自2月27日被曝出設備存在安全漏洞后,國內最大的綜合安防監控企業——海康威視似乎還未越過“安全門”。
這一點從海康威視受沖擊的股價上可見一斑:過去10個交易日,該股的平均成本為26.96元,股價在成本下方運行,走勢明顯跑輸大盤。
時間推回至2月27日:江蘇省公安廳的一則特急通知成為海康威視陷入“安全門”的發端。
這份《關于立即對全省海康威視監控設備進行全面清查和安全加固的通知》(以下簡稱“通知”)稱,江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備已被境外IP地址控制,要求各部門對使用的海康威視設備進行全面清查。
對此,2月28日,海康威視在其官網(http://www.hikvision.com/)先后發布針對設備安全的說明和致用戶書,指出受境外IP控制的聯網設備系存在弱口令漏洞(弱口令包括使用產品初始密碼或其他簡單密碼),通過修改初始密碼或簡單密碼,或者升級設備固件可解決。
而據網絡安全公司知道創宇監測統計,5.2萬臺海康威視監控設備中就有多達3.5萬臺設備存在默認弱口令。
“境外惡意攻擊者一般會對網絡進行掃描,發現使用海康威視的系統存在弱口令問題后會利用其中未修復的安全漏洞進行攻擊,然后植入后門軟件進行長期控制。”國內知名漏洞曝光平臺烏云網創始人方小頓對法治周末記者介紹說。
被疑信息披露違規
3月1日晚間,海康威視正式發布《關于部分監控設備遭到網絡攻擊的情況說明》(以下簡稱《情況說明》),披露其早在去年9月就應聯網產品系統遭到黑客惡意攻擊向公安機關報案。
記者也在烏云網上查詢發現,烏云網曾在去年多次發布海康威視的安全漏洞提示。最近一次報告為2014年11月底,報告稱海康威視某視頻監控平臺存在弱口令,并作出高級別危害判定;而海康威視也在烏云網確認漏洞存在,并認定漏洞危害等級為“中”。
“產品遭受存在漏洞并且受黑客攻擊早已有之,我們卻是因近期江蘇省公安廳的通知才意外獲知,海康威視的做法難道不是信息披露違規嗎?”一位不愿具名的海康威視股票投資者質疑道。
公開資料顯示,海康威視于2010年在深交所掛牌上市。
“根據證券法和上市公司信息披露管理辦法的規定,上市公司應當真實、準確、完整、及時地披露其產品信息,不得有虛假記載、誤導性陳述或者重大遺漏。作為上市公司的海康威視尤其應對可能對上市公司證券及其衍生品種交易價格產生較大影響的突發事件,在投資者尚未得知時立即披露,說明事件的起因、目前的狀態和可能產生的影響。”西南科技大學法學院副教授廖天虎告訴法治周末記者。
對此,海康威視相關負責人接受媒體采訪時表示,盡管事件對公司的實際影響不大,但如果公司立即披露安全公告的話,可能對整個產業鏈的發展更好。
記者在《情況說明》中看到:“為保護投資者權益,保證公平信息披露,申請自3月2日開市起臨時停牌”。
根據深交所交易規則,公眾傳媒中出現上市公司尚未披露的重大信息,可能或已經對公司股票及其衍生品種的交易價格產生較大影響的,交易所可在交易時間對公司股票及其衍生品種實施停牌,直至公司披露相關公告的當日開始時復牌。
“安全門”事件曝出后的首個交易日(3月2日),海康威視宣布股票停牌,并舉行投資者說明會。
聯網終端漏洞普遍
在投資者說明會上,國家互聯網應急中心浙江分中心技術保障處副處長厲斌表示,計算機感染病毒的現象時有發生,而聯網視頻監控設備相對于計算機來說更為簡單,視頻監控設備互聯網化后必然也會面臨同樣的問題。
無獨有偶,中科院信息工程研究所高級工程師仇新梁在接受法治周末記者采訪時指出,此次曝出的海康威視安全漏洞問題,在安防產品在內的我國各項聯網基礎設施中是非常普遍的,“只是海康威視的應用比較特殊、范圍也比較廣,因而關注度高”。
據悉,海康威視向全國多省市的公安部門提供產品和服務,借助安防產業的高度景氣,過去9年間,海康威視業績增加了20多倍。
“開發過程中缺乏必要的安全環節,應用之前缺少嚴格的安全評估,使用過程中缺少必要的監控,安全管理基本空白,都是導致漏洞出現的必然。”仇新梁坦言,“最擔心的是通過這些漏洞可能使一些基礎設施被橫向攻擊,并被控制”。
方小頓則認為,國內的安防產品的漏洞問題由來已久,主要原因在于社會和國家對信息化依賴越來越高。
“所有暴露在互聯網環境下的設備都會面臨黑客攻擊的風險,很多用戶缺乏安全意識,在安全上考慮不足也導致容易出現安全漏洞。”方小頓補充道。
一位江蘇省公安廳的人士告訴法治周末記者,被黑客攻擊的江蘇某市安裝海康威視設備的場所,每天的監控資料都被傳至境外,除了弱口令問題外,其聯網監控設備自身也是存在設計缺陷的。
對此,360攻防實驗室也曾發布報告稱,部分海康威視設備存在的高危漏洞,已被蠕蟲病毒控制,只由用戶修改密碼并不能解決根本問題,需要海康威視廠家更新固件。
“如果生產企業生產的安防產品存在明顯的安全漏洞,造成使用者或消費者財產損失或其他損害的,根據產品質量法等相關規定,應由廠家承擔相應的經濟賠償責任,同時生產廠商應及時為用戶提供免費的修補安防產品安全漏洞的技術服務。”廖天虎談道。
催化重視信息安全
按照海康威視官網公告的內容,江蘇省公安廳的通知發布后,“觸動聯網設備用戶對弱口令修改、系統漏洞修補的認知和重視,已經并將繼續推動所有海康威視用戶快速采取必要的漏洞修補措施,也促使海康威視對產品安全問題的進一步重視和投入”。
厲斌認為,解決視頻監控設備等終端互聯網化、智能化后產生的安全漏洞問題時,需要企業和用戶的共同努力,由于網絡攻擊的手段和來源的多樣性,決定了解決此類問題不可能一勞永逸,除了產品制造廠商需要重視產品安全問題,及時發布漏洞修復工具、病毒查殺工具外,用戶也應提升網絡安全意識、加強自我保護,主動更新固件。
“安防產品生產企業應能夠提供有效的安全策略和手段,有穩定的人才隊伍,做到專業化和職業化,為用戶提供行之有效的工具和服務,解決用戶實際問題。”仇新梁建議,政府也要提供正確的扶持政策,提高安全投入比例和追責制度,尤其是針對基礎設施相關的信息系統,組建真正專業的安全咨詢和評估國家隊。
京公網安備 11010502049343號