De betrouwbaarheid van veel alarmtransmissie-oplossingen laat te wensen over. En dat terwijl cybercrime een steeds groter probleem wordt.
Dat de DigiAccess-dienstverlening van KPN geen lang leven meer beschoren was, mocht binnen de beveiligingsbranche als algemeen bekend worden beschouwd. Toch waren er maandagochtend 12 januari nog ruim duizend objecten die ineens geen verbinding meer hadden met hun meldkamer.
De betrokken klanten reageerden verbaasd en soms ook wel paniekerig op het telefoontje van de meldkamer, dat de alarmverbinding weg was. Het was in veel gevallen niet mogelijk dit probleem ‘even snel op te lossen’. Op veel locaties werd voor het herstel van de verbinding met de meldkamer gebruik gemaakt van de aanwezige internetverbinding. Maar DigiAccess Alarm was een veilig en besloten alarmtransmissie-netwerk. Het is heel wat anders om de alarmmeldingen over een voor iedereen toegankelijk internet te versturen. Dit brengt de nodige risico’s met zich mee, maar helaas realiseert niet iedereen zich dat.
>> Bekijk dossier over PAC’s
Beveiligingsmarkt
Op de Nederlandse markt zijn circa 25 meldkamers of Particuliere Alarm Centrales (PAC’s) actief. Hierop zijn ongeveer 500.000 objecten – kantoren, bedrijven en particulieren – aangesloten.
Bij hogere risico’s werd DigiAccess Alarm van KPN toegepast. Het gaat hierbij om de zogenoemde AL2/DP3 en AL3/DP4 -locaties, zoals juweliers en bedrijven met aantrekkelijke goederen. Verzekeraars vereisen hier een continue verbinding met de meldkamer.
DigiAccess Alarm was een speciaal alarm-abonnement, te gebruiken in combinatie met een ISDN-aansluiting. Via dit abonnement werd een continu bewaakte, besloten verbinding opgezet tussen object en meldkamer. KPN zette deze alarmdienstverlening 12 januari definitief uit vanwege verouderde netwerktechnologie. Als vervangende dienst had het bedrijf eerder al DigiAlarm geïntroduceerd. Dit is een besloten netwerk dat wel via IP werkt maar geen gebruik maakt van het publieke internet. DigiAlarm is NPR 8136 conform. Het is als enige alarmtransmissie-oplossing voor de hogere AL2/DP3 en AL3/DP4 – risico’s door Kiwa end-to-end gecertificeerd conform de Europese norm (NEN-EN 50136:2012).
Wake up call
Begin 2014 waren er ruim 10.000 DigiAccess Alarm-aansluitingen die in dat jaar nog naar een alarmdoormelding over IP moesten migreren. Veel bedrijven lieten, op advies van de betrokken alarminstallateur, de alarmoverdracht naar de meldkamer overzetten op de al aanwezige internetverbinding. Hierbij werd vaak een zogenoemde VPN-tunnel over internet (VPN: Virtueel Private Netwerk) toegepast met een back-up via een internet-SIM.
Maar ook zo’n oplossing is en blijft internet, ook wat de ontvangst aan de PAC-zijde betreft. De locatie die tot voor kort was aangesloten op het veilige en besloten DigiAccessAlarm-netwerk verstuurt de alarmberichten nu over het publieke internet. Veel experts die de klant adviseren over de verbinding tussen object en meldkamer, zoals alarminstallateurs en verzekeraars, zijn blijkbaar doof voor het nieuws over cybercriminaliteit. Inmiddels zijn DDoS-aanvallen, het hacken van computers en belangrijke websites ook in Nederland aan de orde van de dag. Zo was volgens het ministerie van Veiligheid en Justitie in 2014 ruim 40 procent van Nederlandse ondernemers slachtoffer van cybercrime. Dit is de snelst groeiende criminaliteit ter wereld. Cybercrime kan volgens het Nationaal Cyber Security Centrum niet alleen het bedrijfsleven maar ook de consument hard treffen. Een sprekend voorbeeld hiervan is de Nederlands-Franse SIMkaartfabrikant Gemalto die in 2010 en 2011 werd gehackt door Amerikaanse en Engelse inlichtingendiensten.
