La protección frente a ciberataques, entendida como un conjunto de procesos afecta a fabricantes, instaladores y usuarios. En su opinión, ¿cuáles son los protocolos que debería establecerse para reducir el número de vulnerabilidades?
—Cuando hablamos de seguridad en videovigilancia podemos distinguir tres áreas fundamentales en las que debemos tener en cuenta los posibles riesgos: el propio equipo, la plataforma de software y la comunicación entre ambos.
Por lo que respecta a los equipos, lo más importante es utilizar mecanismos de contraseña sólidos para iniciar sesión. En el caso de Hikvision, los equipos vienen de fábrica sin contraseña. Cada cliente tiene que activarla cuando inicia por primera vez el sistema y no puede usar contraseñas que no sean robustas. La administración y control de los equipos requiere usuario y contraseña, y el proceso de verificación de accesos de equipo se basa en mecanismos de bloqueo y desbloqueo que impiden el acceso a información mediante ataques de fuerza bruta.
A nivel de diseño del producto se reducen las vulnerabilidades de los equipos, por ejemplo, cerrando todos los puertos y servicios innecesarios. Se utilizan protocolos de servicio seguro en todos los equipos, que disponen de registros para auditorías y gestión de seguridad. Se registran todas las actividades operacionales tanto a nivel de administrador como de usuario.
En cuanto a la seguridad de la comunicación entre los equipos y la plataforma, en Hikvision protegemos los datos transmitidos, evitando la escucha ilegal, falsificación o manipulación de información sensible. Empleamos sistemas de cifrado de información sensible, incluyendo contraseñas, claves de cifrado, certificados, parámetros de sistemas y todo tipo de datos personales confidenciales.
Con el fin de satisfacer las necesidades de los usuarios con requisitos de seguridad más estrictos, Hikvision puede suministrar a los desarrolladores terceros cifrado de vídeo, proporcionando así a los integradores un cifrado a nivel de flujo de datos, que se basa en el algoritmo internacional AES estándar. Por último, cabe mencionar la seguridad del lado de la plataforma. En nuestro caso soporta el protocolo de transmisión HTTPS, garantizando la seguridad en las comunicaciones entre plataformas, plataforma y equipo, y entre plataforma y usuario. Contamos con un sistema de autorización y control de acceso (incluyendo Active Directory), que registra todo tipo de actividad operativa de administrador y usuarios.
El sistema es capaz de detectar de forma inmediata anomalías en el equipo, por ejemplo manipulación no autorizada de dispositivos instalados y conectados a la plataforma, incluyendo fallo o pérdida de comunicación. El diseño de la plataforma está basado en el principio de privilegios mínimos, por el cual se cierran todos los puertos y servicios que no están en uso, reduciendo el grado de exposición del sistema al ataque.
[La entrevista íntegra puede leerse en el número 322 de mayo de CUADERNOS DE SEGURIDAD]