Video Yönetim Sistemi için Siber Güvenlik: Siber güvenlik, endüstriyel sektörde giderek daha önemli hale geldi ve video gözetim sistemi de bir istisna değil. Güvenliği ihlal edilmiş bir Video Gözetim Sistemi, hassas verilere yetkisiz erişim, veri kaybı, operasyonların kesintiye uğraması ve hatta personel veya ekipmanda fiziksel hasara neden olabilir.
Bunun, kritik altyapıdaki herhangi bir kesintinin veya hasarın önemli mali kayıplara yol açabileceği ve kamu güvenliği için tehdit oluşturabileceği endüstriyel ortamlarda ciddi sonuçları olabilir.
Sertifikalı kamera, ağ ekipmanı ve sunucuları ve depolamayı seçme konusundaki farkındalık artarken, Video Yönetim Yazılımının (VMS) izlediği sertifika ve uyumluluk standartları da göz ardı edilemez. Video Yönetim Sistemi için Siber Güvenlik giderek daha önemli hale geldi.
VMS yazılımı, güvenlik sistemlerinin kritik bir bileşenidir ve bir kuruluştaki kameralardan gelen video beslemelerini yönetme ve izleme yeteneği sağlar. Bununla birlikte, VMS yazılımı, genellikle internete veya diğer ağlara bağlı olduğundan siber saldırılara karşı da savunmasızdır ve bu da onu bilgisayar korsanları için potansiyel bir hedef haline getirir.
Bir VMS’yi tehlikeye atan bilinen bir saldırı örneği, Norveçli bir alüminyum şirketi olan Norsk Hydro’ya yönelik 2019 siber saldırısıdır. Fidye yazılımı kullanan bilgisayar korsanları tarafından gerçekleştirilen saldırı, şirketin VMS’sini etkileyerek başarısız olmasına ve şirketin tesislerini izleyememesine neden oldu.
Bu saldırı, VMS yazılımının güvenlik açığını ve başarılı bir siber saldırının potansiyel etkisini vurgular. Petrol ve Gaz, Enerji, Ağır Üretim ve İlaç gibi sektörlerde, bir güvenlik ihlalinin sonuçları, üretim kesintileri, mali kayıplar ve potansiyel güvenlik riskleri dahil olmak üzere ciddi olabilir.
Sonuç olarak, bu endüstrilerin FIPS 140-2 gibi endüstri güvenlik standartlarıyla uyumlu güvenli VMS yazılımları kullanması önemlidir.
Bu, özellikle bir siber saldırının yıkıcı sonuçlara yol açabileceği Enerji, Petrol ve Gaz, Ağır Üretim, İlaç, Kamu Hizmetleri vb. gibi kritik altyapı sektörlerinde geçerlidir.
VMS yazılımı, bir video gözetim sisteminin merkezi bileşenidir ve video verilerini, kullanıcı erişimini ve diğer güvenlik özelliklerini yönetmekten sorumludur. VMS siber saldırılara karşı savunmasızsa, kameralar, depolama, sunucular ve ağlar ne kadar güvenli olursa olsun tüm sistemi tehlikeye atabilir.
Bu nedenle, FIPS 140-2 gibi ilgili siber güvenlik standartlarını karşıladığı onaylanan ve Video Yönetim Sistemi için en iyi siber güvenlik uygulamalarını takip eden bir VMS seçmek önemlidir.
Bu, video gözetim sisteminin mümkün olduğunca güvenli olmasını sağlamaya yardımcı olabilir ve bir güvenlik olayı durumunda güvenilir ve doğru veriler sağlayabilir.
FIPS nedir?
“Kriptografik Modüller için Güvenlik Gereksinimleri” veya FIPS (Federal Bilgi İşleme Standardı) 140-2 olarak bilinen standart, hangi şifreleme ve karma algoritmaların kullanılabileceğine ve ayrıca şifreleme anahtarlarının nasıl oluşturulup ele alınması gerektiğine ilişkin yönergeleri ortaya koymaktadır.
