Așa cum mass-media adesea raportează, lumea securității cibernetice ar putea fi văzută ca un "Vest Sălbatic". În zilele noastre, există o gamă largă de dispozitive conectate la internet, ceea ce face din acesta un subiect asupra căruia merită să ne îndreptăm atenția. Printre aceste dispozitive se numără și camerele de securitate. Dispozitivele IoT sunt computere ce utilizează un software care le face vulnerabile. Așa cum Mikko Hypponen spune, "Dacă un dispozitiv este inteligent, atunci este vulnerabil!"
Hypponen are dreptate. Fiecare zi reprezintă o provocare, iar software-ul este predispus la vulnerabilități, indiferent de producător. În 2019, mai mult de 12.000 de vulnerabilități au fost raportate și făcute publice de către CVE (Common Vulnerability and Exposure) în baza de date națională a vulnerabilităților (National Vulnerability Database - NVD)[1]. Vulnerabilitățile sunt inerente, dar ceea ce contează cu adevărat este modul în care o companie le tratează și le rezolvă.
Conștientizarea vulnerabilităților în materie de securitate cibernetică este de o importanță vitală pentru protejarea dvs. și a afacerii dvs., dar este, de asemenea, important să realizați că o vulnerabilitate nu este neapărat o cale sigură de acces pentru hacker (“backdoor”) și nici nu este în mod necesar un indicativ al unei calități scăzute.
Dar există companii care implementează garanții în procesele de dezvoltare, astfel încât riscurile să fie minimizate. Aceste companii ar putea fi văzute ca niste "șerifi" ai Vestului Sălbatic, care încearcă să ofere puțină siguranță.
De ce alege Hikvision ‘Secure-by-Design’
Camerele de securitate, la fel ca toate celelalte dispozitive IoT, sunt vulnerabile la atacurile cibernetice. Din fericire, producătorii de dispozitive IoT pot reduce semnificativ aceste vulnerabilități în timpul procesului de producție a dispozitivelor, printr-un proces cunoscut sub numele de ‘Secure-by-Design’.
Implementarea procesului Secure-by-Design presupune un angajament din partea echipei de management a producătorului, dar și o investiție serioasă, atât în resurse, cât și în tehnologie, ceea ce poate duce la un proces de producție mai îndeungat, dar și la un cost ceva mai ridicat a dispozitivului IoT. Costul este, adesea, unul dintre motivele pentru care unii producători de dispozitive IoT nu implementează procesul de Secure-by-Design (dispozitivele fiind într-adevăr mai ieftine).
Hikvision este unl dintre producători de dispozitive IoT care ia securitatea și confidențialitatea datelor foarte în serios, implementarea procesului Secure-by-Design fiind unul dintre aspectele importante în procesul de producție. Managementul susține în totalitate acest proces și a creat chiar o structură internă dedicată securității cibernetice a produselor. Acest grup intern este, de asemenea, punctul central de contact pentru toate chestiunile ce țin de securitatea cibernetică.
Ciclul de viață al dezvoltării securității (The Hikvision Security Development Life Cycle - HSDLC) este o parte esențială a programului de securitate dezvoltat de Hikvision. Verificările de securitate cibernetică au loc în fiecare etapă a dezvoltării produsului - de la concept până la livrare. De exemplu, testarea produsului are loc în timpul fazei de verificare. Hikvision se asigură că există în mod constant că există companii de securitate implicate în testare. Dar oare acest lucru înseamnă că produsele Hikvision sunt imune la hacking? Răspunsul este nu, această garanție nu poate fi dată, dar HSDLC este dovada unui producător care depune toate eforturile pentru a oferi pieței produse cât mai sigure.
Pe lângă procesul Secure-by-Design, Hikvision a deschis în 2018, în California, un centru de transparență a codului sursă (Source Code Transparency Center - SCTC), fiind prima industrie care deschide un astfel de laborator. La acest centru, SUA, gurnul canadian și agențiile de aplicare a legii, pot vizualiza și evalua codul sursă al dispozitivelor Hikvision IoT (camere IP și înregistratoare video de rețea).
Este important de subliniat faptul că niciun produs nu este sigur 100 %. Hikvision are în vigoare un program de gestionare a vulnerabilităților, atunci când acestea sunt descoperite într-un anumit produs. Până în prezent, vulnerabilitățile raportate către Hikvision și / sau făcute publice, au fost aplicate în cel mai recent firmware și sunt, de asemenea, disponibile pe site-ul Hikvision. În plus, Hikvision este un CVE CNA, care și-a luat angajamentul de a lucra cu cercetătorii în securitate pentru a găsi, corecta și lansa public actualizările produselor în timp util. Aceste vulnerabilități sunt colectate în baza de date a vulnerabilitățilpr naționale (NVD) și sunt publice. Hikvision recomandă clienților interesați să achiziționeze camere de securitate, să se intereseze și despre practicile de securitate cibernetică ale producătorului și dacă există un program de gestionare a vulnerabilităților.
Întrebări de luat în considerare atunci când vorbim de securitate cibernetică
Securitatea cibernetică a dispozitivelo IoT este un subiect care trebuie abordat în mod serios și ar trebui să joace un rol crucial în procesul de dezvoltare a produsului, incepând cu faza de concept. Acest lucru necesită timp, investiții și cunoștințe.
Întrebări de luat în considerare:
- Am încredere în producătorul unei camere de securitate ieftine?
- Acest producător are o organizație dedicată securității cibernetice?
- Cum gestionează producătorul aceste vulnerabilități?
Acestea sunt întrebările pe care toată lumea ar trebui să și le pună atunci când efectuează o achiziție, fie că este vorba despre o simplă cameră, fie că vorbim de oricare alt produs IoT.
Nu există o garanție absolută de 100 % a securității, dar Hikvision investește continuu în practici de ultimă generație în industrie, pentru a asigura securitatea cibernetică a camerelor sale. Cooperarea cu distribuitorii, partenerii, clenții și instalatorii, precum și transparența deplină sunt elemente cheie pentru securizarea cu succes a dispozitivelor IoT.
Când citiți știri despre securitatea cibernetică, vă recomandăm să priviți dincolo de titluri și să vă interesați mai mult despre acest subiect și despre companiile care produc dispozitive IoT. Înainte de a achiziționa o cameră de securitate sau orice alt tip de dispozitiv IoT, verificați practicile de securitate cibernetică ale producătorului, căutați o companie care pune accentul pe gestionarea vulnerabilităților, o companie care are implementat procesul Secure-by-Design și Privacy-by-Design, o companie care apelează constant la profesioniști în securitatea cibernetică, dornici oricând să răspundă la întrebări. Amintiți-vă, există șerifi, dar există și bandiți!
[1] Source: MITRE corporation CVE website