2 évvel ezelőtt egyszer már terítékre került ez a téma a Detektor hasábjain, de a tapasztalatok sajnos azt mutatják, hogy mit sem vesztett aktualitásából, éppen ezért úgy ítéljük meg, hogy érdemes feleleveníteni az ezzel kapcsolatos információkat. 2 éve kimondottan a video rendszerekkel foglalkoztunk, most egy kicsit tágítjuk a horizontot, hiszen ez a probléma nem korlátozódik erre a területre, minden technológia érintett.
A 2000-es évek eleje óta tart már az a trend, hogy a különböző fizikai biztonságtechnikai rendszerek működtetésében egyre nagyobb szerepet játszanak az informatikai megoldások. Mára odáig jutottunk, hogy gyakorlatilag nincs már olyan rendszer, amelynek nincs legalább 1 kommunikációs csatornája IP hálózatok felé, ám legtöbbször már a végponti eszközök is IP-n csatlakoznak a központi rendszerhez. Ennek nyilvánvalóan számtalan előnye van, kezdve a költséghatékony adatátviteltől, a távoli elérhetőségen keresztül az integrációs feladatokig. Ezek az előnyök azonban olyan fenyegetettségekkel járnak együtt, hogy amennyiben ezeket nem kezelik megfelelően, könnyen abban a helyzetben találhatjuk magunkat, hogy saját biztonsági rendszerünk tálalja tálcán a biztonsági réseket. A rosszfiúk pedig nem hagyják ki ezeket a ziccereket…
A téma aktualitása, a kockázatok
Tegyük fel a költői kérdést: Vajon mennyire aktuális ma ez a téma? Véleményem szerint mindig is az volt, de az idő előrehaladtával a fizikai biztonsági rendszerek üzemeltetői egyre nagyobb fenyegetettségekkel találják magukat szembe.
Kockázatok a technológia oldaláról
Először is vizsgáljuk meg, hogy milyen okok állnak mindennek a hátterében! Az első mindjárt az alkalmazott technológiában rejlik. Mivel ezek a rendszerek nemcsak központi egységekből állnak, hanem számtalan szenzor csatlakozik hozzájuk (beléptető olvasók, kamerák, mozgás- és tűzérzékelők, stb..), így a potenciális támadási pontok száma exponenciálisan emelkedik. Ráadásul ezeket összefoglaló néven az IoT eszközök közé soroljuk, melyek – finoman szólva – nem éppen a legmagasabb szintű kibervédelmükről ismertek. Ennek az az oka, hogy amíg a hagyományos informatikai eszközöket évtizedes tapasztalatok alapján igyekeznek felvértezni megfelelő védelemmel, addig az IoT elemek viszonylag újkeletűek és a fejlesztésüknél gyakran elhanyagolták ezt a területet.
Ráadásul az is előfordul, hogy a gyártók szándékosan hagynak hátsó ajtókat az eszközeiken. Ez súlyosabb, de létező probléma. Itt sok esetben arról van szó, hogy akkor is át lehessen venni egy eszköz felett a kontrollt, ha pl. elfelejtették az adminisztrátori jelszót és az eszközt nem lehet egy helyi reset-el alap helyzetbe állítani. Ez néha valóban hasznos lehet, de ki biztosítja azt, hogy ezeket a lehetőségeket ne rossz szándékkal használják ki.
Mindeközben egy másik oldalról szemlélve IoT eszközeink nagyon is fejlettek lehetnek. Egy mai korszerű IP kamera például önmagában is egy web szerverként üzemel, komoly erőforrásokkal felvértezve, lényegében egy célszámítógépnek tekinthető. Ezt felismerve „építettek” kiterjedt botnet hálózatokat és hajtottak végre velük komoly kibertámadásokat. Egyik legismertebb képviselője a Mirai malware. Ez úgy működik, hogy az Interneten keres publikusan elérhető IoT eszközöket és ha talál, végigpróbál kb. 60 alap felhasználó/jelszó párosítást. Ha sikeresen be tud jelentkezni az eszközre, akkor feltelepít rá egy szoftvert, aminek segítségével ún. túlterheléses (DDoS) támadásokat tudnak indítani, azaz egyszerre nagyon sok helyről indítanak kéréseket a kiszemelt szolgáltató ellen, ami a túlterhelés hatására elérhetetlenné válik. Ilyen támadásnak esett áldozatául pl. a Twitter, a Reddit, a Netflix, vagy az Airbnb.
