Концепции "Secure-by-design" и "Secure-by-default": модные слова или необходимость в индустрии безопасности?

Чтобы защитить свои данные и активы, людям нужны решения видеонаблюдения, которые считаются безопасными, созданными по концепциям “secure-by-design” и “secure-by-default”. Но что на самом деле означают эти часто используемые термины кибербезопасности? И как можно убедиться, что производитель камер видеонаблюдения и систем безопасности выполняет все свои обещания в отношении кибербезопасности? В массе случаев лучше избегать технического жаргона в пользу четких и кратких описаний, но это не всегда возможно. Некоторые термины остаются неизменными, и когда дело доходит до кибербезопасности, часто можно услышать об устройствах «защищенных по умолчанию» и «защищенных по конструкции». Но что же означают эти термины? И почему они так важны для бизнеса и стратегии кибербезопасности?

Что такое «безопасная конструкция»?

«Secure-by-design» — это философия или подход, направленный на то, чтобы обеспечить безопасность на всех этапах производственного процесса продукта. Он начинается на этапе разработки концепции, когда видеокамера или другой продукт только на чертежной доске, и продолжается через разработку и тестирование, вплоть до окончательного производства и доставки.

Но явно недостаточно думать о безопасности при разработке новых продуктов. Также должны быть конкретные шаги, которые предпринимаются для оценки безопасности на каждом этапе. Например, во время разработки важны экспертные оценки программного обеспечения устройства, чтобы свести к минимуму ошибки и убедиться, что в коде отсутствуют лазейки в безопасности. Кроме того, продукты следует подвергать тщательному тестированию на проникновение, чтобы гарантировать отсутствие легко используемых уязвимостей

А как насчет "защиты по умолчанию"?

Опять же, часто используется термин «secure-by-default», но зачастую без объяснения или контекста. Истинное значение слова «защищенный по умолчанию» заключается в том, что продукты настроены на повышенную безопасность, когда они покидают завод, даже если эти настройки означают, что некоторые функции отключены.

Как всегда, необходимо соблюдать баланс между безопасностью и функциональностью, и у пользователя всегда предусмотрен шанс уменьшить настройки безопасности и повысить функциональность продуктов — в зависимости от устойчивости к риску. Однако заводские настройки по умолчанию обеспечивают действенную кибербезопасность с первого дня установки, что считается впечатляющим стартом для начала.

Пять вопросов по кибербезопасности для производителя

Когда дело доходит до упомянутых выше концепций, все упирается в производителя системы безопасности. Вопрос в том, как узнать, достаточно ли серьезно относится к кибербезопасности выбранный производитель устройства? Действенный способ узнать это — задать производителю массу вопросов об обязательствах и методах обеспечения кибербезопасности. Вопросы вроде:

1. Считается ли «безопасная конструкция» приоритетной инвестицией для компании? Учтите, что разработка безопасного продукта с нуля обходится гораздо дороже, поэтому должен быть доступный бюджет для экспертных оценок, тестирования и других действий, которые проверяют безопасность устройства на протяжении жизненного цикла проектирования и производства.

2. Предусмотрена ли специальная команда по кибербезопасности? Производители решений видеонаблюдения, серьезно относящиеся к безопасности продуктов, включают специальную команду по кибербезопасности, которой поручено постоянно следить за процессом и проверять продукты.

3. Разглашаете ли вы подробную информацию о «безопасных» продуктах публично (в официальных документах или в других сообщениях)? Опять же, производители, серьезно относящиеся к кибербезопасности, должны быть открытыми в деталях реализации «secure-by-design». Эти данные должны быть общедоступны, желательно отмечены в официальных источниках.

4. Что произойдет, если пользователю потребуется поддержка в области кибербезопасности после установки комплекта видеонаблюдения? Производители, заботящиеся о безопасности, должны иметь специальную команду постпродажного обслуживания, которая может решить любые вопросы безопасности или проблемы, возникающие при установке.

5. Все ли продукты защищены заводскими настройками по умолчанию? Производители, что дорожат репутацией, будут делать это стандартно, но на всякий случай все же важно уточнить.

Например, компания Hikvision инвестирует миллионы долларов и тысячи часов для исследований и разработок в год, чтобы гарантировать, что ее продукты в полной мере безопасны по конструкции и по умолчанию.

На практике инженеры Hikvision внедряют функции кибербезопасности в продукты под пристальным вниманием специализированной группы по кибербезопасности — с тщательными экспертными обзорами и тестированием программного обеспечения на проникновение, проводимым на каждом этапе процессов разработки и производства. Также компания в полной мере открыта в отношении инструментов и процессов, которые использует для создания продуктов и рада поделиться этой информацией с клиентами.

Наконец, что не менее важно, все продукты и видеокамеры Hikvision поставляются в конфигурации «защищенный по умолчанию», что дает пользователю принимать собственные решения при балансировании безопасности продукта и его функциональности.