IP-камеры, которые невозможно взломать: видеонаблюдение в соответствии с ФЗ-187
Инженеры НИЦ «Технологии» разработали IP-камеру с СКЗИ – программно-аппаратным комплексом, обеспечивающим защиту информации внутри системы видеонаблюдения.
В марте 2018 года злоумышленники использовали в качестве серверов для DDoS-атак 50 тыс. видеокамер, расположенных в Японии. Кроме того, хакеры взламывали камеры и регистраторы видеонаблюдения для майнинга криптовалют, или использовали в качестве объектов атаки сами камеры дорожной видеофиксации. Последнее фиксировали в Московской области, Татарстане и Крыму.
Электроэнергетическая диверсия от 7 марта 2019 года в Венесуэле погрузила государство во мрак: из строя вышли информационные системы на гидроэлектростанции «Эль-Гури», произошли массовые отключения электричества в 21 из 23 штатов Венесуэлы, в том числе в столице страны - Каракасе. Следом остановились линии метрополитена, не функционировали транспортные сети, наблюдались перебои с мобильной связью. Это вместе со сложной политической обстановкой критическим образом осложнило ситуацию в государстве.
Такие случаи в мировой практике - не редкость. И важно, что они выявили проблему информационной защиты цифровых камер видеонаблюдения. В связи с этим с 2019 года субъекты реестра критической информационной инфраструктуры обязаны принять меры для соответствия требованиям ФЗ-187 в блоке защиты информации, в т. ч. поступающей от камер видеонаблюдения.
Большая часть используемого сегодня оборудования не обеспечивает безопасности передачи данных,
что может быть использовано злоумышленниками. Федеральный закон №187ФЗ от июля 2017 года регулирует
отношения в области обеспечения безопасности критической информационной инфраструктуры
Российской Федерации (далее «КИИ») в целях ее устойчивого функционирования при проведении в
отношении ее компьютерных атак.
Так в рамках принятого ФЗ-187 будет составлен и утвержден реестр объектов КИИ, могут быть отнесены
информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.
С 2019 года субъекты реестра КИИ будут обязаны принять меры для соответствия требованиям ФЗ-187 в блоке защиты информации в т. ч. поступаемой от смарт-устройств (камер видеонаблюдения).
Вместе с утверждением федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ» в российский Уголовный Кодекс была добавлена ст. 274.1, устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.
Пока данная статья не предусматривает ответственности за невыполнение не- обходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ.
ООО НИЦ «Технологии» (Россия) совместно с Технологическими партнерами разработали первое на рынке России решение по защите сетевых камер фото- видеофиксации согласно требований ФЗ-187. Камеры 360+1° специальной линейки с дополнительным блоком защиты на борту отвечают требованиям:
В связи с этим инженеры НИЦ «Технологии» разработали видеокамеры, оснащенные СКЗИ: средствами комплексной защиты информации. Для работы такой видеокамере требуется соединение с сервером СКЗИ, а также компьютер со специализированным ПО, при помощи которого производится инициализация IP-камер.
СКЗИ перемещает весь трафик системы видеонаблюдения в виртуальную сеть, защищенную с использованием TLS-соединений, создаваемых СКЗИ. При этом информация остается прозрачной для системы видеонаблюдения. Однако попытка чтения и подмены информации злоумышленником будет исключена, даже если он получит доступ к сетевой инфраструктуре системы.
Сервер СКЗИ шифрует все поступающие от клиентов к камерам запросы, а также осуществляет дешифрование всей поступающей с камер информации. В качестве протокола шифрования используется протокол TLS. Все криптографические алгоритмы, использующиеся для защиты данных, отечественные, принятые в качестве национальных стандартов.
Украсть ключи шифрования и запросы на сертификат у злоумышленников, получивших доступ к сети, также не получится. Они генерируются на камере в процессе инициализации: камера подключается к АРМ Администратора при помощи специального шнура. Сам АРМ Администратора к сети никогда не подключается.
Более того, физически украсть информацию с камеры тоже не получится: если кто-либо подключит к камере другой ПК через специальный шнур, вся ключевая информация на ней будет сразу же стерта. То же самое произойдет, если злоумышленник попытается вскрыть само устройство.
Технические требования к шифрованию ИнфоТеКС
Информация в системе видеонаблюдения должна быть защищена от несанкционированного доступа с целью ее копирования, подмены (искажения), удаления. Вся информация, проходящая от оконечных устройств (камер) до устройств регистрации по открытым каналам связи должна быть надежно зашифрована.
В качестве средства защиты информации для клиентских компонент VPN-сети (далее – VPN-клиент) должен использоваться программный комплекс (ПК), отвечающий следующим требованиям:
1. VPN-клиент должен быть полностью совместим с ПК управления VPN-сетью, в части:
· обновления программного обеспечения (ПО);
· автоматического обновления справочной и ключевой информации VPN-сети;
· управления политиками безопасности.
2. VPN-клиент должен быть полностью совместим с VPN-шлюзами, используемыми в VPN-сети, в части шифрования/расшифрования отправляемого/принимаемого IP-трафика.
3. Обеспечивать безопасную передачу (прием) данных VPN-шлюзам и VPN-клиентам (точка-точка) с использованием произвольной телекоммуникационной инфраструктуры IP-сетей, включая сети связи общего пользования.
4. Содержать драйвер шифрования IP-пакетов, осуществляющий шифрование и имитозащиту сетевого трафика на симметричных ключах, созданных в ПК управления VPN-сетью с использованием алгоритмов:
· ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
· ГОСТ 34.12-2018 «Информационная технология. Криптографическая защита информации. Блочные шифры»;
· ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
5. Содержать сервис управления драйвером шифрования IP-пакетов, обеспечивающий функционирование узла в защищенной сети.
6. Обеспечивать настройки параметров доступа к VPN-узлам и аудита событий.
7. Содержать сервис, осуществляющий первичную установку справочно-ключевой информации, сформированной в ПК управления VPN-сетью.
8. Обеспечивать возможность обновления ключевой и справочной информации, а также программного обеспечения VPN-клиента.
9. Наличие графического интерфейса для управления режимами работы VPN-клиента.
Вместе с оборудованием поставляется серверное ПО и аппаратные средства, необходимые для его функционирования системы.
Более детально работа системы описана в этом документе: