Niet de fabrikant of installateur, maar de gebruiker is ervoor verantwoordelijk dat een camerasysteem veilig wordt toegepast. “Toch zien wij het wel als onze plicht om gebruikers te helpen deze verantwoordelijkheid te nemen”, zegt Fred Streefland. Hij trad onlangs in dienst als directeur Cybersecurity bij Hikvision EMEA.

Maar relatief weinig gebruikers zullen zich realiseren dat hun digitale bewakingscamera’s een potentieel doelwit vormen voor cybercriminelen. Ze zijn namelijk vaak makkelijk te hacken en vanwege hun rekenkracht prima te gebruiken voor kwaadaardige toepassingen, zoals het creëren van een botnet. Botnets worden door cybercriminelen gebruikt om websites van bijvoorbeeld banken en overheidsorganisaties tijdelijk te overbelasten, waardoor zij onbereikbaar worden. Ook kunnen camera’s een makkelijk te gebruiken illegale toegang vormen tot het netwerk waarop zij zijn aangesloten. Veel camera’s zijn met behulp van een speciale, gewoon via internet te downloaden zoekmachines te vinden. Te zien is dan ook om welk merk en type het gaat, waarna de camera’s met het fabriekswachtwoord zijn over te nemen, zonder dat de legitieme gebruiker dat merkt.

Vermeende achterdeurtjes
Fred Streefland realiseert zich dat veel mensen het misschien verrassend vinden dat juist een Chinese fabrikant waarschuwt voor cyberrisico’s. Zijn werkgever heeft tenslotte al verschillende keren onder vuur gelegen vanwege vermeende achterdeurtjes in de camera’s, waardoor beelden gedeeld zouden worden met de Chinese geheime diensten. Hoewel deze aantijging nog nooit bewezen is, leidde deze wel tot een boycot van Chinese camera’s door onder andere de Amerikaanse overheid. “Juist wij vinden het heel belangrijk dat onze camera’s zo veilig mogelijk in het gebruik zijn”, benadrukt de nieuwe directeur Cybersecurity. “Daarom gaat een substantieel deel van ons R&D-budget naar cybersecurity.” Dat het geen onzin is wat Streefland verkondigt, bewijst de bekende Russische website insecam.org. Daarop zijn beelden te zien van tienduizenden onbeveiligde bewakingscamera’s. Het is ook mogelijk om beelden per cameramerk te selecteren en dan zal het opvallen dat zich onder de vele merken geen camera’s van grote Chinese fabrikanten als Hikvision, Dahua en Uniview bevinden. “Logisch”, aldus de cybersecurityspecialist, “want al onze apparatuur werkt alleen nadat de installateur of gebruiker een moeilijk wachtwoord heeft ingesteld.”

Wisselwerking
Hoewel de fabrikant verschillende beveiligingsmaatregelen in het ontwerp van zijn producten kan verwerken, blijft goede beveiliging mede afhankelijk van de installateur en de gebruiker. “Je hebt elkaar nodig”, aldus Streefland. “We willen beginnen met de installateurs die onze producten toepassen. Het is op zich niet zo heel moeilijk om bijvoorbeeld een netwerk te segmenteren, zodat hackers van een camera niet bij bedrijfsgevoelige data kunnen komen, maar je moet wel weten hoe je het moet doen en dat het noodzakelijk is. Hetzelfde geldt voor het gebruik van een VPN-tunnel tussen de camera’s en de apparatuur van de beheerder en het goed regelen van toegangsrechten. De klant vraagt er niet om, want die weet niet dat het nodig is. En voor veel installateurs is dat voldoende reden om het dan ook maar niet aan te bieden. Nu kunnen we als fabrikant ook bepaalde maatregelen afdwingen, zoals met de verplichting om een moeilijk wachtwoord in te voeren, maar voor een volledig veilig systeem is een wisselwerking nodig tussen alle betrokken partijen. Wij hopen dat te kunnen stimuleren door onze kennis over cybersecurity zoveel mogelijk te delen met installateurs.”

