Работа над кибербезопасностью Интернета вещей в Dahua

Компания Dahua Technology, инвестирующая ежегодно около 10% годовой выручки в исследования и разработки (R&D), куда входит и кибербезопасность, считает, что Интеллектуальный Интернет вещей (AIoT), развивающийся стремительными темпами, должен иметь общий технический стандарт.

Согласно отчету MarketsandMarkets, объем мирового рынка безопасности Интернета вещей, оцененный в 12,5 млрд долларов США по результатам 2020 года, к 2025 году покажет цифру в 36,6 млрд долларов США. Среднегодовой темп роста при этом составит (CAGR) 23,9%. Это говорит о мощном развитии IoT и подключении к нему все большего количества новых устройств, будь то компьютер или сетевая камера видеонаблюдения для обеспечения безопасности. IoT все глубже проникает в транспортную сферу, промышленность, строительные решения и домовладения.

Отсутствие глобальных технических стандартов, считают в Dahua, снижает безопасность в сети IoT из-за неэффективного управления данными и недостаточного взаимодействия. Поскольку количество подключенных умных устройств растет, и на камерах и видеорегистраторах хранится большой объём критически важной информации, кибератаки могут нанести большой ущерб таким отраслям, как здравоохранение, транспорт, банки и финансовый сектор и критически важной инфраструктуре.

Решение вопроса кибербезопасности в Dahua

Со своей стороны Dahua уделяет вопросу кибербезопасности своих продуктов огромное внимание, инвестируя в это значительную часть годовой прибыли и создав команду примерно из 100 профессионалов. Проблемы кибербезопасности решаются компанией комплексно. Построена целая структура, отвечающая за этот вопрос, куда входит комитет по кибербезопасности (руководящий орган), группа соответствия требованиям и защиты данных, институт по кибербезопасности и группа реагирования на уже произошедшие с продуктами Dahua инциденты. Комитет, при необходимости, может задействовать ресурсы всей компании, начиная от центра исследований и разработок до юридического отдела, а за создание процесса Жизненный цикл безопасной разработки (Security Development Lifecycle, sSDLC) и внедрения его в продукты Dahua для обеспечения их устойчивости к кибератакам, отвечает институт.

Институт использует целый набор программных инструментов для повышения безопасности продукта, которые используются на этапе проектирования – для улучшения моделирования угроз, на этапе реализации безопасности – для статического анализа кода. Далее следует тестирование продукта, где используется свыше 20 программных инструментов – для множественного тестирования в 7 областях. Далее следует профессиональное тестирование на возможность взлома устройства. Данная процедура соответствует стандарту ISO 30111&290147 и стандарту MITRE, которые используются в процессе управления уязвимостями после продажи продукта.

Для улучшения выявления уязвимостей Dahua создала Центр кибербезопасности Dahua (DHCC), производящий отчеты об уязвимостях и создающий объявления и уведомления для огромной клиентской базы компании. Входящая в Центр Группа реагирования на инциденты, связанные с безопасностью продукта, отвечает за прием заявок об уязвимостях, их обработку и за раскрытие уязвимостей безопасности. Сотрудники Группы дежурят круглосуточно 7 дней в неделю.

В Dahua уделяется большое внимание и защите личных данных и конфиденциальности. Стандарт защиты персональных данных и конфиденциальности Dahua был разработан на основе Общего регламента защиты данных ЕС (GDPR), рекомендаций Европейского совета по защите данных (EDPB) и стандарта ETSI EN 303645, устанавливающего кибербезопасность для потребительского Интернета вещей. Стандарт Dahua предусматривает, что деидентификация, шифрование данных и систематический контроль доступа, а также настройки, обеспечивающие конфиденциальность, полностью адаптированы к полному жизненному циклу данных - от сбора, передачи, хранения до совместного использования, копирования и удаления.

Кроме того, Dahua получила сертификат на IoT продукты защищенной конфиденциальности и сертификат ETSI, выданный TÜV Rheinland, прошла сертификацию по стандартам ISO 27018 и ISO 27701 в BSI. Сертификация в таких всемирно признанных институциях подтверждает способность Dahua управлять личной информацией и соответствовать требованиям к соблюдению конфиденциальности по всему миру.

Dahua при производстве продуктов безопасности придерживается всемирно известных принципов Security by Design и Security by Default (Безопасность от разработки и Безопасность по умолчанию).

Компания создала центр безопасности продукта, задачей которого является помощь пользователям в правильной конфигурации безопасности в зависимости от сценария использования конкретного продукта Dahua. Сюда входит настройка закрытия лиц, закрытие другой информации, зон маскировки, шифрование видеоданных, управление сертификатами, ключами, защита от кибератак и пр.