Recent am citit cu îngrijorare un articol intitulat “Critical Hikvision Flaw Exposes Entire Camera Networks to Remote Takeover” care descrie o vulnerabilitate majoră într-un sistem de supraveghere video. Fiind consultant de securitate cu experiență în securitatea fizică, acest subiect mi-a atras imediat atenția și am început să cercetez mai amănunțit informația din acest articol, mai ales că, în urmă cu o lună de zile, în articolul meu “Când „cel mai mic preț” pentru echipamentele de securitate costă cel mai mult…despre conformitate, riscuri și responsabilitate…” am atins deja acest subiect al vulnerabilităților din echipamentele de securitate necertificate conform legii.
Vulnerabilitatea descoperită în unele camere video de supraveghere a fost catalogată drept critică (scor de severitate aproape maxim) și permite atacatorilor să preia de la distanță controlul total al dispozitivelor, ba chiar al întregii rețele de camere video. Cu alte cuvinte, un hacker poate accesa fluxurile video, poate opri camerele sau le poate folosi ca punct de intrare către alte sisteme, totul fără a avea nevoie de vreo autentificare prealabilă.
Implicațiile: întreaga rețea de securitate video a unei organizații poate fi compromisă în câteva minute, fără ca cineva din interior să știe. Pentru mine, ca specialist, acesta este un scenariu de coșmar dar, din păcate, foarte real. Acest incident m-a făcut să reflectez din nou la cât de importante sunt conformitatea și calitatea echipamentelor de securitate, subiect despre care, așa cum am spus deja, am mai scris și în trecut.
Vulnerabilitatea Hikvision explicată pe înțelesul tuturor…
Ce s-a descoperit? O eroare gravă de software în multe modele de camere (peste 70 de modele) permite preluarea controlului de la distanță. Practic, un atacator poate obține acces de administrator (root) pe camera vulnerabilă. Asta înseamnă control deplin: poate vedea imaginile, poate modifica configurații, poate instala cod malițios și poate folosi camera ca punct de plecare pentru a compromite și alte dispozitive din rețea.
Cât de grav este? Experții folosesc un indice de gravitate numit CVSS (Common Vulnerability Scoring System) pentru vulnerabilități, iar această problemă a primit un scor de 9.8 din 10, adică aproape de maxim. Tradus pentru cei nefamiliarizați cu termenii tehnici: este genul de vulnerabilitate care necesită atenție imediată. Orice breșă cu scor atât de ridicat indică faptul că este ușor exploatabilă și are impact sever.
Cum ar putea profita un hacker? Dacă, camerele video sunt conectate la internet (direct sau prin rețeaua organizației) și nu au fost actualizate cu un patch de securitate, un răufăcător le poate găsi și accesa de oriunde din lume. Deja există cod public (exploits) și chiar botnet-uri care au început să caute automat aceste camere neactualizate. Consecințe: un astfel de atacator ar putea opri sistemul de supraveghere înainte de a comite o infracțiune, sau ar putea spiona prin camerele video pentru a aduna informații sensibile, iar acesta este un exemplu perfect de vulnerabilitate cibernetică ce produce efecte în lumea reală.
Impactul în lumea reală – când o cameră video devine poartă de intrare…
Compromiterea datelor și a rețelei. Odată ce o cameră video este compromisă, atacatorul nu se oprește acolo. Camerele IP sunt parte a rețelei informatice: de pe camera hackuită, se poate încerca accesul spre alte sisteme interne (de exemplu, NVR-ul de înregistrare, servere de stocare sau chiar computerele companiei). O vulnerabilitate aparent minoră poate fi un punct de plecare pentru atacatori, permițându-le să se extindă treptat și să compromită întreaga rețea a companiei. Cu alte cuvinte, o cameră video vulnerabilă poate deveni poarta prin care un hacker intră în organizație.
