Tato otázka je klíčová v dnešním bezpečnostním světě, když se zaměřujeme na bezpečnostní kamery. Dnešní bezpečnostní kamery jako součást světa IoT hrají důležitou roli nejen v oblasti zabezpečení, ale také při poskytování informací k urychlení provozní efektivity a rozhodování v mnoha dalších oblastech podnikání. S tím, jak se stávají chytřejšími a složitějšími, rostou i jejich rizika kybernetické bezpečnosti. V posledních letech zažil svět několik příkladů kybernetických bezpečnostních incidentů s kamerami, přičemž „Mirai Botnet“ byl jedním z nejznámějších příkladů. Malware Mirai využil nezabezpečená zařízení IoT jednoduchým, ale chytrým způsobem. Naskenoval na internetu otevřené porty Telnetu a poté se pokusil přihlásit pomocí výchozích hesel. Tímto způsobem bylo možné shromáždit armádu botnetů s využitím počítačového výkonu milionů kamer s výchozími hesly po celém světě [1].
Mirai Botnet se uskutečnil v roce 2016 a naštěstí se od té doby kybernetická bezpečnost zařízení IoT výrazně zlepšila. Některé věci jsou ale stále stejné a / nebo je nelze změnit. Mikko Hypponen, finský kybernetický evangelista, je známý díky svému prohlášení: „Je-li zařízení chytré, je zranitelné!“. Tímto prohlášením ukazuje, že všechna zařízení, která se skládají z hardwaru a softwaru a jsou připojena k internetu, jsou nezabezpečená (a tedy „hackovatelná“). Ačkoli toto prohlášení učinil před několika lety, je stále pravdivé a velmi relevantní - příklad něčeho, co se nezměnilo.
Složité systémy lákají neoprávněné hackery
Bezpečnostní kamery jsou zařízení IoT, a proto jsou zranitelná. Jsou také hojně dostupné na trhu v mnoha formách a jsou navrhovány, vyvíjeny a vyráběny několika výrobci z různých zemí. Současné kamery jsou tak technologicky vyspělé, že přicházejí se spoustou složitých procesů a výkonem počítače na palubě.
Tento technologický vývoj poskytuje neuvěřitelné inovativní možnosti zabezpečení, ale také vážná digitální rizika. Kamery se skládají z pokročilých hardwarových a softwarových komponent, které jsou vyráběny jak vlastními silami, tak třetími stranami. Kvůli této složitosti lze takovou kameru považovat za jakýsi ekosystém sám o sobě a je extrémně náročné ji chránit holisticky proti věcem, které by se v tomto ekosystému mohly pokazit. Kamera se pro „padouchy“ stává zajímavým a lákavým útočným povrchem.
Naštěstí se v posledních letech také vyvinula kybernetická bezpečnost a pro fotoaparáty existují různé druhy digitálních bezpečnostních opatření, která mohou výrobci fotoaparátů použít. To však nejprve vyžaduje ochotu výrobce fotoaparátu vynaložit úsilí a rozpočet na zabezpečení samotné kamery. To se v této diskusi stává klíčovou otázkou.
Kybernetická bezpečnost je „vestavěná“ místo „šroubovaná“
Jak již bylo řečeno, všechny bezpečnostní kamery jsou zranitelné. Je však také pravda, že čím obtížnější je hacknout kameru, tím větší je pravděpodobnost, že kybernetický útočník skočí na jinou kameru, která se hackne snáze. Kybernetičtí útočníci jsou velmi chytří a sofistikovaní, ale také velmi pragmatičtí. Dávají přednost snadným cílům (pokud dosáhnou podobného výsledku). Výrobce kamer, který investuje do budování základny kybernetické bezpečnosti, která zajišťuje kyberneticky odolnější kamery, se pro tyto kybernetické útočníky stane méně příznivým cílem, protože se raději zaměřují na kamery, které s menším úsilím generují stejné výsledky (jinými slovy zaseknout').
Všichni výrobci fotoaparátů a zákazníci si musí být plně vědomi, že čím jsou kyberneticky odolnější jejich kamery, tím méně zajímavé jsou pro přístup neoprávněných hackerů. Toto cyber resillience vyžaduje vážné investice do kybernetické bezpečnosti na pevném základě a jednou z nejúčinnějších investic je implementace Secure-by-Design do výrobního procesu. To znamená, že kybernetická bezpečnost je zabudována během každé fáze výrobního procesu a není považována za dodatečný nápad, když je kamera vyrobena a implementována u zákazníka. Dobrým příkladem produkčního procesu Secure-by-Design v odvětví IoT je Hikvision Secure Development Life Cycle (HSDLC), jak je popsáno v Hikvision Cybersecurity Whitepaper [2].
Kromě implementace Secure-by-Design existují další investice do kybernetické bezpečnosti, které ukazují závazek organizace k zásadní kybernetické odolnosti jejího portfolia IoT. Dalším příkladem je Centrum zabezpečení. Toto centrum je specializovaným týmem profesionálů v oblasti kybernetické bezpečnosti, kteří reagují na bezpečnostní incidenty a bezpečnostní záležitosti předložené zákazníkem a řeší je [3].
Výzva k akci
Bezpečnostní kamera je tedy zařízení IoT a zranitelná pro hackery, kteří hledají neoprávněný přístup. Ale nemusí to tak být, protože výrobci fotoaparátů mohou výrazně zlepšit kybernetickou bezpečnost svých zařízení IoT, pokud berou tento úkol velmi vážně a jsou ochotni investovat do jeho základních stavebních kamenů kybernetické bezpečnosti. Secure-by-Design a Security Response Center jsou jen dva příklady těchto investic. Je třeba zvážit, zda si je společnost toho vědoma a zda je ochotna investovat do kybernetické bezpečnosti. Protože na konci tohoto příběhu nebudou porušeny nutně fotoaparáty z jedné oblasti nebo fotoaparáty s nižší cenou, ale fotoaparáty od těch, které nebere kybernetickou bezpečnost produktu vážně.
[1] https://www.csoonline.com/article/3258748/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html
[2] https://www.hikvision.com/en/support/cybersecurity/cybersecurity-white-paper/hikvision-cybersecurity-white-paper2019/
[3] https://www.hikvision.com/en/support/cybersecurity/report-an-issue/