DDoS-aanval
DDoS-aanvallen (Distributed Denial of Service) op centrale computers en sites vinden ook in Nederland regelmatig plaats. Recente voorbeelden zijn sites van de Rijksoverheid, Telfort en Geen Stijl. Eerder waren ING, MasterCard, VisaCard, PayPal en DigiD al slachtoffer en daardoor lange tijd ‘uit de lucht’.
Ook meldkamers kunnen zo’n DDoS-aanval te verduren krijgen. Bij zo’n aanval komen alarmmeldingen van risicolocaties, die op basis van een enkele of tweevoudige internetoplossing doormelden, lange tijd niet aan bij die meldkamer. Te vaak wordt geredeneerd: ‘Dat overkomt ons niet’. Maar dat dacht men bij veel van de aangevallen organisaties ook.
De betrokken alarminstallateurs zouden eindklanten van risicolocaties indringend moeten wijzen op de risico’s die ontstaan bij alarmoverdracht over publiek internet. Dat geldt ook voor verzekeraars. Bovendien moeten zij meer zicht houden op de alarmtransmissiewijzigingen die worden doorgevoerd op hun risicolocaties. Deze worden nu tijdens controles, die beperkt plaatsvinden, vastgesteld. Of de wijzigingen komen pas aan het licht als er een forse schade is.
>> Lees De 3 meest gestelde vragen over een DDoS-aanval
NPR 8136
De beveiligingsbranche publiceerde in juli 2012 vanuit NEN (Taakgroep Alarmtransmissie) de Nederlandse praktijkrichtlijn NPR 8136 Alarmtransmissie over IP-netwerken. Dit is een leidraad voor ontwerp, installatie, inspectie en onderhoud, gebaseerd op de Europese norm NEN-EN 50136-1. Zo adviseert men bij lage risico’s (AL1/DP1/DP2) ten minste één besloten alarmtransmissieverbinding toe te passen en voor hogere risico’s twee besloten verbindingen tussen object en meldkamer te gebruiken.
Oplossingen die uitgaan van een tunnel (VPN) over internet worden niet als besloten en veilig gekwalificeerd. Het is buitengewoon teleurstellend dat er nauwelijks Alarm-over-IP-oplossingen zijn aangeboden die NPR-conform zijn, zoals de eerder genoemde DigiAlarm-dienstverlening.
Hierbij wordt geen gebruik gemaakt van het internet maar uitsluitend van besloten alarmtransmissie-verbindingen, geleverd door verschillende providers. De beschikbaarheid en betrouwbaarheid van dit DigiAlarm-netwerk is vele malen hoger dan het publieke internet. Bovendien wordt de dienst end-to-end beheerd en wordt de alarmtransmissie continu gecontroleerd.
Doof en blind
De Verbeterde Risico Klasse Indeling (VRKI) is ‘een instrument om het risico op diefstal te bepalen’ en wordt door het CCV (Centrum voor Criminaliteitspreventie en Veiligheid) uitgegeven en beheerd. Onderwerpen die met betrekking tot de beveiliging van een object aan de orde komen, zijn onder andere de organisatorische, bouwkundige en elektronische maatregelen, en de reactie (het opvolgen van de alarmen). In het hoofdstuk Alarmering wordt uitgebreid ingegaan op wat onder een Alarm Transmissie Systeem (ATS) wordt verstaan, de specificatie van de verschillende ATS categorieën en de prestatieniveaus waaraan moet worden voldaan. Maar ook is er aandacht voor de verificatie hiervan (VoP) en de beschikbaarheid van het ATS. Dit is inclusief het alarmtransmissienetwerk. Bij de beschikbaarheid van het ATS wordt gesteld dat ‘ieder beschikbaar netwerk kan worden gebruikt om de meldingen naar de meldkamer te sturen’.
