„Nie można chronić rzeczy, o których się nie wie” – to hasło jest często powtarzane w branży cyberbezpieczeństwa. Tym bardziej zaskakuje fakt, że kwestia inwentaryzacji urządzeń bywa często marginalizowana.
Inwentaryzacja urządzeń i zasobów pozwala organizacji monitorować typ, wiek i wydajność operacyjną urządzeń, a także zyskać pewność, że żadne informacje o lukach technologicznych i wymaganych do przeprowadzenia modernizacjach nie zostaną przeoczone.
Jednym z głównym obszarów związanych z inwentaryzacją zasobów jest zarządzanie ryzykiem, a dokładniej – cyberbezpieczeństwo. W parze z nim idzie proces wzmacniania – mający na celu ograniczenie słabych punktów do minimum – który często uważa się za czasochłonny, zwłaszcza gdy jest realizowany na poziomie urządzeń. W rezultacie podczas oddawania sprzętu do użytku obszar ten często bywa zaniedbywany.
Zbiorcze zarządzanie urządzeniami
Rozwiązanie takie jak AXIS Device Manager umożliwia szybkie i łatwe instalowanie oraz konfigurowanie urządzeń i zarządzanie nimi. To skuteczne narzędzie dla instalatorów zabezpieczeń i administratorów systemu, które służy do nadzorowania głównych zadań związanych z instalacją, ochroną i utrzymaniem. Urządzeniami można zarządzać pojedynczo lub zbiorczo, co znacząco (z godzin do minut) skraca czas potrzebny do „wzmocnienia” urządzeń, a jednocześnie gwarantuje spójne funkcjonowanie całego systemu.
AXIS Device Manager pozwala użytkownikowi utworzyć kod konfiguracyjny, który można przesłać na wszystkie urządzenia Axis. Kod powstaje zgodnie z wytycznymi Axis Hardening Guide – dokumentacji technicznej, która pomaga opracować podstawową konfigurację i podpowiada, jak sobie radzić z wciąż zmieniającym się krajobrazem zagrożeń. Axis stosuje procedury opisane w dokumentacji CIS Controls (v. 7.1; znanej wcześniej pod nazwą SANS Top 20 Critical Security Controls). Przygotowała ją organizacja non profit Centre for Internet Security, która słynie ze sprawdzonych praktyk w zakresie zabezpieczania systemów IT i danych.
Szybka i łatwa konfiguracja nowych urządzeń jest ważna, jednak nie mniejsze znaczenie ma zarówno dostęp do aktualnych informacji o tym, co dzieje się w poszczególnych ośrodkach i systemach bezpieczeństwa, jak i monitorowanie statusu sprzętu. Ten nierzadko złożony i czasochłonny proces można uprościć, sięgając po narzędzie takie jak AXIS Device Manager Extend Base. Pozwalają na to jego funkcje, np. intuicyjne panele kontrolne ze zdalnym dostępem do ośrodków, które zapewniają natychmiastowy wgląd w informacje o wszystkich urządzeniach w połączonych ośrodkach.
Sprawne przekazywanie urządzeń do eksploatacji
Zanim przejdziemy do kwestii związanych z bezpieczeństwem urządzeń i monitorowaniem statusu sprzętu, warto zoptymalizować proces instalacji i przekazywania urządzeń do eksploatacji – może to przynieść znaczną oszczędność czasu. „Wzmacnianie” urządzeń jednego po drugim to zadanie czasochłonne. Podobnie jest w przypadku oddawania ich do użytku.
Narzędzie do zautomatyzowanego i zbiorowego przekazywania urządzeń do eksploatacji wyraźnie skraca czas zarządzania tym procesem. Oznacza to wzrost produktywności i możliwość realizacji większej liczby projektów. Inną korzyścią jest spadek kosztów towarzyszących przekazywaniu urządzeń do eksploatacji, co z kolei pomaga pozyskiwać nowych klientów dzięki bardziej konkurencyjnej ofercie.
AXIS Device Manager automatycznie wykrywa wszelkie urządzenia firmy Axis i zarządza ich konfiguracją, upraszczając w ten sposób oddanie sprzętu do użytku. Ponadto zarządza adresami IP i monitoruje status połączenia, a także instaluje aktualizacje oprogramowania sprzętowego i aplikacje do kamer. W razie potrzeby oprogramowanie może odzyskać poprzednie ustawienia, a cała komunikacja jest zabezpieczana, m.in. przy wykorzystaniu protokołów HTTPS i 802.1X. Narzędzie pozwala też swobodnie zarządzać pojedynczymi urządzeniami, gdy zajdzie taka potrzeba.
Znaczenie instalowania poprawek
Po przekazaniu urządzeń do eksploatacji kluczowego znaczenia nabiera skuteczne zarządzanie cyklem życia systemu, zwłaszcza w kontekście aktualizowania zabezpieczeń i oprogramowania sprzętowego oraz instalowania poprawek. To nieustannie trwający proces, który pozwala wykazać się integratorom systemów, ale niekiedy nakłada na nich także dodatkowe obowiązki. Przykładowo, w Wielkiej Brytanii Biuro Informacji Publicznej (Information Commissioners Office, ICO), odpowiednik instytucji ds. ochrony danych osobowych w poszczególnych krajach członkowskich UE, wskazuje wytyczne dotyczące zarządzania poprawkami. Ich nieprzestrzeganie skutkuje naruszeniem bezpieczeństwa danych konsumentów, a w efekcie – wysokimi grzywnami.
