Videosorveglianza IP e cyber security

della Redazione

Le telecamere IP dovrebbero avere un’attenzione sempre maggiore verso la sicurezza informatica. Tuttavia proteggere una rete, i suoi dispositivi e i servizi supportati richiede la partecipazione attiva dell’intera filiera: il costruttore, l’entità che realizza l’impianto (integratore di sistemi) e l’utente finale. Un ambiente sicuro dipende quindi da utenti, processi e tecnologia. Focalizzandoci sui costruttori, un aspetto di riguardo e particolarmente importante è avvalersi, per quanto possibile, della fornitura di prodotti che siano stati realizzati tramite il principio “security by design”. Questi prodotti sono infatti ingegnerizzati prevedendo che ogni componente software o hardware sia sviluppato sin dalla progettazione ponendo particolare attenzione alla sicurezza informatica.

Un altro aspetto, spesso poco considerato, è il costante aggiornamento dei firmware: quanto può incidere questo tema ai fini della sicurezza cyber in un sistema TVCC?

Risponde Donato Testa, Sales Engineer Axis Communications

La necessità di mantenere il sistema di videosorveglianza - e quindi le telecamere IP - aggiornate all’ultima release firmware è di importanza cruciale, in quanto gli update firmware introducono, oltre che nuove funzionalità, anche tutte le protezioni alle vulnerabilità conosciute al momento del rilascio. Esistono dei software gratuiti(3) che permettono di eseguire quest’operazione in automatico, avvisando l’amministratore di sistema quando è necessario eseguire l’upgrade - un altro valido strumento per la gestione di realtà più o meno complesse. In generale, però, occorre sempre più attenzione in materia di protezione di dati presenti nel mondo cyber, anche perché ormai il virtuale impatta sempre più sul mondo reale. Porre la dovuta attenzione a questa tematica significa utilizzare gli strumenti corretti, ora disponibili, mitigando quindi i rischi e riducendo anche i costi in caso di attacco informatico.

Questo non mette al riparo da rischi di eventuali vulnerabilità o attacchi, ma ne mitiga gli impatti e rende maggiormente accessibili gli update di firmware e/o software volti alla correzione delle vulnerabilità scovate. Ad oggi ci sono vendor che riescono ad offrire gratuitamente rilasci di update firmware fino a 10 anni per lo stesso device (1). Un altro aspetto non meno importante è che l’azienda costruttrice caratterizzi la propria produzione rifacendosi ai dettami e pratiche indicate dal CIS (centre for internet security), un’organizzazione “non profit” che ha come missione l’identificazione, la validazione, la promozione e la divulgazione delle migliori pratiche da mettere in atto per quanto riguarda la difesa informatica.

ATTACCHI PIÙ COMUNI

Le minacce più evidenti per una telecamera sono il sabotaggio fisico, il vandalismo e la manomissione. Per proteggere il device da queste minacce, è importante selezionare un modello o involucro resistente agli atti vandalici, montarlo nel modo consigliato dal produttore e proteggere i cavi. Da un punto di vista IT/rete, la telecamera è un Endpoint di rete in un contesto IoT simile ai laptop aziendali, desktop e dispositivi mobili. A differenza di un laptop aziendale, una telecamera di rete non è esposta alla minaccia comune di utenti che visitano siti Web potenzialmente dannosi, aprendo allegati di posta elettronica dannosi o installando programmi o applicazioni non affidabili. Tuttavia, la telecamera IP è un dispositivo di rete a tutti gli effetti, con un’interfaccia propria che potrebbe esporre a rischi e compromettere l’intero sistema. Per ridurre l’area di esposizione a questi rischi, limitare l’esposizione a Internet è sicuramente consigliato. Non è raccomandato infatti esporre una telecamera di rete come server Web pubblico, consentendo l’accesso alla stessa da parte di utenti o client sconosciuti. Per individui e piccole organizzazioni che non gestiscono o si avvalgono di un VMS (video management system), il consiglio è quello di utilizzare dei software di gestione della videosorveglianza, che sempre più vengono messi a disposizione gratuitamente. Generalmente questi software supportano un numero limitato di telecamere e/o canali ma permettono funzionalità avanzate, quali registrazioni su evento e visualizzazioni live anche in remoto. I vendor più attenti caratterizzano l’utilizzo di questi software con protocolli di sicurezza avanzati criptando la comunicazione tra client/device/PC(2) . In un ambiente dove viene invece utilizzato un VMS, i client accedono sempre ai video in diretta e registrati tramite il server. Una buona pratica, se la rete o la funzionalità richiesta lo permette, è quella di posizionare il server VMS e le telecamere su una rete isolata (detta rete DMZ - Demilitarized zone), tramite isolamento fisico o virtuale: questa per definizione è una misura comune e raccomandata, il cui intento è di ridurre l’esposizione e di conseguenza i rischi.

I CONSIGLI DEL CIS

Un buon metodo per riconoscere e posizionare la propria rete di videosorveglianza è quello di applicare i livelli di sicurezza illustrati di seguito e riconosciuti dal CIS. Il fine è di aiutare ad individuare i criteri di difesa e protezione più utili alla propria infrastruttura, un primo passo che in determinati contesti può essere davvero utile: a) Livello di protezione 0: è un livello di protezione predefinito, raccomandato solo per unità demo o test - non sono previste procedure da eseguire; b) Livello di protezione 1: “Standard”, definisce ad esempio una piccola attività commerciale, un piccolo ufficio dove generalmente l’unico operatore è anche l’amministratore di sistema. Sono consigliate le seguenti procedure: ripristinare la telecamera con valori di default, utilizzare l’ultimo firmware disponibile, impostare la master password, creare un utenza di accesso alla telecamere con soli scopi di visualizzazione, configurare gli elementi di rete (IP, Subnet, Gateway, ecc..), impostare data e ora (se possibile tramite NTP server), disabilitare l’audio se applicabile, abilitare la criptazione in registrazione su SD Card se applicabile; c) Livello di protezione 2: “Enterprise”, definisce l’utilizzo della videosorveglianza in ambiente corporate, per aziende medio-grandi che hanno personale specializzato e dedicato alla gestione del sistema. Per questo livello di protezione sono consigliate le seguenti procedure: abilitazione dell’autenticazione DIGEST su protocollo HTTP, creazione di politiche di accesso al dominio e Host Name, disabilitazione dei servizi di rete non utilizzati, utilizzo dei livelli di accesso mediante filtro su indirizzi IP, abilitazione criptazione HTTPS. d) Livello di protezione 3: “Managed Enterprise”, questo livello definisce l’utilizzo della videosorveglianza in ambiente corporate, adatto per una grande azienda con più sedi distribuite, che ha personale specializzato e dedicato alla gestione del sistema o gruppi dedicati alla gestione IT. Per questo livello di protezione sono consigliate le seguenti procedure, oltre a quelle già indicate: autenticazione tramite IEEE 802.1X, monitoraggio tramite SNMP, registro dei log in remoto.

Note:
(1) Come avviene per Axis con il long-term support (LTS), che rappresenta un valore aggiunto considerevole.
(2) Come avviene con AXIS Camera Companion.
(3) Come AXIS Device Manager.