Довольно сложно говорить о безопасности всех систем. Это все равно что говорить о безопасности использования автомобиля, не делая различия между новой BMW и продукцией АвтоВАЗа. В силу того что компании по созданию ПО для безопасности развивались обособленно от ИТ-рынка, некоторые из них обладают весьма слабыми компетенциями в области ИТ-безопасности. Для них вполне обычным делом является, например, обеспечение удаленного доступа к камерам открытием внешнего порта на роутере/сервере и передача видео по незашифрованному каналу. Здесь ни о каком обеспечении безопасности не может быть и речи. Отсутствует даже элементарный контроль попыток несанкционированного доступа и авторизации. В результате под обеспечением безопасности большинство начинает понимать просто отсутствие возможности внешнего или централизованного доступа к системам наблюдения. Очень грустно, что такого принципа у нас придерживаются повсеместно. В 2007 г. я впервые посетил США. Одним из городов, где я побывал, был Лас-Вегас. Меня поразило, что аэропорт Лас-Вегаса находится фактически в черте города. Двиатрафик в разы превышает поток самолетов во всех московских аэропортах, вместе взятых. И тут же рядом летают экскурсионные частные вертолеты и авиатакси, позволяющие туристам посмотреть на город с высоты птичьего полета. У нас же частная авиация, можно сказать, вне закона. Вместо того чтобы обеспечить все необходимые технические мероприятия для ее разрешения, в целях безопасности ее просто запретили. Еще пример. В мою машину въехал другой автомобиль и скрылся с места ДТП. Были свидетели. Происшествие зафиксировано, номера сохранены. В ДПС сказали, что поставят в розыск, но сразу этого не сделают, так как ДТП было в Москве, а номера виновника зарегистрированы в Брянской области. Им требуется 2 недели, чтобы отправить запрос по нему в Брянск. Так как доступа к базе у них нет. Задайте себе вопрос, считаете ли вы такой принцип построения безопасных систем правильным? Когда доступ к ресурсу ограничивается для всех, в том числе и для тех, кому он жизненно необходим для выполнения своих обязанностей Шифрование Весь обмен данными должен осуществляться исключительно по зашифрованному каналу. Все подсистемы на стороне дата-центров должны быть разделены таким образом, чтобы все данные хранились исключительно децентрализованно и в зашифрованном виде. Фиксация событий Все подключения и попытки авторизации должны жестко фиксироваться в базе и анализироваться. В случае несанкционированного перебора паролей к учетной записи или других попыток получения доступа служба безопасности сервиса должна моментально реагировать, уведомляя об этом владельца учетной записи. Отправка уведомлений Отключение камеры, пропадание питания на камере или пропадание Интернета также должно приводить к отправке уведомления владельцу. Аналитические функции, реализованные в сервисе, должны позволять фиксировать засветку, поворот или закрытие камеры, чтобы отправлять соответствующее уведомление владельцу. Двойная авторизация Полезной является функция двойной авторизации по мобильному телефону. Пользователь сервиса авторизируется в личном кабинете, и ему автоматически на зарегистрированный номер отправляется SMS-сообщение с кодом Пользователь должен ввести этот код для завершения входа. Таким образом, если конкретный пароль по какой-то причине станет известен третьим лицам, они все равно не смогут получить доступ к камерам пользователя без его мобильного телефона. А пользователь узнает о попытке несанкционированного доступа. Контроль доступа Следует запрещать использование одной и той же учетной записи с разных устройств одновременно. Для предоставления доступа к камерам сотрудникам, коллегам или другим лицам должна быть предусмотрена функция передачи прав. Владелец сможет контролировать доступ в любое время и в случае необходимости закрыть его. Например, если ответственный человек перешел работать в другую компанию. Доступ к облаку должен быть реализован на простом принципе - максимальная открытость данных для тех, кому это действительно требуется, контроль доступа всех, кто допущен к данным, и защита от несанкционированного доступа третьих лиц. Что это значит? Приведу пример. В США есть общие базы с различной информацией по гражданам страны, доступные огромному количеству чиновников на разных уровнях. Каждый чиновник может запросить любую, но исключительно необходимую для его работы информацию. И факт запроса фиксируется. Существуют контролирующие независимые органы, которые вправе проверять данные запросы, и в случае, если окажется, что запрос выполнялся не в служебных целях, проводится расследование и следуют дальнейшие санкции за неправомерное использование данных. Доступность информации