Techniczne systemy bezpieczeństwa służą głównie do zapewnienia bezpieczeństwa ludziom oraz do ochrony i kontroli mienia lub konkretnego obiektu. Składają się na nie systemy monitoringu, kontroli dostępu, sygnalizacji oraz komunikacji. Jednak to wciąż urządzenia IT, które działają w oparciu o dostęp do internetu.
Ich rosnąca popularność sprawia, że firmy, organizacje czy zwykli użytkownicy są narażeni na ataki hakerskie. W efekcie może to prowadzić do całego szeregu potencjalnych problemów, które mogą spowodować znaczne straty i szkody dla przedsiębiorstw.
Systemy bezpieczeństwa – luki i ataki
Systemy bezpieczeństwa, jak kamery monitorujące, korzystając z dostępu do internetu mają własne numery IP i już przez sam ten fakt są narażone na ataki hakerów. Większość sieci kamer pozwala użytkownikom na zdalny dostęp do nich właśnie przez internet (np. właściciel przedsiębiorstwa może sprawdzić, co pod jego nieobecność dzieję się w firmie czy magazynie). Hakerzy są w stanie wykorzystać luki tej funkcji do szybkiego odnalezienia podatnych na zagrożenia kamer, a następnie przeprowadzić atak, aby uzyskać do nich dostęp. Dotyczy to m.in. przechwytywania połączeń z kamerami, potajemnego monitorowania ich kanałów wideo czy kradzieży danych użytkowników lub haseł do urządzeń. Co gorsze, wszystko może odbyć się bez wiedzy właściciela. Do sierpnia 2020 roku w Internecie znaleziono już ponad 3,7 miliona urządzeń podatnych na tego typu ataki[1].
Problem jest poważny, gdy dodatkowo weźmie się pod uwagę luki w oprogramowaniu niektórych systemów. W lipcu br. litewskie Narodowe Centrum Bezpieczeństwa Cybernetycznego[2] opublikowało analizę, według której kamery chińskich producentów, do których należy znacząca część światowego rynku systemów zabezpieczeń, zawierają luki, które umożliwiają przesyłanie danych (zawierające informacje m.in. o nazwach użytkowników, hasłach do urządzenia) na serwery znajdujące się w Chinach[3].
Zabezpiecz swój system bezpieczeństwa
Aby skutecznie zabezpieczyć system bezpieczeństwa przez atakiem hakerskim należy zastosować się do kilku prostych środków ostrożności. Niezależnie czy używamy tych systemów w biznesie, jako przedstawiciele firm, instytucji, czy jako użytkownicy prywatni – te rekomendacje mają zastosowanie w niemal każdym przypadku dotyczącym systemów bezpieczeństwa.
- Sprawdzaj producentów
„Decydując się na wybór systemu bezpieczeństwa, warto zwrócić uwagę na kraj pochodzenia producenta oprogramowania. Producenci niepodlegający europejskiemu prawu (RODO) oraz obowiązującym w Polsce normom prawnym nie ponoszą odpowiedzialności za wyciek czy kradzież danych” – radzi Damian Dopiera, dyrektor działu wsparcia technicznego C&C Partners.
Wiele oferowanych przez tego typu producentów systemów bezpieczeństwa praktycznie nie posiada żadnych zabezpieczeń — co najwyżej są zabezpieczone standardowymi hasłami, a użytkownicy często nie są świadomi konieczności ich zmiany.
- Zmień hasło i nazwę użytkownika
Wielu użytkowników ma tendencję do używania domyślnych haseł i nazw użytkowników podczas konfigurowania systemów bezpieczeństwa. Zachowanie hasła i nazwy użytkownika ustawionych standardowo przez producenta jest jak zaproszenie dla hakera. Należy ustawić silne, trudne do odgadnięcia hasło – składające się z małych i wielkich liter, cyfr oraz znaków specjalnych. Kategorycznie nie należy używać tego samego hasła, które jest już używane online w innym miejscu. Warto w tym celu użyć menedżera haseł do wygenerowania silnego, losowego hasła.
- Aktualizacje to podstawa
„Tak samo jak uaktualniamy swoje telefony, czy komputer, warto pamiętać o regularnej aktualizacji urządzeń systemów bezpieczeństwa. Przekłada się ona na poprawę funkcjonalności oprogramowania, dostosowanie go do aktualnych cyber-zagrożeń i usunięcia luk w oprogramowaniu, a w efekcie na wzrost poziomu bezpieczeństwa IT całego przedsiębiorstwa” – dodaje Dopiera.
Zaawansowane systemy automatycznie pobierają i instalują aktualizacje, jednak należy mieć świadomość, że niektóre wymagają od użytkownika ręcznego sprawdzenia i zainstalowania aktualizacji, co również zostało opisane w analizie systemów dokonanej przez litewski NCSC.
Podsumowanie
Powyższe rekomendacje to najprostsze sposoby na zabezpieczenie systemu bezpieczeństwa, z których może efektywnie skorzystać praktycznie każda firma. Oczywiście wiąże się to z dodatkowym nakładem pracy czy nawet kosztami, jak w przypadku aktualizacji. Jednak biorąc pod uwagę ryzyko strat wynikających z cyberataków taki koszt jest znikomy. Zakup systemu warto poprzedzić dokładną analizą. Dodatkowo należy zwracać uwagę na funkcjonalność i możliwość rozwoju danego systemu. Wartością dodaną jest na pewno wsparcie techniczne, które powinno być gwarantowane przez dostawcę rozwiązań. Weryfikacja kluczowych cech oprogramowania stanowi podstawę wyboru bezpiecznego produktu, odpowiedniego do potrzeb biznesu i nie tylko.
[1] The Register: https://www.theregister.com/2020/08/10/iot_p2p_horror/
[2] NCSC, Litwa znajduje się w pierwszej 5 państw najlepiej dbających o cyberbezpieczeństwo na świecie: https://news.itu.int/cgi-2019-released/
[3] Cyberdefence24.pl: https://www.cyberdefence24.pl/chinskie-systemy-monitoringu-zagrozeniem-dla-panstwa?fbclid=IwAR1ESCrxfen-ushHNr4X7tC3E77YjSmwvKRljCfDlDG--yH38TaFTQ2o16A