Wapenwedloop
Streefland beseft zich dat cybersecurity niet iedere installateur ‘zijn ding’ is. “Daarom proberen we het in voor installateurs aansprekende bewoordingen over de bühne te brengen. Open en transparant. Intussen zijn wel enkele partijen naar ons toegekomen met vragen over cybersecurity. Dat juichen wij van harte toe, maar voorlopig lijkt het de meesten nog niet te interesseren. Ik kom zelf uit de ICT-business en daar was het weinig anders. Toch merk je op termijn dat je met veilige producten ook als leverancier aan het langste eind trekt.” De cybersecurityspecialist doelt daarmee op het risico dat het hacken van een vitaal camerasysteem in de publiciteit komt en de leverancier met naam en toenaam wordt genoemd. Recent gebeurde dat toen journalisten wat laat het bestaan van insecam.org hadden ontdekt. Met een goed wachtwoord is dat risico redelijk in te dammen, maar om echte hackers te ontmoedigen is meer nodig. “Wie twijfelt aan de veiligheid van onze producten, nodigen wij graag uit deze door een onafhankelijke partij te laten testen. Dat doen wij zelf ook”, vervolgt Streefland. “De Europese Commissie wil dat alle in de Europese Unie gebruikte Internet-of-Things-producten goed beveiligd zijn. De European Union Agency for Cybersecurity, ENISA, brengt daarvoor een certificeringsschema waar al enkele van onze producten aan voldoen. De komende jaren willen wij al onze producten laten certificeren. Wij omarmen elke hacker die er dan nog doorheen komt, want cybersecurity blijft een eeuwige wapenwedloop.”

Beleid
Een beveiligingslek in producten is nauwelijks te voorkomen. “Het gaat er vooral om hoe een fabrikant daarmee omgaat”, aldus Streefland. “We proberen kwetsbaarheden op de eerste plaats te voorkomen door volgens het principe Security-by-Design te ontwikkelen. Bij ons heet dat HSDLC (Hikvision Security Development Life Cycle). Daarbij wordt cybersecurity geïmplementeerd tijdens iedere fase van het productieproces. Het enige nadeel is dat deze werkwijze extra geld en ontwikkeltijd kost en daarom door sommige fabrikanten achterwege wordt gelaten. Hikvision kiest er wel voor omdat problemen met cybercrime nog veel meer geld kan kosten.”
Mensen die zich door argwaan laten leiden zouden nog kunnen denken dat de cybersecurity in Hikvision-producten bedoeld is om de ‘achterdeurtjes’ te camoufleren. Streefland: “Om met die mythe af te rekenen hebben wij sinds 2018 het Source Code Transparency Center (SCTC) laboratorium in Californië. Hier kunnen Amerikaanse, Canadese en Europese regeringsmedewerkers de broncode van Hikvision IoT-apparaten zoals IP-camera’s en Network Video Recorders (NVR) bekijken en evalueren.”

Kwetsbaarheden
Een ander initiatief is het Vulnerability Management Program. Alle kwetsbaarheden die aan Hikvision zijn gemeld of die de fabrikant zelf ontdekt, worden openbaar gemaakt. Vanzelfsprekend worden ook direct patches ontwikkeld en beschikbaar gesteld. Hikvision is een Common Vulnerabilities & Exposures (CVE) Numbering Agency (CVE CNA). Dit betekent dat de fabrikant zich heeft toegelegd op het continu samenwerken met 3rd party white-hat hackers, pen-testers en onderzoekers met als doel om computerkwetsbaarheden tijdig te vinden, op te lossen en te publiceren. Deze publicaties worden verzameld in de National Vulnerability Database (NVD) en zijn openbaar.
In de afgelopen jaren behaalde Hikvision verscheidene internationale certificeringen en werd het bedrijf op verschillende standaarden gecertificeerd. Een voorbeeld hiervan is het FIPS 140-2 certificaat van het U.S. Department of Commerce’s National Institute of Standards and Technology (NIST). Daarnaast heeft Hikvision de volgende certificeringen: ISO 27001, ISO 9001:2013, CMMI Level 5, AICPA SOC, ISO 28000:2007 en de ‘Common Criteria’ certificering met betrekking tot information security.

Privacy
Wat geldt voor security is ook van toepassing op privacy. Hikvision houdt zich internationaal aan de geldende privacywetgeving, verzekert Streefland. “Net als met de beveiliging zijn de gebruikers zelf verantwoordelijk voor de verwerking van persoonsgegevens met onze producten. Toch willen wij als fabrikant bijdragen door ons te verbinden aan het ‘Privacy-by-Default’-principe.”
Helaas komen er veel producten op de markt waarbij alleen een lage prijs van belang is. Deze bezorgen technologie als Internet-of-Things een slechte reputatie, waar ook de goede fabrikanten onder lijden. “Maar nogmaals, je kan security en privacy als fabrikant nog zo serieus nemen, gebruikers en installateurs spelen ook een rol. Het is ook aan hen om zich kritisch op te stellen jegens producten en leveranciers van IoT-producten. Hoe gaat zo’n bedrijf om met geconstateerde kwetsbaarheden? Zorgt het voor updates van de software? Bij een camera van enkele euro’s mag je dat als klant niet verwachten. Een 100 procent veilig camerasysteem is niet mogelijk, maar door bewust te zijn van de risico’s en als fabrikant, leverancier en gebruiker samen te werken is de kans op een security- of privacy-incident wel sterk terug te dringen.”