Protegiendo la reputación de la industria de la videovigilancia
Uri Guterman, director de producto y marketing de Hanwha Techwin Europe
06/05/2021Uri Guterman, director de producto y marketing de Hanwha Techwin Europe, explica por qué cree firmemente que los elementos de protección con contraseña del estándar Secure by Default deberían ser un requisito fundamental de todos los sistemas de videovigilancia.
Pueden producirse con fines delictivos o maliciosos, o simplemente ser vistos como un desafío por piratas informáticos oportunistas. Cualquiera sea el motivo, los ciberataques son un problema importante que podría tener un impacto significativo en la reputación de la industria de la videovigilancia. Por esta razón, la publicidad reciente sobre un proveedor de soluciones de videoseguridad de primera línea, supuestamente adoptando una vaga actitud en términos de restringir quién puede tener acceso a informaciones confidenciales de los usuarios finales, debería servir como un recordatorio para las partes interesadas de la cadena de suministro de videovigilancia de que hay que trabajar conjuntamente para promover las mejores prácticas.
Secure by Default
Aunque la mayoría de las cámaras no se instalen con fines de misión crítica o de alta seguridad, hay innumerables empresas y organizaciones que confían en los sistemas de videovigilancia para ayudar a proteger activos, personas y propiedades. Al hacerlo, sus datos confidenciales se mantendrán a salvo de piratas informáticos, que es la razón principal por la que el Comisionado de cámaras de vigilancia del Reino Unido presentó el estándar Secure by Default en 2019.
Hanwha Techwin se enorgullece de estar entre los fabricantes que fueron invitados a participar en el desarrollo del estándar Secure by Default, que tiene el objetivo de garantizar que los productos de vigilancia de seguridad sean ciberseguros por defecto y listos para usar. El estándar establece lo que podemos hacer quienes estamos involucrados en la industria de la videoseguridad para respetar los derechos de privacidad del cliente, así como para cumplir con las regulaciones de protección de datos, como el RGPD.
Dicho de forma sencilla, el estándar guía a los fabricantes para que adopten un enfoque que haga de la protección contra los ciberataques una característica fundamental de una solución de videovigilancia que se tiene en cuenta al comienzo del proceso de diseño de una cámara y no solo se trata como una lista de funciones útiles.
Cinco elementos fundamentales de la protección mediante contraseña
Puede parecer sea obvio, pero tener protocolos sólidos de protección con contraseña es un buen punto de partida para establecer las mejores prácticas de ciberseguridad. Estos deben ser fáciles de implementar, siempre se debe contar con estándares mínimos obligatorios y aplicados automáticamente, como prohibir el uso consecutivo de la misma letra o número y fomentar la utilización de caracteres especiales, así como una combinación de letras y números. Siempre debe estar diseñado en el firmware del dispositivo. También es importante que los fabricantes no suministren productos con contraseñas débiles preconfiguradas donde no se requiera que el usuario haga cambios. Por lo general, se trata de contraseñas que tienen todas las mismas letras o números.
En particular, el estándar Secure by Default estipula las siguientes medidas:
- Los instaladores deben verse obligados a cambiar la contraseña predeterminada del fabricante al arrancar.
- Debe haber un indicador de seguridad o una función de «contraseña débil no aceptada».
- El dispositivo no debe tener cuentas de usuario ocultas.
- El dispositivo no debe tener contraseñas de cuenta codificadas.
- Los fabricantes no deben poder ayudar a los usuarios a recuperar contraseñas perdidas u olvidadas de dispositivos.
Aunque ningún fabricante puede ofrecer garantías del 100%, recomendamos a los consultores, diseñadores de sistemas e integradores de sistemas que trabajen solo con fabricantes que respalden los objetivos del estándar Secure by Default y puedan demostrar que comprenden completamente la importancia de conservar los datos de los clientes usuarios finales seguros haciendo todo lo posible para contrarrestar el riesgo de un ciberataque. Esto incluye a quienes han eliminado una 'puerta trasera' que podría haber sido creada originalmente para dar a los técnicos un fácil acceso al dispositivo, pero también deja abierta una puerta a los piratas informáticos.
Busque fabricantes que reconozcan la importancia de ser abiertos y honestos con los clientes cuando se identifican nuevas amenazas de ciberseguridad y que puedan actuar rápidamente para actualizar el firmware para combatir esas amenazas. En Hanwha Techwin nuestro equipo de respuesta de ingeniería informática de seguridad (S-CERT) está dedicado de forma exclusiva a abordar cualquier vulnerabilidad potencial de seguridad de nuestros productos y soluciones Wisenet. Los miembros del equipo han sido cuidadosamente seleccionados por su experiencia en la capacidad de identificar, analizar y responder rápidamente con contramedidas efectivas a cualquier amenaza de ciberseguridad.
Los fabricantes también deben utilizar agencias de verificación externas para evaluar sus productos frente a los últimos métodos de piratería, además de ofrecer formación a instaladores e integradores de sistemas que cubra la importancia de configurar la protección con contraseña como una parte esencial del proceso de puesta en servicio de las cámaras y dispositivos de grabación.
Resumen
La capacidad de innumerables empresas y organizaciones, así como propietarios de viviendas, para ver vídeos en directo o grabados desde cualquier PC conectado a la red o desde un teléfono móvil inteligente o una tablet, ha revolucionado la forma en que se supervisan propiedades o activos de forma remota. Sin embargo, también ha hecho que la protección de datos se convierta en un problema importante para el sector de la videovigilancia.
La buena noticia para los usuarios finales y todos aquellos involucrados en la cadena de suministro es que no faltan fabricantes profesionales y socialmente responsables cuyos productos cumplan con el estándar Secure by Default al estar diseñados teniendo en cuenta la protección de datos.