Gadu gaitā videonovērošana no drošības risinājuma ir kļuvusi par organizācijas mēroga izlūkošanas rīku, kas sniedz datus, kas uzlabo darbības efektivitāti, pārdošanas un mārketinga plānošanu, uzņēmuma darbību un daudz ko citu. Tā kā videonovērošanas sistēmās parādās jaunas iespējas un analītika, to popularitāte turpina pieaugt, bet līdz ar to tās kļūst pievilcīgākas arī ļaunprātīgiem dalībniekiem. Tāpēc kiberdrošībai ir jābūt katras videonovērošanas un uzturēšanas stratēģijas priekšplānā.
Lielāks uzsvars uz kiberdrošību
Uzstādītāji un galalietotāji, kas sadarbojas ar cienījamiem un atbildīgiem ražotājiem, vienmēr būs labāk sagatavoti pret kiberriskiem, un viņiem būs vieglāk ievērot pašreizējos un turpmākos tiesību aktus. Globālie noteikumi, piemēram, ASV Nacionālās aizsardzības pilnvarojuma akts (NDAA) un ES Kiberdrošības akts (CRA) un Tīklu un informācijas sistēmu direktīva (NIS2), mudina organizācijas stiprināt savu kiberdrošības praksi attiecībā uz savienotajām ierīcēm, tostarp arī video sistēmām.
Nav noslēpums, ka arī Baltijas reģions, tostarp arī Latvija, saskaras ar unikāliem kiberdrošības izaicinājumiem ģeopolitiskā izvietojuma un straujās digitalizācijas dēļ. Tādēļ ir nepieciešami stingri kiberdrošības pasākumi, lai aizsargātu mūsu kritisko infrastruktūru un valsts drošību. Viens no risinājumiem tiek aktīvi realizēts - Baltijas valstis, kā jau minēts iepriekš, strauji apgūst digitālās tehnoloģijas, tostarp plaši tiek ieviesti viedās pilsētas risinājumi, kas roku-rokā iet ar pieaugošu atkarību no tīkla ierīcēm. Šī digitālā transformācija palielina arī uzbrukumu virsmu un rada nepieciešamību pēc stingrākiem kiberdrošības pasākumiem. Tādēļ, lai mazinātu šos kiberdrošības riskus, ir būtiski:
- izvēlēties uzticamus tehnoloģiju piegādātājus,
- ieviest stingru piekļuves kontroli savā infrastruktūrā
- un regulāri veikt drošības novērtējumus.
Uztveres atšķirību pastāvēšana
Tomēr, tā kā noteikumi ir stingrāki, daudzas organizācijas pārvērtē savu kiberdrošības noturību. Hanwha Vision Europe veiktajā pētījumā atklājās, ka pastāv ievērojama atšķirība starp to, cik noturīgas, pēc organizāciju domām, ir to video sistēmas, un to faktisko sagatavotību.
Vairāk nekā 1150 IT un drošības jomas vadītājiem/direktoriem no organizācijām ar vairāk nekā 50 darbiniekiem Apvienotajā Karalistē, Francijā, Vācijā, Itālijā, Itālijā un Spānijā tika uzdoti jautājumi par to kiberdrošības noturību un zināšanām par draudiem un tiesību aktiem. Dalībnieki pārstāvēja galvenās valsts nozares, tostarp datu centrus un telekomunikācijas, finanšu pakalpojumus, rūpniecību (enerģētika, kalnrūpniecība, komunālie pakalpojumi), ražošanu, mazumtirdzniecību, transportu un valdību.
Vadītāju pārliecība par savu kiberdrošību atšķiras atkarībā no tādiem faktoriem kā organizācijas lielums, atrašanās vieta un darbības nozare. Piemēram, Itālijā pārliecības līmenis sasniedz pat 97%, un vidēji 92% IT un drošības vadītāju uzskata, ka viņu videonovērošanas sistēmas ir ļoti labi aizsargātas pret kibernoziegumiem. Finanšu iestādes izrāda gandrīz absolūtu pārliecību (99%), savukārt tādas nozares kā datu centri ir nedaudz konservatīvākas - aptuveni 80%.
Neapzināts un nepazīstams
Lielas bažas rada izpratnes trūkums par galvenajiem kiberdrošības noteikumiem un to ievērošanu. Daudzi vadītāji nav informēti par tādiem pamatnoteikumiem kā CRA un NIS2, kas tieši ietekmē viņu videonovērošanas sistēmu kiberdrošību. Piemēram, tikai 47 % respondentu ir informēti par NIS2. Vēl mazāk (23 %) ir informēti par CRA - direktīvu, kuras mērķis ir stiprināt savienoto ierīču, tostarp video sistēmu, kiberdrošību.
Šis zināšanu trūkums nozīmē, ka IT un drošības komandas, iespējams, nezina konkrētās prasības, kas nepieciešamas, lai videonovērošanas sistēmas būtu drošas, un tas var novest pie neatbilstošas aizsardzības, ko var izmantot ļaunprātīgi. Video nozares eksperti, tostarp uzstādītāji un ražotāji, var uzņemties vadošo lomu uzņēmumu vadītāju izglītošanā par kiberdrošības uzlabošanu video jomā.
Kāda situācija ir Latvijā?
Latvijā, tāpat kā citās Baltijas valstīs, pieaug videonovērošanas izmantošana dažādiem mērķiem, tostarp sabiedrības drošībai, satiksmes uzraudzībai un perimetra aizsardzībai. Taču līdz ar šo tendenci, pieaug arī bažas par kiberdzošību. Tā kā videonovērošanas sistēmas kļūst arvien sarežģītākas un savstarpēji savienotākas, kiberdrošības riski kļūst par galveno Latvijas iestāžu un privāto organizāciju problēmu. Tādēļ Eiropas Savienības Kiberdrošības likums (CRA) un Tīklu un informācijas sistēmu direktīva (NIS2) mudina Latvijas organizācijas stiprināt kiberdrošības praksi attiecībā uz savienotajām ierīcēm, tostarp videonovērošanas sistēmām. Kā to izdarīt?
- Latvijas iestādēm un privātajām organizācijām jāizvēlas videonovērošanas pakalpojumu sniedzēji, kuri, izstrādājot un attīstot savus produktus, par prioritāti izvirza kiberdrošību. Tas ietver tādas funkcijas kā spēcīga šifrēšana, droši autentifikācijas mehānismi un regulāri drošības atjauninājumi.
- Jāievieš stingras piekļuves kontroles sistēmas. Ļoti svarīgs drošības pasākums ir piekļuves ierobežošana videonovērošanas sistēmām - tām drīkst piekļūt tikai pilnvaroti darbinieki, kā arī nepieciešams ieviest daudzfaktoru autentifikāciju.
- Regulāri ir jāveic drošības revīziju un iekļūšanas pārbaudes. Šādu drošības novērtējumu veikšana var palīdzēt organizācijām identificēt un mazināt videonovērošanas sistēmu ievainojamību. Jā, tie ir papildu izdevumi, taču labāk ir samaksāt par drošības līmeņa noteikšanu un veikt savlaicīgus uzlabojumus, nekā zaudēt tūkstošus vai pat miljonus eiro, lai atgūtu nozagtos datus.
- Un, protams, personāla apmācība. Latvijas videonovērošanas sistēmu ekspluatācijā un uzturēšanā iesaistītā personāla apmācība par labāko kiberdrošības praksi ir ārkārtēji būtiska. Tas ietver pikšķerēšanas mēģinājumu atpazīšanu, aizdomīgu darbību identificēšanu un tūlītēju ziņošanu par drošības incidentiem.
Pat labākās prakses piemēri mēdz būt nepilnīgi
Iepriekš minētajā pētījumā tiek arī uzsvērts, ka dažādās organizācijās trūkst kiberdrošības paraugprakses pamatprincipu ka tādu. Nepieciešams panākt, lai darbinieki ievērotu kiberdrošības protokolus un veicināt kolektīva vispārēju informētību - personāla apmācība. Tomēr vēl sliktāka situācija ir tādos kiberdrošības pamatpasākumos kā ierīču programmaparatūras atjaunināšana. To veic mazāk nekā trešdaļa (31 %) organizāciju.
Pētījumā konstatēts, ka trūkst arī tādas kiberdrošības pamatprakses kā fiziskas piekļuves nodrošināšana tīkla ierīcēm, 802.1x uz sertifikātiem balstītas piekļuves kontroles ieviešana un lietotāju līmeņa kontu izveide. Līdz ar to daudzi uzņēmumi saskaras ar lielākiem riskiem, ko rada novēršamas problēmas, piemēram, cilvēka kļūda vai nepareizi konfigurētas ierīces.
Tāpēc ir svarīgi sadarboties ar ražotāju, kas regulāri atjaunina savas sistēmas pret jauniem apdraudējumiem, jo tas samazina risku, ka jūsu sistēmā tiks atklātas ievainojamības. Tāpat ražotājs, kuram ir īpaši kiberdrošībai paredzēti resursi, izprot kiberdrošības kritisko raksturu uzņēmējdarbībā un ir apņēmies nodrošināt, ka tā produkti ir pēc iespējas labāk aizsargāti.
Hanwha Vision iekšējā Drošības datorapdraudējumu reaģēšanas grupa (S-CERT) pievēršas visu iespējamo drošības ievainojamību novēršanai produktos, nodrošinot, ka klientiem ir pieejami jaunākie pretpasākumi, lai mazinātu jaunos draudus un jaunas hakeru uzlaušanas metodes.
Nepieciešama tūlītēja darbība
Tā kā kiberapdraudējumi video sistēmām kļūst arvien biežāki un sarežģītāki, ir skaidrs, ka ir nepieciešama tūlītēja rīcība. Visiem vadītājiem ir jāpārvērtē sava pašreizējā video drošības izturība, jāsaskaņo ar normatīvajiem regulējumiem un jāpieņem kiberdrošības paraugprakse, lai aizsargātu gan savas sistēmas, gan lietotājus. Uzstādītāji un ražotāji var sniegt norādījumus, lai nodrošinātu, ka visa nozare kopumā ir pēc iespējas labāk aizsargāta no ļaunprātīgiem dalībniekiem.
Lai arī šķietami (salīdzinot ar citām valstīm) Latvija ir neliela teritorija, tā ir stratēģiski nozīmīga. Un arī neaizsargātas videonovērošanas sistēmas var būt daļa no manipulācijas ar datiem - krāpnieciskas darbības varētu manipulēt ar Latvijas sistēmās uzņemtajiem videoierakstiem, tādējādi radot nepatiesas apsūdzības, dezinformāciju vai pat kompromitējot pierādījumus kriminālizmeklēšanā.
Ieguldiet drošībā šodien, lai arī rīt Jūs pamostos ar mierīgu sirdi, zinot, ka visi dati ir aizsargāti.
Izmantotie avoti:
- https://hanwhavision.eu/how-cyber-resilient-is-your-video-system
- https://www.cobalt.legal/news-cases/summary-of-latvias-new-national-cyber-security-law/#:~:text=The%20new%20law%20aims%20to,Directive%20or%20%E2%80%9CNIS2%E2%80%9D%2C%20which
- https://www.liaa.gov.lv/en/article/latvias-digitalisation-road-modern-state-administration