IT biztonsági kérdések a fizikai biztonsági rendszerekben

Kedves Olvasóink! Folytatjuk az elektronikus vagyonvédelmi szakma kulcskérdéseit taglaló fórumunkat. Következőkben az IT biztonság témakörét igyekszünk körüljárni szakértő kollégáink közreműködésével.

Jogos a kérdés, hogy a sok fontos téma közül miért pont ez lett most a választásunk. Az ok egyszerű, hiszen tapasztalható, hogy az IP alapú megoldások, márpedig ezek dominálják piacot, egyre inkább hordozzák magukban a biztonsági kihívásokat. Partereink többsége beszélgetéseink során jelzi, hogy szinte mozdulni sem tudnak informatikai, közte IT biztonsághoz értő szakemberek közreműködése nélkül. Kezdetként ismét induljunk a „járt úton”, így a téma felvezetésére most is Laczkó Gábort az Aspectis Kft ügyvezetőjét kértük fel. (A szerk.)

laczko-gabor

Régi és elcsépelt gondolatnak hangzik, hogy minden biztonsági rendszer annyira biztonságos, mint a leggyengébb láncszeme – de ettől még igaz. Különösen igaz ez az IP alapú rendszerekre, ahol előtérbe kerülnek az IT biztonsági szempontok, hiszen – a kábeleken kívül – szinte nincs olyan elemük, amikben az informatika ne lenne jelen. Márpedig ahol jelen van, ott bizony felmerülnek az IT biztonsági kérdések. Mivel elsősorban videó rendszerekkel foglalkozunk, így cikkünkben az ezekre vonatkozó kérdéseket járjuk körül, ám ezek közül a legtöbb ma már érvényesnek tekinthető a többi (IP alapú) biztonsági rendszerre is.

A kockázatok

A téma aktualitását több dolog is jelzi. Egyrészt felmérések és saját tapasztalataink alapján is, ma Magyarországon a döntéshozók nem kezelik kellő súllyal ezeket a kérdéseket. Ennek alátámasztására álljon itt néhány adat:

  • Az IoT eszközök 70%-a sebezhető kiberbiztonsági szempontból
  • A cégvezetők 2/3-a számára a kiberbiztonság nem kiemelt szempont
  • Az adatszivárgások 85%-át a 10 leggyakoribb, nem patch-elt sérülékenység kihasználásával kövezik el
  • A kibertámadások 60%-a szervezeten belülről ered
  • A felhasználók 42%-a nem követi a biztonsági szabályokat, illetve óvatlanul viselkedik
  • A KKV-k 77%-a biztonságban érzi magát, de 83%-nak nincs formális biztonsági szabályzata

Mit szűrhetünk le a fentiekből? Sebezhető eszközökkel dolgoznak olyanok, akik nem tartják be a biztonsági szabályokat (már, ha vannak) és erre nem is kényszeríti rá őket a vezetőjük. Az is egy általános tapasztalat, hogy a kiberbiztonsági szempontok nem, vagy alig játszanak szerepet az eszközök kiválasztásánál.

A videó, mint informatikai rendszer

A másik oldalon egy korszerű videó rendszer ma már szinte felmérhetetlen mennyiségű adatot tárol. A puszta videó folyamokon kívül – amelyek önmagukban is kritikus adatok tömkelegét tartalmazzák – felhasználók, eszközök, elemzések adatait és egyre inkább kritikus üzleti adatokat tele értékes információkkal. Nagy tehát a csábítás ezek megszerzésére. Azt a tendenciát sem érdemes figyelmen kívül hagyni, hogy egyre több önálló döntést is bízunk ezekre a rendszerekre, illetve egyre több kritikus infrastruktúra működtetéséhez elengedhetetlenek. Az sem mellékes szempont, hogy informatikai szempontból a felhasznált eszközök többsége igen jelentős informatikai erőforrásokkal bír, egyesek számára ennek birtoklása is cél lehet. A fentiek alapján nézzük meg, hogy milyen következményei lehetnek annak, ha sikeres kibertámadás éri IP alapú videó rendszerünket.

