Niemand wil dat beelden van bewakingscamera’s onderschept of gemanipuleerd worden. Toch zal het weinig gebeuren dat bij het zoeken naar nieuwe camera’s geïnformeerd wordt naar hoe het zit met de beveiliging tegen cybercrime. Volgens Fred Streefland van Hikvision zou dat ook niet nodig moeten zijn.

Fred Streefland, directeur Cybersecurity bij Hikvision EMEA, vindt dat bewakingscamera’s al vanaf de fabriek maximale bescherming moeten bieden tegen cybercrime. Dus zonder dat de gebruiker of installateur eerst zelf allerlei handelingen moet verrichten. Zelfs als dat ten koste gaat van bepaalde functies. Wanneer de gebruiker die functies wil gebruiken, kan hij zelf weloverwogen besluiten om concessies te doen aan het beveiligingsniveau van de camera.

Wat betekent het?
“We noemen dat ‘secure-by-design’ en ‘secure-by-default’”, vertelt de cybersecurityexpert. “Dat zijn veelgebruikte termen voor cybersecurity, maar wat betekenen ze eigenlijk? Hoe weet je nu zeker dat een product ook werkelijk veilig is? En waarom is dat zo belangrijk voor de bedrijfs- en beveiligingsstrategie?” ‘Secure-by-design’ is volgens Streefland een filosofie of benadering die tot doel heeft om beveiliging in elke fase van het productieproces van een product in te bouwen. Het begint in de conceptuele fase, wanneer een videocamera of ander product zich nog op de tekentafel bevindt, en loopt via ontwikkeling en testen tot aan de uiteindelijke productie en levering. “Maar het gaat er niet alleen om dat bij het ontwikkelen van nieuwe producten aan veiligheid wordt gedacht. Er moeten ook concrete stappen worden genomen om de beveiliging in elke fase te evalueren.”

Maximaal beveiligd
Tot die concrete stappen rekent Streefland beoordeling van de camerasoftware door onafhankelijke, externe partijen. Die kunnen tijdens het testen fouten in de software aan het licht brengen. Voor het ontdekken van gaten in de beveiliging zijn gespecialiseerde penetratietests vereist. Daarnaast is het dus van belang dat de camera maximaal beveiligd is als deze de fabriek verlaat. “Zoals altijd moet er een evenwicht worden gevonden tussen beveiliging en functionaliteit. En de gebruiker heeft altijd de mogelijkheid om de beveiligingsinstellingen af ​​te zwakken als dat nodig is om de functionaliteit te vergroten. Dat kan hij laten afhangen van het risico.” De cybersecurityexpert raadt kopers van bewakingscamera’s aan om bij aanschaf altijd een aantal kritische vragen te stellen aan de leverancier betreffende de cybersecurity van de producten.

Kritische vragen
Of een bewakingscamera veilig is hangt dus sterk af van hoe serieus de fabrikant cybersecurity neemt. Streefland: “Informeer daarnaar bij de leverancier! Weet die wat de fabrikant investeert in onderzoek naar beveiliging en dreigingen en in het laten beoordelen van de producten door onafhankelijke partijen? Van een fabrikant die daar geen budget voor heeft, mag op dit gebied niet veel worden verwacht. Een andere interessante vraag is of de fabrikant een speciaal cybersecurityteam heeft, dat producten gedurende de hele levenscyclus vanaf het ontwerp kritisch beoordeelt. En is een fabrikant daar transparant over? Zijn er openbare whitepapers en andere documenten met daarin de testresultaten? En kan de fabrikant ondersteuning bieden als er tijdens het gebruik van de camera’s beveiligingskwesties ontstaan? Is er een aftersalesteam dat vragen op dat gebied kan beantwoorden? En tot slot: zijn alle producten van de fabrikant ‘secure-by-design’?”

Hoe zit het met Hikvision?
Streefland zou deze adviezen niet geven als Hikvision er zelf niet voor zou zorgen dat alle producten ‘secure-by-design’ en ‘secure-by-default’ zouden zijn. Het bewijs daarvoor wordt geleverd door onder andere de bekende Russische website insecam.org, die beelden van onbeveiligde bewakingscamera’s weergeeft. In de lange lijst met merken ontbreekt Hikvision. “Wij investeren miljoenen dollars en duizenden R&D-uren per jaar om ervoor te zorgen dat onze producten volledig veilig zijn door ontwerp en dat zij standaard zijn beveiligd”, zegt de directeur Cybersecurity. “In praktische termen verwerken we cyberbeveiligingsfuncties in al onze producten onder het toeziend oog van ons toegewijde cyberbeveiligingsteam. Daarnaast worden in elke fase van de ontwikkelings- en productieprocessen strenge peer reviews en pentesten uitgevoerd. We zijn ook volledig transparant over de tools en processen die we gebruiken om ‘secure-by-design’-producten te maken en we delen deze informatie graag met onze klanten. Ten slotte, maar even belangrijk, worden alle Hikvision-producten geleverd in een ‘secure-by-default’-configuratie, zodat gebruikers hun eigen beslissingen kunnen nemen bij het balanceren van veiligheid en functionaliteit.”