Първата седмица на февруари постави на дневен ред един изключително тревожен въпрос – изтичане на видеозаписи от козметични студия и гинекологични кабинети в различни градове в България. Случаят предизвика обществено възмущение, но и разкри далеч по-дълбок проблем: масовото подценяване на сигурността на свързаните устройства и начина, по който се управляват чувствителни лични данни.
В Тази събота и неделя по bTV темата беше коментирана от Кирил Григоров – киберексперт, член на Българската асоциация по киберсигурност. Неговият анализ ясно показва, че проблемът не е в самото наличие на камери, а в начина, по който те се конфигурират, управляват и защитават.
Камерите не са проблемът. Липсата на отговорност е.
Много от засегнатите обекти твърдят, че камерите са били поставени с цел сигурност. Дори това да е вярно, остава основният въпрос: кой носи отговорност за данните, които тези устройства събират?
„Без значение за какво са използвани камерите, начинът, по който се управлява информацията, която извличат, е притеснителен“, подчертава Кирил Григоров. Всяко устройство, което записва видео и е свързано с интернет, събира лични данни и попада под защитата на законодателството за защита на личните данни.
Евтини или скъпи – всички устройства са уязвими
Широко разпространено е погрешното схващане, че рискът идва само от евтини или „непознати“ марки камери. Реалността е различна. Повечето устройства – независимо от цената – работят на сходен принцип: свързват се към интернет, използват фабрично зададени потребителски имена и пароли и често съхраняват данни в облачни услуги на производителя.
Ако тези настройки не бъдат променени, камерата може да бъде достъпена изключително лесно. „Дори много скъпи устройства могат да бъдат компрометирани, ако не се поддържат и защитават правилно“, посочва Григоров.
Как хакерите намират камерите?
Един от най-притеснителните аспекти е, че хакерите не „гадят“ къде има камери. Съществуват публични търсачки за устройства, свързани към интернет, които позволяват да се види приблизителното им местоположение, марка и модел.
След като устройството бъде идентифицирано, следва простата стъпка – проверка дали фабричните данни за достъп са променени. Ако не са, достъпът е директен и пълен: в реално време, до записите и до управлението на самото устройство.
От видеозапис до пълен контрол над мрежата
Още по-тревожно е, че компрометираната камера често не е крайна цел, а входна точка. Веднъж получили достъп до вътрешната мрежа, атакуващите могат да достигнат до други системи – компютри, сървъри, имейли, вътрешна документация.
В практиката на етичното хакерство има немалко случаи, при които именно през камери и сензори се постига пълен достъп до корпоративни мрежи. „Имали сме ситуации, в които през камера получаваме достъп до цялото управление на една организация“, обяснява Григоров.
Къде отиват тези записи?
Разследванията показват, че изтеклите видеа често се разпространяват не в тъмната мрежа, а в затворени чуждестранни форуми. Там се публикуват огромни масиви от записи – от болници, съблекални, тоалетни и частни обекти. Това превръща личното пространство в търгуема стока и показва мащаба на проблема.
Законът съществува, но отговорността е споделена
Образът на човека е лична данна и е защитен от закона. Поставянето на стикер „обектът е под видеонаблюдение“ не освобождава собствениците от отговорността да защитават данните и да ограничат достъпа до тях.
С новия Закон за киберсигурност бизнесът получава ясна рамка за действие, но технологиите сами по себе си не са достатъчни. Необходима е култура на сигурност – както при организациите, така и при крайните потребители.
Какво може да направи всеки още днес?
Според Кирил Григоров първите стъпки са прости, но критично важни:
- Смяна на фабричните пароли на всички свързани устройства
- Редовно обновяване на софтуера
- Активиране на многофакторна автентикация, когато е възможно
- Осъзнаване, че всяко устройство с интернет достъп е потенциален риск
Заключение
Киберсигурността не е въпрос на страх, а на отговорност. Камерите, сензорите и „умните“ устройства улесняват живота ни, но без правилна защита те могат да се превърнат в най-слабата точка на всяка система.
Истинската защита започва не с покупката на ново устройство, а с информираното управление на вече съществуващите.