Ennél is súlyosabb következménye lehet annak, ha mondjuk a saját beléptető rendszerünket törik fel. Ebben az esetben a „behatolók” átvehetik az irányítást a belépési pontok felett. Képzeljük el, ha például egy kórházban kizárják az orvosokat a műtőből, vagy épp ellenkezőleg kinyitnak egy kritikus helyen lévő ajtót.
Ezen továbbmenve akár a szervezet informatikai rendszerébe is be tudnak hatolni a támadók, ahonnan érzékeny adatokat lophatnak el, vagy megbéníthatják az egész cég működését. A valóságban sokkal több ilyen eset történik, mint ami nyilvánosságra kerül, hiszen senki sem szereti bevallani a sérülékenységét. A kár ilyenkor nagyon jelentős lehet, sőt az esetek jelentős részében a vállalat csődjét is jelentheti. Talán itt segíthetne az, ha ezek az esetek nagyobb nyilvánosságot kapnának.
Az emberi tényező
Lehet azonban bármilyen szuper technológiánk, ha azokat nem használjuk megfelelően. Az általános tapasztalat sajnos az, hogy a vállalatok, szervezetek vezetői nem kezelik ezeket a problémákat kellő súllyal, így nem is tesznek túl sokat azért, hogy elkerüljék ezeket a helyzeteket. Számtalan felmérés született ebben a témában, általában lesújtó eredményekkel.
Ezeken felül általános tapasztalat, hogy a kiberbiztonsági szempontok nem, vagy alig játszanak szerepet az eszközök kiválasztásánál. Sajnos sok esetben a telepítők sem segítik ebben őket. Sokan még a hagyományos rendszereken „szocializálódtak”, nekik az IP-s rendszerek megfelelő konfigurálása is komoly kihívás, arra aztán már végleg nem marad energiájuk, hogy az informatikán belül is komoly szakértelmet igénylő kiberbiztonsággal is foglalkozzanak. A tervezési fázisban, az eszközök kiválasztásánál is ritkán mennek túl az alap paraméterek meghatározásán, a kiberbiztonság szinte soha nem szerepel a figyelembe veendő szempontok között.
Mit tehetünk?
Azoknak, akiket mégis foglalkoztat a kérdéskör és fontosnak tartják, hogy a megvalósított rendszer ebből a szempontból is rendben legyen, érdemes az alábbiakat végiggondolni, mérlegelni.
Kezdjük a humán oldalon! A legfontosabb, hogy legyen egy megfelelő tudatosság a vezetés részéről abban a tekintetben, hogy minden szempontból megfelelő biztonsági rendszert szeretnének használni. Érdemes kockázatelemzést végezni, melynek keretében felmérjük, hogy milyen károkat okozhat szervezetünk számára egy kiberbiztonsági incidens. Ha ez megvan, akkor máris nagyot léptünk előre! Maradjunk még egy kicsit az emberi tényezőknél. Alakítsunk ki egyértelmű biztonsági szabályzatokat, tudatosítsuk a munkatársainkban, hogy miért fontos ezeket betartaniuk.
A következő lépés, hogy biztonsági rendszerünk tervezői, kivitelezői felé fogalmazzuk meg elvárásainkat ezen a téren. Figyeljünk oda, hogy az eszközök kiválasztásánál mennyire vették figyelembe ezeket a szempontokat! A kivitelezésnél elsősorban arra ügyeljünk, hogy a telepített eszközök és az átviteli útvonalak, a központok elhelyezésére szolgáló helyek fizikai védelme megfelelő legyen.
Amikor beüzemelésre kerül a sor, használjunk a végponti berendezések, a központi elemek, a munkaállomások között titkosított kommunikációt, az erős jelszavakat már biztosan nem kell említeni, ez talán már mindenkibe belevésődött. Bár a mai eszközöknél nem jellemző, hogy gyári jelszavakkal érkeznek, ha mégis előfordul, tűzzel-vassal irtsuk ezeket! Jó megoldás lehet az is, hogy a legkritikusabb eszközöket szeparált alhálózatokba különítjük el, melyeknek nincs közvetlen kijáratuk az Internet felé. A rendszerek átvételénél egyértelműen tisztázzuk, hogy kinek milyen jogosultságai vannak a rendszerben, különösen az admin felhasználók körét szűkítsük le amennyire csak lehetséges. Az adminisztráció jelentőségét pedig nem lehet eléggé hangsúlyozni. Ez általában a „nemszeretem” feladatok közé tartozik, de nincs rosszabb, mint egy nem megfelelően dokumentált rendszert üzemeltetni.
