Nedavno istraživanje u Evropi ukazalo je na niz ranjivosti videonadzornih sistema. Iako je riječ o problemu koji nije nov, ovakvi rezultati ponovo stavljaju u prvi plan pitanje naše svijesti o rizicima nesigurnog videonadzora – i dilemu da li ga uopće možemo smatrati sigurnim. Radi li se o stvarnoj prijetnji ili o preuveličanom strahu koji dolazi s rastom svijesti o kibernetičkim napadima?

Piše: Nermin Kabahija; E-mail: nermin.kabahija@asadria.com

Videonadzorne kamere već decenijama čine gotovo neizostavan, a istovremeno i neprimjetan dio svakodnevnog života. Navikli smo, gotovo opušteno, da ovi sistemi bdiju nad nama i preuzimaju naše sigurnosne brige. Najčešće i ne razmišljamo o tome da li iko nadzire te sisteme i može li se njihov pogled zloupotrijebiti protiv nas?

Postoje li problemi?

Rezultati jednog od istraživanja na evropskom tlu pokazali su da snimke koje se šalju direktno na internet uopće nemaju zaštitu. Putem cloud servisa proizvođača omogućen je potpun pristup ovim kamerama. Nastavak je to rasprave o backdoor pristupima, ransomware napadima i o tome kako kamere, od alata za sigurnost, mogu postati ulazna tačka za ozbiljne cyber incidente. Bez obzira na to da li je u pitanju nestručna ili nesavjesna instalacija, tema otvara pitanje koliko su ovi sistemi sigurni i kako proizvođači garantiraju da naši podaci, privatni prostori i poslovne tajne neće završiti u pogrešnim rukama. Ako je dovoljno poznavati osnovnu lozinku, tipa “admin/admin”, da se pristupi kameri u nečijoj sobi ili kancelariji – jasno je da problem nije samo tehničke prirode, već i širi društveni.

Oprez prilikom instalacije

Zato najprije moramo razjasniti osnovnu proceduru prilikom instalacije videonadzornih sistema kako bismo mogli ukazati na to gdje nastaju potencijalne greške i ranjivosti. Instalaciju bi, naravno, uvijek trebala izvoditi stručna i educirana osoba, po mogućnosti ona koja ima ovlasti zastupnika ili distributera proizvođača opreme. Već pri prvom setovanju sistema na DVR ili NVR snimaču potrebno je unijeti osnovnu, fabričku šifru. Ona služi isključivo za inicijalni pristup postavkama. Nakon toga obavezno je kreirati novu, snažnu administratorsku lozinku, a zatim je primijeniti i na svaku kameru.

Dodatni nivo sigurnosti postiže se ukoliko se svaka kamera zaštiti i jedinstvenom lozinkom. Na taj način praktično rješavamo pitanje sigurnosti sistema, ali samo na lokalnom nivou. Onog trenutka kada se sistem poveže na internet i aktivira online aplikacija, najčešće za mobilne uređaje i daljinski pristup, videonadzor ponovo postaje izložen – ovaj put mnogo širem auditoriju. Ipak, ukoliko instalaciju obavlja stručna osoba, ona će obratiti pažnju da lozinka za cloud aplikaciju, gdje se virtuelno “nalazi” i naš sistem, bude različita od one na NVR-u te dovoljno snažna da onemogući neovlašteni pristup. Na kraju, sigurnost u velikoj mjeri zavisi i od kvaliteta opreme. Samo korištenjem uređaja i aplikacija provjerenih, renomiranih svjetskih proizvođača možemo imati realnu garanciju da će naši snimci biti zaštićeni unutar clouda, pa je i rizik od zloupotrebe manji.

Šta kažu stručnjaci?

U potrazi za odgovorima o sigurnosti videonadzornih sistema razgovarali smo sa stručnjacima vodećih kompanija koje oblikuju standarde videonadzora na svjetskom nivou, fokusirajući se na ključna pitanja sigurnosti današnjih sistema i na to koliko su proizvođači zaista spremni odgovoriti na takve prijetnje. Njihovi odgovori otkrivaju kako, zapravo, izgleda borba protiv nevidljivih prijetnji koje vrebaju iza svake kamere – i koliko je tanka linija između sigurnosti i ranjivosti u digitalnom dobu.

