Het belang van privacy bij gebruik van beveiligingssystemen

De boodschap dat privacy van groot belang is, zou men misschien niet verwachten van een fabrikant die software bouwt om alles goed in de gaten te kunnen houden. Toch noemt Genetec privacybescherming tegenwoordig als een van de belangrijkste kenmerken van zijn producten.

Waarom is privacy zo belangrijk? Productmanager Laurent Villeneuve stelde deze vraag retorisch tijdens een internationale persconferentie die eind juli plaatsvond in Montréal. “Het heeft allemaal te maken met de ‘interconnected world’, waarbij data voor iedereen toegankelijk wordt. Handig, maar ook risicovol”, antwoordde hij. “Je hoeft maar iets aan te sluiten op een slecht beveiligd netwerk en het is binnen enkele minuten gehackt.” Hacken wordt volgens de specialist ook steeds interessanter, omdat steeds meer gevoelige informatie online wordt gezet. “Dat brengt bedrijfsprocessen in gevaar en vergroot de kans op hoge boetes van de privacyautoriteiten. In Frankrijk is onlangs een bedrijf beboet wegens het gebruik van een slecht beveiligd camerasysteem om medewerkers te observeren. Het had niet eens een wachtwoord. De boete was 20.000 euro, ofwel 2% van de jaaromzet.”

Supply chain risk management
Cybercrime is volgens Villeneuve een industrie geworden waarin evenveel omzet wordt gerealiseerd als in de drugshandel, namelijk 5800 miljard dollar per jaar. “Er is niet alleen directe schade, maar ook reputatieschade wat leidt tot verlies van klanten.” De productmanager waarschuwde dat steeds meer systemen op elkaar worden aangesloten, wat de kwetsbaarheid verhoogt. “Een slim broodrooster kan de zwakke schakel zijn! Dat maakt ‘supply chain risk management’ noodzakelijk. Zeker bij gebruik van camerasystemen, waarmee identiteiten zijn te achterhalen. Dat zijn zeer gevoelige gegevens volgens de privacywetgeving. Daarom beveiligen wij tegenwoordig niet meer zozeer het systeem, maar de data die daar in zit. En dan gaat het om alle data die te herleiden is naar persoonsgegevens. Het beveiligen daarvan vergt meerdere lagen, die continu worden doorontwikkeld.” Villeneuve benadrukte het belang om camerasystemen te laten ontwerpen en installeren door bedrijven die ook voor wat betreft cybersecurity gecertificeerde kennis in huis hebben.

Veiligheidsbeleid
Wat komt daar zoal bij kijken? Eerst dienen de risico’s in kaart gebracht en zoveel mogelijk beperkt te worden. Er dient gewerkt te worden met betrouwbare producten, een transparant veiligheidsbeleid en een netwerk van vertrouwen als uiteindelijke doel. Dat gaat niet alleen over techniek, maar ook over medewerkers. Een ziekenhuis in Singapore verloor miljoenen patiëntendossiers aan hackers door twee onverschillige personeelsleden. Ook wereldwijd ontstaan de meeste cyberincidenten door eigen medewerkers. Om de kans op fouten zoveel mogelijk te beperken is het van belang om alle data te versleutelen en personeel niet meer rechten te geven dan strikt noodzakelijk. Verder dient gezorgd te worden voor zekerheid over wie op het systeem inlogt. Villeneuve noemde de certificeringen waaraan de producten van Genetec inmiddels voldoen. Voor de systemen zelf is dat UL2900-2-3 voor SC Omnicast, CSPN ANSSI voor Synergis Cloud Link en DHS voor Security Center. De cloud-oplossingen zijn gecertificeerd volgens ISO 27001, FBI CJIS Cloud Archives en Microsoft Gold Cloud Platform. De privacy wordt gewaarborgd door EuroPriSe Privacy Protector en CPNI Intrusion Detector.

Steeds slimmer
De beveiligingstechnologie wordt volgens Villeneuve steeds slimmer, maar dat geldt ook voor de aanvallers. “Goede beveiliging moet dus vanzelfsprekend worden. Liefst zonder dat de gebruiker daar iets bijzonders voor hoeft te doen. Dus automatische updates, automatische beveiligingsinstellingen en automatische conformering aan de beveiligingsstandaards.”
In de nieuwste versies van het unified beveiligingsplatform Security Center van Genetec kan videomateriaal automatisch worden geanonimiseerd, is goed bij te houden wie wanneer welke beelden of andere gegevens raadpleegt, worden de in- en uitgangen van de systemen continu bewaakt, is de ‘gezondheid’ van apparatuur en software in de gaten te houden en wordt het eenvoudig gemaakt om een zo hoog mogelijk beveiligingsniveau te kiezen. Villeneuve: “Dreigingen blijven zich ontwikkelen en zijn nooit volledig te vermijden, het gaat niet alleen om de beveiligingssystemen, er is niet één oplossing om alles voor elkaar te krijgen, je moet uitgaan van nul vertrouwen, vertrouwen is niet te koop en het is een gedeeltelijke verantwoordelijkheid waarin we als beveiligers een centrale rol vervullen.”

Gedeeld

Geef een reactie