סיכוני סייבר במערכות אבטחה והצורך הקריטי באבטחת תשתיות וידאו

סיכוני סייבר במערכות אבטחה והצורך הקריטי באבטחת תשתיות וידאו

טכנולוגיות האבטחה הפכו למקושרות וחכמות יותר, אך יחד עם תחכום זה – מתגבר גם הסיכון מהתקפות סייבר על מערכות אלו וכל מצלמה או התקן IoT המחוברים לרשת, עשויים לשמש כשער הקורא לפורץ. על נושא בוער זה בראיון שקיימנו עם רוב ינסנס, מנהל תחום אבטחת הסייבר לאזור EMEA בחברת Hikvision.

מאת: עירד גיל וחן יודלביץ

טכנולוגיות האבטחה הפכו למקושרות וחכמות יותר, אך קישוריות אלו מגבירות את הסכנה מהתקפות סייבר. סכנה זו הפכה בשנים האחרונות לאחד הנושאים הבוערים ביותר בתחום. בתחילת יוני הגיע לישראל לסדרת סדנאות ומפגשים רוב ינסנס, מנהל תחום אבטחת הסייבר לאזור EMEA בחברת   Hikvision , אחד מהמומחים הגדולים היום בעולם לתחום זה שניאות להעניק לנו ראיון זה.

נוף איומים מורכב

"אבטחת סייבר במערכות אבטחה אינה מסתכמת בהגנה על המוצר עצמו, אלא בהגנה על כלל המערכת האקולוגית", מסביר רוב. "שרשרת האספקה של כל מערכת אבטחה כוללת יועצים, אינטגרטורים, מתקינים ומשתמשי קצה ולכל אחד מהם אחריות בשמירה על 'היגיינת סייבר'."

לדבריו, אחד הסיכונים המרכזיים נובע מהטמעה לקויה של מערכות: "המערכות של Hikvision כוללות מאפייני אבטחה מתקדמים, אך אם האינטגרטור לא יעדכן גרסאות או יותיר הגדרות לא מאובטחות, כמו פתיחת פורטים, ייווצרו פגיעויות למערכת."

הפרדה בין מיתוס למציאות

רוב מדגיש את ההבחנה בין בעיות סייבר אמיתיות לבין מחלוקות המבוססות על תפיסה שגויה ונכון לגעת בסוגייה רגישה מאין כמותה לחברה אותה הוא מייצג. "בשנים האחרונות שורבב שמה של חברת  Hikvision  בהקשר ל- NDAA האמריקאי כאשר התובנה הכללית הייתה שישנה בעיית סייבר כללית לציוד ומערכות של החברה ואי לכך יש מניעה מהתקנות מערכות של החברה. עם זאת, וכפי שמבהיר רוב: "הNDAA- הוא, בראש ובראשונה, לא תקן סייבר. מדובר במסמך פנים אמריקאי המנחה אנשי רכש בגופים פדרליים בארה״ב והוא אינו רלוונטי לגבי גופים שאינם פדרלים בתוך ארה"ב – לא ברמה המדינתית או העירונית, ובוודאי שלא לישראל או למדינות אחרות בעולם."

תקנים והסמכות גלובליים

חברתHikvision  שהינה היצרן הגדול בעולם של מערכות צילום המודע היטב לרוח הנושבת ו"לסימון" של יצרנים סינים כלא לגיטימיים, עושה כל שביכולה על מנת לעמוד בכל תקן אבטחת מידע ברמה הגלובאלית. כחלק מההיערכות לרגולציות משתנות, אימצה החברה שורה של מסגרות אבטחת מידע מהמובילות בעולם. בין היתר, מחזיקה החברה בתקני ISO 27001, ISO 27701, CSA STAR ETSI EN 303645  למכשירי IoT , וכן בתקן החדשני ISO 42001 :תקן ראשון מסוגו לממשל תבוני .(AI Governance) החברה גם שותפה רשמית במנגנון הדיווח הגלובלי לפגיעויות (CNA) כחלק ממחויבותה לעולם הסייבר. "ניתן לומר בוודאות שאין בעולם חברה שעומדת בכל התקנים בהם נבדקו ואושרו הפתרונות של חברת Hikvision.

