Nel 2023 non è più pensabile approcciarsi in maniera superficiale a impianti e apparati connessi a internet. Un installatore di sicurezza deve quindi provvedere a difendere i sistemi di videocontrollo dai pericoli del cyber crime e dalle minacce informatiche.
Una storica associazione americana senza scopo di lucro e massima autorità in materia di certificazioni di cybersecurity, all’interno dei propri programmi formativi dedica intere lezioni al tema della messa in sicurezza degli impianti speciali connessi alla rete. Sia nel corso per il conseguimento della certificazione Security+, sia nella formazione di livello più avanzato (certificazione CySA+), lo studente dev’essere istruito su quali siano le misure necessarie per mantenere “informaticamente sicure” le infrastrutture digitali di un’azienda, inclusi impianti quali quelli di controllo accessi, antintrusione e videosorveglianza.
Impianti TVCC: vulnerabili alle minacce
La scelta di investire in questo tipo di formazione, per un’autorità assoluta in materia, dovrebbe far riflettere: troppo spesso un sistema di videocontrollo viene considerato alla stessa stregua di un apparato di poco conto. Non è così. Un sistema di videosorveglianza (telecamere, registratori, server, switch e apparati Wi-Fi) è un’infrastruttura di rete connessa a Internet: in quanto tale, va protetto adeguatamente dalle minacce informatiche.
A differenza di un PC Windows, un portatile MacBook o un computer con sistema operativo Linux – che ricevono regolarmente aggiornamenti da parte degli sviluppatori, così da chiudere eventuali falle nella sicurezza – un sistema di videocontrollo può venire abbandonato a se stesso per anni; è quindi normale che, con il passare del tempo, si trovi sempre più esposto a pericoli e vulnerabilità, senza ricevere patch per fare fronte alle minacce. Non bisogna poi dimenticare quanto sia difficile, per installatori e clienti finali, entrare nella mentalità di organizzare un piano di manutenzione programmata per la gestione degli aggiornamenti; a questo si aggiungono altri fattori (come l’obsolescenza dei dispositivi) che incrementano il livello di vulnerabilità degli impianti.
Come proteggersi
Occorre “ blindare” ogni impianto di videosorveglianza (anche il più umile), osservando piccoli ma utili accorgimenti votati a mitigare il rischio di attacco.
GESTIONE DELLE PASSWORD
Tanti, troppi impianti vengono esposti sul web senza che le password di default siano state modificate. Utilizzare chiavi sicure e robuste è una misura minima di sicurezza applicabile da chiunque, che richiede solo un po’ di buonsenso. Se l’apparato lo consente, è inoltre consigliabile disabilitare il profilo “admin” (utente di default di qualsiasi sistema di videosorveglianza) e creare un amministratore con un nome diverso, così da evitare di essere colpiti da eventuali attacchi rivolti contro l’utente generico.
GESTIONE DEI PRIVILEGI
Come avviene nel caso di qualunque altro sistema operativo, anche per gli impianti di sicurezza bisognerebbe sempre seguire il dettame di CompTIA: ogni utente deve avere i privilegi minimi per fare quanto gli compete, e nulla di più. È assolutamente sbagliato assegnare utenze con privilegi di amministrazione a persone che devono semplicemente visualizzare le registrazioni o il feed live di un sistema di videocontrollo.
Bisogna infatti tenere sempre presente che la maggior parte degli attacchi informatici non viene provocata da prodigiosi e talentuosi ragazzi che digitano comandi su una tastiera, ma nasce (molto più banalmente) da errori e disattenzioni degli utenti finali. Minore è il numero delle persone che godono dei privilegi di accesso completo a un sistema, minore è il rischio che quel sistema venga violato.
GESTIONE DELL’ACCESSO
A eccezione degli impianti destinati a banche, infrastrutture pubbliche e militari e pochi altri utenti, il principale vettore di collegamento a Internet dei sistemi di videosorveglianza è il cloud fornito dal costruttore. L’applicazione di tale sistema (innegabilmente comodo) equivale però a delegare un perfetto estraneo (che peraltro non deve chiedere alcun permesso) a entrare e uscire dalla rete cui è collegato l’impianto di videosorveglianza.
Quindi, nel caso in cui il produttore sia vittima di un attacco informatico, la minaccia potrebbe propagarsi senza controllo anche in ognuna delle reti collegate via cloud. Rispetto a una tale eventualità, l’esposizione del sistema di videosorveglianza su IP pubblico (tramite la procedura di port forwarding) rappresenta sicuramente un modo migliore di procedere, ma anche questa soluzione non è esente da rischi. Come indicato dall’uso della parola “pubblico”, chiunque può trovare l’impianto: quando si esegue un’esposizione su un IP pubblico, si consiglia quindi di limitare il numero di porte aperte allo stretto necessario per il funzionamento di app o software, evitando di lasciare i sistemi di registrazione esposti su tutto il range (da 0 a 65535).
L’unico modo di procedere davvero sicuro è l’accesso al sistema di videosorveglianza tramite VPN, che consente di avere a disposizione tutte le risorse, lavorando con la stessa sicurezza che si avrebbe trovandosi fisicamente nel luogo di installazione; non è quindi necessario lasciare alcunché esposto sul web. Si tratta di una soluzione che comporta uno scalino di difficoltà aggiuntivo nella gestione per l’utente finale (e richiede competenze informatiche elevate da parte dell’installatore), ma garantisce sicurezza e affidabilità sul lungo periodo.