HDS 2023: Gradski video nadzor – ako je pametan, onda je i ranjiv

Peti forum urbane sigurnosti u organizaciji Hrvatske udruge menadžera sigurnosti, a održan u okviru Hrvatskih dana sigurnosti 2023 i pod visokim pokroviteljstvom Vlade Republike Hrvatske, bavio se primarno temom „Video nadzora javnih površina“. Forum je okupio stručnjake, znanstvenike i praktičare koji se bave različitim aspektima urbane sigurnosti.

Koncept urbane sigurnosti nastao je u okviru UN programa za razvoj sredinom devedesetih godina prošlog stoljeća. UN je u svojoj novoj Svjetskoj urbanoj kampanji „Za bolji grad, bolji život“, definirao šest tematskih područja: urbana sigurnost i zdrav grad, otporan grad na katastrofe, zeleni grad, produktivan grad, inkluzivan grad i planiran grad.

„Urbana sigurnost nije samo praćenje i preventiva kriminaliteta na lokalnoj razini, kako još i danas dio struke o njoj promišlja. Promišljanje o tome što je urbana sigurnost  podrazumijeva jedan holistički pristup i društvenu integraciju koja za cilj ima osnaživanje zajednice na sve oblike ugroza sigurnosti. Od nasilja pa sve do proaktivnog upravljanja lokalne vlasti gradovima za slučajeve klimatskih nepogoda, terorizma i u konačnici upravljanje u aktualnim procesima migracija ljudi. Ključnu ulogu tu imaju nositelji vlasti, ali postizanje visokih razina urbane sigurnosti moguće je kad su svi uključeni. Danas više od 50 posto ljudi u Hrvatskoj živi u urbanim sredinama, a istodobno moramo biti svjesni i velikih promjena života u gradovima koje za posljedicu imaju povećanje nesigurnosti iz više izvora. Ako urbanoj sigurnosti, koju bih definirao kao nepostojanje ozbiljne prijetnje za sigurnost građana, pristupamo na sustavan i organiziran način, puno se toga može predvidjeti i biti proaktivan u prevenciji“, naglasio je uvodno doc.dr.sc. Krunoslav Borovec, član Znanstvenog savjeta Hrvatske udruge menadžera sigurnosti.

Na Forumu je o cyber (ne)sigurnosti video nadzora javnih površina govorio Vlatko Košturjak, CTO, Diverto, Zagreb. Vlatko je izlaganje započeo skrećući pozornost da video nadzor postaje pametan, ali da se unatoč tome na sustavu video nadzora bilježe ranjivosti.

Video nadzor postaje pametan

Kamere, snimači i umjetna inteligencija koja gleda sve to. Puno je podataka koji se stavljaju na NAS-ove, sve to negdje postoji, a samim tim onda postoji rizik da do toga dođe netko tko ne bi smio doći do toga. Svi ti uređaji imaju Cpu i memoriju, spojeni su i imaju svoju IP adresu. To znači „ako je pametno onda je i ranjivo“, podsjetio je Vlatko na riječi Mikka Hypponena.

Izazovi

Važno je spriječiti neovlašteni pristup snimkama i manipulacijama. Istovremeno, to se može iskoristiti kao platforma za daljnje napade. Na koji način da se pribave kredencijali i onda unutar organizacije možda su iste šifre za nešto drugo. To je loša praksa. Može se iskoristiti za daljnje širenje unutar organizacije putem npr. ransomwarea kao što smo vidjeli da se događa. I druga stvar, može biti točka za daljnje širenje unutar mreže ako je daljnje spojeno. Također, može biti da se napadne na druge organizacije, može to biti DDoS ili nešto drugo, nema ograničenja.

Preporuke na taktičnoj razini

Preporuke je potrebno uključiti u program sigurnosti.

  • Kao što se radi procjena za informacijsku sigurnost potrebno je izraditi popis imovine i procjenu rizika
  • Potrebno je imati životni ciklus video nadzora. Kad nabavljamo i evaluiramo dobavljače, trebamo vidjeti jel tu zaista stoji sve što piše ( Jel zaista prebrisano ili samo obrisano bez prepisivanja cijelog sadržaja. To je sve bitno, jer kasnije to netko može pročitati)
  • Implementacija svih sigurnosnih kontrola što uključuje segmentaciju i izolaciju mrežnih segmenata. I naravno, testiranje da vidimo da je to zaista tako.
  • Donošenje Politike o redovnom ažuriranju komponenti

Vlatko je dao i neke operativne preporuke:

  • Uklanjanje tvornički postavljenih kredencijala, što znači korištenje unikatnih kredencijala da ih ne koristimo negdje drugdje i njihovo redovno mijenjanje
  • Redovno ažuriranje komponenti (snimači, video nadzor, analitika)
  • Redovna provjera ranjivosti
  • Redovno penetracijsko testiranje, kako bi se zaista vidjelo koliko je ta izolacija dobra, da li se zaista može penetrirati u tu mrežu a onda i dalje. Ovdje treba gledati širu sliku od samih kamera. Tu su operateri kamera, snimači, pohrana, analitika. Površina napada je veća od samog video nadzora
  • Kibernetički nadzor, potrebno ga je uključiti u (kibernetički) sigurnosno-operativni centar

O tome koliko su postojeće nadzorne kamere ranjive, možda najbolje svjedoči veliko istraživanje koje je u lipnju ove godine proveo BBC Panorama.

BBC Panorama je organizirala istraživanje sigurnosnih ranjivosti dva vodeća svjetska proizvođača kineskih nadzornih kamera, instaliranih na javnim površinama i infrastrukturi britanskih gradova i državnih institucija. Panorama je tražila odgovor na pitanje koliko je lako hakirati kineske kamere i što to znači za sigurnost Velike Britanije?

Stručnjaci za sigurnost strahuju da bi kamere mogle biti iskorištene kao trojanski konj za pustošenje računalnih mreža, što bi zauzvrat moglo izazvati građanske poremećaje.

Panorama je provodeći istraživanje surađivala s američkim IPVM-om, jednim od vodećih svjetskih autoriteta za tehnologiju nadzora. Rezultati su bili porazni.

Profesor Fraser Sampson, povjerenik za nadzorne kamere u Velikoj Britaniji, upozorava da je kritična infrastruktura zemlje – uključujući opskrbu strujom, transportne mreže i pristup svježoj hrani i vodi – ranjiva.

“Sve te stvari uvelike se oslanjaju na daljinski nadzor – pa ako imate mogućnost ometati to, možete stvoriti kaos. Postoje ozbiljni i inherentni rizici u britanskoj CCTV mreži“, ističe Sampson.

Charles Parton iz Royal United Services Institute (RUSI), bivši diplomat koji je radio u Pekingu, slaže se: “Svi smo gledali film Dobar posao u Italiji iz 2003. godine , gdje su lopovi manipulirajući prometnim sistemom Torina osigurali stalno zeleno na semaforima.  To je tada možda bila fikcija, ali sada sasvim sigurno ne.”

Stručnjaci kažu da Ujedinjeno Kraljevstvo mora učiniti više kako bi se zaštitilo od onoga što  Sampson,  opisuje kao “digitalni azbest”.

“Imamo prethodnu generaciju koja je instalirala ovu opremu, uglavnom na temelju toga što je bila jeftina i što je obradila  posao”, kaže on. “Sada smo shvatili da to nosi neke ozbiljne i inherentne rizike – i  što ćemo sada s tim kamerama?”, zapitao se Sampson.

 

Dijana Beg Ostojić  Foto:HUMS/ Davor Denkovski

Objavljeni sadržaj sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.