Feitelijk is dit juist, maar je mag toch verwachten dat – afhankelijk van het risico – een netwerk wordt toegepast dat voldoende betrouwbaar, veilig en ongevoelig is voor de eerder genoemde toenemende cybercriminaliteit. Maar in de hele VRKI komt het woord Cybercrime of DDoS niet voor. Het wordt hoog tijd dat het CCV een actueel hoofdstuk toevoegt, met aandacht voor deze oprukkende criminaliteit en richtlijnen, zodat de klant het vertrouwen blijft houden in de aangeboden beveiliging en toegepaste alarmtransmissie. Van verzekeraars zou je hierbij een veel actievere rol mogen verwachten, zoals het vasthouden aan de richtlijnen en adviezen uit de NPR 8136. Uiteindelijk zijn het hun risico’s waar een betrouwbare beveiliging wordt vereist, inclusief veilige (besloten) alarmtransmissie-verbindingen met de meldkamer.
Nieuw: NEN 8131
NEN 8131 betreft systeem- en kwaliteitseisen plus toepassingsrichtlijnen voor inbraak- en overvalalarmsystemen. De norm geeft regels voor het ontwerp, de uitvoering, de bediening, de inbedrijfstelling, het onderhoud en de kwaliteit van inbraak- en overvalalarmsystemen (afgekort I&OAS). NEN 8131 stelt eisen aan de prestaties van een I&OAS en de kwaliteit van de toegepaste componenten. Daarnaast bevat de norm voorschriften en aanbevelingen voor het ontwerp van het systeem zoals bijvoorbeeld de aard en omvang van de detectie en de wijze van installatie van het systeem. Ook de eisen voor inbedrijfstelling, de documentatie en het onderhoud van een I&OAS staan beschreven in de norm. De eisen en aanbevelingen van NEN 8131 zijn gebaseerd op relevante normen zoals:
- NEN-EN 50131, de Europese normreeks voor alarmsystemen;
- NEN-EN 50136,de normreeks voor alarmtransmissiesystemen.
De systeemeisen en eisen aan apparatuur zijn hieruit overgenomen. Door verwijzing naar deze nieuwe norm kan verouderde regelgeving worden afgeschaft, voor zover deze betrekking heeft op de elektronische beveiligingsmaatregelen. Hierbij valt te denken aan bepaalde onderdelen van de eerder genoemde VRKI van het CCV. Ook de verouderde voorschriften voor installatie van alarmapparatuur en voorschriften voor beheer en onderhoud van alarmapparatuur van het Verbond van Beveiligingsorganisaties (VvBO) zijn door NEN 8131 overbodig geworden.
Belangrijk gegeven uit de NEN 8131 is dat deze voor wat betreft de alarmtransmissie tussen object en PAC ondubbelzinnig verwijst naar de NPR 8136. Het is onbegrijpelijk dat zowel de NPR 8136 als deze NEN 8131 (nog) niet worden ‘omarmd’ door de beveiligingsbranche.
Wakker worden
Wakker worden
Alarmtransmissie-oplossingen die frequent werden en worden aangeboden zijn vaak schijnbaar goedkope internetoplossingen. Lang niet alle kosten zijn voor de eindklant direct inzichtelijk. Vaak loopt zo’n aansluiting met de meldkamer via buitenlandse servers en bedrijven, zonder dat de klant dit weet. De betrouwbaarheid van die aansluiting op de meldkamer is hierdoor onvoldoende. Een DDos-aanval op een meldkamer kan grootschalige uitval van alarmverbindingen tot gevolg hebben. Blijkbaar is dit nodig voordat betrokken partijen cybercrime serieus nemen en er naar handelen, bijvoorbeeld door te investeren in veilige (DDoS ongevoelige) alarm over IP-oplossingen.
Bart Postelmans is senior business consultant, parttime werkzaam bij ASB-Security in Eindhoven.