Bu gereksinimler, bir kriptografik modülün güvenliğini sağlamak için konur. Ancak, tek başına bu standarda bağlı kalmak, belirli bir modülün güvenliğini garanti etmez.
Bir kriptografik modülün yeterli güvenlik sunmasını ve korunan bilgiler için sahibinin standartlarını karşılamasını sağlama sorumluluğu, modülün operatörüne aittir. Ek olarak, kalan riskler tanınmalı ve kabul edilmelidir.
FIPS 140-2 uyumluluğu, VMS’nin enerji sektörü gibi hassas sektörlerde özellikle önemli olan yüksek bir güvenlik standardını karşılamasını sağlar. Kritik altyapıya yetkisiz erişimi önlemek ve enerji santrallerinin ve enerji tesislerinin güvenli ve güvenilir bir şekilde çalışmasını sağlamak için güvenli bir VMS gereklidir.
Akıllı şehirler için çözümlere odaklanan bir şirket olan Trisim Global Solutions’ın Kurucusu Sourish Dey, “Enerji sektörü gibi dikey sektörlerdeki birçok düzenleyici kurum, FIPS 140-2 dahil olmak üzere belirli güvenlik standartlarına uygunluk gerektirir. FIPS 140-2 uyumluluğunu zorunlu kılan madde, VMS’nin bu gereksinimleri karşılamasını ve müşterinin güvenlik ihtiyaçlarını karşılayabilmesini sağlar.”
Kuzey Amerika elektrik şebekesinin güvenilirliği ve güvenliği için zorunlu gereksinimler olan North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) standartları, kritik altyapıların kontrolünde ve korunmasında kullanılan kriptografik modüller için FIPS 140-2 ile uyumluluğu gerektirir. VMS’de kullanılanlar gibi siber varlıklar.
Başka bir örnek, enerji sektöründe kullanılanlar da dahil olmak üzere endüstriyel kontrol sistemleri için küresel bir siber güvenlik standardı olan Uluslararası Elektroteknik Komisyonu (IEC) 62443 standardıdır.
Standart, önerilen kriptografik kontrollerden biri olan FIPS 140-2 uyumluluğu ile güvenli iletişim protokolleri, erişim kontrolleri ve kriptografi için gereklilikleri içerir.
FIPS (Federal Bilgi İşleme Standardı) uyumlu Video Yönetim Yazılımı (VMS), siber saldırılara karşı yüksek düzeyde güvenlik ve koruma sağladığı için Petrol ve Gaz, Enerji, Ağır Üretim, İlaç ve diğerleri gibi sektörlerde zorunlu hale getirilmelidir. .
FIPS uyumlu Video Yönetim Yazılımı ne anlama geliyor?
Dünyanın önde gelen Video Yönetim Çözümleri sağlayıcısı olan Milestone’da İşletme Müdürü olan Arya Banerjee’ye göre, “FIPS uyumlu VMS’nin kullanımı Petrol ve Gaz, Enerji ve güvenlik ile güvenliğin kritik olduğu diğer sektörlerde çok önemlidir. Kuruluşlar, FIPS uyumlu VMS kullanarak, güvenlik sistemlerinin siber saldırılara karşı yüksek düzeyde koruma sağlayan güçlü şifreleme algoritmaları ve anahtar yönetimi kullandığından emin olabilir.”
- VMS, şifreleme, karma oluşturma ve diğer güvenlik işlevleri için FIPS 140-2 gereksinimlerini karşılayan onaylı bir şifreleme modülü kullanmalıdır.
- VMS, parola ilkeleri ve erişim kontrol mekanizmaları dahil olmak üzere kullanıcılar için güvenli bir kimlik doğrulama sürecine sahip olmalıdır.
- VMS, şifreleme ve şifre çözme için kullanılan kriptografik anahtarları oluşturmak ve korumak için güvenli bir anahtar yönetim sistemine sahip olmalıdır.
