Фізична безпека c Марса, інформаційні технології c Венери

Всі ми знаємо - кібербезпека важлива. Майже щодня вона згадується в новинах. Ми чуємо про загрози кібертероризму або вкрадених особистих даних клієнтів великих компаній.

Протягом довгого часу сфера фізичної безпеки була аналоговою. І тому особам, відповідальним за забезпечення безпеки, не потрібно було займатися питаннями захисту мережі. У той же час ІТ-відділу не потрібно було турбуватися про відеокамери спостереження і подібне обладнання.

Але тепер, коли системи безпеки на базі IP технологій стали нормою, правила гри змінилися. Проблема, як ми її бачимо, полягає в тому, що служба фізичної безпеки і відділ ІТ технологій мають абсолютно різні погляди і пріоритети, часто не розуміючи один одного. Перефразуємо назвою відомої книги: фізична безпека - з Марса, а ІТ-відділ - з Венери.

Часто проблема може полягати тільки в мовному бар'єрі - жодна зі сторін не розуміє, про що говорить інша. Але в багатьох випадках проблема стає схожа на битву за опіку над небажанною дитиною: служба забезпечення фізичної безпеки не вважає кібербезпеку частиною своєї роботи, а ІТ-відділ може навіть не знати про потенційні вразливості пристроїв, які використовуються іншими відділами.

«Не моя робота»

Рой Алвес, фахівець компанії Axis Communications, розповідає: «Одна фраза застрягла у мене в голові після недавньої розмови з нашим клієнтом про кібербезпеку: «Ми не Пентагон. В принципі, ми раді, що Axis думає про це, і це цікаво, але зараз нас це не турбує». І якщо вони не зазнали нападу (або, принаймні, не знають, що зазнали нападу), то за цією фразою часто слід ще одна: «Кібербезпека - це те, про що повинен турбуватися ІТ-відділ - нам же просто потрібно переконатися, що в будівлі безпечно». У той же час, коли я розмовляю з співробітниками ІТ-відділів, то з'ясовується, що вони не завжди знають про ризики використання незахищених IP-відеокамер спостереження.

Отже, як ми, як представники галузі, можемо змусити начальника служби фізичної безпеки поставитися до ІТ-безпеки серйозно? І навпаки, як ми можемо допомогти співробітникам відділу ІТ-безпеки говорити зі своїми колегами зі служби фізичної безпеки на зрозумілій їм мові? Насправді, це не складно. Краще за все, використовувати термінологію, з якою вони знайомі.

Однак не всі організації мають однакові проблеми. У деяких організаціях вже налагоджений ефективний зв'язок між цими двома департаментами, і вони добре обізнані про загальні загрози. Як правило, всі організації можна розділити на три категорії в залежності від їх ставлення до погроз, з якими вони стикаються.

На вершині знаходяться ті організації, чий бізнес заснований на довірі і безпеці - наприклад, банки. У списку своїх пріоритетів вони ставлять безпеку на найвищі позиції. І фізична, і інформаційна безпека чітко позначені в їх корпоративній культурі. Вони обережно ставляться до впровадження нових технологій, поки не зможуть переконатися, що їх безпека не буде поставлена ​​під загрозу. Це стосується і нових пристроїв, підключених до мережі, таких як IP-відеокамери спостереження, системи контролю доступу і т.д. Таким чином, їх ІТ-відділи навряд чи дозволять підключити яке б то не було нове IP обладнання без належних перевірок.

Далі йдуть організації, які знають, що можуть бути уразливими до кібератак, але відсутність власного досвіду не дозволяє їм належним чином аналізувати ризики і працювати над їх зниженням. Ці компанії, ймовірно, найбільш схильні до ризику, так як не володіють достатнім рівнем ресурсів для належного захисту кожного підключеного до мережі пристрою.

Нарешті, є більш дрібні підприємства, які зовсім не дбають про забезпечення кібербезпеки і не думають, що такі пристрої, як відеокамери спостереження, потрібно будь-яким чином захистити, перш ніж підключати до мережі. Рідко в їх штаті є ІТ-менеджер, не кажучи вже про людину, яка несе повну відповідальність за забезпечення фізичної безпеки.

Діяти потрібно вже зараз

Досвід показує, що вразливі до злому пристрої мають паролі, які не змінювалися з моменту придбання. Крім того, до цієї категорії можна віднести пристрої з навмисно вбудованими дефектами алгоритмів - «бекдор», які полегшують виробнику можливість налагодити їх в процесі розробки.

У грудні 2016 року було виявлено, що понад 80 відеокамер спостереження великого виробника мають бекдори. Через місяць Washington Post повідомив, що поліція Вашингтона протягом трьох днів не могла записувати відео зі своїх відеокамер безпеки через злом 70% пристроїв для зберігання записів

Ми знаємо, що такі атаки відбудуться ще не раз. Якщо ви не приділите цій проблемі увагу, вона торкнеться і вас.

Джерело www.securitysa.com. Переклад статті виконала адміністратор сайту Олена Пономаренко.