Standard „Secure by Default“

Uri Guterman, šéf produktového a marketingového managementu společnosti Hanwha Techwin Europe, komentuje své upřímné přesvědčení o tom, že základním požadavkem všech systémů video dohledu by měly být aspekty ochrany hesel podle standardu ‚Secure by Default.

 

Důvody mohou být různé, ať již se jedná o páchání trestné činnosti, zlý úmysl způsobit škody nebo jen překonávání nových výzev oportunistickými útočníky. Bez ohledu na důvod však kybernetické útoky představují zásadní problém, který by mohl mít významný dopad na pověst celého odvětví video dohledu. Proto by nedávná publicita kolem poskytovatele klíčových řešení video zabezpečení s údajně nedbalým zabezpečením přístupu k důvěrným informacím koncových uživatelů měla motivovat všechny zúčastněné partnery napříč dodavatelským řetězcem video dohledu, aby společnými silami prosazovali ty nejlepší známé postupy v oboru.

 

Standard „Secure by Default“

Je pravdou, že většina kamer neslouží k životně důležitým účelům ani není nasazena v projektech na nejvyšší úrovni zabezpečení, nicméně je zde bezpočet firem a organizací, které své systémy video dohledu s důvěrou nasazují ve snaze ochránit aktiva, pracovníky nebo majetek. Oprávněně tedy očekávají, že jejich důvěrné údaje budou před útoky hackerů řádně zabezpečeny, a právě proto byl v roce 2019 britským zmocněncem pro bezpečnostní kamery představen standard ‚Secure by Default‘.

 

Hanwha Techwin se s hrdostí zařadila mezi první výrobce přizvané do vývoje standardu ‚Secure by Default‘, jehož cílem je zajistit, aby produkty určené k bezpečnostnímu dohledu vykazovaly i bez dalších zásahů (tedy jako krabicový produkt) potřebnou úroveň kybernetické a síťové bezpečnosti. Standard jako takový definuje, co jako firmy působící v odvětví video zabezpečení můžeme udělat pro to, abychom respektovali právo zákazníků na ochranu soukromí a současně dodržovali různé předpisy na ochranu dat vč. nařízení GDPR.

 

Velmi zjednodušeně řečeno, standard je návodem pro výrobce, aby jejich řešení video dohledu již v základu disponovala funkcemi na ochranu před kybernetickými útoky; toto by výrobci měli zohledňovat již na počátku procesu návrhu kamer a nevnímat tento aspekt pouze jako jeden z dlouhého seznamu užitečných funkcí.

 

Pět klíčových aspektů ochrany hesel

Může se to zdát jako samozřejmost, ale dobrým výchozím bodem při zavádění nejlepších postupů kybernetického zabezpečení jsou dobré protokoly na ochranu pomocí hesel. Jejich zavádění musí být snadné, přičemž návrh firmwaru zařízení by vždy měl zahrnovat minimální povinné a automaticky vynucované požadavky, jako je např. zákaz používání po sobě jdoucích písmen nebo číslic, apel k používání speciálních znaků, stejně tak jako kombinací písmen a číslic. Dále je důležité, aby výrobci nedodávali produkty s přednastavenými slabými hesly bez povinnosti uživatele tato hesla změnit. Typicky jde o hesla obsahující identická písmena nebo číslice.

 

 

Standard ‚Secure by Default‘ jmenovitě definuje následující opatření:

 

  • Montážní firmy by při startování zařízení měly být nuceny změnit výchozí heslo výrobce.

  • Zařízení by mělo být vybaveno funkcí ukazující sílu hesla nebo oznamující ‚heslo je příliš slabé‘.

  • Zařízení nesmí používat skryté uživatelské účty.

  • Zařízení nesmí používat napevno naprogramovaná hesla účtů.

  • Výrobci nesmějí být schopni uživatelům pomáhat s obnovováním ztracených/zapomenutých hesel k zařízením.

 

Žádný výrobce sice nemůže nabídnout 100% záruku, nicméně apelujeme na poradce, systémové návrháře a systémové integrátory, aby spolupracovali pouze s těmi výrobci, kteří podporují cíle standardu ‚Secure by Default‘ a mohou prokázat, že si plně uvědomují důležitost zabezpečení dat koncových uživatelů, což prokazují svojí maximální snahou omezovat rizika kybernetického útoku. Jde mj. o odstraňování tzv. ‚zadních vrátek‘, která byla návrháři původně vytvořena ke snazšímu přístupu k zařízení, ale která jsou současně slabinou dávající zařízení všanc útočníkům.

 

Vyhledávejte takové výrobce, kteří si uvědomují důležitost otevřenosti a v případě odhalení nových kybernetických hrozeb mají snahu se zákazníky jednat čestně, včetně rychlých kroků k vývoji nových verzí firmwaru na obranu před těmito hrozbami. Například Hanwha Techwin disponuje technickým týmem S-CERT (Security Computer Engineering Response Team), jehož jediným úkolem je řešit veškeré potenciální bezpečnostní hrozby, kterým jsou produkty a řešení Wisenet vystaveny. Členové uvedeného týmu byli pečlivě vybráni na základě odborných znalostí a schopností identifikovat, analyzovat a rychle reagovat účinnými protiopatřeními na veškeré potenciální hrozby v oblasti kybernetické bezpečnosti.

 

Na pomoc s vyhodnocováním odolnosti produktů vůči nejnovějším technikám hackerů by výrobci dále měli využívat služeb nezávislých agentur zaměřených na testování kybernetické bezpečnosti. Dále by výrobci měli nabízet školení montážním firmám a systémovým integrátorům se speciálním důrazem na význam nastavování ochrany hesly jakožto nedílného kroku v rámci zprovozňování všech kamer a záznamových zařízení.

 

Shrnutí

Možnost sledovat živý obraz nebo video záznam prostřednictvím libovolného počítače na síti, chytrého telefonu či tabletu, hojně využívaná bezpočtem firem, organizací i domácností, způsobila revoluci ve způsobu sledování majetku nebo aktiv na dálku. To se však současně odrazilo v rostoucích nárocích na ochranu dat napříč celým odvětvím video dohledu.

 

Dobrou zprávou pro koncové uživatele a všechny partnery napříč dodavatelským řetězcem je to, že mohou vybírat z řady profesionálních a společensky odpovědných výrobců, jejichž produkty splňují standard ‚Secure by Default‘, a aspekty ochrany dat jsou tudíž nedílnou součástí jejich návrhu.

 

Máte jakékoli dotazy ohledně ochrany hesel nebo kybernetické bezpečnosti obecně?
Zašlete prosím e-mail Urimu Gutermanovi na u.guterman@hanwha.com