סטוקר העתיד: כשהסייבר צופה עליכם ללא ידיעתכם

אירועי אבטחת מידע וסייבר עלולים להתרחש גם באמצעות מצלמות אבטחה ורכיבי אינטרנט של הדברים אחרים, וכתוצאה מכך, נושא אבטחת המידע במערכות ביטחון ובמערכות וידיאו עולה יותר ויותר לדיון.

על פי רוב, דיון זה נוטה להתרכז בפוטנציאל הנזק הנשקף למערכות המידע של הארגון ובאיומים של חדירה באמצעות מערכת המצלמות לבסיסי נתונים ולמערכות הליבה הארגוניות. אמנם אין להקל ראש באיומים אלה, אבל יש לתת את הדעת גם על איומים הנשקפים למערכת הווידיאו עצמה ולנתונים הנאגרים בה.

לכן, כאשר מתכננים מדיניות הגנה על מערכות הווידיאו, צריך לקחת בחשבון מספר איומים:

● חדירה דרך רשת המצלמות למערכות הארגוניות – זהו האיום אליו נהוג בדרך כלל להתייחס כמשמעותי ביותר. הכוונה בעיקר לסיכון של גניבת מידע עסקי מתוך בסיסי הנתונים של הארגון. בהקשר זה קיים גם סיכון של שימוש בתשתית המצלמות והחיישנים לביצוע התקפות DDOS תוך-ארגוניות או על צד ג', שימוש במצלמות לגניבת קניין רוחני או השתלת קוד עוין (SCRIPT) לשימוש התוקף.

● השבתה או מניעת גישה למערכת – באמצעות פריצה למערכת, ניתן למנוע גישה ולהשבית את פעולת המצלמות המשמשות לאבטחה של מתקנים, אנשים או נכסים. לאחרונה דווח על מספר מקרים ברחבי העולם, בהם גורמים עוינים השתלטו על מצלמות, הפסיקו את פעולתן והחליפו את סיסמאות הגישה אליהן. לעתים נעשה הדבר כהתקפת כופרה – ואז הגישה למערכת מוחזרת לבעליה בתנאי שישלם סכום כסף נאה. בפעמים אחרות הדבר נעשה על מנת לשבש את יכולות האבטחה וליצור שעת כושר לפריצה פיזית לנכסי ארגון.

● שינוי תעבורת הווידאו החי – מצלמה או מערכת מצלמות בלתי מאובטחת יכולה לשמש כלי בידי גורם זר, אשר מסוגל לבצע שינוי בזרם הווידיאו החי ללא ידיעת מפעיל המערכת, ולמעשה "יעוור" את עיניו.

● שיבוש או מחיקת הקלטות – על מנת שהקלטה תשמש ראייה בבית המשפט בעת הצורך, יש לוודא שלא ניתן לגשת באופן בלתי מורשה למערכת ולשבש או למחוק אותה. הוכחת אותנטיות ההקלטה היא תנאי בל יעבור לקבילותה של ראייה.

● צפייה בלתי מורשית – גורם זר, אשר יצליח להתחבר למצלמה או מערכת מצלמות ויצפה בחומרים המצולמים, יחדור בכך לפרטיותם של האנשים המצולמים ויוכל לקבל מידע מודיעיני אודות שגרת היום, נהלי העבודה, מידע עסקי ופגיעויות פיזיות פוטנציאליות. במידע זה, הוא יוכל לעשות שימוש לצרכי פריצה, גניבה ואף איום על חיי אדם זה או אחר.

מבחינה טכנית, ניתן לממש כל אחד מהאיומים הנ"ל בדרכים הבאות: דרך אחת היא נוזקה (malware) שמטרתה השגת שליטה במערכת. מדובר בקוד תוכנה אשר מוחדר למערכת על ידי טעינה של עדכון תוכנה מזויף, שמירה של קבצים הכוללים וירוסים או תולעים למערכת ההקלטה וכיו"ב. בניגוד לתשתיות מחשוב מורכבות אין צורך בסביבה זו באיתור של חולשת Zero day וניתן להשתמש בתשתית עצמה ו/או בקבצי קוד פשוטים (Scripts) לפגיעה בתשתית.

דרך שנייה היא איום פנימי, כלומר שימוש לרעה בהרשאות. לדוגמה, עובד ממורמר לשעבר שלא בוטלו הרשאותיו או גורם כלשהו שלידיו הגיעו נתוני ההזדהות של משתמש מורשה.

דרך שלישית היא גניבה פיזית או אובדן של כרטיס SD, דיסק קשיח, שמכיל הקלטות או מצלמה. דרך נוספת היא התקפת ערוץ צדדי, כלומר תקיפה קריפטוגרפית המבוססת על אלמנטים כמו צריכת אנרגיה או דליפה אלקטרומגנטית לשם השגת מידע כמו סיסמאות גישה או לשם הזרקת שגיאות.

יש לזכור כי ההתגוננות מפני איומי סייבר היא תהליך ולא אירוע חד-פעמי. במסגרת תהליך זה חשוב לייצר גם תרבות ארגונית תומכת וגם תפיסה סדורה המגובה באמצעים הטכנולוגיים המתאימים והמתקדמים ביותר.

הכותבים הינם מנהלת טכנולוגיות בלדיקו בטיחות וביטחון וסמנכ"ל טכנולוגיות, סייבר  ו-CTO ב-תים.