英国在监控摄像机安全中占领世界领先
英国和威尔士的监控摄像机专员已发布对监控摄像机系统和组件制造商的最低要求,以确保其产品通过设计安全,默认是为了提高英国对网络攻击的恢复力,但野心是积极影响通过筹集世界各地的酒吧,超越英国。
“我希望我们能够从业界的要求获得良好的回应,”托尼波特,监控摄像机专员说。
“被抛弃的是”入门级“所以,大多数制造商应该能够在同时提高标准的同时相当容易地实现这些要求。将有未来的迭代将使酒吧更高,“他每周告诉电脑。
近年来,对系统的几个高轮廓妥协强调了改进制造标准的需求,这表明CCTV系统由于安全配置差而被留下即可实现现场和互联网。
特别是,2016年10月在全球范围内的Mirai Botnet启用的分布式拒绝服务(DDOS)攻击,也表明,根本原因是设计和制造标准差。
“Mirai利用了许多糟糕的制造元素,包括使用默认用户名和密码,在某些情况下,在某些情况下硬编码到固件中,以及使用不安全和无日期连接协议,”Cyike Gillespie,网络安全顾问到监控摄像机专员(SCC)和信息安全和物理安全咨询咨询总经理,由CCTV经销商Norbain的Buzz Coate,Buzz Coate,CCTV经销商Norbain的业务发展经理带领安全。
“许多视频监控系统[VSS]今天被制造为即插即用以使安装轻松,但这并不总是等同于安全安装。默认要求的安全旨在减少框中拥有这些漏洞的VSS产品的可能性,而这反过来将减少安装人员在设置期间犯错误的机会,“他告诉计算机。
在什么意义上询问,最低要求的集合将提高英国对Cyber威胁的影响,如Mirai,Gillespie表示,监控摄像机专员的主要汇款是英国有关当局的监管机构,因此最低要求旨在提高网络标准在这些组织中的恢复能力。
询问这将如何在国际上效果,吉列斯表示,虽然要求将初步适用于英国正在采购的系统,但是与SCC一起制定这些要求的五大监控相机制造商是全球公司。“这当然会有国际影响,”他说。
任何监控摄像机制造商也可以通过完成和提交自我评估文件来申请SCC“安全”认证标记。
“任何制造商都没有要求遵守这些要求,但对于任何希望索取SCC认证标志的制造商来说,要求是强制性的。
“英国有关当局将被鼓励进展仅采购SCC认证产品,并希望其他组织将寻求同样的方式,这将创造市场需求,”Gillespie表示,从市场表明,早期迹象表明许多提供进入英国市场的制造商热衷于参与这一倡议。
监视摄像机制造商,帮助提高最低要求:轴,博世,汉堡,远丘和里程碑系统,并都承诺实现了SCC认证标志。
“首先使这个计划如此激动人心的事情之一,这尚未从市场上孤立而产生,而是由制造商为SCC具有监督和指导的制造商,”Gillespie说。
在官方发布要求时,搬运工称赞这五家公司参与其商业利益,以合作要求文件。“他们认识到,较大的兴趣是对网络安全的统一方法,”他说。
代表英国警方在发布会上,帕特里克·麦克雷蒂,西米德兰兹地区有组织犯罪单位的Cyber犯罪官员赞同监测相机专员的方法。“默认保护可以大大协助减少网络罪犯的机会剥削,”他说。
但在英国外面,组织购买具有英国认证的产品的奖励是什么?
根据搬运工,SCC认证标志旨在向所有购买或安装制造商都有能力的监控摄像机的所有人展示,并且产品提供了良好的网络保护水平。“大动力是他们会知道他们购买的产品已经在网络安全方面已经满足了最低要求。所以,它使黑客妥协地让他们更加困难,“他每周告诉电脑。
鉴于认证将根据对该规定的自我评估授予的,如何信任证书标志?
据搬运工,他的团队将审查自我评估表格,以防止行业的指导和发行认证,而不能够进行全面核查。
“但是,如果发现申请的索赔被发现在发布标记之后是错误的,那么它将从制造商已经认证的所有产品中撤出,”他告诉计算机每周告诉计算机,增加了SCC将保留一个自我列表SCC网站上的经认证的产品和制造商。
借助默认要求,在安全的官方推出中发言,波特表示,这将不会符合任何制造商的商业利益,以对其产品的安全性做出虚假索赔。“这种谎言的暴露将是商业致命的,”他说。
搬运工还强调,发布一组要求并为他们提供自我认证过程仅仅是开始。
默认情况下,有意图介绍安全的安全要求,这将进一步提升杆。
“很可能这些都需要独立的第三方核查索赔,最终要求CPNI [国家基础设施保护中心] CAPSS [物理安全系统的网络保证]认证。他说,这些增加的要求将提供更大的信心,并且预计将需要在更敏感或更安全的网站上部署VSS。“
目的是在一年内迁移到高架的认证,并且及时,希望所有监控摄像机和系统组件都可以通过设计和默认进行安全。但是已经使用的大量相机呢?
Gillespie承认这是一个问题,一些遗留系统将永远不会遵守所有要求,但表示,组织将能够评估其现有系统,以防止这些要求,并在此过程中,风险评估它们。
“如果制造商的任何软件或固件更新,则可能会使某些要求(例如更改默认密码和保护系统)将无法远程可发现或禁用过日期和易受攻击的协议。
“如果负责制造商提供固件更新,但是未被用户应用,那么预计这些要求将鼓励用户现在应用进一步提高网络弹性的更新,”他说。
“如果系统易受攻击,则无法改装解决方案,那么它可能可以使用其他IT安全对策来帮助保护系统。随着组织经过技术刷新,那么这些遗产漏洞将开始消失,因为它们被默认产品替换为安全。“
展望未来,Porter表示,由于监控摄像机日的一部分,IFSEC的默认要求推出了安全的默认要求,这只是意识建设的开始。
“我将写信给制造商,鼓励他们自我认证他们的产品并在我的网站上维护一个清单。谈到制造商和行业专家我明白这是长期逾期和世界第一 - 我期待口口和产业竞争的话,导致良好的采伐这些要求。“
监控摄像机专员亦呼吁行业与其办公室借助默认要求与其办公室聘用,并提供反馈帮助移动进程前进。
搬运工借助违约计划在安全的情况下向本办公室介绍了本办公室后,官方发布了一天。“我们相信这是一个全球性的第一,我一直在向家庭办公室向其影响和进口介绍,”他说。“毋庸置疑,信息没有丢失。”