Hikvision je među onima koji potvrđuju da su se određeni incidenti s njihovim kamerama dogodili, ali naglašavaju da ti slučajevi nisu bili povezani s kvalitetom ili sigurnošću njihovih proizvoda. Stručni cyber sigurnosni tim ove kompanije objašnjava: “Problemi mogu nastati zbog loše implementacije sistema i uređaja, nedostatka mrežne segmentacije, odsustva firewalla, izostanka ažuriranja firmwarea ili korištenja slabih administratorskih lozinki.” Kao preporuku instalaterima i integratorima dodaju da se strogo pridržavaju najboljih sigurnosnih praksi i primijene zero-trust model kako bi se rizik od proboja sveo na minimum. Njemački MOBOTIX, pak, tvrdi da zahvaljujući vlastitim principima nije bilo uspješnih napada na njihove sisteme. “Zahvaljujući Secure by Design pristupu i dosljednoj primjeni koncepta MOBOTIX Cactus Concept, do danas nije bilo uspješnih cyber napada na naše sisteme. Redovnim ažuriranjima, penetracijskim testovima i bliskom saradnjom sa sigurnosnim institucijama i partnerima uspijevamo spriječiti napade u vrlo ranoj fazi”, kaže Christian Cabirol, tehnički direktor MOBOTIX-a, kompanije u vlasništvu Konica Minolte.

Slično tome, VIVOTEK navodi da do sada nisu zabilježeni napadi koji su kompromitovali njihove uređaje. Oni naglašavaju da su njihovi proizvodi koncipirani tako da aktivno detektuju i spriječe prijetnje, što uključuje stalno praćenje sigurnosnih rizika. “Kontinuirano pratimo sigurnosne rizike i sarađujemo s globalnim sigurnosnim istraživačima kako bismo ostali korak ispred novih prijetnji”, poručuju iz VIVOTEK-a.

Iz Axisa, međutim, naglašavaju da je teško sa sigurnošću tvrditi kako takvi incidenti nisu zabilježeni, budući da proizvođač ne upravlja direktno korisničkim sistemima. “Lično nisam upoznat s tim da je Axis zabilježio potvrđene uspješne cyber napade koji su direktno ciljali naše uređaje u okruženju korisnika. Ipak, moramo biti realni – kao proizvođač, mi, zapravo, ne upravljamo korisničkim sistemima. Ako je neko pokušao i nije uspio, to nam možda nikada ne bi bilo prijavljeno”, objašnjava Steven Kenny, menadžer programa za arhitektonska i inžinjerska rješenja ove kompanije za EMEA regiju, te dodaje da bi takvi slučajevi, s obzirom na svoju prirodu, sigurno bili javno objavljeni jer Axis kontinuirano prati prijetnje i ranjivosti u cijelom svom portfoliju.

Kompanija IDIS kaže da njihova kompletna rješenja koriste vlasničke protokole za instalaciju, prijenos i pohranu podataka, što ih čini “nepoznatim terenom” za hakere i teškim za kompromitovanje. Ipak, priznaju da nijedan sistem nije nepogrešiv pred sve sofisticiranijim napadima. “Zbog toga se IDIS strogo pridržava najboljih industrijskih praksi u upravljanju i odgovoru na sve sigurnosne ranjivosti uočene na našim proizvodima”, navodi Dennis Choi, generalni menadžer za EMEA regiju. On navodi da IDIS ima specijalizirani odjel za odgovor na cyber napade – tim eksperata posvećen identifikaciji i rješavanju potencijalnih ranjivosti. Ovaj odjel osigurava efikasan odgovor u slučaju sigurnosne ranjivosti, što uključuje sveobuhvatnu analizu i razvoj kontramjera.

Zvuči uvjerljivo, ali i djeluje

Na pitanje da li su njihovi uređaji razvijeni prema Secure by Design principu i koje su sigurnosne funkcije direktno implementirane u hardver i firmware, proizvođači su ponudili zanimljive odgovore. Dok jedni naglašavaju konkretne tehničke kontrole i metodologije razvoja, drugi ukazuju na to da je pojam često zloupotrijebljen kao marketinški izraz, ali da u njihovom slučaju predstavlja i dokazivu praksu.