- VMS, VMS ile kameralar ve kayıt cihazları gibi güvenlik sisteminin diğer bileşenleri arasında güvenli iletişim kanalları sağlamalıdır.
- VMS, video görüntüleri, günlükler ve yapılandırma dosyaları dahil olmak üzere verileri depolamak ve aktarmak için güvenli mekanizmalara sahip olmalıdır.
- VMS, güvenlik olaylarını algılamak ve bunlara yanıt vermek için denetim günlükleri ve diğer izleme özellikleri sağlamalıdır.
- VMS, sistemin kurulumu, konfigürasyonu ve işletimi için belgelenmiş bir güvenlik politikasına ve prosedürlerine sahip olmalıdır.
- Bu gereksinimler, VMS’nin video gözetim verileri ve işlemleri için yüksek düzeyde güvenlik sağlayarak yetkisiz erişime, kurcalamaya ve diğer güvenlik tehditlerine karşı koruma sağlaması için tasarlanmıştır. Kuruluşlar, FIPS uyumlu bir VMS kullanarak, güvenlik sistemlerinin endüstri standardı güvenlik gereksinimlerini karşıladığından ve siber tehditlere karşı yüksek düzeyde koruma sağladığından emin olabilir.
Video Yönetim Yazılımı FIPS’e şikayet edilmezse ne olabilir?
Saldırgan, VMS yazılımındaki zayıf şifreleme algoritmaları veya zayıf anahtar yönetimi uygulamaları gibi FIPS uyumlu olmayan bir güvenlik açığından yararlanabilir.
VMS sunucusu ile kamera arasındaki veri iletimini yakalayabilir ve FIPS onaylı bir şifreleme algoritması kullanmadığından verilerin şifresini çözmek için bir ağ analizörü kullanabilirler. Bu, onlara video akışına erişim ve muhtemelen kameraların kontrolünü sağlayacaktır.
Saldırgan, VMS sunucu işletim sistemindeki veya yama uygulanmamış yazılımlar veya zayıf parolalar gibi diğer bileşenlerdeki bir güvenlik açığından da yararlanabilir.
Yetkili bir kullanıcıyı oturum açma kimlik bilgilerini ifşa etmesi için kandırmak için sosyal mühendislik tekniklerini kullanabilir veya zayıf parolaları tahmin etmek için kaba kuvvet yöntemlerini kullanabilirler. VMS sunucusuna erişim sağladıktan sonra, sistemi bozmak veya devre dışı bırakmak için hassas verileri sızdırabilir veya kötü amaçlı yazılım yerleştirebilirler.
Güvenlik duvarlarının mevcut olmasına rağmen, saldırgan güvenlik duvarı yazılımındaki bilinen güvenlik açıklarından yararlanmak veya yetkili bir kullanıcıyı güvenlik duvarını devre dışı bırakması veya bir bağlantı noktası açması için kandırmak üzere sosyal mühendislik tekniklerini kullanmak gibi çeşitli taktikleri kullanarak bunları atlayabilir.
Ek olarak, saldırgan, güvenlik duvarı kurallarını atlamak için etki alanı adı sistemi (DNS) tüneli oluşturma veya bağlantı noktası atlama gibi teknikleri kullanabilir.
Trixter Cyber Solutions Siber Güvenlik Danışmanı ve CEO’su Shaunak Mody, “FIPS uyumluluğu, güvenlik için kabul görmüş bir standart sağladığı ve siber tehditlerle ilişkili risklerin azaltılmasına yardımcı olabileceği için video gözetim projeleri için önemli bir husustur. Kamu hizmetleri ve endüstriler, FIPS uyumlu bir VMS kullanarak video gözetim sistemlerinin endüstri standartlarını ve düzenlemelerini karşılamasını sağlarken aynı zamanda kritik altyapıları için yüksek düzeyde güvenlik sağlar. Milestone, Genetec, Avigilon, Bosch, Pelco gibi birçok OEM’in uyum sağlamasıyla birlikte, FIPS uyumluluğu yakında endüstri standardı olacak.”