چهارشنبه 5 آذر 1404
مقالات

تحلیل تخصصی استانداردهای IEC 62676 و چرایی عدم کارایی در امنیت سایبری سامانه‌های نظارت تصویری

توسط دکتر محمد قلم‌چی / 1404/08/17

چکیده

متخصصان نظارت تصویری که علم کافی در حوزۀ ویدیو دیجیتال داشته باشند و تجربه و تسلط کافی را در تمامی اجزای نظارت تصویری داشته باشند، در سطح جهانی کمیابند. از سوی دیگر، متخصصان امنیت سایبری نیز هریک تخصص ویژۀ خود را دارند و به ندرت دانش و تجربه در حوزه داده‌های عظیم ویدیویی دارند.

خانوادهٔ IEC 62676 (معروف به EN/IEC 62676  در برخی کشورها) مجموعه‌ای از استانداردهای بین‌المللی برای «سامانه‌های نظارت تصویری برای کاربردهای امنیتی» است که عمدتاً روی سازگاری، مشخصات رابط‌ها، مشخصات داده/کیفیت تصویر و راهنمای کاربرد تمرکز دارد. به‌رغم ارزشِ فنی این مجموعه استاندارد در تضمین عملکردِ تصویری و بین‌عملکردپذیری، در متن و حوزهٔ کاربردِ بخش‌های اصلی آن الزاماتِ امنیت سایبری (مثل مدیریت هویت دستگاه، رمزنگاری، به‌روزرسانی امن، مدیریت آسیب‌پذیری، زنجیرهٔ تامین نرم‌افزاری، پاسخ به حادثه و غیره) به‌صورت جامع یا تکمیلی مطرح نشده‌اند؛ یا صراحتاً از محدوده خارج شده‌اند.

در این مقاله ابتدا هر یک از پنج بخشِ اصلی این استانداردها را خلاصه می‌کنم، سپس نشان می‌دهم چرا اجرای صرفِ IEC 62676 اسکلتِ «امنیت سایبری» را تضمین نمی‌کند و در نهایت دلایل و چارچوب پیشنهادی برای تدوین یک استاندارد تخصصی سایبری برای سامانه‌های نظارت تصویری را ارائه می‌دهیم. منابع رسمی و راهنمایی‌های ملی/اروپایی که جایگزین یا مکملِ الزامات سایبری اند نیز مرور می‌شوند. [[1] [2]]

فهرست کوتاهِ بخش‌های مربوط (مروری)

  • Part 1 — System requirements (Part 1-1, 1-2 …) : حداقل و عملکردیِ سیستم، بلوک‌های عملکردی و نیازمندی‌های عملکردی و مدیریتی را تعریف می‌کند؛ اما طراحی، نصب، عملیات یا جنبه‌های کامل نگهداری را در گسترهٔ خود قرار نمی‌دهد.
  • Part 2 — Video transmission protocols (2-1, 2-2, 2-3, 2-11 …) : سازوکارهای انتقال و پروفایل‌های بین‌عملکردپذیری شبکه‌ای و پیاده‌سازی‌های مبتنی بر HTTP/REST/Web services و پروفایل‌های VMS/VSaaS را شرح می‌دهد.
  • Part 3 — Analog & digital video interfaces: مشخصات فیزیکی، الکتریکی و پروتکل‌های رابطِ ویدئویی را تعریف می‌کند.
  • Part 4 — Application guidelines: راهنمایی‌های طراحی، انتخاب، نصب، راه‌اندازی و تست سیستم را ارائه می‌دهد (نسخهٔ جدید در سال 2025 به‌روزرسانی و منتشر شده است).
  • Part 5 — Data specifications & image quality: متدولوژی‌ها و معیارهای اندازه‌گیری کیفیت تصویر و مشخصات دادهٔ دوربین‌ها (و زیربخش‌های محیطی برای تست) را تعریف می‌کند.

