Jak často uvádějí média, svět kybernetické bezpečnosti lze vnímat jako "divoký západ". K internetu věcí (IoT) je nyní připojena celá řada zařízení, a proto je tato problematika velmi aktuální. Mezi tato zařízení patří bezpečnostní kamery. Zařízení IoT jsou počítače, které používají software, který je činí zranitelnými. Jak říká známý odborník na kybernetickou bezpečnost Mikko Hypponen: "Pokud je zařízení chytré, je zranitelné!"
Hypponen má pravdu. V softwaru se denně objevují nové zranitelnosti, a to bez ohledu na výrobce. V roce 2019 bylo v Národní databázi zranitelností (NVD) zveřejněno a nahlášeno více než 12 000 zranitelností po celém světě jako CVE (Common Vulnerability and Exposure)[1]. Zranitelnosti jsou bohužel samozřejmostí. Záleží na tom, jak se společnost vypořádává se zranitelnostmi a jak je řeší.
Povědomí o zranitelnostech kybernetické bezpečnosti je životně důležité pro ochranu vás, vaší firmy a internetu, ale je také důležité pochopit, že zranitelnost není synonymem pro "zadní vrátka" a nemusí nutně znamenat "levnou kvalitu."
Existují však společnosti, které do svých vývojových procesů zavádějí ochranná opatření, aby snížily rizika. Mohli byste je vnímat jako "šerify", kteří podnikají kroky k tomu, aby byl tento Divoký západ o něco bezpečnější.
Proč se společnost Hikvision rozhodla pro "Secure-by-Design
Bezpečnostní kamery, stejně jako všechna ostatní zařízení IoT, jsou zranitelné vůči kybernetickým útokům. Výrobci zařízení IoT mohou naštěstí tyto zranitelnosti výrazně omezit již při výrobě zařízení pomocí procesu zvaného "Secure-by-Design".
Implementace Secure-by-Design vyžaduje závazek ze strany vedení výrobce a značné investice do zdrojů a technologií, což může mít za následek delší výrobní proces a vyšší cenu zařízení IoT. Náklady jsou často důvodem, proč někteří výrobci zařízení IoT nepoužívají Secure-by-Design (a jsou skutečně levnější).
Hikvision je výrobce zařízení IoT, který bere zabezpečení a ochranu soukromí velmi vážně a do svého výrobního procesu implementoval technologii Secure-by-Design. Vedení tento proces podporuje a dokonce zřídilo speciální interní strukturu pro kybernetickou bezpečnost, která se zabývá kybernetickou bezpečností produktů. This group is also the central point of contact for all other cybersecurity matters.
Životní cyklus vývoje zabezpečení Hikvision (HSDLC) je zásadní součástí programu kybernetické bezpečnosti společnosti Hikvision. Kontroly kybernetické bezpečnosti probíhají v každé fázi vývoje produktu - od konceptu až po dodání. Testování produktů probíhá například ve fázi ověřování, společnost také pravidelně zve známé bezpečnostní společnosti a veřejné testovací platformy k provádění penetračních testů. Znamená to, že všechny produkty Hikvision jsou imunní vůči hackerům? Ne, tuto záruku nelze poskytnout, ale HSDLC je důkazem toho, že se výrobce snaží vyrábět produkty, které jsou co nejlépe kyberneticky zabezpečené.
Kromě procesu Secure-by-Design otevřela společnost Hikvision v roce 2018 v Kalifornii laboratoř SCTC (Source Code Transparency Center), která je první svého druhu v tomto odvětví. V tomto centru mohou americké a kanadské vládní orgány a orgány činné v trestním řízení prohlížet a vyhodnocovat zdrojový kód zařízení Hikvision IoT (IP kamery a síťové videorekordéry).
Je důležité zdůraznit, že žádný produkt není stoprocentně bezpečný. Hikvision má program pro správu zranitelností, který je zaveden v případě, že je v produktu objevena zranitelnost. Zranitelnosti, které byly společnosti Hikvision nahlášeny a/nebo zveřejněny, byly doposud opraveny v nejnovějším firmwaru společnosti Hikvision a jsou snadno dostupné na webových stránkách společnosti Hikvision. Kromě toho je společnost Hikvision členem CVE CNA a zavázala se pokračovat ve spolupráci s hackery a bezpečnostními výzkumníky třetích stran, aby včas našla, opravila a zveřejnila aktualizace produktů. Tyto zranitelnosti jsou shromažďovány v Národní databázi zranitelností (NVD) a jsou veřejné. Hikvision doporučuje zákazníkům, kteří mají zájem o nákup bezpečnostních kamer, aby se informovali o postupech výrobce v oblasti kybernetické bezpečnosti a o tom, zda má zavedený program správy zranitelností.
Otázky týkající se kybernetické bezpečnosti
Kybernetická bezpečnost zařízení IoT je téma, kterým je třeba se vážně zabývat a které by mělo hrát zásadní roli v procesu vývoje produktu, počínaje fází konceptu produktu IoT. To vyžaduje čas, investice a znalosti.
Zamyslete se nad následujícími otázkami:
- Mohu věřit výrobci levné bezpečnostní kamery?
- Má tento výrobce specializovanou organizaci pro kybernetickou bezpečnost?
- Jak tento výrobce řeší zranitelnosti?
To jsou otázky, které by si měl každý položit při nákupu, ať už jde o kameru nebo jiný produkt IoT.
Absolutní stoprocentní záruka bezpečnosti neexistuje, ale Hikvision používá špičkové postupy pro zajištění kybernetické bezpečnosti svých kamer. Klíčovými prvky pro úspěšné zabezpečení zařízení IoT jsou spolupráce se zákazníky, instalátory, distributory a partnery a plná transparentnost.
Když čtete zprávy o kybernetické bezpečnosti, vyzýváme vás, abyste se podívali dál než jen na titulky a skutečně se seznámili se společnostmi, které zařízení IoT vyrábějí. Než si koupíte bezpečnostní kameru nebo jiné zařízení IoT, ověřte si postupy výrobce v oblasti kybernetické bezpečnosti, hledejte společnost s robustním programem správy zranitelností, společnost, která se řídí zásadami Secure-by-Design a Privacy-by-Design, a společnost, která zaměstnává odborníky na kybernetickou bezpečnost, kteří jsou připraveni a ochotni zodpovědět vaše dotazy. Nezapomeňte, že existují nejen bandité, ale i šerifové.
[1] Zdroj: MITRE corporation CVE website