Według wytycznych „niedopełnienie powinności wyeliminowania znanych luk stanowi czynnik uwzględniany przez Biuro Informacji Publicznej przy ustalaniu, czy naruszenie siódmej zasady ustawy o ochronie danych osobowych (odpowiednik RODO – przyp. red.) jest wystarczająco poważne, by uzasadniało nałożenie grzywny cywilnej”.
Statystyki zaprezentowane przez CSO – serwis publikujący wiadomości, analizy i badania z dziedziny bezpieczeństwa i zarządzania ryzykiem – nie napawają optymizmem. W 60% przypadków do naruszeń dochodziło z wykorzystaniem luk, dla których poprawka była dostępna, a nie została zainstalowana. Jeżeli użytkownik końcowy zostanie ukarany za nieprzestrzeganie przepisów, ale obowiązek ich monitorowania spoczywa na zewnętrznym integratorze systemów pełniącym także funkcję podmiotu przetwarzającego dane, można przyjąć, że integrator systemów ponosi częściową odpowiedzialność za nałożoną grzywnę. Dlaczego więc przedsiębiorstwa odpowiadające za serwisowanie i utrzymanie systemów nie instalują aktualizacji na bieżąco?
Najczęstszym usprawiedliwieniem tego faktu jest brak czasu, a także skutecznych środków pozwalających na regularne aktualizowanie oprogramowania sprzętowego i poprawek. Tu również z pomocą przychodzi AXIS Device Manager, który może służyć jako szybkie i efektywne narzędzie do zapewniania zgodności z przepisami. Podobnie jak w przypadku przekazywania urządzeń do eksploatacji, oferowane oprogramowanie usprawnia utrzymanie, łącząc czasochłonne i kosztowne procesy w szybką i wydajną operację.
AXIS Device Manager monitoruje status urządzeń, aktualizuje oprogramowanie sprzętowe, odnawia certyfikaty i nimi zarządza, a w razie potrzeby przywraca ustawienia domyślne. Przedsiębiorca, który uświadomi klientom, że doskonale rozumie istniejące ryzyko, a przy tym zademonstruje skuteczny sposób zarządzania kluczowym aspektem utrzymania, może liczyć na ich zaufanie.
Monitorowanie końca okresu wsparcia
Należy wspomnieć, że równie dużą rolę odgrywa strategia wymiany rozwiązań technicznych, których okres wsparcia minął. Jego koniec przypada wtedy, gdy dostawca przestaje zapewniać wsparcie dla swojego produktu lub usługi. Strategia przedsiębiorstwa powinna przewidywać, jak długo sprzęt lub oprogramowanie będą znajdowały się w eksploatacji po wygaśnięciu okresu wsparcia, a także zakładać monitorowanie funkcjonowania rozwiązań technicznych w całej firmie.
To informacje o zasadniczym znaczeniu dla specjalistów IT odpowiedzialnych za zarządzanie politykami IT i strategią cyberbezpieczeństwa w ośrodku, ponieważ na tym etapie dostawca przestaje udostępniać aktualizacje i poprawki. W przypadku zaniechania wdrożenia alternatywnych środków wzrasta narażenie na ataki i idące za tym naruszenie zabezpieczeń danych. Nie wszystkie organizacje zdecydują się na wymianę rozwiązań technicznych, dla których okres wsparcia minął, jednak te, w których zdanie zespołów IT się liczy, z pewnością to zrobią.
Objęcie użytkowników końcowych proaktywną strategią zarządzania aktualizacjami oprogramowania sprzętowego pozwoli umocnić opartą na zaufaniu relację poprzez zwiększenie wśród użytkowników poczucia gwarancji bezpieczeństwa i zgodności z przepisami. Monitorowanie systemów i wczesne powiadamianie klientów o zbliżającym się końcu okresu wsparcia pozwala uniknąć gorączkowej paniki i sytuacji, w których klienci nie dysponują wymaganym budżetem. Takie podejście umożliwia zatem wejście na wyższy poziom relacji.
AXIS Device Manager – w połączeniu z zapewnianym użytkownikom końcowym przejrzystym doradztwem w zakresie wydajności operacyjnej zainstalowanych technologii – umożliwia dostarczanie szczegółowych informacji, np. o okresie gwarancyjnym czy końcu okresu wsparcia. Partnerom w zakresie bezpieczeństwa pozwala to dowieść swojej niezawodności. A odpowiednio wykorzystane narzędzia, takie jak AXIS Device Manager czy AXIS Device Manager Extend Base, pomogą zadbać o wysoki poziom bezpieczeństwa klientów.
Axis Communications Poland
ul. Domaniewska 44 bud. 4
02-672 Warszawa
www.axis.com/pl-pl/
