IP-камери безпеки підключаються до Інтернету. Завдяки цьому користувачі можуть дистанційно отримувати до них доступ, так само дистанційно виробники можуть оновлювати програмне забезпечення цих пристроїв. Але ця функція також може створювати проблеми.
Незахищені належним чином пристрої, що функціонують у так званому Інтернеті речей - Internet of Things (IoT) - можуть бути доступні дистанційно практично всім, а не тільки тим, з ким ви хотіли б поділитися доступом. І це велика проблема для нашої галузі. За даними аналітичної компанії Gartner, до 2020 року більше 25 відсотків кібератак на підприємства будуть скоєні через пристрої IoT. І це ті ж самі пристрої, які повинні піклуватися про нашу безпеку. На кому ж лежить відповідальність за погрози безпеці мережевого обладнання?
Виробники
Виробники технологій повинні нести відповідальність за захист своїх дистриб'юторів і клієнтів в процесі експлуатації їх обладнання. Їх відповідальність полягає в розробці продуктів з удосконаленими функціями кібербезпеки, які зможуть гарантувати, що сама система безпеки не буде створювати нові уразливості в мережі їх клієнтів. Відповідальні виробники ставлять безпеку в центр своїх досліджень і розробок. Від етапу проектування до оцінки якості, кіберзахищенність повинна бути фундаментальною частиною процесу НДДКР. Оскільки нові загрози з'являються регулярно, відповідальні виробники повинні інформувати своїх клієнтів, партнерів і системних інтеграторів про нові загрози, як тільки вони будуть ідентифіковані, і діяти швидко і ефективно, щоб своєчасно їх виправити.
Системні інтегратори
Можна думати, що відповідальність за кібербезпеку лежить тільки на виробниках. Проте, системні інтегратори грають не менш важливу роль в забезпеченні того, щоб системи, які вони встановлювали, були захищені як фізично, так і віртуально. Відповідальні системні інтегратори повинні співпрацювати з компаніями і постачальниками, які мають сувору політику кібербезпеки, ресурси і чітко сформульований план боротьби з уразливостями. Також відповідальність системного інтегратора полягає в тому, щоб правильно інсталювати IP-обладнання та дотримуватися правил, встановлених виробниками. До таких правил відноситься заміна встановлених за замовчуванням паролів, використання найнадійнішних методів аутентифікації і шифрування, а також встановлення певних прав доступу для користувачів.
Відділи фізичної безпеки
Фахівці з безпеки знають про важливість безпечного розміщення пристроїв - відеокамери спостереження і кабелі повинні бути встановлені таким чином, щоб їх було складно пошкодити. Існує ряд інших завдань, які повинні виконувати служби безпеки для захисту своїх камер та інших пристроїв, наприклад, такі як регулярне оновлення програмного забезпечення і підтримка відповідності програмного забезпечення організаційним стандартам безпеки. Сьогодні роль відділів безпеки виходить за рамки встановлення і обслуговування пристроїв. Відділення фізичної безпеки більше не можуть перекладати всі проблеми, пов'язані з кібербезпекою, на плечі своїх колег з ІТ-відділу. Крім того, варто звернути увагу на той факт, що оскільки ці пристрої все частіше використовують нові технології, такі як штучний інтелект і машинне навчання, вони одночасно надають зловмисникам розширені інструменти для більш складних атак.
ІТ-відділи
Аналогічним чином, відділам, які займаються інформаційними технологіями, необхідно тісно співпрацювати з відділами безпеки і налаштовувати захищені мережеві конфігурації, які фізично відокремлюють камери і відеореєстратори від корпоративної мережі, використовуючи VLAN (віртуальні локальні мережі).
Відділи закупівель
Департаменти закупівель повинні бути проінформовані про ризики, пов'язані з рішеннями про закупівлі, заснованими виключно на ціні, без урахування недоліків або вразливостей кібербезпеки. Якщо показати, наскільки легко зламати деякі з недорогих апаратних засобів безпеки, які сьогодні представлені на ринку, люди зрозуміють рівень небезпеки. У разі, якщо закупівлі вже зроблені, відповідальні відділи повинні працювати зі своїми колегами з безпеки та ІТ-фахівцями за допомогою проведення оцінки ризиків використання закупленого обладнання. Після завершенні оцінки необхідно докласти всіх зусиль для зниження виявлених ризиків і, при необхідності, замінити потенційно небезпечні пристрої.
Топ-менеджмент
Співробітник будь-якої компанії може ненавмисно відкрити вміст шкідливого повідомлення або забути скинути пароль за замовчуванням, встановлений у відеокамері спостереження. Зловмиснику в цьому випадку відкривається доступ до конфіденційних даних компанії. Щоб захистити свою організацію від такого типу нападів, корпораціям необхідно впровадити процедури навчання своїх співробітників.
Висновок
Ті самі пристрої, які призначені для захисту власності, все частіше використовуються як засіб крадіжки конфіденційної особистої і корпоративної інформації. Важливо не розглядати кібербезпеку як роботу однієї людини або одного відділу, це - колективна відповідальність, яку потрібно сприймати всерйоз кожним із нас.
Джерело securitytoday.com. Переклад виконала адміністратор сайту Олена Пономаренко.