نکتۀ کلیدی: مجموعهٔ IEC 62676 روی «عملکرد تصویری» و «بین‌عملکردپذیری[3]» متمرکز است و در چند مورد صراحتاً برخی حوزه‌ها مثل «قابلیت در دسترس بودن سیستم، حریم خصوصی، محدودیت‌های قانونی یا امنیت سایبری» را خارج از محدوده اعلام کرده یا در سطحی کلی به آن اشاره کرده است. ][4][

چرا اجرای IEC 62676 به‌تنهایی امنیت سایبری را تأمین نمی‌کند

در ادامه، دلایلِ فنی و ساختاری که نشان می‌دهد چرا استاندارد 62676 به‌تنهایی برای امنیت سایبری کافی نیست، همراه با سند مرجع و استدلال آورده شده است.

تعریف حوزه و «خارج بودنِ» صریحِ سایبری از دامنهٔ بسیاری از بخش‌ها

متن برخی بخش‌ها به‌وضوح اعلام می‌کند که نیازمندی‌های امنیت سایبری، حریم خصوصی، و برخی الزامات عملیاتی خارج از حوزهٔ این بخش‌ها است یا «جزئیات دقیق» آنها پوشش داده نمی‌شود. بنابراین سیستم‌هایی که فقط از این استانداردها پیروی کنند ممکن است فاقد الزامات حیاتیِ امنیتی باشند.

تمرکز بر عملکرد و بین‌عملکردپذیری، نه بر قواعدِ محافظتی قابل اندازه‌گیری

62676 در درجهٔ اول پارامترهای عملکردی (مثلاً نرخ فریم، کیفیت تصویر، تاخیر، پروتکل‌های تبادل) و توصیف رابط‌ها را مشخص می‌کند. اما امنیت سایبری نیازمند الزامات عملیاتی و فنی قابل‌ارزیابی (مثلاً قوی‌بودن الگوریتم‌های رمزنگاری، مکانیزم احراز هویت، مدیریت کلیدها، روش‌های به‌روزرسانی امن و مقابله با حملات تزریق) است که در این استانداردها به‌صورت «نیازمندی‌های فنی امنیتی» قابل تست و سنجش تعریف نشده‌اند. (مقایسه: استانداردهای سایبری معمولاً مجموعه‌ای از کنترل‌های فنی، فرآیندی و مدیریتی قابل آزمون ارائه می‌دهند؛ در صورتیکه 62676 عمدتاً معیارهای عملکردی تصویری ارائه می‌دهد).

نبودِ الزاماتِ توسعهٔ امن (Secure SDLC) و مدیریت آسیب‌پذیری

امنیتِ یک دوربین یا سامانه نظارت تصویری از مرحلهٔ طراحی نرم‌افزار/فریم‌ور تا انتشار و به‌روزرسانی و پاسخ به آسیب‌پذیری پیوستگی لازم را می‌طلبد (مثلاً امضای فریم‌ور، سیاست به‌روزرسانی، برنامهٔ افشای آسیب‌پذیری و مدیریت وصله). متن‌های IEC 62676  این حلقهٔ حیاتی را به‌صورت قاعده‌مند پوشش نمی‌دهند. بنابراین حتی اگر دستگاه مطابق 62676 از منظر کیفیت تصویر یا  APIها باشد، ممکن است با یک آسیب‌پذیری ساده مثل حساب پیش‌فرض یا به‌روزرسانی‌نشده، به یک بردهٔ بات‌نت یا دروازهٔ نفوذ تبدیل شود. (مفاهیم مشابه و توصیه‌های عملی را نهادهای سایبری ملی پیشنهاد داده‌اند).

فقدانِ الزاماتِ رمزنگاری/کنترل دسترسی در سطوح تجویزی

62676 پروتکل‌ها و فرمت‌ها را شرح می‌دهد اما الزامِ قاطع به استفاده از پروتکل‌های رمزنگاری معتبر (مثلاً TLS با مدیریت صحیح نسخه/سازگاری/پروفایل) یا الزاماتِ سخت‌گیرانهٔ کنترل دسترسی و مدیریت کلیدها را که برای حفاظت از ویدئو در انتقال و ذخیره‌سازی لازم است را در بسیاری موارد ارائه نمی‌کند و در موارد بسیار کمی که ارائه شده، در سطحی عمومی است که برای پیاده‌سازیِ مقاوم کافی نیست. اسناد ملی/آژانس‌ها مانند ANSSI یا NCSC توصیه‌های دقیق‌تری برای تنظیم TLS، مدیریت رمزها و بخش‌بندی شبکه دارند[5].

