Regelmatig lezen we berichten, dat camera’s zo lek zijn als een mandje. Digitale hulpmiddelen die de veiligheid moeten vergroten, blijken juist een bedreiging. Security Management sprak met Rick Strijbos (directeur Security Academy Nederland) over deze problematiek, de te nemen maatregelen en de rol van diverse partijen.
Alles met een IP-nummer is kwetsbaar
Hoe ben je in ‘security’ terechtgekomen?
“Dat was geen bewuste keuze. Op mijn vijfentwintigste kwam ik – bij toeval – in de IT terecht. Niet de technisch inhoudelijk kant trok mij, maar de dynamiek in de markt. Zestien jaar geleden raakte ik meer geïnteresseerd in security. Met mijn destijds eigen bedrijf verrichtte ik veel werk in de techniek van het internetbetalingsverkeer van banken. Toen ik op televisie zag hoe het tweede vliegtuig zich in de Twin Towers in New York boorde, realiseerde ik mij: ‘This world is gonna change’. Hier moeten we iets mee. Met mijn technische specialisten hebben we toen een post hbo-opleiding Internet Security ontwikkeld voor de Haagse Hogeschool.”
Sinds januari 2015 ben je directeur van de Security Academy Nederland. Wat doet deze organisatie?
“Vanaf 2007 is ons opleidingsinstituut actief. Destijds zagen we dat er een enorm gat bestond tussen vierjarige hbo/academische en behoorlijk theoretische opleidingen en de ‘tweedaagse IT-knoppencursus’, oftewel ‘ik weet op welke knop ik moet drukken, maar niet waarom’. Wij zijn in het ‘gat’ gesprongen en hebben post hbo-opleidingen ontwikkeld van vijftien dagen, gegeven door mensen uit de praktijk. Momenteel kennen we opleidingen in een aantal securityvakgebieden: information security management, IT security, privacy & data protection, business continuity management & crisis management en fysieke beveiliging.
Zonder het te weten, kan jouw beveiligingscamera twee jaar geleden al gehackt zijn en deel uitmaken van een botnet
Een van de hot items die spelen in securityland, is die van de veiligheid van beveiligingscamera’s. Hoe staan we er voor?
“Ik trek het liever breder, naar het Internet of Things (IoT). Alles met een IP-nummer is kwetsbaar. Maar hoe kwetsbaar? We weten het niet. Praten we over beveiligingscamera’s, dan kunnen deze gehackt worden met als doel uitschakeling ervan om in te kunnen breken. Of, met een veel grotere impact, om in te zetten als device om een ander doelwit te treffen. Eind 2016 gingen in Amerika onder andere Twitter en Spotify plat door onveilige devices, gebruikt om data naar de centrale servers te sturen. Een DDos-aanval. Dus zonder het te weten, kan jouw beveiligingscamera twee jaar geleden al gehackt zijn en deel uitmaken van een botnet.”
>> Lees ook ‘Open wifinetwerken zijn altijd een slecht idee’
Dus we kunnen er moeilijk de vinger op leggen?
“Dat klopt.”
Volgens Rick Strijbos moeten zowel de gebruiker als de leverancier van een beveiligingscamera een mechanisme ontwikkelen om de veiligheid te verhogen.
Maar zijn we ons wel voldoende bewust van de gevaren?
“De professionals wel, maar de gemiddelde gebruiker niet. Alhoewel, de professional, wie is hij? Komt hij uit de fysieke beveiliging, dan is het wellicht geen professional in IT security. Ook zijn er IT securityprofessionals – die alles weten van de nullen en de enen – maar op Facebook vermelden dat ze de volgende dag op vakantie gaan.
Dus actie is nodig?
“Inderdaad. En dat kan met onder andere security by design. Goed nadenken over de beveiliging bij het ontwerp en tijdens de bouw, zodanig dat security intrinsiek is verweven in de software. Een ketting is zo sterk als de zwakste schakel, dus moeten er structureel maatregelen genomen worden. Wat heeft het voor zin om van een bankgebouw alle ramen en deuren te vergrendelen als binnen de sleutel gewoon in de kluis zit? Kortom, zowel de gebruiker als de leverancier van bijvoorbeeld een beveiligingscamera moeten een mechanisme ontwikkelen om de veiligheid te verhogen. Stel je koopt een beveiligingscamera, dan is standaard vaak de login ‘admin’ met als wachtwoord ‘0000’. De fabrikant zou ook het wachtwoordnummer separaat toe kunnen sturen. Aan de andere kant, de gebruiker zou moeten eisen dat een beveiligingscamera op deze wijze geleverd wordt. Zelf het wachtwoord kunnen aanpassen. En bereid zijn een paar euro meer te betalen.”
