Об авторе
Уилл Кнер — старший менеджер по информационной безопасности и защите данных в компании i-PRO Americas Inc.
Если вы работаете в сфере физической безопасности, вы наверняка сталкивались с этим: камера, система контроля доступа или устройство обнаружения вторжений, установленные несколько лет назад и до сих пор функционирующие без единого обновления. Это распространённая ситуация, которую специалисты по безопасности привыкли считать «нормой». Но реальность такова: такое отношение напрямую подвергает организацию серьёзному риску.
В отрасли безопасности — от производителей и интеграторов до конечных пользователей — существует серьёзная проблема: технологии безопасности воспринимаются как нечто статичное, как, например, забор или дверь. Однако современные устройства безопасности — это, по сути, сетевые компьютеры, и оставлять их без обновлений на годы — всё равно что держать старый компьютер с Windows XP, подключённый к открытому интернету. Мечта любого хакера.
Менталитет «Установил и Забыл»
Большинство проектов по установке систем безопасности следуют стандартному сценарию:
Шаг 1. Продажа завершена.
Клиент выбирает систему безопасности, ориентируясь на её функционал, стоимость и узнаваемость бренда. Кибербезопасность редко играет значительную роль при принятии решения о покупке.
Шаг 2. Установка системы.
Интеграторы устанавливают камеры, системы контроля доступа и другие устройства, запускают их в работу и передают всё в руки конечного пользователя.
Шаг 3. Ничего не происходит.
Никто не вспоминает об обновлениях прошивки. Никто не проверяет уязвимости. Система функционирует годами без внимания.
А потом — внезапно — что-то происходит. Хакер может использовать старую уязвимость. Вирус-шифровальщик может парализовать всю сеть. IP-камера может быть захвачена и использоваться в составе ботнета. И внезапно звучит вопрос: «Почему система не была защищена?» Ответ прост: потому что никто не взял на себя ответственность за её безопасность.
Яркий пример этой проблемы — ботнет Mirai, который использовал тысячи незащищённых IoT-устройств для организации крупнейших DDoS-атак в истории. Когда Mirai попал в новости в 2016 году, он не использовал какую-то сложную уязвимость нулевого дня (то есть неизвестную разработчику и не имеющую патча).
Уязвимость была устранена за годы до атаки. Проблема заключалась в том, что большинство устройств так и не были обновлены. Прошло много лет, а проблема осталась. Тысячи камер видеонаблюдения, видеорегистраторов и систем доступа по-прежнему остаются незащищёнными в сетях — просто потому, что никто не поставил обновления в приоритет. Если Mirai не стал достаточным сигналом тревоги — то что тогда станет?
Взаимные Обвинения: Кто Виноват?
Виноваты не только пользователи. Здесь — идеальная буря из устоявшихся порочных практик: производителей, интеграторов и конечных клиентов.
Производители. Некоторые по-прежнему проектируют продукты в духе «сделал — отправил — забыл». Они выпускают оборудование, продают его и переключаются на следующую модель. Многие устройства по-прежнему поставляются с паролями по умолчанию, которые так и остаются неизменными. Обновления прошивок спрятаны где-то на сайте, а автоматического механизма обновления просто нет.
Более того, некоторые производители объявляют продукцию устаревшей уже через пару лет, даже если она продолжает активно использоваться. В итоге интеграторы и клиенты остаются один на один с задачей обеспечить защиту устройств, изначально не рассчитанных на современные угрозы.
Интеграторы зажаты между двух огней — от них ожидают, что они станут экспертами по кибербезопасности, хотят они этого или нет. Если уязвимость обнаруживается после установки, клиенты, как правило, обращаются в первую очередь к интегратору — даже если производитель не выпустил обновления или продукт уже снят с поддержки.
Однако у интеграторов своя бизнес-логика, и установка патчей не приносит прибыли. За регулярное техническое обслуживание в области кибербезопасности клиенты платить не спешат, а у многих интеграторов просто нет встроенной модели сервиса с обновлениями. Ситуацию усугубляет то, что большинство устройств безопасности не имеют удобных механизмов удалённого обновления. Если для прошивки необходимо выезжать на объект или загружать файлы вручную — обновления чаще всего не делаются вообще.
Конечные пользователи зачастую начинают думать о киберугрозах только тогда, когда уже случилось ЧП. Команды IT и физической безопасности не всегда взаимодействуют, в результате чего устройства видеонаблюдения подключаются к общей корпоративной сети без сегментации, работают на устаревшем ПО и используют стандартные пароли спустя годы после установки. Многие клиенты ошибочно полагают, что устройства безопасности изначально надёжны, но это далеко от истины.
Решение проблемы начинается с осознания: кибербезопасность — это не разовая настройка, а постоянный процесс. Производители должны брать на себя ответственность за долгосрочную поддержку, поставлять устройства с включёнными мерами защиты и удлинять жизненный цикл своих продуктов.
Интеграторам также необходимо изменить подход. Кибербезопасность должна быть не довеском, а встроенной частью сервисных контрактов: с регулярными обновлениями прошивок, аудитами и проверками настроек. Специалисты по установке должны проходить обучение по современным практикам киберзащиты, чтобы не просто монтировать оборудование, а полноценно его защищать. Вместо того чтобы перекладывать настройки на клиента, интеграторы обязаны сразу обеспечивать безопасную конфигурацию при установке.
Клиенты должны перестать считать, что безопасность — это «чужая задача», и начать требовать прозрачности от поставщиков. Если производитель не может объяснить, как реализуются обновления безопасности — это тревожный сигнал. Кроме того, все устройства безопасности должны быть физически и логически изолированы от основной сети, чтобы взлом одного устройства не поставил под угрозу всю инфраструктуру. И главное — обслуживание в области кибербезопасности должно входить в бюджет. Рассматривать его как одноразовую трату — путь к катастрофе.
Вывод ясен: решение не требует изобретений — требуется лишь ответственность на всех уровнях. Будь вы производитель, интегратор или клиент — пора прекратить перекладывать вину и начать относиться к кибербезопасности как к тому, чем она и является: непрерывному, критически важному процессу.