عدمِ پوششِ خطراتِ زنجیرهٔ تامین و سخت‌افزار/فریم‌ورِ تأمین‌شده

دوربین‌ها و سیستم‌های VMS ترکیبی از اجزای سخت‌افزاری، لایبرری‌های متن‌باز، فرم‌ورهای تولیدکنندگان متعدد و سرویس‌های ابری‌اند؛ ریسک‌های زنجیرهٔ تأمین نیاز به الزاماتِ کنترل شده و قابل‌تفکیک دارد (SBOM، بررسی امضای باینری، مدیریت وابستگی‌ها) — در 62676 این موارد به‌عنوان الزام عملیاتیِ استاندارد بیان نشده‌اند. استاندارد‌های سایبریِ جدید (مثلاً EN 303 645 و راهنمای آن) روی این موضوعات تمرکز کرده یا الزامات پایه‌ای ارائه داده‌اند اما آنها هم برای حوزهٔ نظارت تصویری به‌لحاظ ویژگی‌محور (مثلاً سازوکارهای chain-of-evidence کفایت نمی‌کنند.[6]

جنبه‌های قانونی، حریم خصوصی و شواهد قانونی (chain of custody)

62676 در بخش‌هایی راهنمایی کاربردی برای ضبط و کیفیت تصویر می‌دهد اما موضوعاتی مانند محافظت از حریم خصوصی، دورهٔ نگهداریِ حداقلی/حداکثریِ ویدئو، ثبت دسترسی‌ها (audit trail) با ضمانت عدم‌تغییر (tamper-evident logging) و فرآیند‌های ادلهٔ قضایی را به‌صورت الزامیِ سایبری ـ حقوقی پوشش نمی‌دهد؛ در حالی که بسیاری از ریسک‌های واقعیِ سامانه‌ها از این خلاها ناشی می‌شود و برای اعتماد عمومی و پذیرش قانونی ضروری است. نهادهای حفاظت از داده کشورها (مثلاً CNIL، ICO، EDPS) راهنمایی‌هایی دربارهٔ حقوقِ داده‌ها ارائه کرده‌اند اما جای یک استانداردِ فنیِ سایبریِ-حقوقی تخصصی خالی است[7].

 وضعیتِ بین‌المللی، کشورهایی که استاندارد یا دستورالعمل ویژۀ امنیت سایبری سامانه‌های نظارت تصویری صادر کرده‌اند

در قرن جدید، نفوذ به سامانه‌های نظارت تصویری و یا نفوذ از طریق سامانه‌های نظارت تصویری و همچنین جعل عمیق ویدیوی دیجیتال فجایع متعددی در سراسر جهان به بارآورد و بزرگترین نفوذ سایبری جهان که موجب قطعی نیمی از اینترنت جهانی شد، از طریق سامانه‌های نظارت تصویری صورت گرفت. این مهم تا آنجا پیش رفت که سه سازمان جهانی مرتبط با استاندارد از جمله سازمان جهانی استاندارد (ISO)، نام سال 2019 را «استانداردهای ویدیویی، سازنده صحنه جهانی» نامگذاری نمود. به همین دلیل اکثر کشورهای جهان در حال تدوین استانداردهای امنیت سایبری ویژۀ سامانه‌های نظارت تصویری هستند.

در ایران در همین سال، موسسۀ دانش‌بنیان خدمات مدیریت و فناوری رشد قلم‌چی، پیشنهاد تالیف استاندارد امنیت (سایبری) سامانه‌های نظارت تصویری را به سازمان فناوری اطلاعات ارایه داد. سازمان فناوری اطلاعات ایران در سال 1400 نسبت به تالیف این استاندارد اقدام و به سازمان ملی استاندارد پیشنهاد داد که مورد تصویب قرار گرفت، لکن در روند تصویب دچار کارشکنی‌هایی شد که امید است دستور معاون اول ریاست جمهوری اسلامی ایران موجب تسریع در تصویب این استاندارد گردد.

