Павел, тема кибербезопасности, в принципе, далеко не нова. Почему компания Axis начала обращать внимание своих партнеров и заказчиков на нее именно сейчас?
— Действительно, тема кибербезопасности совсем не является новой для рынка ИТ. Сотрудники нашей компании уже давно следят за новостями из этой сферы, участвуют в тематических форумах, ведут блоги. Тем не менее, именно в последнее время сильно возросло количество угроз, касающихся частных и корпоративных пользователей систем видеонаблюдения. Всё чаще стали возникать ситуации, когда в результате небрежного использования оборудования, имеющего выход в сеть Интернет, злоумышленники получают возможность влиять на различные сервисы — например, для доступа к видеоконтенту в режиме онлайн. Компания Axis, как производитель компонентов для систем видеонаблюдения, а иногда и целых систем, чувствует необходимость делиться накопленным опытом, образовывать пользователей — тем более, что на рынке также наблюдается возрастающий интерес к данной теме. Настает время для того, чтобы более глубоко разобраться в предлагаемых рынку технологиях.
Технический директор Axis в Восточной Европе Павел Рожков
Кибербезопасность можно интерпретировать по-разному. Что Axis подразумевает под этим термином?
— Начну с того, что устройства, подключенные к сети Интернет, сегодня используются повсеместно в разных сферах применения. И современное IP-видеонаблюдение — лишь одна из таких сфер. Когда компании работали с аналоговыми камерами, угроза для них состояла лишь в том, что злоумышленник мог физически «врезаться» в кабель и таким образом получить доступ к данным. Сегодня, когда система видеонаблюдения являются частью ИТ-инфраструктуры, имеющей выход в Интернет, она может гораздо существеннее влиять на безопасность других подсистем, и существует огромное количество угроз на стыке физической и кибербезопасности.
Для Axis кибербезопасность системы видеонаблюдения — это не защита отдельно взятых устройств, отдельных компонентов сети. Это процесс взаимодействия данных компонентов (устройства, используемые в них технологии, а также соответствующие процедуры и отношение к ним конечных потребителей), подразумевающий активное участие всех участников этой цепочки: разработчиков, поставщиков частей системы, дистрибьюторов, конечных пользователей.
Также необходимо отметить, что назвать любую систему на 100% защищенной не сможет сегодня никто. Можно лишь предпринять максимум действий, чтобы минимизировать риски известных угроз. Соответственно, задача производителя — отслеживать вновь возникающие уязвимости и оперативно устранять их, выпуская патчи и обновления. Не менее важно взаимодействовать с партнерами и конечными потребителями, обучать их и делиться информацией.
Как же происходит это взаимодействие?
— На семинаре «Партнерский День Axis» я рассказывал о трех уровнях защиты, которые мы предлагаем: управление безопасностью, управление уязвимостями, обучение и сотрудничество.
Первый уровень — управления безопасностью — заключается в применении различных механизмов защиты. В подробном пособии «Hardening Guide» специалисты Axis дают рекомендации по настройке тех или иных параметров наших продуктов, различающиеся в зависимости от класса системы: ведь объектом наблюдения может быть как дачный участок, так и целый город. В последнем случае необходим инструмент для управления большим количеством устройств: это может быть, в том числе, решение Axis Camera Management, которое позволяет назначать пользователей, управлять паролями, централизованно обновлять микропрограммное обеспечение и многое другое.
Суть управления угрозами — своевременное выявление проблем на стадии разработки устройства, а при необходимости — исправление недостатков. В соответствии с ведущим мировым опытом, в Axis существует специальная внутренняя процедура верификации ПО перед запуском его в работу. Важно, что и при обнаружении уязвимости в ходе эксплуатации устройств мы не считаем возможным скрыть проблему или отложить ее исправление: наоборот, сделаем всё возможное, чтобы выпустить необходимое обновление ПО максимально быстро.
Наконец, обучение и сотрудничество — это обмен знаниями, постоянное повышение уровня развития в киберпространстве.
Соучредитель Axis Communications Мартин Грен: «Ключевым трендом 2017 года в нашей индустрии должна быть кибербезопасность»
На упомянутом мероприятии вы озвучили и общие рекомендации для партнеров и конечных пользователей, а также их наиболее частые ошибки...
— Может показаться удивительным, но исследования показали: всего три простых шага снижают риск возникновения киберугрозы на 90-95%. Первый — разумная политика учетных записей, разграничение прав доступа к системе. Второй — политика паролей. К слову, мы разрабатываем ПО таким образом, что любая камера Axis при первом подключении всегда просит задать новый пароль для пользователя. Но я часто обращаю внимание, что большинство людей и в этом случае автоматически вводят «pass». Понятно, что пользователь всегда инстинктивно старается поменять сложный пароль на более простой, либо где-то его записать. Но никто не запрещает использовать вместо сложного пароля ключевую фразу. Даже прочитав ее, никто не догадается о ее предназначении, а подобрать такой пароль программным способом злоумышленник будет пытаться очень долго. Третий рекомендуемый нами шаг — регулярное обновление системы.
Ошибки, повышающие риск возникновения угрозы, опять же, различаются в зависимости от типа организации. Если для малого бизнеса здесь нужно говорить о тех же паролях и о том, что видеокамера выведена в сеть напрямую (без специального ПО), то для крупного промышленного предприятия — в частности, о том, что лучше использовать видеосистему в изолированной сети.
Отдельно вы выделили объекты жизнеобеспечения — школы, здравоохранение, телекоммуникации и т. д. — и в качестве ошибки назвали плохой аудит поставщиков на кибербезопасность. Можно ли сказать, что Axis рекомендует себя как хорошего, компетентного производителя?
— Мы делаем всё от нас зависящее для того, чтобы быть компетентными, в том числе — поднимая этот вопрос перед партнерами, обращая внимание на современные угрозы. Мы считаем себя профессионалами, дорожим своим имиджем, и верим, что партнеры уважают Axis за наше открытое отношение к ним и за то, что они могут доверять нам.
Страница официального сайта Axis, посвященная кибербезопасности
Можно ли сказать, что какие-либо продукты Axis повышают кибербезопасность системы видеонаблюдения?
— Во всей своей продукции мы стараемся четко следовать политикам безопасности: например, выпускаем обновления микропрограммного обеспечения сразу на всю линейку. Но еще раз подчеркну, что кибербезопасность — это не устройство и не функция того или иного устройства, это процесс, который включает в себя и технологии, и непосредственно самих пользователей системы. Недостаточно просто купить некий набор оборудования, нужно еще его правильно установить и использовать.
Помимо этого, отмечу, что компания Axis начала использовать в своей работе европейские стандарты информационной безопасности ISO 27001 и NIST. Они содержат набор требований, основанный на лучших мировых практиках, и обеспечивают использование данных на наиболее защищенном уровне.