Per il professionista di oggi, installare impianti di videosorveglianza non è più un mero lavoro di cablaggio. Occorre avere ben presente che si tratta di strutture connesse alla rete e quindi prendere in considerazione tutti gli accorgimenti del caso.
Le notizie di siti web o anche infrastrutture informatiche statali colpite da attacchi hacker sono all’ordine del giorno. All’origine di questi eventi (a volte catastrofici) raramente si trova l’operato di un informatico geniale che si è inventato chissà quale sistema per forzare la sicurezza informatica dell’azienda. Molto più spesso, le origini di un attacco informatico risiedono nelle debolezze frutto dell’errore umano: password troppo semplici o di default, macchine esposte su Internet senza firewall, reti Wi-Fi lasciate prive di protezione.
Sicurezza informatica: importanti valutazioni da effettuare
Durante la realizzazione di un sistema di sicurezza, in particolar modo un sistema di videosorveglianza, è quindi fondamentale che l’installatore o system integrator tenga ben presente che un impianto è per prima cosa un “oggetto” connesso alla rete, che deve venire protetto anche da qualsiasi minaccia di tipo informatico. Si devono dunque prendere in considerazione i diversi fattori necessari ad assicurare nel tempo il giusto livello di sicurezza.
Accesso agli impianti contingentato
Il primo livello di protezione da offrire a un sistema di videosorveglianza non è quello informatico, ma quello fisico. Per quanto possa sembrare banale, infatti, in presenza di registratori o server ubicati in un locale di libero accesso, le probabilità di azioni illecite e sabotaggi crescono verticalmente.
È per questo motivo che il NIST (National Institute of Standards and Technology), massima autorità a livello mondiale in materia di sicurezza informatica, mette al primo posto del proprio decalogo di raccomandazioni per le aziende il contingentamento degli accessi fisici ai luoghi dove sono custoditi server e Nas. Solo dopo aver assicurato la sicurezza fisica del registratore (magari anche solo con l’utilizzo di un banale armadio metallico provvisto di chiavi), l’installatore può occuparsi della robustezza informatica del sistema.
Aggiornamento del firmware
Le minacce informatiche evolvono con grande rapidità e le soluzioni che oggi offrono una sicurezza adeguata domani possono risultare molto vulnerabili. È chiaro a tutti che nessun produttore si sognerebbe mai di rilasciare un nuovo sistema operativo (per esempio, una versione di Windows) senza poi aggiornarlo per anni. Allo stesso modo, è impensabile ritenere che per un sistema di videosorveglianza, che è un apparato connesso a Internet, la situazione sia diversa: il primo passo per assicurarne la sicurezza informatica, quindi, è controllare che il firmware installato sia aggiornato all’ultima versione, così da porre rimedio alle vulnerabilità di NVR o Ip Cam.
Troppo spesso, invece, gli impianti di videosorveglianza vengono abbandonati senza contratto di manutenzione, un cattivo costume che può avere conseguenze anche gravi perché senza installare gli aggiornamenti rilasciati dai produttori il sistema rimane esposto a eventuali vulnerabilità.
La gestione delle password di accesso
La password è il primo e più importante baluardo che si frappone fra l’impianto di sicurezza e chi è intenzionato a sabotarlo: anche il più robusto dei firmware si ritrova imbelle se la chiave di sicurezza viene scelta con leggerezza.
Molti costruttori di videosorveglianza negli ultimi anni si sono mossi per obbligare l’installatore a scegliere password più sicure (che includano lettere, numeri e caratteri speciali), tuttavia occorre sempre evitare di custodirle in luoghi insicuri. Trovare una password complessa e poi annotarla su un file di Word o (addirittura!) su un post-it incollato al monitor del computer è l’equivalente informatico del nascondere la chiave della porta blindata sotto allo zerbino di casa.
Assolutamente da evitare è anche la prassi di creare per un NVR un unico utente (magari quello di amministrazione), la cui password viene condivisa con tutti gli utenti che hanno diritto di accesso all’impianto. Andando oltre il presupposto che il GDPR vieta questa consuetudine, bisogna considerare che la mancanza di differenziazione degli accessi rende impossibile interpretare i log in caso di problemi. Inoltre, se una sola delle persone in possesso della password la smarrisse, la sicurezza dell’impianto sarebbe irrimediabilmente compromessa.
Per ciascun utente va creato un account con la relativa password, limitando i permessi di gestione a quanto il singolo è realmente autorizzato a fare. Un esempio può essere la differenza di permessi tra il custode, che ha diritto di vedere solo le immagini dal vivo, e il proprietario del sistema, a cui viene data la possibilità di vedere anche le registrazioni.
Segmentazione degli accessi
Infine, dopo la messa in sicurezza, bisogna lavorare sul sistema per consentire un accesso sicuro all’impianto anche da remoto ed aumentare così la sicurezza informatica. Trattandosi di una risorsa disponibile online, è opportuno proteggere il sistema con un firewall ben configurato. Se si tratta di una macchina caricata su un IP pubblico, bisogna fare attenzione anche a limitarne l’esposizione alle porte strettamente necessarie per il funzionamento da remoto; un altro suggerimento utile è quello di privilegiare, al momento della scelta del sistema, i costruttori che permettono di configurare una “white list” di indirizzi IP autorizzati, cui viene concesso il collegamento da remoto.
In ogni caso, se possibile, l’accesso più sicuro è sempre quello attraverso una VPN. Le reti private virtuali, se opportunamente configurate, permettono all’utente di accedere a qualsiasi risorsa remota con la stessa sicurezza garantita da un collegamento effettuato tramite la rete locale. I sistemi di videosorveglianza non fanno eccezione a questa regola: se il loro accesso remoto è subordinato a una VPN, il livello globale di sicurezza dell’impianto sarà molto maggiore.