کشورهایی که هم اکنون استاندارد مصوب امنیت سایبری دارند

کشورهای تایوان و ویتنام برای حوزۀ امنیت سایبری سامانه نظارت تصویری، استاندارد ملی مصوب دارند، لکن با مشاهده متن آن متوجه می‌شویم این استانداردها بیشتر فهرستی از نیازها هستند که قرار است در شماره‌های بعدی تکمیل گردند.

تایوان

استاندارد ملی تحت عنوان «TAICS TS‑0014 Video Surveillance System Cybersecurity Standard – Part 1» و «Part 2» برای سامانه‌های نظارت تصویری (دوربین‌های IP، NVR/DVR، ذخیره‌سازی شبکه) توسط Taiwan Association of Information and Communication Standards (TAICS) تدوین و منتشر شده است.

ویتنام

مقررات ملی «QCVN 135:2024/BTTTT – National Technical Regulation on Surveillance Cameras Using Internet Protocol (Basic Cybersecurity Requirements)» توسط وزارت اطلاعات و ارتباطات این کشور تصویب شده، که الزام می‌کند از تاریخ مشخصی همۀ دوربین‌های تحت شبکه وارداتی یا تولید داخلی مطابق الزام‌های امنیت سایبری باشند.

کشورهایی که هنوز استاندارد مصوب نکرده‌اند، اما دستورالعمل‌هایی در این حوزه دارند

در بسیاری از کشورها هنوز استاندارد ملی مصوب نشده و به‌جای یک «استاندارد فنی تخصصیِ سایبری برای  سامانه‌های نظارت تصویری» ترکیبی از اقدامات زیر وجود دارد: راهنمایی‌های دولتی، دستورالعمل‌های حفاظت از داده، مقررات محصول (قوانین IoT)، و استانداردهای عمومیِ سایبری یا IoT که به سیستم‌های نظارتی قابل تعمیم‌اند. کشورها و سازمان‌های متولی شاخص در آن‌ها به شرح زیرند.

انگلستان  NCSC / Home Office / ICO / NPSA) -)

مرکز ملی امنیت سایبری (NCSC) مستنداتی با عنوان راهنمایی‌هایی برای «دوربین‌های هوشمند» و مدیریت داده‌های ویدئویی منتشر کرده است. همچنین «Surveillance Camera Code of Practice»  و اسناد حاکمیتی در انگلستان (GOV.UK) برای مدیریت و امنیت داده وجود دارد که ترکیبِ راهکار فنی و حریم خصوصی (راهنمایی‌های عملی برای پیکربندی امن، مدیریت دسترسی، ثبت رخداد و غیره) را توصیه می‌کند.

فرانسه ( ANSSI وCNIL)

آژانس ملی امنیت سیستم‌های اطلاعاتی (ANSSI) راهنمایی‌ها و توصیه‌های فنی [[8]] برای امن‌سازی سیستم‌های کنترل دسترسی و ویدئو منتشر کرده و CNIL نیز روی مسائل حریم خصوصی و قوانین ویدئوکاربری تمرکز دارد. این اسناد شامل توصیه‌های برای رمزنگاری TLS، مدیریت آسیب‌پذیری و الزامات دسترسی است.

آلمان (BSI[9])

آلمان رهنمودها و برچسب (IT Security Label) و توصیه‌هایی دربارهٔ دوربین‌ها و دستگاه‌های IoT دارد. شایان ذکر است BSI و مجامع آلمانی معمولا تحلیل‌های فنی و توصیه‌های سخت‌گیرانه ارائه می‌دهند.

استرالیا (ASD / ACSC)

مرکز سایبری استرالیا (ASD / ACSC) راهنمایی‌های عملی برای استقرار امنِ سامانه‌ها[10] (شامل سامانه‌های نظارتی) تالیف، تصویب و منتشر نموده است؛ همچنین آموزش‌ها و چارچوب‌های Secure-by-Design برای سازندگان دستگاه‌های IoT در این کشور وجود دارد که مناسبِ اعمال روی دوربین‌ها نیز هست و تا حدی امنیت سایبری سامانه‌های نظارت تصویری را تامین می‌نماید.

