗΠΑ έως το 2025, με ετήσιο ρυθμό ανάπτυξης (CAGR) 23,9%.

Η Dahua Technology πιστεύει ότι η ασφάλεια στον κυβερνοχώρο είναι ζωτικής και στρατηγικής σημασίας στην εποχή του AIoT. Σε πολλούς κάθετους κλάδους της αγοράς, όπως η διαχείριση κυκλοφορίας οχημάτων, οι τράπεζες, οι νοσοκομειακές και πολλές κρίσιμες υποδομές, οι οργανισμοί συλλέγουν, επεξεργάζονται και αποθηκεύουν τεράστιες ποσότητες δεδομένων σε συσκευές όπως IP κάμερες και NVRs. Ένα σημαντικό μέρος αυτών των δεδομένων, μπορεί να περιλαμβάνει ευαίσθητες ή ιδιωτικές πληροφορίες, οι οποίες μπορεί να είναι επιρρεπείς σε κυβερνοεπιθέσεις.

Συνεχείς Επενδύσεις και Αποτελεσματική Αντιμετώπιση

Ως πάροχος λύσεων ασφαλείας, η Dahua Technology επενδύει συνεχώς στην προστασία στον κυβερνοχώρο και αντιμετωπίζει με μεγάλη προσοχή τα ζητήματα ασφάλειας δικτύου. Με δέσμευση να γίνει ηγέτης στην ασφάλεια στον κυβερνοχώρο και την προστασία της ιδιωτικής ζωής στον παγκόσμιο κλάδο της φυσικής ασφάλειας, η Dahua Technology αναπτύσσει και αξιοποιεί λύσεις για την προστασία στον κυβερνοχώρο για σχεδόν 10 χρόνια. Η εταιρεία συνεχίζει να επενδύει περίπου το 10% των ετήσιων εσόδων της από πωλήσεις κάθε χρόνο στο τομέα έρευνας και ανάπτυξης R&D, συμπεριλαμβανομένου της ασφάλειας στον κυβερνοχώρο. Επιπλέον, η εταιρεία συγκέντρωσε μια επαγγελματική ομάδα σχεδόν 100 ειδικών για να επικεντρωθεί αποκλειστικά στο θέμα του cyber security.

Οργανωτική Δομή

Η Dahua Technology λειτουργεί ένα ολοκληρωμένο σύστημα για την αντιμετώπιση όλων των ζητημάτων που σχετίζονται με την ασφάλεια στον κυβερνοχώρο. Το σύστημα, με επικεφαλής την επιτροπή cyber security, περιλαμβάνει επίσης την ομάδα συμμόρφωσης για την ασφάλεια στον κυβερνοχώρο και την προστασία δεδομένων, το ινστιτούτο κυβερνοασφάλειας και την ομάδα αντιμετώπισης περιστατικών ασφάλειας προϊόντων (Product Security Incident Response Team – PSIRT). Η επιτροπή κυβερνοασφάλειας, μπορεί να αξιοποιήσει πόρους από ολόκληρη την εταιρεία, από το κέντρο έρευνας και ανάπτυξης, έως το νομικό τμήμα, την αλυσίδα εφοδιασμού, το τμήμα επιχειρήσεων στο εξωτερικό κ.λπ.

Κύκλος ζωής ανάπτυξης της ασφάλειας – SDLC: Security Development Lifecycle

Η Dahua βασίζεται σε ένα επαγγελματικό λογισμικό ανάπτυξης κύκλου ζωής ασφάλειας SDLC (Security Development Lifecycle) για να βελτιώσει την προστασία των προϊόντων που κατασκευάζει από ψηφιακές επιθέσεις. Κατά τη διάρκεια της φάσης σχεδιασμού, το STRIDE + Attack Tree + PIA προσαρμόζεται για τη βελτίωση της μοντελοποίησης απειλών. Κατά τη διάρκεια της φάσης υλοποίησης, χρησιμοποιούνται 10 κορυφαίοι OWASP και πάνω από 150 CWEs για την επίτευξη στατικής ανάλυσης κώδικα. Κατά τη διάρκεια της φάσης δοκιμής, πάνω από 20 εργαλεία μέσα σε 7 πεδία εφαρμόζονται για να πραγματοποιήσουν τον πολλαπλάσιο έλεγχο ασφάλειας. Το CompTIA PenTest+/Security+ χρησιμοποιείται για τη διεξαγωγή επαγγελματικών δοκιμών διείσδυσης (penetration testing), ενώ η συμμόρφωση με το ISO 30111&290147 και το MITRE org CAN ακολουθούνται κατά τη διαχείριση ευπάθειας μετά την πώληση των προϊόντων.