Ha mindezeken sikeresen túljutottunk következhet az üzemeltetés „hálás” feladata. A felhasználóktól mindenképpen várjuk el, hogy tartsák be a biztonsági szabályzatokat, rendszeres időközönként cseréljék a jelszavaikat, ha van lehetőség, használjanak kettős azonosítást. A karbantartásoknál ne csak a „portörlés” legyen a karbantartók feladata, hanem frissítsék a központi és végponti eszközök szoftvereit, végezzék el a szükséges biztonsági mentéseket.
Ma az informatikai piac számtalan kibervédelmi eszközt kínál, melyek a végponti védelemtől kezdve a támadások valós idejű észlelésétől és akár az azokra való automatizált beavatkozásig terjed. Lehetőség szerint ismerjük meg ezeket és amelyek számunkra hasznosak – természetesen a saját kockázati szintünknek megfelelően – azokat alkalmazzuk is. Mivel ezen a téren is folyamatos a fejlődés, az átlagos ismeret szintje viszont alacsony, talán érdemes lenne egy következő alkalommal erre a területre koncentrálni.
Ha mégis megtörténik a baj…
Természetesen 100%-os védelmi rendszer nem létezik. Még a leggondosabb felkészülés esetén is megtörténhet a baj, áldozatul eshetünk valamilyen incidensnek. Ilyenkor az adataink elvesztése fájhat a legjobban, hiszen újratelepíteni mindig lehet egy rendszert, de sok évnyi adatbázis elvesztése nagyon súlyos következményekkel járhat. Éppen ezért nagyon fontos, hogy mindig legyen mentésünk az adatainkról, ezeket pedig lehetőleg fizikailag is elkülönítve tároljuk. No meg nem árt egy helyreállítási terv sem ilyen esetekre.
A jövő kihívásai
Amint a fentiekből láthatjuk annak, aki komolyan veszi ezt a témát, nincs könnyű dolga. Nagyon sokfelé kell odafigyelni és a megfelelő megvalósítás is magas fokú szakértelmet kíván. Mivel ezek a legtöbb szervezetnél nem állnak rendelkezésre, nagy – és évről növekvő – kockázatoknak vannak kitéve.
Ha körbenézünk a világban, láthatjuk, hogy a jövőbeli kilátásaink sem rózsásak. Gyakran hallunk például arról, hogy a háborúk is „átköltöznek” a kibertérbe. Ennek során jól felkészült – gyakran államilag támogatott, vagy egyenesen állami kézben lévő – csoportok hajtanak végre szervezett támadásokat. Ezeknek leginkább a kritikus infrastruktúrák üzemeltetői vannak kitéve, így ezeknél a szervezeteknél különösen oda kell figyelni, hogy ne hagyjunk felesleges támadási felületeket rosszul felépített és üzemeltetett fizikai biztonsági rendszereinkkel.
Itt van aztán a „felhősödés” jelensége, ami mára kezdi elérni a biztonságtechnikai szakmát is. Sorra jelennek meg azok a rendszerek – különösen a video megfigyelés területén – amelyek felhőben lévő infrastruktúrákat használnak. Ez újabb kihívásokat jelent, meg is történt már az első néhány komolyabb hírverést kapó incidens, ám úgy gondolom, hogy a közeljövőben ezek a megoldások teret fognak nyerni.
Az informatika rohamos fejlődése pedig hamarosan elvezethet oda (pl. kvantumszámítógépek megjelenése), hogy a jelenleg használt és biztonságosnak ítélt titkosítási eljárások egy csapásra elavulttá válnak és a cikkben vázolt megoldások értelmüket vesztik. Bízzunk benne, hogy van addig még egy kis időnk, néhány start-up pedig már dolgozik azokon a biztonsági módszereken, melyeket majd abban az érában is használhatunk.
Laczkó Gábor