אבטחת שכבת המידע

שאלה קריטית לכל מנהל אבטחה היא כיצד להבטיח העברת מידע בטוחה בין מצלמות ליחידות הקלטה (NVR). תשובתו של רוב הינה חד-משמעית Hikvision" :פועלת לפי עקרונות של ‘security-by-design’  ו 'shift-left’  כאשר יותר מ-50 מנגנוני אבטחה משולבים כבר בשלב הפיתוח, וביניהם, בין היתר: חומרה מוגנת מפני חבלה, בקרות גישה מבוססות תפקידים, תקשורת מוצפנת, חומות אש מובנות ומנגנוני תיעוד ובקרה. רוב מבקש להדגיש "כי לחברה אין גישה לנתוני הווידאו של הלקוחות – אין לחברה אפשרות לגשת למידע המאוחסן או מועבר על ידי המשתמש הסופי".

בינה מלאכותית, זיהוי פריצות ואיומי הדור הבא

כשהבינה המלאכותית הופכת לנפוצה, גם בצד ההגנה וגם בצד התוקפים, יש צורך באסטרטגיית סייבר מתקדמת. "חברת היקוויז'ן משלבת AI כחלק מהחומרה, הן לשיפור היכולת המבצעית והן כחלק מהפתרון לאבטחת המידע.

רוב מדגיש את החשיבות העצומה לשילוב מערכות לזיהוי חדירות (IDS) ברשתות מורכבות והוא ממליץ על פתרונות כגון Rapid7 Insight, Tenable Nessus או מערכות מקומיות."

במסגרת ההשקעה הגוברת בתחום הסייבר למוצריIoT , החלה החברה לשתף פעולה עם "סיטדל סייבר סקיוריטי" – חברה ישראלית המתמחה בבדיקת פגיעויות. סיטדל ביצעה סקירה ראשונית של מערכות האבטחה של החברה, כולל בדיקת חולשות מוכרות והגדרות מערכת. המבחנים בוצעו בסביבה מבוקרת וכללו ניתוח ידני של מגוון ממשקי התקנים. התוצאות היו חיוביות מאוד, ואישרו שהמערכות עומדות בתקני האבטחה הגבוהים ביותר ועברו את כל הבדיקות הקריטיות בהצלחה.

עשרת הדיברות להיגיינת סייבר

רוב מציג רשימת עקרונות שכל איש אבטחה צריך ליישם:

  1. עדכון קבוע של קושחה ותוכנה
  2. יישום מדיניות סיסמאות חזקות
  3. שימוש באימות דו-שלבי (MFA)
  4. הפרדת רשתות – מערכות וידאו בנפרד ממערכות משרדיות
  5. אימוץ עקרון "Zero Trust" – אין אמון בברירת מחדל
  6. שימוש בחומות אש, סורקי פגיעויות ומערכות  IDS
  7. הגבלת גישה לפי עקרון המידתיות
  8. ניטור תעבורת מידע ופעילות IP חשודה
  9. הכשרת צוותים נגד דיוג והנדסה חברתית
  10. דיווח על תקריות בערוצים מוסמכים

לסיכום, מבקש רוב להדגיש: "בעולם שבו האבטחה הפיזית חזקה רק בהלימה להגנה הדיגיטלית שלה – אבטחת סייבר חייבת להיות בסיס, ולא תוספת. בין אם אתם אחראים על מגדל משרדים, מרכז מסחרי או אתר רגיש של הממשלה – הגנה על תשתית הווידאו מפני מתקפות סייבר כבר אינה רשות. זו חובה.

למידע נוסף על תקני אבטחה, נהלים ומסמכי מוכנות של Hikvision – בקרו באתר החברה או פנו למפיצים מוסמכים.

 

x
סייען נגישות
הגדלת גופן
הקטנת גופן
גופן קריא
גווני אפור
גווני מונוכרום
איפוס צבעים
הקטנת תצוגה
הגדלת תצוגה
איפוס תצוגה

אתר מונגש

אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.

סייגי נגישות

למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר

רכיב נגישות

באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.