  • Megszerzik az adatainkat
  • Blokkolják a rendszerünk működését
  • Kémkendek
  • Kizárnak a saját rendszerünkből
  • Botnet hálózat részévé válunk
  • Bitcoin bányászatra használják eszközeinket

Ez utóbbi kettő jó példa arra, hogy az erőforrásainkat használják sokszor anélkül, hogy ezt egyáltalán észrevennénk. A felmérések szerint ugyanis a Magyarországról indított Botnet támadások nagy részében IP kamerákat használtak fel, ráadásul a legtöbb esetben a kamerák használójának fogalma sincs arról, hogy miben vesznek részt eszközei.

Az okok

Joggal vetődik fel a kérdés, hogy hogyan lehetséges ez? Ennek egyik oka, hogy egészen a legutóbbi időkig maguk a gyártók sem kezelték kiemelten ezt a területet, így a régebbi eszközökben bőven találhatók biztonsági rések. Példaként említeném az alap adminisztrátori jelszót. Rengeteg olyan eszköz van még ma is használatban, amelyek gyári adminisztrátori jelszóval kerültek forgalomba. A sebezhetőség máris adott, hiszen elég egy lusta, hanyag felhasználó és máris elérhetővé válik a kameránk, vagy akár az egész rendszerünk, hiszen rögzítők is kerültek forgalomba jó számmal ilyen módon. A lustaságot pedig könnyen tetten érhetjük, hiszen egy másik örökérvényű mondás alapján, a biztonság és kényelem szorzata állandó. Egy-egy jól irányzott kereséssel aztán világszerte több tízezer ilyen eszközt találhatunk.

Másik ok, amikor a gyártók szándékosan hagynak hátsó ajtókat az eszközeiken. Ez súlyosabb, de létező probléma. Itt sok esetben arról van szó, hogy akkor is át lehessen venni egy eszköz felett a kontrollt, ha elveszett, vagy elfelejtették az adminisztrátori jelszót és az eszközt nem lehet egy helyi reset-el alap helyzetbe állítani. Ez néha valóban hasznos lehet, de ki biztosítja azt, hogy ezeket a lehetőségeket ne rossz szándékkal használják ki. Márpedig ma, amikor a kiberháborúk már nagyobb anyagi károkat okoznak, mint a valós térben zajlók, egy IP kamera bizony komoly kiberfegyvernek tekinthető.

A sérülékenységek

Nézzük meg most azt, hogy milyen sérülékenységeket tudunk azonosítani IP alapú biztonsági rendszerünkben! Mint a bevezetőben is említettem, rendszerünk szinte minden eleme érintett lehet, hiszen a hálózati eszközöktől kezdve a rögzítőkön, VMS szoftvereken át a kamerákig minden elem egy-egy önálló – saját funkcióval rendelkező – számítógépnek tekinthető. Máris elérkeztünk az első ponthoz, ami nem más, mint az operációs rendszer. Minden számítógép működéséhez szükséges valamilyen operációs rendszer. A végberendezések – mint pl. a kamerák – működését napjainkban általában valamilyen Linux alapú rendszer biztosítja, a rögzítőkön szintén futhat Linux, vagy Windows. Az operációs rendszer biztonsági réseit kihasználva át lehet venni az irányítást az eszköz fölött, ráadásul a legmélyebb szinten. A leghatékonyabb védekezés, ha telepítjük a frissítéseket, ami kamerák esetében általában a firmware frissítését jelenti.

