‘Hoe veilig is een beveiligingscamera?’ lijkt misschien een simpele vraag, maar is het niet. De definitie van ‘veilig’ is subjectief; hebben wij het over fysieke beveiliging, digitale beveiliging of een combinatie van beiden? Een betere vraag zou zijn: ‘Hoe eenvoudig is het voor iemand om een beveiligingscamera te hacken?’
Mikko Hypponen, de Finse cyber-evangelist, is wereldwijd bekend geworden vanwege zijn stelling: “If a device is smart, it’s vulnerable!”. Deze stelling geeft weer dat alle apparaten, die bestaan uit hard-en software, en aan het internet zijn gekoppeld, kwetsbaar zijn – en dus te hacken zijn. Als wij naar deze stelling kijken, dan is een beveiligingscamera ook kwetsbaar en te hacken, maar de kernvraag is: hoe eenvoudig is dit?
Cyberaanvallers zijn slim, maar ook pragmatisch. Zij verkiezen de eenvoudige doelwitten.
Beveiligingscamera’s (lees verder: camera’s) zijn er in allerlei soorten en maten, en worden ontworpen, ontwikkeld en gebouwd door verschillende producenten, afkomstig uit meerdere landen. De huidige generatie camera’s zijn technologisch zeer geavanceerd en vallen daarmee in de categorie edge computing IoT devices. Dit betekent dat deze apparaten beschikken over veel complexe processen en computerkracht.
Deze technologische ontwikkelingen genereren ongelooflijke innovatieve beveiligingscapaciteiten, maar zorgen tegelijkertijd ook voor serieuze digitale risico’s. De huidige camera’s bestaan uit een veelvoud van hard- en software componenten, welke zowel in-house worden geproduceerd als worden aangeleverd door derden. Juist deze complexiteit vergroot het aanvalsoppervlakte, waardoor camera’s een interessant doelwit zijn voor de cyberaanvallers. Een voorbeeld hiervan is het Mirai botnet. Camera’s zijn dus een interessant doelwit, maar is het ook een makkelijk doelwit? Dat hangt ervan af…
Is de beveiliging een prioriteit voor de producent?
Naast de verschillende soorten digitale camera’s zijn er ook verschillende soorten digitale beveiligingsmaatregelen, die de producenten kunnen toepassen. En dat is essentieel voor de beantwoording van onze vraag. De beveiliging van de camera is namelijk afhankelijk van de bereidheid van de producent om kosten en moeite in de beveiliging van de camera te investeren. Is de beveiliging van de camera zelf een serieuze prioriteit voor de producent?
Het is een feit dat alle camera’s kwetsbaar zijn. Het is ook een gegeven dat hoe lastiger een camera te hacken is, des te eerder een cyberaanvaller overstapt naar een andere camera, die wel relatief eenvoudig is te hacken. Cyberaanvallers zijn slim, maar ook pragmatisch. Zij verkiezen de eenvoudige doelwitten (mits hetzelfde resultaat kan worden bereikt).
Een cameraproducent die investeert in de cyberweerbaarheid van zijn camera, zal een minder interessant doelwit worden voor cyberaanvallers. Het zijn dan ook uiteindelijk dergelijke investeringen zoals het toepassen van Secure-by-Design in het productieproces en het bezitten van een Security Response Center, die het verschil maken tussen een gehackte camera en een cyberresillient camera. Daarnaast zijn het ook de investeringen in het oprichten van een Source Code Transparency Center en het aanstellen regionale Directors Cybersecurity, die de bereidheid van de producent tonen om te investeren in de cyberweerbaarheid van de camera’s.
De vraag ‘Hoe eenvoudig is het voor iemand om een beveiligingscamera te hacken?’ kan worden beantwoord door te kijken naar de cyberweerbaarheid investeringen van de cameraproducent. Dan is deze vraag eenvoudig te beantwoorden…
Fred Streefland, EMEA Cyber Security Director Hikvision