Un sistema di videosorveglianza quando viene utilizzato a fini di sicurezza ha come scopo quello di proteggere persone o cose. Ma cosa succede se un sistema che per sua natura deve offrire protezione si rivela non essere sicuro?

 

La sicurezza dei sistemi di videosorveglianza è un argomento di grande rilevanza che il più delle volte viene sottovalutato, disatteso oppure considerato di minor priorità rispetto ad altri fattori come il costo.

Da quando sono state introdotte, le telecamere IP sono entrate a far parte di quell’ecosistema di dispositivi chiamati IoT (Internet of Things) e, come per qualsiasi altro oggetto IoT, anche per le telecamere di videosorveglianza i produttori sono chiamati a porre una sempre maggiore attenzione alla sicurezza informatica. A maggior ragione se si considera che questi dispositivi, per loro natura, catturano e rendono disponibili stream audio e video e che il più delle volte queste informazioni possono incidere sulla privacy delle persone o essere correlate ad accadimenti importanti (contengono informazioni che sono ritenute altamente sensibili).

Diventa necessario, quindi, avvalersi di produttori che si impegnino ad applicare le migliori pratiche in materia di sicurezza informatica già a partire dalle fasi di progettazione, sviluppo e test dei loro dispositivi per minimizzare il rischio di difetti che potrebbero essere sfruttati in caso di attacco.

Il fatto è che la protezione di una rete, dei suoi dispositivi e dei servizi supportati richiede la partecipazione attiva dell’intera filiera: il costruttore, l’entità che realizza l’impianto (l’integratore di sistemi) e l’utente finale. Un ambiente sicuro dipende quindi da utenti, processi e tecnologia.

Focalizzandoci sui costruttori, è importante avvalersi, per quanto possibile, della fornitura di prodotti che siano stati realizzati tramite il principio “security by design”. Questi prodotti sono infatti progettati prevedendo che ogni componente software o hardware sia sviluppata ponendo particolare attenzione al tema della sicurezza informatica.

Un accorgimento che non mette al riparo da eventuali vulnerabilità o da attacchi, ma che è in grado di ridurne l’impatto, rendendo inoltre maggiormente accessibili gli update di firmware e/o software volti alla correzione delle vulnerabilità scovate.

Sono diversi i fornitori in grado di offrire gratuitamente rilasci di update firmware fino a 10 anni per lo stesso device. In Axis, a questo proposito, assicuriamo il long-term support (LTS) che rappresenta un considerevole valore aggiunto.

Un altro aspetto non meno importante è che l’azienda costruttrice caratterizzi la propria produzione rifacendosi ai dettami e pratiche indicate dal CIS, Centre for internet security: un’organizzazione non profit, che ha come missione il consolidamento e la diffusione delle migliori pratiche da mettere in atto per quanto riguarda la difesa informatica.

Quali sono gli attacchi a cui può essere soggetta una telecamera di videosorveglianza IP?

Le minacce più evidenti per una telecamera sono il sabotaggio fisico, il vandalismo e la manomissione, rischi che possono essere limitati scegliendo un modello dotato di involucro resistente, montandolo nel modo consigliato dal produttore e proteggendo i cavi.

Tuttavia, la telecamera IP è un dispositivo di rete a tutti gli effetti, con un’interfaccia propria che potrebbe compromettere l’intero sistema. Per ridurre potenziali minacce, si raccomanda quindi di non esporre una telecamera di rete come server web pubblico consentendo l’accesso alla stessa da parte di utenti o client sconosciuti.

Per individui e piccole organizzazioni che non gestiscono o si avvalgono di un VMS (Video Management System), il consiglio è quello di utilizzare dei software di gestione della videosorveglianza – molti dei quali oggi disponibili gratuitamente – che supportano un numero limitato di telecamere e/o canali ma permettono funzionalità avanzate quali registrazioni su evento e visualizzazioni live anche in remoto. I vendor più attenti caratterizzano l’utilizzo di questi software con protocolli di sicurezza avanzati, criptando la comunicazione tra client-device-PC, come avviene con AXIS Camera Companion.

In un ambiente dove viene invece utilizzato un VMS, i client accedono sempre ai video in diretta e registrati tramite il server. Una buona pratica, se la rete o la funzionalità richiesta lo permette, è quella di posizionare il server VMS e le telecamere su una rete isolata (detta rete DMZ – DeMilitarized Zone), tramite isolamento fisico o virtuale, una misura comune e raccomandata il cui intento è di ridurre l’esposizione e di conseguenza i rischi.

Un buon metodo su come riconoscere e posizionare la propria rete di videosorveglianza è quello di applicare i livelli di sicurezza illustrati di seguito e riconosciuti dal CIS, studiati per aiutare gli utenti finali ad individuare i criteri di difesa più utili alla propria situazione:

Livello di protezione 0: è un livello di protezione predefinito, raccomandato solo per unità demo o test, non sono previste procedure da eseguire

Livello di protezione 1: “Standard”, questo livello definisce ad esempio: una piccola attività commerciale, un piccolo ufficio dove generalmente l’unico operatore è anche l’amministratore di sistema. Per questo livello di protezione sono consigliate le seguenti procedure: ripristinare la telecamera con valori di default, utilizzare l’ultimo firmware disponibile, impostare la master password, creare un utenza di accesso alla telecamere con soli scopi di visualizzazione, configurare gli elementi di rete (IP, Subnet, Gateway, ecc..), impostare data e ora (se possibile tramite NTP server), disabilitare l’audio se applicabile, abilitare la criptazione in registrazione su SD Card se applicabile.

Livello di protezione 2: “Enterprise”, questo livello definisce l’utilizzo della videosorveglianza in ambiente corporate, medio-grande azienda che ha personale specializzato e dedicato alla gestione del sistema. Per questo livello di protezione sono consigliate le seguenti procedure: abilitazione dell’autenticazione DIGEST su protocollo HTTP, creare politiche di accesso al dominio e Host Name, disabilitare i servizi di rete non utilizzati, utilizzare i livelli di accesso mediante filtro su indirizzi IP, abilitare criptazione HTTPS.

Livello di protezione 3: “Managed Enterprise”, questo livello definisce l’utilizzo della videosorveglianza in ambiente corporate, grande azienda con più sedi distribuite che ha personale specializzato e dedicato alla gestione del sistema o gruppi dedicati alla gestione IT. Per questo livello di protezione sono consigliate le seguenti procedure oltre quelle già indicate: autenticazione tramite IEEE 802.1X, monitoraggio tramite SNMP, registro dei log in remoto.

Come detto la necessità di mantenere il sistema di videosorveglianza e quindi le telecamere IP aggiornate all’ultima release firmware è di importanza cruciale in quanto gli update firmware introducono, oltre che nuove funzionalità, anche tutte le protezioni alle vulnerabilità conosciute al momento del rilascio. Esistono dei software gratuiti come AXIS Device Manager che permettono di eseguire quest’operazione in automatico avvisando l’amministratore di sistema quando è necessario eseguire l’upgrade, un altro valido strumento che possiamo utilizzare per la gestione di realtà più o meno complesse.

Concludendo si può affermare che oggi c’è sempre maggior bisogno di attenzione nei confronti delle problematiche connesse alla protezione di dati presenti nel mondo cyber anche perché quest’ultimo impatta sempre più nel mondo reale. Porre la dovuta attenzione a questa tematica può dare l’opportunità di utilizzare gli strumenti corretti, ora disponibili, mitigando quelli che sono i rischi e riducendo, d’altro canto, quelli che sono i costi associati in caso di attacco informatico.

 

Il nostro approccio alla cybersecurity