Een camerasysteem voor de beveiliging is redelijk vanzelfsprekend. Minder vanzelfsprekend is de beveiliging van het camerasysteem zelf. Om hier aandacht op te vestigen organiseerden Hikvision en Milestone een roadshow over het onderwerp.

Tot voor kort werd gesproken over Closed Circuit TeleVision (CCTV) als het om cameratoezicht ging. Wie de beelden wilde stelen, moest inbreken en de recorder meenemen. Tegenwoordig werkt het anders. Beelden worden via openbare infrastructuren verspreid om in meldkamers en op smartphones ontvangen en beheerd te kunnen worden. Dat betekent ook dat de systemen kwetsbaar zijn geworden voor cybercrime. Toch wordt hier in de praktijk nog weinig rekening mee gehouden.

Boetes
Zeker sinds de invoering van de Algemene Verordening Persoonsgegevens is beveiliging van camerasystemen zeer belangrijk geworden, vertelde Roy Band van Milestone Systems. “Je kan zeer hoge boetes krijgen als beelden in verkeerde handen vallen en voor het imago van de organisatie is het lekken van videobeelden ook niet bevorderlijk. De eindgebruiker is weliswaar verantwoordelijk, maar ik vind dat van de leverancier verwacht mag worden dat die de klant helpt bij het dragen van die verantwoordelijkheid. Bijvoorbeeld door het mogelijk te maken dat het camerasysteem voldoet aan de eisen van de AVG.”
Milestone heeft veel maatregelen getroffen om het videomanagementsysteem Xprotect te laten voldoen aan de eisen van de privacyautoriteiten. Zo is nu beter dan ooit te bepalen wie, wanneer tot welke beelden toegang krijgt. De netwerkarchitectuur kan worden gesegmenteerd als extra beveiliging en de communicatie wordt van de camera tot het beeldscherm versleuteld.

Rechten
De AVG gaat niet alleen over het voorkomen van datalekken. Ook hebben mensen van wie persoonsgegevens worden beheerd meer rechten gekregen. Zo mogen zij in principe de beelden opeisen waarop zij zijn te zien en ook mogen zij de gegevensverwerker (eigenaar) vragen de beelden te vernietigen, als er geen concrete reden is de beelden te bewaren. Hiervoor bestaan nu handige technieken, zoals zoekmechanismen om de beelden snel terug te vinden, en een techniek om hoofden van waargenomen personen onherkenbaar te maken.
Andere geavanceerde technieken zijn het toevoegen van een watermerk aan beelden zodat duidelijk wordt dat ze niet zijn gemanipuleerd, toevoeging van een privacymasker zodat camera’s niet onbedoeld bij woningen naar binnen kijken en 2-factor authenticatie voor toegang tot de data.

Papierwinkel
“Naast goede techniek is ook een uitgebreide ‘papierwinkel’ nodig”, vervolgde Band. “Denk aan een beschrijving van waarvoor het systeem dient, wie toegang heeft tot de beelden, wie verantwoordelijk is voor het systeem en hoe lang beelden worden bewaard.”
Om gebruikers te helpen bij de papierwinkel heeft Milestone een zogenoemde Privacy Guide samengesteld. Deze bestaat uit vrij te downloaden documenten die nodig zijn om als gegevensverwerker een goed dossier te kunnen samenstellen. Er zit zelfs een formulier in waarmee datalekken gemeld kunnen worden aan de Autoriteit Persoonsgegevens.

Ideaal voor cybercrime
IP-camera’s zijn ideaal om cybercrime mee te plegen, vertelde beveiligingsspecialist Chuck Davis van Hikvision. “Het zijn in feite gewoon computers, die dag en nacht aanstaan, behoorlijk krachtig zijn en vaak nauwelijks enige vorm van beveiliging hebben. Dat geldt voor camera’s, maar ook voor veel andere op internet aangesloten apparatuur. Zo werd een Amerikaans casino gehackt via een ‘slimme’ thermometer in een aquarium. Sluit maar een apparaat aan op internet en het wordt meteen automatisch gescand door ‘robots’ op zoek naar kwetsbaarheden!” De specialist, die carrière maakte bij de FBI en IBM en die naast zijn werk les geeft in cybersecurity aan diverse universiteiten, noemde botnets als voorbeeld van cybercrime waarvoor camera’s worden misbruikt. Op de camera’s wordt software geïnstalleerd, waarmee websites aangevallen worden. Op deze wijze worden onder andere webwinkels afgeperst.

Kwetsbaarheden
Hikvision besteedt volgens Davis veel aandacht aan beveiliging van zijn camera’s. “Maar de gebruiker moet dan wel de firmware blijven updaten. We krijgen wel eens informatie van hackers, die een lek hebben ontdekt. Wij zorgen dan zo snel mogelijk voor een update om de kwetsbaarheid ongedaan te maken. Helaas zien wij in de praktijk dat niet iedereen zo’n update installeert. Het kan ook lastig zijn als het systeem daarvoor opnieuw opgestart moet worden, maar het is wel heel belangrijk. We hebben meegemaakt dat we een kwetsbaarheid hadden verholpen, waarna de hacker het lek openbaar maakte. Vervolgens kon dus iedereen beelden bekijken van nog niet geüpdatet camera’s, ook van camera’s in kinderkamers. Heel kwalijk was dat.” Davis uitte ook zijn ongenoegen over de kritiek die Hikvision ten deel valt en die heeft geleid tot een boycot door de Amerikaanse overheid. “De vermeende achterdeurtjes zijn nog altijd niet bewezen en wij leveren al sinds 2014 geen camera’s meer met een fabriekswachtwoord. Er zijn verschillende onderzoeken geweest naar de beveiliging van camera’s en daar kwam Hikvision altijd goed uit. Ook worden onze camera’s niet in botnets aangetroffen.” De beveiligingsspecialist wees er wel op dat er altijd risico’s blijven bestaan. “Cybersecurity is a journey, not a destination!”