Кібербезпека — це спільна відповідальність виробників та користувачів

Ніщо, створене руками людини, ніколи не буває на 100% безпечним: помилок програмування можна в повній мірі уникнути та процеси, які покладаються на людей, за своєю природою є помилковими. Кібербезпека — це спільна відповідальність, ніхто з учасників ринку не може боротися з кіберзлочинністю поодинці, і всім потрібно працювати разом, щоб випереджати тих, хто переслідує злочинні наміри. Отже, давайте подивимося на обов'язки зацікавлених сторін, залучених в «ланцюжок» кібербезпеки, яка настільки ж сильна, наскільки сильна її найслабша ланка.

Користувач

Першочергова задача користувача (особи, відповідальної за запуск рішення) — полягає в тому, щоб зробити відповідні інвестиції в кібербезпеку. Це можна зробити самостійно, тобто ІТ-відділ сам виправляє помилки, або ж заплатити інтегратору за обслуговування системи безпеки. Термін служби техніки легко становить 10-15 років. Припущення, що нічого не потрібно робити для підтримки комплектів відеоспостереження та СКУД в належному стані протягом цього часу, недалекоглядне та наївне.

Інтегратор

Ця зацікавлена сторона грає вагому роль в кібербезпеці. Інтегратор повинен переконатися, що IP камери відеоспостереження та всі його власні пристрої (ноутбуки, смартфон та інше) оснащені останніми оновленнями для ОС та запустити складний антивірусний сканер.

Обрані паролі повинні бути складними та персональними, принаймні, для кожного користувача та об'єкта. Слід уникати загальної звички використовувати один майстер-пароль для спрощення обслуговування пристроїв. Віддалений доступ до встановлень повинен бути обмежений, а всі пристрої, підключені до технології користувача, повинні бути ретельно перевірені на наявність вірусів, щоб уникнути будь-якого виду зараження.

Обслуговування ПЗ для відеоспостереження та підключеного обладнання і надалі виконується занадто рідко або нечасто. Після встановлення ці системи, як правило, оновлюються тільки в тому випадку, якщо додаються додаткові пристрої або від користувача запитуються додаткові опції.

Без регулярного обслуговування кібербезпека згодом знизиться. Імовірність того, що уразливість буде виявлена в контексті системи, тобто в ОС, програмному забезпеченні або обладнанні, становить майже 100%. Попри те, що ризик здається мінімальним, всі популярні вразливості повинні бути виправлені. У більшості випадків негайне застосування виправлення не потрібно, але настійно рекомендується проводити оновлення системи раз на два роки.

Інтегратор несе відповідальність за інформування клієнтів про цю процедуру, яка в індустрії безпеки, не пов'язаної з ІТ, все ще не так досконально відома, як слід було б.

Консультант

Ще одна вагома складова — це робота консультантів магазинів безпеки, людей, що визначають компоненти для систем. Консультанти повинні не тільки вказати правильні характеристики та властивості продукту, вони також несуть відповідальність за визначення технічного обслуговування протягом всього терміну служби системи. Роблячи таким чином, вони можуть підкреслити важливість підтримки системи в належному стані, а також будуть прозорі щодо передбачуваних витрат на це. Однак в контексті встановлених пристроїв OEM та ODM складно гарантувати цей аспект обслуговування; більшість клієнтів не стали б купувати систему, для якої обслуговування вважається азартною грою.

Дистриб'ютор

Для чистого дистриб'ютора тема кібербезпеки спрощена: вони займаються логістикою та не стосуються самого продукту. Однак дистриб'ютори, які впроваджують додану вартість, повинні враховувати ті ж аспекти, що й інтегратори або установники, як описано вище.

Для тих дистриб'юторів, що також перепродають пристрої OEM та ODM, ті, які вони купують у виробника і перейменовують під іншим (або власним) брендом, застосовується інший набір правил. Перш за все, прозорість вважається першорядним моментом: вони повинні повідомити клієнтам, що купують. Без такої прозорості ціна найчастіше найбільше впливає на рішення клієнта про покупку.

Вони також повинні гарантувати постачання оновлень програмного забезпечення в разі вразливостей їх вихідного постачальника. Звички галузі зображують, що виявлена уразливість в пристроях вихідних постачальників, як правило, не виправляється в пристроях численних OEM-партнерів.

Виробник

Обов'язки виробника щодо забезпечення кібербезпеки відносно легко зрозуміти:

• Не вмикати ніяких навмисних аспектів, таких як бекдори, жорстко задані паролі та інше;
• Надати необхідні інструменти, щоб зробити кіберуправління пристроями спрощеним та доступним за ціною;
• Розповісти іншим про ризики та про те, як їх уникнути (як всередині компанії, так і за її межами);
• Записати відповідні аспекти в інструкціях щодо посилення захисту або іншої документації;
• Дозволити використання стандартних механізмів зробити пристрої безпечними;
• Повідомити партнерам про вразливість та доступні патчі.

Дослідник

Уразливості часто виявляють дослідники, а не хакери. Залежно від типу вразливості ці дослідники вирішують, що робити далі. Якщо уразливості не навмисні, вони зв'язуються з виробником та дають конкретний час, щоб виправити уразливість, перш ніж опублікувати її. Але якщо це вразливість з навмисним характером (наприклад, бекдор), тоді дослідники миттєво стають надбанням суспільства, щоб підвищити обізнаність користувачів про цей продукт.

Споживач

Наша власна поведінка також вважається першорядним аспектом кібер-зрілого мислення. Як часто ми міняємо пароль до IP відеореєстратора? Наскільки складні наші власні паролі? Чи застосовуємо ми окремі паролі або один «головний» пароль для більшості додатків та онлайн-сервісів, які використовуємо? Лінива поведінка користувачів як і раніше залишається вагомою перевагою для хакерів. Легкі паролі, що вгадуються та паролі, які використовуються для всіх облікових записів, піддають споживачів ризику злому.

Одна людина самостійно не може виконати місію по створенню та підтриманню кібербезпеки охоронних датчиків та систем. Тільки якщо всі зацікавлені сторони візьмуть на себе відповідальність за безпеку даних, тоді можливо дієво боротися з кіберзлочинністю.