Rendszerünk támadható a hálózaton keresztül is. Elsősorban a menedzselhető eszközök – switch-ek, router-ek – érintettek. A megoldás itt is az erős adminisztrátori jelszavakon felül a rendszeres frissítés. A kamerák rengeteg adatot „termelnek”, amit valahol tárolni kell. Ez ma komolyabb rendszerek esetében nagy teljesítményű hálózati tárolókban történik. Az adatokhoz való hozzáférésen felül itt fontos szempont az adatok megbízható tárolása, azaz egy-egy eszköz hibája ne vezessen adatvesztéshez. Ezt különböző redundáns rendszerekkel (pl. valamilyen RAID technológia) lehet elérni, de megoldás lehet az adatok párhuzamos tárolása több helyen, akár magában a kamerában is (SD kártya). A tároláson felül biztosítani kell azt is, hogy a tárolt adatokhoz csak azok férhessenek hozzá, akik jogosultak azt kezelni. A GDPR korában ez különösen hangsúlyossá vált az utóbbi időben. Gondoskodni kell arról is, hogy csak addig tároljuk az adatokat, ameddig az indokolt, illetve amit a jogszabályok lehetővé tesznek.

Ezzel el is érkeztünk a végberendezésekhez, azaz a kamerákhoz. Az előzőekben tárgyaltak szinte mindegyike megjelenik a kameráknál, hiszen hálózati eszköz, van operációs rendszere és egyre gyakrabban önállóan tárol adatokat is. Ezen felül komoly analitikák is futhatnak a kamerán, amellyel újabb – sokszor személyes – adatok keletkeznek. Fontosnak tartom kiemelni, hogy már a tervezési szakaszban érdemes gondot fordítani arra, hogy IT biztonsági szempontból is megfelelő eszközt válasszunk. Érdemes figyelni a témában megjelent cikkeket, biztonsági elemzéseket. Ha kritikus helyre kerül, akkor a kiválasztott típus mindenképpen rendelkezzen ún. Hardening Guide-al. Ez egy olyan dokumentum, amely leírja azt, hogy különböző biztonsági szintekhez hogyan konfiguráljuk fel eszközünket. A kamerákat minden szempontból telepítsük a biztonsági előírások figyelembe vételével, amely a megfelelő kábelvezetéstől az eszköz – biztonsági szempontokat is figyelembe vevő – felkonfigurálásáig tart.

Végezetül ejtsünk szót még a rögzítőkről és a VMS szoftverekről. Ezekre is mindazok vonatkoznak, melyeket az előzőekben leírtunk. A kockázat itt fokozottabban jelentkezik, hiszen ezek jelentik a rendszerünk agyát. Ha ezt sikeres támadás éri, akkor a támadók teljes kontrollt nyernek rendszerünk felett, aminek beláthatatlanok lehetnek a következményei. Jó példa erre, ami Washingtonban történt az ottani térfigyelő rendszerrel. 2017 január 12-én, Trump beiktatása előtt 8 nappal egy zsarolóvírus támadásának esett áldozatul. A rendszer 70%-a érintett volt, rengeteg adat elveszett és napokig tartott a helyreállítása. A bajt egyébként itt is emberi mulasztás okozta, egy gondatlanul megnyitott csatolmány indította el a lavinát.

Mit tehetünk?

Mit tanácsolunk azoknak, akiket mégis foglalkoztat ez a kérdéskör és fontosnak tartják a kiberbiztonságot? 10 pontban foglaltuk össze azokat a jótanácsokat – nevezhetjük akár tízparancsolatnak is – amelyek betartásával jelentősen javíthatjuk rendszereinket IT biztonsági szempontból.

  1. Erős, egyedi jelszavak használata
  2. Az eszközök előírt módon történő telepítése
  3. Világos biztonsági szabályok
  4. Legfrissebb firmware-ek használata
  5. Kockázatelemzések elvégzése
  6. Folyamatosan frissítsük a biztonságra vonatkozó ismereteinket
  7. Eszközök gyári beállításainak megváltoztatása
  8. Titkosított kommunikáció használata
  9. Hálózat védelme
  10. Folyamatos és rendszeres karbantartás

Forrás: Laczkó Gábor Aspectis Kft.

Kapcsolódó cikkek:

Hozzászólások