ایالات متحده (NIST / CISA)

موسسۀ ملی استاندارد و تکنولوژی آمریکا (NIST) و همچنین قوانین در برخی ایالت‌های امریکا (به عنوان نمونه  California SB-327 ) توصیه‌هایی در حوزه پردازش ویدئو و اخذ خروجی[11] تالیف، مصوب و منتشر کرده‌اند. همچنین  CISA[12] هشدارها و راهنماهایی در حوزه امنیت سایبری نظارت تصویری منتشر نموده است. در سطح قانون‌گذاری، ایالت‌ها (مثلاً کالیفرنیا) قوانینی برای «امنیت دستگاه‌های متصل» وضع کرده‌اند که شامل دوربین‌ها نیز می‌شود.

اروپا (ETSI / ENISA)

ETSI[13] دستورالعمل‌های GDPR[14]/EDPS[15] و همچنین استانداردEN 303 645  (یک استاندارد پایه برای امنیت دستگاه‌های مبتنی بر تکنولوژی IoT) منتشر کرده که اصول پایه‌ای امنیت سایبری مانند «بدون رمزِ پیش‌فرض»، «سیاست افشای آسیب‌پذیری» و «به‌روزرسانی نرم‌افزاری» را اجباری می‌کند؛ این استاندارد برای حوزۀ نظارت تصویری پایهٔ خوبی است اما عمومیت آن در سامانه‌های نظارت تصویری، نیاز به درج ملاحظات تخصصی سامانه‌های نظارتی دارد.  ENISA[16]و EDPS نیز ملاحظات امنیت و حریم خصوصی را منتشر کرده‌اند.

جمع‌بندی

دو کشور تایوان و ویتنام بخشی از استاندارد امنیت سایبری سامانه‌های نظارت تصویری را تالیف و مصوب کرده‌اند، چند کشور راهنمایی‌های فنی و قانونی (و بعضاً الزامات محصول/برچسب) منتشر کرده‌اند، اما هنوز یک استاندارد بین‌المللیِ فنیِ واحد و تخصصی که الزاماتِ قابل‌سنجشِ سایبری مخصوصِ سامانه‌های نظارت تصویری (شامل حفظ زنجیرهٔ ادله، ثبت tamper-evident، ویژگی‌های فارنزیک و نیازمندی‌های SOC/VMS مخصوص) را تعریف کند، وجود ندارد.

نبود استانداردهای تخصصی امنیت سایبری نظارت تصویری ایران را دچار چه چالش‌هایی کرده است؟

عدم توجه به اهمیت امنیت سایبری در سامانه‌های نظارت تصویری در ایران موجب رخدادهای نگران کننده مهمی که بعضاً امنیت ملی را نشانه گرفته‌اند، شده است. از حادثه‌های لو رفتن تصاویر زندان‌ها گرفته تا از نفوذ و از کارافتادن دوربین‌های نظارت تصویری شهرداری‌ها که در اخبار عمومی منعکس شده‌اند. شواهد متعددی وجود دارد که در جنگ 12 روزه و ترورهای مختلف دیگر، حجم قابل توجهی از داده‌های تروریست‌ها از نفوذ به سامانه‌های نظارت تصویری بدست آمده است. عدم توجه به امنیت سایبری سامانه‌های نظارت تصویری، دوربین ها را تبدیل به ابزار جاسوسی دزدان، مهاجمین، خرابکاران و دشمن خواهد نمود.

 حملات و مشکلاتی که در IEC 62676 پوشش داده نشده‌اند

در یک سامانه‌ای که صرفاً مطابق IEC 62676 پیاده‌سازی شود (و الزامات امنیت سایبری در آن لحاظ نشود)، موارد و مشکلات زیر رخ می‌دهد:

حملات به هویت و دسترسی (بدون مدیریت هویت امن)

عدم مدیریت امن هویت موجب می‌شود مهاجم امکان استفاده از رمزهای پیش‌فرض کارخانه (admin/admin) را داشته باشد، عدم الزام سیاست‌های پیچیدگی و تغییر رمز نفوذ مهاجم را تسهیل و تسریع می‌نماید، عدم وجود احراز هویت چندعاملی و امکان دور زدن پنل‌های دسترسی با پروتکل‌های پشتیبان (RTSP) موجب می‌شود مهاجم بتواند به راحتی وارد سامانه نظارت تصویری شود و کنترل سامانه را در دست گیرد.