Za MOBOTIX ovaj princip nije tek formalnost, već temelj cijelog pristupa razvoju proizvoda. Njihovi sistemi razvijeni su tako da sigurnost bude prisutna u svakoj fazi, od dizajna do završnog firmwarea. “MOBOTIX sistemi razvijeni su prema principu Secure by Design. Ključne sigurnosne funkcije uključuju potpuno decentraliziranu arhitekturu sistema, end-to-end enkripciju, višeslojnu zaštitu lozinkom i upravljanje korisnicima na osnovu uloga”, objašnjava Cabirol. Prema njemu, upravo je decentralizacija ono što izdvaja njihove proizvode. “Naši uređaji imaju ugrađene vlastite inteligentne funkcije, tako da sigurnost nije oslonjena na centralni server ili dodatni sloj, već je integrisana u srž svakog proizvoda”, kaže on.

Iz Axisa dolazi upozorenje da se ovaj termin često zloupotrebljava. “Secure by Design je izraz koji ćete čuti od gotovo svakog proizvođača, ponajviše zato što zvuči uvjerljivo. Ne postoji jedinstven i obavezujući standard koji precizno definira šta taj princip znači za proizvođače. Prečesto se koristi kao marketinški slogan, a ne kao dokaziva praksa”, mišljenja je Steven Kenny. Ipak, kako kaže, za Axis to nije slogan, već formalizirana metodologija i disciplina unutar Axis Security Development Modela (ASDM), usklađenog s ISO 27001, ISO/IEC 62443, ETSI EN 303 645 i NIST-ovim okvirom. “Time postižemo to da sigurnost nije naknadno dodata, već ugrađena u svaku fazu životnog ciklusa”, kaže on. Kao rezultat, proizvodi sadrže sigurno pokretanje i potpisan firmware, hardverske kriptografske funkcije, redovno penetracijsko testiranje i nezavisne provjere koda.

Hikvision također naglašava da sve proizvode razvija po principu Secure by Design. Njihov Hikvision Secure Development Life Cycle (HSDLC) uključuje više od pedeset sigurnosnih kontrola u svakoj fazi razvoja. Među njima su enkriptovani komunikacijski protokoli, hardver otporan na manipulacije i kontrola pristupa zasnovana na ulogama. “Na taj način, sigurnost nije naknadno dodata funkcija, već sastavni dio procesa od samog početka”, ističu iz ove kompanije.

IDIS se, pak, fokusira na pojednostavljenje cyber sigurnosti kroz svoj “single-source” model, koji integratorima omogućava da sve komponente dobiju od jednog dobavljača. Ovakav pristup smanjuje rizik od ljudske greške, a dodatne mjere uključuju međusobnu autentifikaciju putem DirectIP tehnologije, TLS zaštitu prijenosa podataka i višefaktorsku autentifikaciju. “Naši end-to-end sistemi ne sadrže udaljene backdoor pristupe, a dodatne tehnologije poput iBanka i Chained Fingerprinta osiguravaju da su podaci zaštićeni i forenzički provjerljivi”, kaže Choi.

VIVOTEK, s druge strane, detaljno opisuje set sigurnosnih funkcija koje potvrđuju njihovu posvećenost Secure by Design principima. “Naši proizvodi razvijaju se tako da sigurnost bude integrisana od samog početka. To znači obavezno postavljanje root lozinke, upravljanje pristupom po ulogama, kao i korištenje HTTPS i HTTP Digest autentifikacije za sigurnu komunikaciju i potvrdu identiteta”, navode. Osim toga, VIVOTEK implementira RTSP autentifikaciju streamova, provjere integriteta firmwarea i redovna ažuriranja, a dodatno smanjuje površinu napada isključivanjem neiskorištenih servisa kao što su SNMPv1/v2, UPnP, IPv6, audio ili multicast itd.

Pristupi cludu su mogući, ali…

Pitanje ranjivosti kamera i sigurnosti podataka u cloudu jedno je od najvećih izvora zabrinutosti korisnika. Zato smo od sagovornika tražili da nam objasne kako proizvođači identifikuju prijetnje, koliko brzo reaguju na incidente i da li zaista mogu garantovati da će podaci ostati zaštićeni u trenutku kada je sigurnost dovedena u pitanje?

“Sigurnosna pitanja pratimo interno i putem vanjskih istraživača, a brzo se adresiraju zakrpama firmwarea”, kategorični su u VIVOTEK-u. Oni ističu da se sigurnost u cloudu i na uređajima kontinuirano nadzire kroz procjenu ranjivosti i sanaciju u skladu sa Critical Security Controlsom (CSC 4 & 18). Poseban fokus stavljaju na kritične ranjivosti koje, kako naglašavaju, imaju prioritet i rješavaju se u najkraćem roku, uz obavještavanje kupaca i distributera.

I IDIS svoj pristup zasniva na potpunoj transparentnosti i stalnoj komunikaciji s tržištem. Na njihovoj web-stranici dostupne su posebne cyber sigurnosne stranice s politikama, vodičima i obavijestima o ranjivostima. “Ako sistem-integrator ili krajnji korisnik otkrije novu ranjivost, ohrabrujemo ih da to odmah prijave na security@idisglobal.com. IDIS-ov cyber sigurnosni tim odgovara u roku sedam dana i nastoji izvršiti inicijalnu procjenu u istom periodu”, kaže Choi. S druge strane, Hikvision se oslanja na strukturiran proces u pet faza, usklađen sa ISO/IEC 30111, ISO/IEC 29147 i Regulativom o upravljanju sigurnosnim ranjivostima mrežnih proizvoda. Taj proces obuhvata prihvatanje ranjivosti, verifikaciju i procjenu rizika, plan sanacije, objavu sigurnosnog izvještaja i prikupljanje povratnih informacija. “Na ovaj način osiguravamo da sve potencijalne ranjivosti budu procijenjene i adresirane kroz transparentan proces, uz pravovremeno informisanje korisnika”, navode stručnjaci te kompanije.

“Axis ima program za koordinirano prijavljivanje ranjivosti, bug bounty inicijativu, vanjska penetracijska testiranja uz naša interna te kontinuirano skeniranje koda drugih proiuzvođača u sklopu ASDM-a. Axis je ujedno i CVE ovlašteno tijelo (CNA), što nam daje mogućnost da sami dodjeljujemo službene oznake i transparentno obavještavamo korisnike”, kaže Kenny i ističe višeslojni pristup kao jedini način da se odgovori na promjenjive prijetnje. Posvećenost MOBOTIX-a ogleda se u tome da i starije generacije uređaja i dalje dobijaju sigurnosne nadogradnje ako se pojave ozbiljne ranjivosti. “Uspostavili smo kontinuiran program za upravljanje ranjivostima i stalno pratimo naše sisteme. Čim postane poznata potencijalna ranjivost, odmah reagujemo zakrpama ili ažuriranjima”, poručili su, dodajući da je kontinuitet podrške dokaz ozbiljnog pristupa sigurnosti.

Zaštita snimaka u oblaku

S obzirom na to da se daljinski pristup sve češće koristi za upravljanje videonadzornim sistemima, postavlja se pitanje na koji način osigurati da to ne postane sigurnosni rizik. Menadžer Axisa za daljinski pristup preporučuje rješenje Axis Secure Remote Access, koje koristi sigurnu broker arhitekturu i omogućava enkriptovane, certifikatima zaštićene konekcije bez potrebe za port forwardingom ili komplikovanim podešavanjima firewalla. “Rješenje radi na principu end-to-end enkripcije između klijenta i uređaja, uz višefaktorsku autentifikaciju, kontrolu pristupa po ulogama i napredno upravljanje identitetima. Dodatno, nudimo Axis Hardening vodiče i Axis Device Manager, koji administratorima omogućavaju praćenje i upravljanje velikim brojem uređaja. Ovaj slojeviti pristup osigurava da je daljinski pristup, kada je omogućen, uvijek siguran”, kaže Kenny.

Kompanija IDIS nikada nije dizajnirala tzv. remote backdoor pristupe, jer su upravo takva rješenja bila izvor brojnih visokoprofilnih sigurnosnih proboja u industriji. “Samo krajnji korisnici i ovlašteni sistemski integratori s ugovorima o održavanju mogu daljinski pristupati IDIS sistemima putem klijentskog softvera i aplikacije IDIS Mobile Plus”, objašnjava Choi. Prava pristupa konfigurišu se centralno i mogu biti do u detalje prilagođena. Tu je i IDIS Solution Suite (ISS) VMS, koji pruža hijerarhijski model gdje centralne lokacije imaju autoritet nad podređenim objektima, uz podršku za višekorisničke scenarije i naprednu mobilnu aplikaciju sa VMS funkcijama na daljinu. Time se postiže kombinacija fleksibilnosti i stroge kontrole koja je presudna za sigurnost.

Na sigurnim, enkriptovanim konekcijama uz podršku za dvofaktorsku autentifikaciju i prava pristupa zasnovana na korisničkim ulogama zasniva se MOBOTIX-ovo rješenje. Kompanija dodatno preporučuje upotrebu VPN tunela kao najbolju praksu za postizanje maksimalnog nivoa zaštite. I VIVOTEK se oslanja na kombinaciju HTTPS/TLS 1.2 enkripcije, RTSP autentifikacije i opcionalne VPN integracije. Administratorima je omogućeno filtriranje pristupa prema klijentima ili IP adresama, dok se istovremeno preporučuje isključivanje neiskorištenih servisa poput UPnP-a kako bi se spriječila nenamjerna izloženost.

Hikvision preporučuje korištenje VPN-a ili sigurnih reverse-access servisa, uz redovna ažuriranja, jake lozinke i isključivanje nepotrebnih funkcija. Kompanija primjenjuje zero-trust model, uz strogu verifikaciju prije odobravanja pristupa, te naglašava da njihovi uređaji nikada ne bi smjeli biti direktno izloženi internetu

Upute za instalere i korisnike

Na pitanje koliko instalateri i krajnji korisnici zaista primjenjuju preporučene sigurnosne prakse i kako se prati njihova provedba, proizvođači ističu da nude različite vodiče, alate i obuke, ali naglašavaju da je ključ ipak u kontinuiranoj edukaciji, redovnom održavanju i pravovremenim zakrpama.

“Našim partnerima i korisnicima pružamo detaljne sigurnosne smjernice i nudimo redovne obuke. Sistemi se mogu isporučiti i s unaprijed konfiguriranim sigurnosnim postavkama, tako da su standardi najbolje prakse odmah aktivni. Putem MxManagementCenter softvera administratori se obavještavaju o novim verzijama i sigurnosnim zakrpama, a ažuriranja je moguće i automatizirati, čime sistemi ostaju uvijek zaštićeni od novih prijetnji“, ističe Christian Cabirol iz kompanije MOBOTIX. I Hikvision pruža obuke, poput HCSA treninga, dok njihova Cybersecurity online platforma nudi vodiče, sigurnosna saopćenja i smjernice najboljih praksi. “Preporučujemo korištenje snažnih lozinki, segmentaciju mreže, dvofaktorsku autentifikaciju i redovna ažuriranja firmwarea. Korisnici o novim verzijama i sigurnosnim zakrpama bivaju obavješteni putem web-stranice, tehničkih biltena i kanala podrške, a sami odlučuju o načinu i vremenu implementacije”, poručuju iz Hikvisiona. “Preporučujemo obaveznu promjenu osnovnih lozinki, korištenje naloga po ulogama, isključivanje neiskorištenih servisa i sinhronizaciju vremena putem sigurnih NTP servera”, zaključuju iz VIVOTEK-a, a o ažuriranjima firmwarea i kritičnim sigurnosnim zakrpama redovno obavještavaju korisnike newsletterima i online resursima, dok su integratorima na raspolaganju Security Hardening Guide i sistemski logovi za provjeru primijenjenih mjera.

