Tatris
  • 8 800 100-700-1
  • |
  • info@tatris.ru

HIKVISION откроет исходные коды своих продуктов

  • 23-03-2018

Желая продемонстрировать свою приверженность созданию безопасных продуктов, производитель Hikvision, крупнейший производитель систем видеонаблюдения, на прошлой неделе открыл новый центр прозрачности исходного кода (Source Code Transparency Center - SCTC) в своей североамериканской штаб-квартире в Калифорнии. Задача центра - предоставить возможность правительственным учреждениям как в США, так и в Канаде рассмотреть исходный код ряда IP-камер, сетевых видеорегистраторов и других продуктов, продаваемых компанией.

По словам Чак Дэвиса, директора по кибербезопасности для Hikvision North America, открытие центра является частью кампании по существенному улучшению своей кибер-программы в Северной Америке. «Мы продолжаем обновлять нашу внутреннюю программу кибербезопасности и искать новые способы привлечения и предоставления образовательных ресурсов нашим партнерам по этой теме», - говорит Дэвис. «Поскольку я был нанят Hikvision шесть месяцев назад, мы завершили тестирование на проникновение с Rapid7, открыли горячую линию по кибербезопасности, завершили канадский тур по кибербезопасности, наняли дополнительный персонал для нашей команды кибербезопасности, запланировали программу развития кибербезопасности в 2018 году и теперь мы открываем SCTC».

Хотя угрозы кибербезопасности остаются проблемой в масштабах всей отрасли, конкретные уязвимости, найденные в продуктах Hikvision, в последнее время привлекли внимание средств массовой информации и законодателей США. Фактически, компания была упомянута во время слушания, проведенного в январе Комитетом палаты представителей США по малым предприятиям, в котором основное внимание уделялось борьбе с кибер-угрозами. В частности, член палаты представителей Стив Шабо рассмотрел два отдельных примера 2014 года, в ходе которых исследователи обнаружили внедрение вредоносных программ для майнинга биткойнов, а также три основные уязвимости переполнения буфера в видеорегистраторах Hikvision, которые были рассмотрены компанией.

С открытием SCTC Дэвис говорит, что компания надеется «поднять планку», когда дело доходит до стандартов физической безопасности для кибербезопасности и прозрачности. «Как крупнейший производитель видео-наблюдения в мире, мы чувствуем, что мы несем ответственность за то, чтобы быть лидером в области кибербезопасности и защите своих продуктов, и мы полностью привержены этим усилиям», - говорит Дэвис. «Эта программа является еще одним шагом в нашей постоянной приверженности безопасности и прозрачности. Мы очень рады созданию SCTC и считаем, что это позитивная веха для нашей компании, наших клиентов и индустрии безопасности».

Правительственные чиновники, заинтересованные в том, чтобы взглянуть на исходный код продукта компании, могут просто обратиться к представителю отдела продаж Hikvision, который будет работать, чтобы назначить встречу для посещения SCTC. Любой, кто посещает центр, также должен будет подписать соглашение о неразглашении.

Когда его спросили, откроется ли центр для исследователей безопасности и конечных пользователей, заинтересованных в развертывании продуктов компании, Дэвис сказал, что они могут решить открыть обзор кода для дополнительных заявителей по мере того, как их процессы будут отработанны. Hikvision не будет раскрывать какие-либо сведения о участниках программы, правительстве или других.


Примечание от редакции tatris.ru:

Доступ правительственным чиновникам США к исходному коду камер и видеорегистраторов Hikvision означает доступ к исходным кодам таким спецслужбам как FBI, CIA, NSA, DEA, ATF и другим. Для людей не связанных с кибербезопасностью эти названия врятли могут сказать что-то существенное, хотя кто-то вспомнит Сноудена и будет прав. Все эти организации прикрываясь интересами безопасности многократно создавали уязвимости, которые им было удобно эксплуатировать и использовали их в целях шпионажа.

Хотелось бы обратить особое внимание всех коллег по цеху, которые внедряют оборудование Hikvision в государственных органах Российской Федерации и крупнейших компаниях России, на данную новость. Возможно, вам стоит переоценить риски, которые вы создаёте своим конечным клиентам?