شنود و سرقت تصویر (عدم الزام رمزنگاری TLS/RTSP/SRTP)

ویدئو اغلب بدون رمزنگاری منتقل می‌شود، لذا مهاجم روی شبکه به سادگی می‌تواند تصویر زنده را مشاهده کند، تصویر را ضبط و منتشر نماید و اطلاعات موقعیتی و حرکتی را استخراج کند. عدم رمزنگاری به مهاجم امکان نفوذ و خرابکاری از روش‌های مختلفی از جمله رهگیری حفاظتی، شناسایی عادات رفت‌وآمد و برنامه‌ریزی جرم هدفمند را می‌دهد.

حملات تغییر تصویر[17]

بدون مکانیزم‌های یکپارچگی[18]، مهاجم می‌تواند تصویر زنده را تاخیر دهد[19]، جایگزین کند[20] و یا ویرایش کند[21] لذا سامانۀ نظارت تصویری ممکن است چیزی را نشان ‌دهد که واقعی نیست.

تبدیل شدن دوربین‌ها به عضو بات‌نت[22]

فریم‌ورهای دوربین معمولاً بدون امضا، قدیمی و بدون مدیریت وصله امنیتی هستند. مخاطره آن وجود دارد که مهاجم از آسیب‌پذیری‌های شناخته‌شده استفاده ‌کند و دوربین را در بات‌نت‌ها (مثل Mirai) عضو نماید. به بیان دیگر، این آسیب‌پذیری موجب می‌شود تجهیزات نظارت تصویری تبدیل به ابزار مهاجم در داخل شبکۀ سازمان شوند. یکی از پیامدهای این مخاطره، حمله DDoS از همان شبکه امنیتی است که باید امن‌ترین شبکه سازمان باشد.

نفوذ از طریق دوربین به شبکه داخلی

چون تقسیم‌بندی شبکه[23] در استاندارد 62676 مطرح نشده، مهاجم از طریق دوربین‌های سازمان می‌تواند به سوییچ دسترسی پیداکند، از سوییچ به سرور دسترسی خواهد یافت و از آن طریق می‌تواند داده‌های سازمان را سرقت کند یا باج‌گیری (رنسوم‌ویر) نماید.

از بین رفتن ارزش قانونی ویدئو (عدم وجود Chain-of-Custody)

در استاندارد 62676، لاگ تغییرات، دسترسی‌ها و زمان‌بندی‌ها الزامی نیست، لاگ‌ها ضد‌دستکاری نیستند و هش یا امضای دیجیتال ذخیره‌سازی تصویر تعریف نشده است. عدم توجه به این موارد در استاندارد فوق موجب می‌شود ویدئوی ضبط‌شده در مراجع رسمی همچون دادگاه قابل استناد نباشد. به بیان دیگر استاندارد فوق موجب نمی‌شود تصویری که توسط سامانه نظارت تصویری که الزامات IEC 62676 را برآورده کرده است به عنوان سند در دادگاه مطرح شود و این داده ویدیویی قابل استناد نبوده، از نگاه قاضی در سطح شواهد و قرائن باقی خواهند ماند.

نمونه‌های واقعی نفوذ که مرتبط با خلأ نبوده استاندارد امنیت سایبری نظارت تصویری بوده‌اند

سال کشور/سازمان شرح نفوذ ارتباط با خلأ IEC 62676
2016 جهانی بات‌نت Mirai، ده‌ها هزار دوربین را آلوده و از آنها برای حملات DDoS استفاده کرد نبود مدیریت وصله و رمزهای پیش‌فرض
2021 آمریکا نفوذ به سامانه‌های شرکت Verkada و دسترسی به 150,000 دوربین در زندان‌ها و شرکت‌ها نبود MFA و مدیریت دسترسی متمرکز
2022 انگلستان افشای تصاویر اتاق‌های اورژانس توسط نفوذگر در شبکه بیمارستان نبود رمزنگاری RTSP و عدم جداسازی شبکه
2023 خاورمیانه دسترسی مهاجم به دوربین‌های شهری و ایجاد فید جعلی نبود حفاظت صحت تصویر و امضای دیجیتال