Axis, također, naglašava važnost ekosistema alata i vodiča, uključujući Hardening upute, konfiguracijske čarobnjake i Axis Device Manager (ADM), koji centralizirano prati lozinke, enkripciju i deaktivaciju nepotrebnih servisa. “Naša Lifecycle Management politika garantuje dugoročnu podršku za firmware, dok sigurnosne zakrpe imaju prioritet i objavljuju se što je brže moguće. Uz sigurnosne obavijesti i bilješke o verzijama, ADM omogućava i masovno upravljanje ažuriranjima, čime se olakšava održavanje velikih sistema i smanjuje rizik od kompromitacije”, kaže Steven Kenny, menadžer Axisa. Iz IDIS-a napominju da cyber sigurnost mora biti stalni proces, a ne jednokratna mjera. Njihovi end-to-end sistemi dizajnirani su tako da smanje složenost i ljudske greške, dok plug-and-play pristup eliminiše potrebu za rizičnim postupcima poput port-forwardinga. Veliku ulogu ima i IDIS Partner Portal, koji omogućava integratorima stalni pristup vodičima i online obukama, dok Solution Suite VMS nudi i automatizirana firmware ažuriranja za sve lokacije.

Dakle, stručnjaci naglašavaju da sigurnost videonadzornih sistema ne zavisi samo od certifikata i tehnologije već i od stalne edukacije, pravilne implementacije i redovnog održavanja. Proizvođači se slažu da je ključ u kombinaciji naprednih sigurnosnih funkcija, brzih reakcija na ranjivosti i odgovornog ponašanja instalatera i krajnjih korisnika – a korisnicima poručuju da sigurnost svojih sistema nikada ne uzimaju zdravo za gotovo, već da je kontinuirano provjeravaju i unapređuju.

Sigurnosni certifikati i usklađenost s regulativama

Proizvođači ističu da njihovi uređaji posjeduju širok spektar međunarodno priznatih sigurnosnih certifikata i da su usklađeni s važećim propisima u EMEA regiji. MOBOTIX se izdvaja s CNPP Cybersecurity certifikatom iz Francuske i SySS penetracijskim testiranjem u Njemačkoj. Axis naglašava certifikate poput ISO/IEC 27001, FIPS 140-2/3 i ETSI EN 303 645, dok Hikvision posjeduje ISO/IEC 27001:2022, ISO 27701, CSA STAR i IEC 62443, između ostalih. VIVOTEK slijedi CIS smjernice i međunarodne standarde testiranja, a IDIS ističe kompatibilnost s NDAA-om i FIPS-om, što je postalo de facto zahtjev na mnogim projektima u Evropi i na Bliskom Istoku.

Uz GDPR u Evropi, proizvođači se usklađuju i s NIS2 direktivom te novim EU Cyber Resilience Actom, dok se na Bliskom Istoku prilagođavaju nacionalnim okvirima i propisima svake zemlje. Svi također naglašavaju da se njihova usklađenost ne odnosi samo na osnovne certifikate već i na dodatne standarde koje traže vlade i korporativni klijenti.

Javno testiranje ranjivosti IDIS-ovih uređaja
Radi demonstracije robusnih i višeslojnih mjera cyber sigurnosti, IDIS je 2023. godine bio jedan od samo tri dobavljača sigurnosne tehnologije koji su javno izložili svoju tehnologiju na Video Security Product Hacking događaju na sajmu u Južnoj Americi – i odbio je sve pokušaje etičkih “white hat” hakera. DR-6516P 6500 serija H.265 4K mrežnih snimača i 4K antivandalska IR dome kamera (DC-D4831HRX), pod upravljanjem IDIS Center VMS-a, bili su podvrgnuti testovima koji su uključivali identifikaciju i enumeraciju uređaja, skeniranje portova i servisa, analizu softverskih ranjivosti, penetracijska testiranja, brute-force napade, analizu mrežnih protokola, man-in-the-middle testove, DoS testiranja, eskalaciju privilegija i testove sigurnosti podataka. Ugled IDIS-a i posvećenost cyber sigurnosti i integritetu podataka potvrđeni su pred 150.000 posjetilaca i 150 izlagača.