Концепції "Secure-by-design" та "Secure-by-default": модні слова або необхідність в індустрії безпеки?

Щоб захистити свої дані та активи, людям потрібні рішення відеоспостереження, які вважаються безпечними, створеними за концепціями "secure-by-design" та "secure-by-default". Але що насправді означають ці часто використовувані терміни кібербезпеки? І як можна переконатися, що виробник камер відеоспостереження та систем безпеки виконує всі свої обіцянки щодо кібербезпеки? В більшості випадків краще уникати технічного жаргону на користь чітких та коротких описів, але це не завжди можливо. Деякі терміни залишаються незмінними, і коли справа доходить до кібербезпеки, часто можна почути про пристрої «захищені за замовчуванням» та «захищені по конструкції». Але що ж означають ці терміни? І чому вони такі важливі для бізнесу та стратегії кібербезпеки?

Що таке «безпечна конструкція»?

«Secure-by-design» — це філософія або підхід, спрямований на те, щоб забезпечити безпеку на всіх етапах виробничого процесу продукту. Він починається на етапі розробки концепції, коли відеокамера або інший продукт тільки на креслярській дошці, і триває через розробку та тестування, аж до остаточного виробництва і постачання.

Але явно недостатньо думати про безпеку при розробці нових продуктів. Також повинні бути конкретні кроки, які робляться для оцінки безпеки на кожному етапі. Наприклад, під час розробки важливі експертні оцінки програмного забезпечення пристрою, щоб звести до мінімуму помилки та переконатися, що в коді відсутні лазівки в безпеці. Крім того, продукти слід піддавати ретельному тестуванню на проникнення, щоб гарантувати відсутність легко використовуваних вразливостей.

А як щодо "захисту за замовчуванням"?

Знову ж таки, часто використовується термін «secure-by-default», але найчастіше без пояснення або контексту. Істинне значення слова «захищений за замовчуванням» полягає в тому, що продукти налаштовані на підвищену безпеку на час їхнього від'їзду з заводу, навіть якщо ці налаштування означають, що деякі функції відключені.

Як завжди, необхідно дотримуватися балансу між безпекою та функціональністю, і у користувача завжди передбачений шанс зменшити налаштування безпеки та підвищити функціональність продуктів — в залежності від стійкості до ризику. Однак заводські налаштування за замовчуванням забезпечують дієву кібербезпеку з першого дня установки, що вважається вражаючим стартом для початку.

П'ять питань з кібербезпеки для виробника

Коли справа доходить до згаданих вище концепцій, все впирається в виробника системи безпеки. Питання в тому, як дізнатися, чи достатньо серйозно ставиться до кібербезпеки обраний виробник пристрою? Дієвий спосіб дізнатися це — задати виробнику масу питань про зобов'язання та методи забезпечення кібербезпеки. Питання на зразок:

1. Чи вважається «безпечна конструкція» пріоритетною інвестицією для компанії? Врахуйте, що розробка безпечного продукту з нуля обходиться набагато дорожче, тому повинен бути доступний бюджет для експертних оцінок, тестування та інших дій, які перевіряють безпеку пристрою протягом життєвого циклу проектування та виробництва.

2. Чи передбачена спеціальна команда з кібербезпеки? Виробники рішень відеоспостереження, серйозно ставляться до безпеки продуктів, включають спеціальну команду з кібербезпеки, якій доручено постійно стежити за процесом і перевіряти продукти.

3. Чи розголошуєте ви докладну інформацію про «безпечні» продукти публічно (в офіційних документах або в інших повідомленнях)? Знову ж таки, виробники, що серйозно ставляться до кібербезпеки, повинні бути відкритими в деталях реалізації «secure-by-design». Ці дані повинні бути доступними для широкого загалу, бажано відзначені в офіційних джерелах.

4. Що станеться, якщо користувачеві буде потрібна підтримка в області кібербезпеки після установки комплекту відеоспостереження? Виробники, що піклуються про безпеку, повинні мати спеціальну команду постпродажного обслуговування, яка може вирішити будь-які питання безпеки або проблеми, що виникають при встановленні.

5. Чи всі продукти захищені заводськими налаштуваннями за замовчуванням? Виробники, що дорожать репутацією, будуть робити це стандартно, але про всяк випадок все ж важливо уточнити.

Наприклад, компанія Hikvision інвестує мільйони доларів та тисячі годин для досліджень і розробок на рік, щоб гарантувати, що її продукти в повній мірі безпечні за конструкцією і за замовчуванням.

На практиці інженери Hikvision впроваджують функції кібербезпеки в продукти під пильною увагою спеціалізованої групи з кібербезпеки — з ретельними експертними оглядами та тестуванням програмного забезпечення на проникнення, проведеним на кожному етапі процесів розробки й виробництва. Також компанія повною мірою відкрита щодо інструментів і процесів, які використовує для створення продуктів та рада поділитися цією інформацією з клієнтами.

Нарешті, що не менш важливо, всі продукти і відеокамери Hikvision постачаются в конфігурації «захищений за замовчуванням», що дає користувачеві приймати власні рішення при балансуванні безпеки продукту та його функціональності.