Надписи «Улыбнитесь — на вас смотрит видеокамера» стали уже привычными. Но одно дело — общественное место вроде супермаркета, и совсем другое — такое «приватное» устройство, как, например, ПК или планшет: пользователям обычно становится не по себе, когда они узнают, что видеокамера на их гаджете не просто следит за ними, но еще и записывает их изображение и видеопереговоры.
В прошлом году много шума наделало сообщение Эдварда Сноудена, бывшего сотрудника АНБ США, о том, что американские спецслужбы получили от Microsoft согласие обеспечить возможность перехвата разговоров через Skype и веб-чатов Outlook.com. В нынешнем году появилось сообщение (и снова со ссылкой на Сноудена) о том, что Британское управление правительственной связи перехватывало и сохраняло в своих базах данных миллионы изображений с веб-камер пользователей видеочатов Yahoo. Были сообщения о том, что ряд других общедоступных видеосервисов тоже находятся «под колпаком» западных спецслужб. Логично допустить, что вероятность прослушки видеосвязи спецслужбами различных стран, ну или по крайней мере фиксации переговоров, осуществляемых с использованием иностранных продуктов и сервисов, достаточно велика. Этот риск особенно актуален для компаний и организаций с государственным участием. Впрочем, многие из тех, кто имеет возможность обезопасить видеосвязь от несанкционированного доступа, также наверняка позаботятся о мерах предосторожности.
По данным компании TrueConf, более половины опрошенных компаний предпочитают развернуть всю систему видеосвязи внутри компании, 32% выбирают облачные сервисы, а 7% согласны приобрести услуги внешнего провайдера видеосвязи, при этом ни один из опрошенных не готов арендовать у провайдера всю инфраструктуру видеосвязи.
Такая осторожность нелишняя, ведь отслеживать внутреннее видео и просматривать видеоархивы могут не только спецслужбы, но и криминальные структуры и другие злоумышленники.
Угрозы и меры защиты
По наблюдениям Ильи Чуракова, генерального директора компании Expert System, сегодня происходит постепенная миграция с аппаратных комплексов видео-конференц-связи на программные решения. Они более уязвимы с точки зрения информационной безопасности, поэтому и риски тоже возрастают. Компания Expert System, поставщик услуг на базе одноименной платформы дистанционного обучения для экспертов, применяет видеосвязь для организации многоточечных видеоконференций и вебинаров. Программное решение для видеосвязи на базе технологий компании Mind интегрировано в платформу Expert System.
Чураков уверен, что «по степени уязвимости от прослушивания современные решения ВКС не отличаются от других систем, используемых в корпоративной среде», поэтому для обнаружения фактов несанкционированного доступа к видеосистемам могут использоваться стандартные методы.
Также, по словам Чуракова, всегда, когда это возможно, необходимо применять шифрование трафика, на всех этапах передачи данных.
Чтобы обеспечить надлежащий уровень безопасности, сервер видеосвязи необходимо располагать на собственной площадке, поскольку тогда доступ к нему извне ограничен и он находится под полным контролем ИТ-специалистов компании. «Это оправданно, поскольку цена рисков, связанных с утечкой важных корпоративных данных, очень высока», — поясняет Чураков.
Если сервер, на котором установлена система ВКС, находится в закрытой сети, то шифрование записей видеопереговоров на сервере, если их приходится хранить (например, по требованию госрегуляторов или клиентов) зависит от принятых в компании политик безопасности. При хранении записей в публичном облаке такая мера является обязательной. Также рекомендуется не хранить важные данные в открытом виде, а также применять решения, использующие протокол SSL.
Повышению безопасности корпоративной видеосвязи способствует централизованное управление системами ВКС. Организациям, предъявляющим высокие требования к безопасности, не лишним будет проверить системы ВКС на наличие «закладок». Также никто не отменял организационных мер предосторожности, к которым в том числе относятся проверка на профессионализм и благонадежность системных администраторов, управляющих системами ВКС, разработка и соблюдение четких регламентов и пр.
Как бы то ни было, чувствовать себя в абсолютной безопасности, зашифровав видеотрафик и видеоархив, а также взяв на работу надежных сисадминов, все равно не стоит. Современные вредоносные коды могут успешно «подглядывать» за владельцами гаджетов с помощью встроенных видеокамер. Да и более дорогие решения видеосвязи подвержены риску прослушки посредством систем, анализирующих излучение мониторов, и риску несанкционированной фиксации «картинки» прямо с экранов с помощью нацеленных на них видеокамер. Таким образом, чтобы надежно защитить видеосвязь, понадобятся усилия не только специалистов в области ИБ, но и экспертов по безопасности более широкого профиля.