 

نتیجه‌گیری

IEC 62676 مجموعه‌ای ارزشمند برای تضمینِ کیفیتِ عملکردی و بین‌عملکردپذیریِ سامانه‌های نظارت تصویری است، اما این استانداردها به‌خودی‌خود ضمانت‌کنندهٔ امنیت سایبریِ جامع نیستند؛ زیرا دامنهٔ کاربرد آن‌ها غالباً «عملکرد تصویری» است نه «حفاظت از سامانه در برابر تهدیدات سایبری». برای مواجههٔ مؤثر با تهدیدات روز افزون سایبری از جمله بات‌نت‌ها،‌ افشای تصاویر، تغییر شواهد، حملات زنجیرهٔ تامین، و غیره، لازم است استانداردِ تخصصیِ سایبری برای نظارت تصویری که توسط سازمان فناوری اطلاعات ایران تدوین شده (که کنترل‌های فنی و فرآیندی مربوطه را به‌صورت قابل‌سنجش و آزمون‌پذیر تعریف نموده) ، به قید فوریت تصویب و ابلاغ گردد. هر روز تاخیر در تامین امنیت سایبری سامانه‌های نظارت تصویری کشور، می‌تواند موجب بروز فجایع غیرقابل جبرانی برای کشور شود.

[1] IEC 62676-1-1

[2] IEC 62676-2-2

[3] Interoperability

[4] Larmsystem –System för videoövervakning (VSS) – Del 2-11: Protokoll för videoöverföring –Interoperabilitetsprofiler för VMS och VSaaS, SVENSK STANDARD, SS-EN IEC 62676-2-11, utg 1:2025

[5] https://cyber.gouv.fr/sites/default/files/document/Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et vidéoprotection – v2.1.pdf

[6] ” Cyber Security for Consumer Internet of Things: Baseline Requirements”, ETSI EN 303 645 V3.1.3 (2024-09)

[7] ” Video surveillance (including guidance for organisations using CCTV)”, Information Commissioner’s Office, UK Gov.

[8] RECOMMANDATIONS SUR LA SÉCURISATION DES SYSTÈMES DE CONTRÔLE D’ACCÈS PHYSIQUE ET DE VIDÉOPROTECTION

[9] Bundesamt für Sicherheit in der Informationstechnik

[10] https://www.cyber.gov.au/business-government/asds-cyber-security-frameworks/ism/cybersecurity-guidelines

[11] Digital Video Export Profile

[12] Cybersecurity and Infrastructure Security Agency

[13] European Telecommunications Standards Institute

[14] General Data Protection Regulation

[15] European Data Protection Supervisor

[16] The European Union Agency for Cybersecurity

[17] Video Tampering

[18] Integrity Protection

[19] Delay Attack

[20] Replay/Fake Feed

[21] Deep Fake Injection

[22] Botnet Infection

[23] Segmentation

درباره نویسنده

دکتر محمد قلم‌چی

دکتر محمد قلم‌چی، مدیر مسئول و صاحب امتیاز مجله امنیت الکترونیک، مولف اولین استانداردهای ملی ایران در حوزه امنیت الکترونیک، مخترع دوربین مداربسته تحت‌شبکه با کارکردی خاص، مخترع و اولین تولیدکنندۀ سامانۀ اتوماسیون صنعتی تحت‌شبکه، پدر امنیت الکترونیک ایران شناخته شده است.
وی رییس هیات‌مدیره و مدیرعامل موسسۀ دانش‌بنیان خدمات مدیریت و فناوری رشد قلم‌چی است که این موسسه توانسته برای اولین بار در کشور، اقدام به تولید سامانۀ جامع نرم افزاری مدیریت ایکس ری و سامانه کنترل کیفی و سطح بندی تجهیزات نظارت تصویری و اولین VMS ایران نماید.

مشاهده نوشته‌های این مولف

برچسب ها: ، ، ، ،

احتمالاً این مطالب را هم می‌پسندید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *