Кибербезопасность: замедленная мина в сфере физической безопасности

Перевод статьи Уилла Кнера — старшего менеджера по информационной безопасности в i-PRO Americas Inc.

Если вы работаете с системами физической безопасности, вам наверняка знакома ситуация: камеры, контроллеры доступа или сенсоры, установленные несколько лет назад и до сих пор работающие без единого обновления. Это стало привычным явлением, которое многие воспринимают как норму. Но на деле это — серьёзная угроза.

В индустрии безопасности — от производителей до конечных пользователей — существует устаревшее мышление: системы безопасности воспринимаются как «железо», не требующее внимания после установки. Но современные устройства — это по сути сетевые компьютеры. Оставлять их без обновлений — всё равно что держать старый ПК с Windows XP в открытом доступе в интернете. Это просто подарок для киберпреступников.

Эффект «Установил и забыл»

Типичный сценарий установки выглядит так:

1. Покупка — клиент выбирает устройство по функционалу и цене. Кибербезопасность — на последнем месте.
2. Монтаж — система запускается, передаётся заказчику.
3. Забвение — обновления игнорируются, уязвимости не отслеживаются, устройство продолжает работать годами без поддержки.

До тех пор, пока не случается взлом. Атака с использованием устаревшего ПО, заражение шифровальщиком, подключение камеры к ботнету — и всё из-за того, что никто не следил за безопасностью.

Показательный случай — ботнет Mirai, задействовавший тысячи незащищённых IoT-устройств в крупнейших DDoS-атаках 2016 года. Использовались давно известные уязвимости, для которых уже были выпущены патчи. Но их просто не установили.

Кто виноват?

Ответ на этот вопрос не так однозначен: проблему создают все участники цепочки.

• Производители часто выпускают устройства с устаревшими мерами защиты: заводскими паролями, скрытыми обновлениями, отсутствием автоматического патчинга. Некоторые объявляют устройства устаревшими через 2–3 года, несмотря на активную эксплуатацию.
• Интеграторы оказываются между двух огней. Защита устройств — не их основной бизнес, а клиенты часто не готовы платить за сопровождение. При этом обновления требуют физического доступа и не приносят прямой прибыли, что делает их нерентабельными.
• Клиенты начинают беспокоиться о киберугрозах только после инцидента. Часто IT-отдел и служба физической безопасности не взаимодействуют, устройства подключаются к общей сети, используют стандартные пароли и устаревшее ПО годами.

Как решить проблему?

Кибербезопасность — это не одноразовая настройка, а непрерывный процесс. Решения уже есть, нужно только взять за них ответственность:

• Производители должны проектировать устройства с учётом киберрисков, обеспечивать поддержку, выпускать регулярные обновления и исключать практику «устаревания» через пару лет.
• Интеграторы обязаны встраивать безопасность в сервисные контракты: с регулярными патчами, аудитами, обучением персонала и безопасной конфигурацией «с коробки».
• Клиенты должны требовать от поставщиков прозрачности и не рассматривать киберзащиту как второстепенный аспект. Безопасность должна быть частью бюджета, а устройства — физически и логически изолированы от основной сети.

Вывод:

Речь не о технологиях — они уже есть. Речь об ответственности. Пока каждый участник — от производителя до пользователя — не осознает важность кибербезопасности как постоянной задачи, проблема останется нерешённой.