позволяет решать огромное количество задач быстро и оперативно. Например, в США при утере паспорта реально получить новый менее чем за сутки. Все запросы и проверки выполняются после обращения в одно-единственное ведомство, и граждане не тратят время на сборы огромного количества справок. Можно привести в пример программу "Безопасный город". Если для ее запуска использовать облачную инфраструктуру, то можно предоставить доступ к камерам всем заинтересованным службам, которым этот доступ просто необходим для выполнения работы. От полиции и МЧС до "Скорой помощи" и дорожных служб. Естественно, что в данном случае производится хранение, дистрибуция и защита видеоданных средствами облака. Но для реального использования в программе "Безопасный город" потребуется решить целый ряд дополнительных задач по добавлению аналитики и интеграции дополнительных устройств, которые успешно могут быть реализованы как системными интеграторами, так и компаниями, профессионально занимающимися данным направлением. 3 последствия облаков Облачные сервисы видеонаблюдения расширяют рынок, который отгородился от массового клиента стеной сложных профессиональных терминов, нетривиальной проблемой внешних IР-адресов и паразитирования на высокой марже. Вновь созданный рынок станет на порядок больше по количеству пользователей и, вполне возможно, будет представлен новыми игроками, которых пару лет назад никто и не ждал на этом рынке. Создав новую модель дистрибуции услуг видеонаблюдения и новый формат привлечения пользователей, облачные сервисы приведут на этот рынок новых игроков в лице провайдеров связи, ИТ-интеграторов, игроков интернет-рынка и интернет-коммерции. В ближайший год мы увидим не один десяток звучных внедрений, основанных на технологиях облачного видеонаблюдения. Приход на этот рынок новых технологий виртуализации, новых пользовательских функций в системах видеонаблюдения, доступных лишь при использовании облачных сервисов, безусловно, сменит устоявшиеся тренды развития этого рынка. В ближайшее время текущие игроки рынка под давлением требований клиентов либо начнут выпускать облачные дополнения к своим системам, либо образуют союзы с уже доказавшими свою состоятельность провайдерами облачных сервисов видеонаблюдения. #camyol #безопасность #видеонаблюдение
Системы видеонаблюдения. Camyol.
Безопасность облачного видеонаблюдения
Довольно сложно говорить о безопасности всех систем. Это все равно что говорить о безопасности использования автомобиля, не делая различия между новой BMW и продукцией АвтоВАЗа. В силу того что компании по созданию ПО для безопасности развивались обособленно от ИТ-рынка, некоторые из них обладают весьма слабыми компетенциями в области ИТ-безопасности. Для них вполне обычным делом является, например, обеспечение удаленного доступа к камерам открытием внешнего порта на роутере/сервере и передача видео по незашифрованному каналу. Здесь ни о каком обеспечении безопасности не может быть и речи. Отсутствует даже элементарный контроль попыток несанкционированного доступа и авторизации.
В результате под обеспечением безопасности большинство начинает понимать просто отсутствие возможности внешнего или централизованного доступа к системам наблюдения. Очень грустно, что такого принципа у нас придерживаются повсеместно.
В 2007 г. я впервые посетил США. Одним из городов, где я побывал, был Лас-Вегас. Меня поразило, что аэропорт Лас-Вегаса находится фактически в черте города. Двиатрафик в разы превышает поток самолетов во всех московских аэропортах, вместе взятых. И тут же рядом летают экскурсионные частные вертолеты и авиатакси, позволяющие туристам посмотреть на город с высоты птичьего полета. У нас же частная авиация, можно сказать, вне закона. Вместо того чтобы обеспечить все необходимые технические мероприятия для ее разрешения, в целях безопасности ее просто запретили.
Еще пример. В мою машину въехал другой автомобиль и скрылся с места ДТП. Были свидетели. Происшествие зафиксировано, номера сохранены. В ДПС сказали, что поставят в розыск, но сразу этого не сделают, так как ДТП было в Москве, а номера виновника зарегистрированы в Брянской области. Им требуется 2 недели, чтобы отправить запрос по нему в Брянск. Так как доступа к базе у них нет.
Задайте себе вопрос, считаете ли вы такой принцип построения безопасных систем правильным? Когда доступ к ресурсу ограничивается для всех, в том числе и для тех, кому он жизненно необходим для выполнения своих обязанностей
Шифрование
Весь обмен данными должен осуществляться исключительно по зашифрованному каналу. Все подсистемы на стороне дата-центров должны быть разделены таким образом, чтобы все данные хранились исключительно децентрализованно и в зашифрованном виде.