>> Klik hier voor 5 tips Hoe kies je de juiste beveiligingscamera?
Gebeurt dit dan nog maar mondjesmaat?
“Dat is afhankelijk van de sector. Het bank- en verzekeringswezen is er bekend mee. Kijken we naar de kritische infrastructuur, dan bemoeit de overheid zich hier gelukkig mee middels wet- en regelgeving. Over de zorgsector maak ik me meer zorgen. Vanuit welke kant de push kan komen? Verschillende. Bijvoorbeeld vanuit de overheid. En dat gebeurt ook. Zij hebben er voor gezorgd, dat ‘privacy’ nu wel op de directietafel ligt. Het krijgt managementaandacht en budget. Maar uiteindelijk hebben we te maken met mensen. Mensen hebben blinde vlekken en kwaliteiten. Ik snap best dat een arts in een ziekenhuis zijn focus heeft op patiëntveiligheid, de rest is bijzaak. Dat is ook goed. Maar dan moeten we wel de persoon die binnen het ziekenhuis verantwoordelijk is voor informatiebeveiliging de ruimte geven die andere beveiliging in orde te maken.”
Is awareness belangrijker dan technische beveiliging?
“Het gaat hand in hand. Maar omdat we allemaal mensen zijn met onze zwakheden, moeten we – om iets af te dwingen – ook kiezen voor technische oplossingen. We kunnen medewerkers in een bedrijf instrueren over phishing. Vertellen wanneer ze wel of niet op een link mogen klikken. Maar aan de andere kant, e-mails zijn tegenwoordig zo geavanceerd, dat zelfs een beveiligingsspecialist zes keer moet kijken of een link wel of niet betrouwbaar is. Techniek kan soms de oplossing zijn, ook al is die nooit helemaal waterdicht. Oftewel, de keuze kan vallen op het plaatsen van devices in het netwerk die verkeerde mails op basis van geheel andere criteria er uit vissen en in de spambox plaatsen.”
Als we Nederland vergelijken met het buitenland, reageren wij wel of niet anders op dit security vraagstuk? Of we het nu hebben over (on)veilige beveiligingscamera’s of phishing.
“Als gevolg van de volksaard zien we verschillen. Amerikanen zijn erg goed in technische oplossingen. Duitsland is het strengste en meest genuanceerd denkende land ter wereld als we het hebben over privacy. Nederland is goed in management. We zijn direct en open. Dus signaleren we snel wat het probleem is. Dat klinkt paradoxaal in security. Hoe dichter alles is, hoe beter in control. Het tegendeel is waar. Want des te minder zien we wat er echt speelt.”
Tot slot, security is je vakgebied. Ben jij privé hierdoor extra alert op veiligheid en beveiliging?
“Eigenlijk niet. Ik weet dat 100 procent veiligheid niet bestaat. Ik accepteer risico’s. Op vakantie ben ik gelukkig niet continu bezig met security. Dan kun je niet lekker meer leven. Wel heb ik een zesde zintuig voor mensen ontwikkeld en vraag me misschien eerder als de gemiddelde mens af welke intenties zij hebben. Vanuit mijn functie bezoek ik regelmatig grote bedrijven. Ik vind het fantastisch om – als ik vijf minuten te vroeg ben en zit te wachten bij de receptie – te signaleren wat er gebeurt en of er een mogelijke kwetsbaarheid is. Maar thuis is mijn vrouw degene die let op bijvoorbeeld de keurmerken op sloten. Dan denk ik: ‘Het zal wel’. Als iemand het maar doet, toch?”
Betty Rombout is freelance journalist
>> Meer over cameratoezicht op onze speciale overzichtspagina: Cameratoezicht als fysieke beveiligingsmaatregel
>> Download hier de gratis whitepaper Trends in cameratoezicht