Информационная безопасность в системах охранного видеонаблюдения

Работающие через интернет IP-камеры различных производителей и связанные с ними устройства подвержены риску кибератак. Злоумышленники способны не только ухудшить качество картинки, но и подменить изображение, украсть данные.

Кто нуждается в защите?

Защита необходима любому пользователю, связанному с системами видеонаблюдения. Среди них проектировщики, заказчики охранного видеокомплекса, инсталляторы и производители. Последние единственные из этого списка, обладающие опытом в обеспечении информационной безопасности и знающие, какие уязвимости существуют. Изготовители получают сведения о взломах и утечках, на основе которых разрабатываются способы использования защитных средств.

Приоритеты защиты

Защита системы видеонаблюдения от взлома и критической уязвимости требуется в первую очередь для следующих объектов:

• базы данных и архивы с видео — есть риск потери и порчи записей, подмены файлов, нежелательного просмотра и распространения;
• каналы связи — не исключен перехват и внесение изменений в данные, потеря стабильности передачи видеопотока;
• оборудование — возможна потеря первоначальных настроек тысяч камер, ухудшение качества картинки, неразрешенный доступ к управлению.

Уязвимости производства

В эту категорию входят уязвимости систем видеонаблюдения, связанные с функционалом IP-камер. Из-за меньших затрат на аппаратную часть относительно создания новых прошивок производители оборудования нередко используют довольно спорные решения. В их числе:

• применение уязвимых прошивок;
• разрешение на несанкционированную корректировку настроек при активированной функции автоматизации и ограничении анонимного доступа;
• прошивки, лишенные автообновления, что напрямую создает угрозу информационной безопасности;
• беспрепятственный доступ к камерам видеонаблюдения с сайта изготовителя;
• подключение к серверу GoAhead, что делает уязвимыми устройства;
• поток видеоконтента не шифруется, открытая передача учетных данных и др.

Уязвимости использования

Помимо производителей свою лепту в создание угроз безопасности вносят специалисты, занимающиеся обслуживанием оборудования. Среди типичных ошибок:

• отключение автообновления прошивки видеокамеры;
• пренебрежение шифрованием либо VPN (в случае поддержки оборудованием подобного режима);
• пользование паролем по умолчанию при возможности его корректировки;
• отсутствие самостоятельного обновления прошивки (если у камеры нет автоматической функции), чем могут воспользоваться хакеры.

Способы обнаружения уязвимостей

В распоряжении владельцев IP-камер множество инструментов и сервисов для обеспечения конфиденциальности видеонаблюдения.

1. ZoomEye — онлайн-сервис поиска по IoT, чтобы найти ip-камеру нужно ввести device:media device.
2. Shodan — сервис с собственным языком запросов, помогающий обнаружить сетевые устройства в различных странах и населенных пунктах. После клика на хост предоставляет подробные сведения о нем.
3. Censys — позволяет найти камеры наблюдения, изготовленных брендом Axis.
4. Google — поможет обнаружить видеокамеры, доступные через сеть интернет при введении запроса inuri «videostream.cgi»».

От чего необходимо защищать видеонаблюдение?

Есть ряд неприятных последствий, которые можно ожидать если управление камерой попало в руки злоумышленников и видеонаблюдение становится уязвимым.

Шантаж

Получение доступа к видеокамере позволяет злоумышленникам видеть частную жизнь людей, в числе которых могут оказаться известные деятели из сферы политики, спорта, шоу-бизнеса. Распространение такого контента способно существенно испортить репутацию, восстановить которую не получится даже за большие деньги.

Сокрытие преступных деяний

Переход на цифровые информационные технологии сделал актуальным вопрос кибербезопасности систем видеонаблюдения, так как преступники могут подменять запись на IP устройстве. Для этого им достаточно получить RTSP-ссылку для видеокамеры, записать поток в файл и воспроизвести его в формате потокового вещания.

Запуск ботнетов

Это сеть компьютеров, включающая множество устройств, на которых скрыто инсталлировано вредоносное ПО. Управляются с командных серверов. Благодаря установке зловредного софта ботнеты могут рассылать спам, проводить DDos-атаки, проксировать трафик.

Методы поддержания информационной безопасности

Встроенные в ПО инструменты защиты
Отдельные инструменты для защиты от уязвимости камер видеонаблюдения отображаются в интерфейсе и представлены в документации, другие не видны пользователям. В большинстве ПО присутствует защита от подбора пароля пользователя и запароливание экспортированного архива. Остальные средства присутствуют не во всех ПО, так как зависят от их устройства и назначения. Среди таких инструментов — шифрование трафика клиент-сервера, мониторинг целостности конфигурации базы данных настроек программного обеспечения, защита архивированных файлов от получения доступа через Проводник.
Отдельные уязвимости софта для систем видеонаблюдения устраняются встроенными в ОС инструментами и дополнительными программами в структуре видеосервера:

• ограничение использования USB-накопителей;
• создание учетных записей со статусом ограниченных прав;
• встроенные брандмауэры и антивирусный софт;
• блокирование открытого доступа к активации программ за исключением отдельно разрешенных

Средства изготовителей оборудования
Коммутаторы и IP-камеры имеют надежную защиту, реализация которой зависит от действий пользователя, выполняющего базовые рекомендации — блокировка ненужных функций, проверка актуальности прошивок и др.
Труднее обеспечить безопасность сетевых хранилищ и удаленных рабочих мест. Здесь встроенных инструментов может быть недостаточно, что требует использования дополнительных способов преодоления известных уязвимостей. Среди них:

• инсталляция антивирусного софта;
• установка особых версий ОС;
• программная блокировка доступа к интерфейсу операционной системы.

Пока невозможно предложить унифицированный перечень средств защиты информации, подходящих для любого видеосервиса. Это накладывает особые требования при подборе устройств.
Свою роль в снижении количества уязвимых камер и обеспечении безопасности видеонаблюдения играют физические методы:

• прокладка коммуникаций в закрытых лотках, монтажных коробках;
• проведение кабелей в местах с затрудненным доступом;
• размещение в общедоступных местах устройств с антивандальной защитой;
• установка серверного и ключевого коммутационного оборудования в специальном закрытом помещении;
• применение запираемых шкафов, в первую очередь для кроссовых и коммутаторов за пределами серверной.

Защита средствами коммутационных устройств
Для создания защищенных линий связи подойдут только управляемые коммутаторы. Они поддерживают информационную безопасность множеством способов. Из них к стандартным относится:

• инструменты аудита — отдельные коммутаторы способны вести анализ угроз от неразрешенного доступа, внесения корректировок в локальную сеть и информировать об этом IT-специалиста;
• средства шифрования — коммутаторы шифруют принимаемый массив данных и направляют их к дешифрующему устройству;
• инструменты блокировки доступа — ограничение работы ненужных портов, применение VPN/VLAN, фильтрация посредством MAC-адреса.

Как организовать защиту IP-видеокамер

Стратегия защиты системы наблюдения должна основываться на ее характере и структуре. У любых типов систем (закрытые, распределенные, объединенные с корпоративной сетью) необходимо защищать линии связи, архивы, базы данных, оборудование. При этом, конкретные действия проектировщика и инсталлятора определяются задачами, поставленными профильными специалистами заказчика в соответствии с политикой информационной безопасности на предприятии.