Σύστημα αντιμετώπισης καταστάσεων έκτακτης ανάγκης

H συνεργασία με επαγγελματίες από όλο τον κόσμο είναι ένας πολύ καλός τρόπος για να βελτιώσετε τον εντοπισμό ευπαθειών. Ως εκ τούτου, το Dahua Cybersecurity Center (DHCC) έχει συσταθεί για την επίλυση ζητημάτων ασφάλειας στον κυβερνοχώρο παρέχοντας αναφορές ευπαθειών, ανακοινώσεις /ειδοποιήσεις και ανταλλαγή γνώσεων των κινδύνων στον κυβερνοχώρο με την παγκόσμια βάση πελατών και συνεργατών της εταιρίας, προκειμένου να προσφέρουν προϊόντα με τις πιο ισχυρούς μηχανισμούς προστασίας. Η ομάδα αντιμετώπισης περιστατικών ασφάλειας προϊόντων (PSIRT) αποτελεί αναπόσπαστο μέρος της DHCC και είναι υπεύθυνη για τη λήψη, επεξεργασία και αποκάλυψη ευπαθειών που σχετίζονται με τα συστήματα της Dahua. Τα μέλη της ομάδας είναι σε εγρήγορση 7 ημέρες την εβδομάδα και εγγυώνται ότι θα ανταποκριθούν σε όποια κατάσταση έκτακτης ανάγκης εντός 48 ωρών. Ο τελικός χρήστης, ο συνεργάτης, ο προμηθευτής, η κάθε εταιρία ή οργανισμός, μπορούν να αναφέρουν τον πιθανό κίνδυνο ή την ευπάθεια στο PSIRT μέσω ηλεκτρονικού ταχυδρομείου: CyberSecurity@dahuatech.com.

Ιδιωτικότητα και Προστασία Προσωπικών Δεδομένων

Η Dahua αποδίδει επίσης μεγάλη σημασία στα προσωπικά δεδομένα και την προστασία της ιδιωτικής ζωής. Συμμορφούμενοι με τους ισχύοντες νόμους και κανονισμούς, όπως ο Γενικός Κανονισμός της ΕΕ για την Προστασία Δεδομένων (GDPR), οι κατευθυντήριες γραμμές της EDPB σχετικά με τις έννοιες του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ και το πρότυπο ETSI EN 303645’s Cyber Security for Consumer Internet of Things. Το πρότυπο αυτό ορίζει ότι οι μέθοδοι προστασίας της ιδιωτικής ζωής, όπως η κρυπτογράφηση δεδομένων και ο συστηματικός έλεγχος πρόσβασης, η φιλική προς την προστασία της ιδιωτικής ζωής ρύθμιση, είναι απόλυτα προσαρμοσμένες στον πλήρη κύκλο ζωής των δεδομένων σε όλη τη διαδρομή, από τη συλλογή, τη μετάδοση, την αποθήκευση έως την κοινή χρήση, την αντιγραφή και τη διαγραφή.

Security Baseline

Με επίκεντρο τις βασικές αρχές “Security by Design” και “Security by Default” η  Dahua αξιοποιεί την τεχνολογία ασφάλειας των προϊόντων της για να παρέχει στους χρήστες επαρκείς εγγυήσεις ασφαλείας. Με βάση και ασκώντας τις αρχές της ασφάλειας και του σχεδιασμού απορρήτου, το Security Baseline δημιουργεί μια διάταξη στοιχείων ασφαλείας “AAA + CIA + P”, σχηματίζοντας ένα συστηματικό πλαίσιο προστασίας, που καλύπτει τη φυσική ασφάλεια του συστήματος, των εφαρμογών, των δεδομένων, του δικτύου και την προστασία της ιδιωτικής ζωής. Έχουν αναπτυχθεί επτά εκδόσεις και 100+ αρχές για την προσαρμογή του “AAA + CIA + P”, Authentication, Authorisation, Audit, Confidentiality, Integrity, Availability and Privacy στο σύστημα διασφάλισης ποιότητας του προϊόντος, εξασφαλίζοντας ότι όλα τα προϊόντα Dahua απολαμβάνουν την εργοστασιακή προεπιλεγμένη ασφάλεια.

Κέντρο ασφάλειας προϊόντων

Για να βοηθήσει τους χρήστες να κατανοήσουν με σαφήνεια την κατάσταση ασφαλείας και τις δυνατότητες κάθε συσκευής της Dahua, το Kέντρο Aσφάλειας Προϊόντων της εταιρίας, επιτρέπει να ρυθμιστούν εύκολα και γρήγορα οι παράμετροι ασφαλείας σύμφωνα με τα εκάστοτε σενάρια. Οι γενικές δυνατότητες περιλαμβάνουν προστασία απορρήτου (απόκρυψη προσώπου, απόκρυψη πληροφοριών κ.λπ.), κρυπτογράφηση βίντεο, συναγερμό ασφάλειας, αξιόπιστη προστασία, διαχείριση πιστοποίησης CA, βασική υπηρεσία διαχείρισης, άμυνα επίθεσης και ούτω καθεξής.

Οικοσύστημα κυβερνοασφάλειας

Η Dahua Technology συνεχίζει να συνεργάζεται με διεθνείς έγκυρους οργανισμούς για την από κοινού οικοδόμηση ενός οικοσυστήματος κυβερνοασφάλειας όπως είναι η TÜV Rheinland, το BSI, το DNV·GL, το Intertek EWA-Canada και το εργαστήριο ασφαλείας brightsight.