Sicurezza informatica nei sistemi di videosorveglianza

Per il professionista di oggi, installare impianti di videosorveglianza non è più un mero lavoro di cablaggio. Occorre avere ben presente che si tratta di strutture connesse alla rete e quindi prendere in considerazione tutti gli accorgimenti del caso.

Le notizie di siti web o anche infrastrutture informatiche statali colpite da attacchi hacker sono all’ordine del giorno. All’origine di questi eventi (a volte catastrofici) raramente si trova l’operato di un informatico geniale che si è inventato chissà quale sistema per forzare la sicurezza informa­tica dell’azienda. Molto più spesso, le origini di un attacco infor­matico risiedono nelle debolezze frutto dell’erro­re umano: password troppo semplici o di default, macchine esposte su Internet senza firewall, reti Wi-Fi lasciate prive di protezione.

Sicurezza informatica: importanti valutazioni da effettuare

Durante la realizzazione di un sistema di sicu­rezza, in particolar modo un sistema di video­sorveglianza, è quindi fondamentale che l’in­stallatore o system integrator tenga ben presente che un impianto è per prima cosa un “oggetto” connesso alla rete, che deve venire protetto an­che da qualsiasi minaccia di tipo informatico. Si devono dunque prendere in considerazione i diversi fattori necessari ad assicurare nel tempo il giusto livello di sicurezza.

Accesso agli impianti contingentato

Il primo livello di protezione da offrire a un si­stema di videosorveglianza non è quello infor­matico, ma quello fisico. Per quanto possa sem­brare banale, infatti, in presenza di registratori o server ubicati in un locale di libero accesso, le probabilità di azioni illecite e sabotaggi crescono verticalmente.

È per questo motivo che il NIST (National In­stitute of Standards and Technology), massima autorità a livello mondiale in materia di sicurez­za informatica, mette al primo posto del proprio decalogo di raccomandazioni per le aziende il contingentamento degli accessi fisici ai luoghi dove sono custoditi server e Nas. Solo dopo aver assicurato la sicurezza fisica del registratore (magari anche solo con l’utilizzo di un banale armadio metallico provvisto di chiavi), l’installa­tore può occuparsi della robustezza informatica del sistema.

Aggiornamento del firmware

Le minacce informatiche evolvono con grande rapidità e le soluzioni che oggi offrono una sicu­rezza adeguata domani possono risultare molto vulnerabili. È chiaro a tutti che nessun produttore si sogne­rebbe mai di rilasciare un nuovo sistema ope­rativo (per esempio, una versione di Windows) senza poi aggiornarlo per anni. Allo stesso modo, è impensabile ritenere che per un sistema di vi­deosorveglianza, che è un apparato connesso a Internet, la situazione sia diversa: il primo passo per assicurarne la sicurezza informatica, quindi, è controllare che il firmware installato sia aggiornato all’ultima versione, così da porre rimedio alle vulnerabilità di NVR o Ip Cam.

Troppo spesso, invece, gli impianti di videosorve­glianza vengono abbandonati senza contratto di manutenzione, un cattivo costume che può avere conseguenze anche gravi perché senza installare gli aggiornamenti rilasciati dai produttori il si­stema rimane esposto a eventuali vulnerabilità.

La gestione delle password di accesso

La password è il primo e più importante baluar­do che si frappone fra l’impianto di sicurezza e chi è intenzionato a sabotarlo: anche il più robu­sto dei firmware si ritrova imbelle se la chiave di sicurezza viene scelta con leggerezza.

Molti costruttori di videosorveglianza negli ulti­mi anni si sono mossi per obbligare l’installatore a scegliere password più sicure (che includano lettere, numeri e caratteri speciali), tuttavia occorre sempre evitare di custodirle in luoghi insicuri. Trovare una password complessa e poi annotarla su un file di Word o (addirittura!) su un post-it incollato al monitor del computer è l’e­quivalente informatico del nascondere la chiave della porta blindata sotto allo zerbino di casa.

Assolutamente da evitare è anche la prassi di creare per un NVR un unico utente (magari quello di amministrazione), la cui password viene condivisa con tutti gli utenti che hanno diritto di accesso all’impianto. Andando oltre il presupposto che il GDPR vieta questa consue­tudine, bisogna considerare che la mancanza di differenziazione degli accessi rende impossibile interpretare i log in caso di problemi. Inoltre, se una sola delle persone in possesso della password la smarrisse, la sicurezza dell’impianto sarebbe irrimediabilmente compromessa.

Per ciascun utente va creato un account con la relativa password, limitando i permessi di gestio­ne a quanto il singolo è realmente autorizzato a fare. Un esempio può essere la differenza di permessi tra il custode, che ha diritto di vedere solo le immagini dal vivo, e il proprietario del sistema, a cui viene data la possibilità di vedere anche le registrazioni.

Segmentazione degli accessi

Infine, dopo la messa in sicurezza, bisogna lavo­rare sul sistema per consentire un accesso sicuro all’impianto anche da remoto ed aumentare così la sicurezza informatica. Trattandosi di una risorsa disponibile online, è opportuno proteggere il sistema con un firewall ben configurato. Se si tratta di una macchina caricata su un IP pubblico, bisogna fare atten­zione anche a limitarne l’esposizione alle porte strettamente necessarie per il funzionamento da remoto; un altro suggerimento utile è quello di privilegiare, al momento della scelta del sistema, i costruttori che permettono di configurare una “white list” di indirizzi IP autorizzati, cui viene concesso il collegamento da remoto.

In ogni caso, se possibile, l’accesso più sicuro è sempre quello attraverso una VPN. Le reti private virtuali, se opportunamente configurate, per­mettono all’utente di accedere a qualsiasi risorsa remota con la stessa sicurezza garantita da un collegamento effettuato tramite la rete locale. I sistemi di videosorveglianza non fanno ecce­zione a questa regola: se il loro accesso remoto è subordinato a una VPN, il livello globale di sicurezza dell’impianto sarà molto maggiore.


Pubblicato

in

Tag:

Apri la chat
serve aiuto?
Ciao
ti posso essere di aiuto?