Risc pentru siguranța fizică. O cameră de supraveghere vulnerabilă nu mai este un instrument de siguranță, ci o verigă slabă. În scenariul unui atac, infractorii pot dezactiva sistemul de securitate video exact în momentul unui eveniment nedorit. Practic, aceștia“sting luminile” pentru echipa de securitate iar hoții vor putea acționa nestingheriți, sau, și mai grav, un atacator ar putea prelua controlul camerelor pentru a supraveghea el însuși obiectivul (întoarcerea rolurilor), obținând informații despre personal, program, puncte nevralgice, etc.
Încrederea utilizatorilor zdruncinată. Să ne găndim și la implicațiile pentru beneficiarii sistemelor de securitate. Proprietarii de afaceri sau managerii care au investit în camere pentru a-și proteja bunurile și angajații află brusc că aceste echipamente pot fi folosite împotriva lor. Este un sentiment tulburător să realizezi că instrumentul tău de siguranță te poate expune, de fapt, la noi riscuri. Acest lucru poate eroda încrederea în soluțiile tehnice de securitate, dacă ele nu sunt alese și întreținute corespunzător.
Cum a fost posibil? Cauze și factori care duc la asemenea breșe…
Software neactualizat și mentenanță precară. În cazul prezentat, vulnerabilitatea a fost raportată și producătorul (Hikvision) a lansat o actualizare de securitate (patch) încă din 2021. Cu toate acestea, un număr șocant de mare de camere, peste 80.000 de dispozitive la nivel global, au rămas neactualizate și deci expuse atacurilor. Asta sugerează că mulți utilizatori fie nu au știut de problemă, fie nu au considerat-o importantă, fie au amânat instalarea update-urilor. Lipsa unui program riguros de mentenanță și actualizare face ca astfel de vulnerabilități să rămână “deschise” pentru hackeri mult timp după ce soluția există.
Alegerea echipamentelor pe criteriul prețului. Hikvision este un producător cunoscut pentru costurile accesibile ale echipamentelor sale, despre care nu pot să fac afirmații că nu sunt bune, din contra, tehnologia utilizată se dovedește a fi de top, iar multe companii și instituții aleg aceste camere datorită prețului și funcționalităților atractive. Problema apare când prețul scăzut vine la pachet, pentru unele produse, cu compromisuri la capitolul securitate cibernetică. De exemplu: în dezvoltarea software-ului intern al camerei, sau în testarea insuficientă a produsului înainte de lansare. Atunci când se fabrică în masă echipamente ieftine, este posibil ca unele vulnerabilități să nu fie depistate la timp, iar dacă un produs este comercializat global în volume uriașe, o breșă va avea un impact pe măsură de uriaș (zeci de mii de sisteme vulnerabile).
Ignorarea standardelor și a certificărilor. Uneori, astfel de probleme apar și din cauza lipsei conformității cu standarde stricte de securitate. Producătorii cu renume și certificări tind să implementeze procese mai riguroase de testare. Dacă un producător sau un distribuitor nu supune echipamentele unor certificări independente, există riscul ca defecte ascunse să treacă neobservate. Cu alte cuvinte, graba de a scoate pe piață un produs ieftin și atrăgător poate însemna ocolirea unor pași de asigurare a calității. Iar acest lucru se vede tocmai în astfel de situații, când o vulnerabilitate majoră iese la lumină.
Conformitatea nu este un moft – importanța certificării echipamentelor de securitate…
Obligație legală fermă. În România, există cerințe legale clare menite să ne ferească de riscuri ca cel descris mai sus. Anexa 7, Art. 7 din HG nr. 301/2012 stipulează fără echivoc că echipamentele de securitate folosite în sisteme de alarmare și supraveghere trebuie să fie certificate de laboratoare acreditate în UE sau SEE. Această prevedere nu este opțională și nu este negociabilă. Cu alte cuvinte, legea obligă folosirea de echipamente care au trecut prin filtre riguroase de testare și certificare. În articolul meu anterior, am argumentat pe larg de ce conformitatea trebuie să fie prima grijă atunci când alegem echipamente de securitate. Pentru că, dacă nu sunt certificate, nu avem nicio garanție că vor funcționa corect în situații critice, iar dacă acestea vin și cu suspiciuni de vulnerabilități, atunci riscul devine dublu: tehnic și etic.
De ce contează certificarea? Un certificat emis de un laborator acreditat atestă faptul că produsul respectă anumite standarde europene de securitate și calitate, iar asta este garanția că acel echipament funcționează corect în situații critice și că nu prezintă vulnerabilități cunoscute. În cazul camerelor video, de exemplu, certificarea ar trebui să acopere atât aspecte de siguranță fizică (rezistență, fiabilitate), cât și aspecte cibernetice (protecție la acces neautorizat, firmware securizat).
Protecție reală, nu birocrație. Aș vrea să subliniez un aspect important, pe care l-am accentuat și în articolul meu precedent: această cerință legală nu este o piedică birocratică absurdă, ci o măsură de protecție a oamenilor, infrastructurilor și informațiilor sensibile. Când legea ne cere să instalăm doar echipamente certificate, scopul este să ne asigurăm că riscurile reale sunt reduse. Scopul este nu numai acela, greșit înțeles de unii, de a ne proteja de amenzi sau alte sancțiuni legale respectând regula, ci acela de a ne proteja viețile și bunurile care ne aparțin de potențiale eșecuri ale sistemelor de securitate.
Cazul acestei vulnerabilități prin prisma conformității. Ne uităm la vulnerabilitatea detectată, și putem vedea cum o breșă cibernetică majoră ar fi putut fi evitată sau limitată prin rigoare: echipamentele certificate ar trebui să îndeplinească cerințe stricte și, ideal, producătorii certificați să reacționeze prompt la problemele de securitate. De asemenea, respectarea normelor în vigoare implică și un control la import și instalare. Teoretic, pe piață și în obiectivele sensibile nu ar trebui să ajungă echipamente necertificate (care pot proveni din surse dubioase sau cu software neverificat) în practică, însă, vedem că uneori aceste reguli sunt ignorate, după cum voi prezenta în secțiunea următoare.
Când “cel mai mic preț” costă cel mai mult – lecția echipamentelor ieftine…
Tentația celui mai mic preț. Atât clienții, cât și unii integratori de securitate, sunt adesea tentați de oferte cu prețuri foarte mici la sisteme de supraveghere. Este de înțeles, cu toții vrem să economisim bani. Am observat însă de-a lungul anilor că, în domeniul securității, prețul cel mai mic poate ajunge să te coste cel mai scump mai târziu. În articolul meu anterior, “Când ‘cel mai mic preț’ pentru echipamentele de securitate costă cel mai mult… despre conformitate, riscuri și responsabilitate”, am discutat exact această problemă. Un sistem de securitate e o investiție în protecție, nu o cheltuială decorativă. Alegerea echipamentelor pe criteriul prețului cel mai mic este o strategie care poate funcționa pentru mobilier sau papetărie, dar nu și pentru sisteme care trebuie să salveze vieți, bunuri și informații.
Compromisuri ascunse. Echipamentele foarte ieftine pot fi tentante, dar trebuie să ne întrebăm de ce sunt așa ieftine. S-ar putea să nu fie certificate (evitând costurile de testare și omologare), s-ar putea să folosească componente de calitate mai slabă sau software proprietar nesigur, ori poate producătorul nu investește în actualizări regulate de securitate. Toate aceste compromisuri măresc riscul unui incident, fie că vorbim de o defecțiune în momentul crucial, fie că vorbim de o vulnerabilitate exploatată de hackeri, ca în cazul Hikvision.
Cine plătește diferența? În final, dacă un sistem de securitate eșuează când ai mai mare nevoie de el (de exemplu, camerele “ochi și urechi” ale obiectivului tău sunt dezactivate în plin eveniment), costurile pot fi imense: pierderi de bunuri, întreruperea activității, furt de informații, daune reputaționale sau chiar vieți puse în pericol. Acea economie inițială la achiziție pălește în comparație cu pagubele, și practic, plătești înzecit mai târziu. De aceea, subliniez mereu clienților și colegilor din industrie: calitatea și conformitatea trebuie să primeze în fața costului imediat.
Responsabilitatea comună – specialiștii și clienții în fața riscurilor…
Rolul specialiștilor, și în mod special al consultanților de securitate. Ca experți sau integratori, avem responsabilitatea de a face lucrurile “ca la carte”. Asta înseamnă să recomandăm și să implementăm soluții conforme și testate, chiar dacă uneori clientul inițial ezită din cauza prețului. Este de datoria noastră să explicăm riscurile și consecințele alegerilor ieftine. Specialiștii ar trebui să fie proactivi în a ține sistemele la zi: să planifice mentenanța periodică, actualizările firmware și testările periodice ale echipamentelor. O cameră vulnerabilă într-un sistem pe care l-am instalat noi înseamnă că undeva nu ne-am făcut treaba cum trebuie, fie în selecția echipamentelor, fie în întreținerea lor.
Ce ar trebui să ceară clienții. Pentru cei care beneficiază de sisteme de securitate (companii, instituții sau persoane fizice), mesajul meu este să nu privească securitatea ca pe o marfă obișnuită unde doar prețul contează. Cereți dovezi de conformitate și certificare pentru echipamentele care vi se propun. Nu ezitați să întrebați integratorul: “Camera asta are certificat european? Îndeplinește standardele cerute de lege?”. Un integrator serios va aprecia aceste întrebări, care arată că sunteți un client informat. Asigurați-vă că în contract sau în oferta de service post-instalare este prevăzută mentenanța periodică. Un sistem de securitate nu e ceva ce “instalezi și uiți”, el trebuie verificat și actualizat, altfel riscă să devină ineficient exact când contezi pe el. Pentru foarte multe categorii de obiective, “Beneficiarii sistemelor avizate sunt obligaţi să încheie contracte de întreţinere periodică cu societăţi licenţiate, care să ateste funcţionarea sistemului conform parametrilor tehnici.” (Art. 5 din Anexa Nr.1 la HG nr. 301 din 2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor). Aceste categorii de obiective sunt prevăzute la art, 68 din HG 301/2012:
- unităţi de interes strategic şi obiective aparţinând infrastructurilor critice;
- unităţi sau instituţii de interes public;
- instituţii de creditare, unităţi poştale, puncte de schimb valutar, case de amanet, unităţi profilate pe activităţi cu bijuterii din metale sau pietre preţioase;
- magazine de arme şi muniţii;
- staţii de comercializare a carburanţilor/combustibililor;
- săli de exploatare a jocurilor de noroc;
- centre de procesare;
- casierii furnizori şi servicii de utilităţi, puncte de colectare ori de depozitare numerar cu plafon de peste 10.000 euro sau echivalent.
Vulnerabilitățile detectate reflectă probleme sistemice în ecosistemul IoT global. Vedem același pattern repetat: credențiale implicite, validare insuficientă a input-ului, practici de dezvoltare nesigure și dificultăți în aplicarea update-urilor.
Ceea ce face cazul prezentat, special de alarmant este scara globală și localizarea strategică a dispozitivelor. Nu vorbim doar despre camere într-un birou, vorbim despre supraveghere în facilități guvernamentale, infrastructura critică, spitale și baze militare. Compromiterea acestor sisteme oferă atacatorilor nu doar acces la video live, ci și oportunități de recunoaștere pentru operațiuni mai complexe.
Trend-ul către securitate prin design în IoT este încă în stadii incipiente, iar producătorii continuă să prioritizeze funcționalitatea și costul în detrimentul securității. EU Cyber Resilience Act reprezintă prima încercare regulatorie majoră de a schimba această paradigmă.
Colaborare și comunicare. În fond, securitatea eficientă se obține printr-un parteneriat onest între client și specialist. Clientul își exprimă nevoile și așteptările (inclusiv, sau în mod special, dorința de a fi în siguranță, nu doar de a bifa o cerință legală), iar specialistul vine cu soluții optime și informații relevante. Cazuri ca vulnerabilitatea semnalată arată că oricine, de la managerul de securitate la directorul companiei și până la ultimul angajat care se bazează pe acele camere video, are de suferit dacă lucrurile nu sunt făcute corespunzător. Doar împreună putem reduce riscurile: specialiștii prin expertiză și rigoare, clienții prin vigilență și prin alegeri informate.
Ghid de bune practici pentru companiile și organizațiile românești…
Pentru companiile și organizațiile care folosesc echipamente pentru care au fost semnalate astfel de vulnerabilități, recomand o abordare în trei faze:
Acțiuni imediate (24-48 ore):
- Aplicați toate update-urile de firmware disponibile prin advisory-urile oficiale (Hikvision, de exemplu).
- Schimbați toate credențialele implicite cu parole complexe, unice.
- Izolați complet camerele de rețelele de producție și de internet.
- Implementați segmentarea VLAN dedicată pentru echipamentele de supraveghere.
Strategie pe termen mediu (3-6 luni):
- Evaluați furnizori alternativi europeni cum ar fi Axis Communications, Bosch Security sau Hanwha Vision.
- Implementați monitorizarea comportamentală pentru detectarea compromiterii dispozitivelor.
- Dezvoltați proceduri de “incident response“ specifice pentru sisteme de supraveghere compromise.
Planificare strategică (6-24 luni):
- Planificați înlocuirea completă înainte de deadline-ul CRA din decembrie 2027.
- Implementați arhitectură “zero-trust“ pentru toate sistemele IoT.
- Dezvoltați parteneriate cu furnizori care demonstrează angajament real pentru securitate.
Lecții învățate și o invitație la reflecție…
Securitatea este tehnologie, dar, mai mult…este încredere. Vulnerabilitatea critică a camerelor Hikvision ne reamintește că, în spatele fiecărui sistem high-tech, sunt decizii umane, ce echipamente alegem, cum le implementăm și întreținem, dacă respectăm sau nu regulile. Respectarea standardelor și a cerințelor legale, cum este certificarea echipamentelor, ar trebui privită ca pe fundamentul pe care se clădește încrederea într-un sistem de securitate.
Situația semnalată, aceasta dar și multe altele asemănătoare de la alți producători, este un punct de cotitură care are potențialul de a remodela fundamental modul în care România abordează securitatea cibernetică. Organizațiile care acționează proactiv pentru înlocuirea acestor echipamente nu doar că reduc riscurile de securitate, dar obțin și un avantaj competitiv prin demonstrarea maturității în cybersecurity. În contextul geopolitic actual, folosirea de echipamente cu asemenea vulnerabilități în infrastructura critică devine din ce în ce mai dificil de justificat din perspectiva due diligence corporative.
Companiilor și organizațiilor de orice tip le recomand să privească această situație nu ca pe o criză, ci ca pe o oportunitate excelentă de a-și moderniza infrastructura de securitate. Investițiile în soluții sigure și conforme nu sunt doar o cheltuială, ci o investiție inteligentă. Ele vor aduce beneficii semnificative pe termen lung, ajutând la evitarea breșelor costisitoare de securitate, asigurând conformitatea cu reglementările și consolidând încrederea tuturor părților interesate.
Îndemn la acțiune: Dacă sunteți specialist în securitate (consultant de securitate, evaluator de risc la securitatea fizică, inginer și/sau proiectant sisteme de securitate) folosiți acest exemplu ca argument în plus, atunci când pledați pentru calitate și conformitate în fața clienților. Dacă sunteți client sau beneficiar al unor soluții de securitate, luați acest incident ca pe un imbold să vă întrebați furnizorii despre conformitatea echipamentelor și despre planul de mentenanță. E mai bine să prevenim o problemă decât să o gestionăm în criză.
Invitație la dialog: Aș vrea să aflu și perspectiva voastră. V-ați confruntat cu situații în care un echipament ieftin v-a trădat așteptările? Cum vedeți balanța între cost și siguranță în proiectele de securitate? Vă invit să discutăm în comentarii, pentru că sunt convins că doar prin împărtășirea experiențelor și a ideilor putem învăța unii de la alții și putem îmbunătăți practica din domeniul nostru de activitate.
NOTĂ! Acest articol se bazează pe o serie de surse subliniate în textul articolului și a fost, parțial, elaborat cu ajutorul inteligenței artificiale (AI) utilizând claude.ai, și perplexity.ai care au sintetizat, și verificat sursele de informare.