Фиксация событий
Все подключения и попытки авторизации должны жестко фиксироваться в базе и анализироваться. В случае несанкционированного перебора паролей к учетной записи или других попыток получения доступа служба безопасности сервиса должна моментально реагировать, уведомляя об этом владельца учетной записи.
Отправка уведомлений
Отключение камеры, пропадание питания на камере или пропадание Интернета также должно приводить к отправке уведомления владельцу. Аналитические функции, реализованные в сервисе, должны позволять фиксировать засветку, поворот или закрытие камеры, чтобы отправлять соответствующее уведомление владельцу.
Двойная авторизация
Полезной является функция двойной авторизации по мобильному телефону. Пользователь сервиса авторизируется в личном кабинете, и ему автоматически на зарегистрированный номер отправляется SMS-сообщение с кодом Пользователь должен ввести этот код для завершения входа. Таким образом, если конкретный пароль по какой-то причине станет известен третьим лицам, они все равно не смогут получить доступ к камерам пользователя без его мобильного телефона. А пользователь узнает о попытке несанкционированного доступа.
Контроль доступа
Следует запрещать использование одной и той же учетной записи с разных устройств одновременно. Для предоставления доступа к камерам сотрудникам, коллегам или другим лицам должна быть предусмотрена функция передачи прав. Владелец сможет контролировать доступ в любое время и в случае необходимости закрыть его. Например, если ответственный человек перешел работать в другую компанию. Доступ к облаку должен быть реализован на простом принципе - максимальная открытость данных для тех, кому это действительно требуется, контроль доступа всех, кто допущен к данным, и защита от несанкционированного доступа третьих лиц.
Что это значит? Приведу пример. В США есть общие базы с различной информацией по гражданам страны, доступные огромному количеству чиновников на разных уровнях. Каждый чиновник может запросить любую, но исключительно необходимую для его работы информацию. И факт запроса фиксируется. Существуют контролирующие независимые органы, которые вправе проверять данные запросы, и в случае, если окажется, что запрос выполнялся не в служебных целях, проводится расследование и следуют дальнейшие санкции за неправомерное использование данных.
Доступность информации позволяет решать огромное количество задач быстро и оперативно. Например, в США при утере паспорта реально получить новый менее чем за сутки. Все запросы и проверки выполняются после обращения в одно-единственное ведомство, и граждане не тратят время на сборы огромного количества справок.
Можно привести в пример программу "Безопасный город". Если для ее запуска использовать облачную инфраструктуру, то можно предоставить доступ к камерам всем заинтересованным службам, которым этот доступ просто необходим для выполнения работы. От полиции и МЧС до "Скорой помощи" и дорожных служб. Естественно, что в данном случае производится хранение, дистрибуция и защита видеоданных средствами облака. Но для реального использования в программе "Безопасный город" потребуется решить целый ряд дополнительных задач по добавлению аналитики и интеграции дополнительных устройств, которые успешно могут быть реализованы как системными интеграторами, так и компаниями, профессионально занимающимися данным направлением.
3 последствия облаков
Облачные сервисы видеонаблюдения расширяют рынок, который отгородился от массового клиента стеной сложных профессиональных терминов, нетривиальной проблемой внешних IР-адресов и паразитирования на высокой марже. Вновь созданный рынок станет на порядок больше по количеству пользователей и, вполне возможно, будет представлен новыми игроками, которых пару лет назад никто и не ждал на этом рынке.
Создав новую модель дистрибуции услуг видеонаблюдения и новый формат привлечения пользователей, облачные сервисы приведут на этот рынок новых игроков в лице провайдеров связи, ИТ-интеграторов, игроков интернет-рынка и интернет-коммерции. В ближайший год мы увидим не один десяток звучных внедрений, основанных на технологиях облачного видеонаблюдения.
Приход на этот рынок новых технологий виртуализации, новых пользовательских функций в системах видеонаблюдения, доступных лишь при использовании облачных сервисов, безусловно, сменит устоявшиеся тренды развития этого рынка. В ближайшее время текущие игроки рынка под давлением требований клиентов либо начнут выпускать облачные дополнения к своим системам, либо образуют союзы с уже доказавшими свою состоятельность провайдерами облачных сервисов видеонаблюдения.
#camyol #безопасность #видеонаблюдение