Een houten hek, een kauwende koe, een man die een pakketje langs brengt. Veel vertier heeft de website Insecam niet te bieden. Maar aan de andere kant… de beelden zijn afkomstig van beveiligingscamera’s, en iedereen kan 24 uur per dag meekijken. Hoe is dat mogelijk?
Wie is er verantwoordelijk voor de veiligheid van beveiligingscamera’s? Het is een vraag die onwillekeurig opborrelt na het zien van de Pointer-documentaire ‘Deze beveiligingscamera’s maken ons onveiliger’ . Want het bleek dat jij en ik de beelden van die camera’s live kunnen bekijken, op een website die voor iedereen toegankelijk is. En nee, dat is niet het werk van ingenieuze hackers die de beveiliging hebben gekraakt. De website in kwestie heet Insecam, en het enige dat hij doet is indexeren, net als Google. Met andere woorden: hij verzamelt camerabeelden die zijn doorgesluisd naar het openbare internet.
Tragikomische taferelen
Het leidt tot tragikomische taferelen. Zie je op Insecam dat er bij die keukenfabrikant een pakketje wordt bezorgd? Via diezelfde website kun je het IP-adres van de camera gemakkelijk achterhalen, en daarmee ook de plaats waar het bedrijf is gevestigd. Als je dan ook nog gebruikmaakt van Google Street View, heb je het juiste bedrijf snel te pakken. En dus kun je – net als de documentairemakers – het bedrijf bellen om te vertellen waar dat pakketje is afgeleverd.
De camera’s hingen ook in de spreekkamer van een fysiotherapeut en in de behandelruimte van een tandarts
Oké, dat klinkt nog redelijk onschuldig. Maar soortgelijke beveiligingscamera’s hangen ook rond een grote villa. En aan de hand van die beelden kunnen kwaadwillenden precies zien wanneer de bewoners hun boodschappen doen. En om de overstap te maken van security naar privacy: de camera’s in kwestie hingen ook in de spreekkamer van een fysiotherapeut en zelfs in de behandelruimte van een tandarts.
Verantwoordelijk van de fabrikant: adviseren over wachtwoord
Hoe kan zoiets gebeuren? Of wat scherper gesteld: wie is hiervoor verantwoordelijk? Dat is niet simpel, vindt Edwin Roobol, Regional Director Middle Europe bij Axis Communications. “De veiligheid van een camera is afhankelijk van het samenspel tussen drie partijen: fabrikant, installateur en eindgebruiker. Om met die fabrikant te beginnen: als die zijn camera’s levert met een standaard wachtwoord, moet hij ervoor zorgen dat de gebruiker dat wachtwoord verplicht moet aanpassen: Security by Design. En vervolgens moet hij die gebruiker ook over een goed wachtwoord adviseren. Gebruik niet de naam van je bedrijf, of een combinatie als 12345.”
De veiligheid van een camera is afhankelijk van het samenspel tussen fabrikant, installateur en eindgebruiker
Extra beveiligingslagen als encryptie te weinig gebruikt
Maar zulke voorzorgsmaatregelen zijn niet voldoende. “Via Insecam kun je niet alleen het IP-adres achterhalen, maar ook de naam van de camerafabrikant”, zegt Geoffrey Smits, Marketing Specialist Benelux bij Hikvision Europe B.V. “Op het internet bestaan bots die niets anders doen dan combinaties van gebruikersnamen en wachtwoorden uitproberen. Eens op de zoveel pogingen is het raak. En dus voorzien verantwoordelijke fabrikanten hun camera’s van extra beveiligingslagen: naast verplichte activatie met een uniek wachtwoord gaat het om bijvoorbeeld encryptie en whitelisten. Maar helaas, in de praktijk worden die mogelijkheden niet altijd gebruikt.”
>> LEES OOK: Civis Sollicitus: Privacy en veiligheid in cameratoezichtland
Installateur moet extra securitymogelijkheden beveiligingscamera kennen en installeren
Met die laatste constatering zijn we aanbeland bij de tweede belangrijke partij: de installateur. In de documentaire kwam er een aan het woord – en die leek zich niet voor 100 procent van zijn verantwoordelijkheid bewust. “Er zitten altijd achterdeurtjes in zo’n systeem”, verklaarde hij over de telefoon. “Daar weten wij ook het fijne niet van. Daarvoor moet je contact zoeken bij de fabrikant.” Geen sterk verhaal, vindt Marc Sluiter, Business Development Manager bij Dahua Europe B.V. Ook volgens hem ligt de verantwoordelijkheid bij fabrikant, eindgebruiker én installateur. “De eindgebruiker moet op zo’n installateur kunnen bouwen. Zo iemand moet in ieder geval weten welke camera’s betrouwbaar zijn en welke niet. En als die camera’s extra securitymogelijkheden bieden – zoals encryptie en whitelisten – moet die installateur die ook kunnen activeren.”
Betere voorlichting over mogelijkheden
Maar de installateurs waar Sluiter mee werkt, doen meer. “Die documentaire van Pointer legde de verantwoordelijkheid wel erg zwaar bij de fabrikant”, zegt hij. “Maar die fabrikant kan natuurlijk alleen maar invloed uitoefenen op de camera zelf en niet op het netwerk waarin die camera wordt geïnstalleerd. Een installateur kan dat wel. Die kan kritisch kijken naar de router, de switches en de firewalls. Er is een hele waslijst aan systeem- en netwerkbeveiliging die zo’n installateur kan activeren. Dat ligt buiten de invloedssfeer van de cameraproducent. Maar aan de andere kant: een fabrikant mag natuurlijk wel een poging doen om de installateurs in zijn eigen netwerk goed voor te lichten.”
>> Lees ook: Cameratoezicht en Artificial Intelligence
Ook de eindgebruiker is gebaat bij goede voorlichting
Goede voorlichting. Die is zeker belangrijk voor de derde partij in de keten: de eindgebruiker. “Die is vaak niet van alle technische details op de hoogte”, zegt Roobol. “Maar toch kan hij een belangrijke bijdrage leveren aan de security: bijvoorbeeld door gebruik te maken van een hardening guide waarin checklists te vinden zijn om de beveiliging van het hele systeem te vergroten. En natuurlijk is het belangrijk om kritisch te blijven. Kan de installateur je uitleggen welke soorten beveiliging hij heeft geïnstalleerd? En hoe zit het met de camera zelf? Welke securityoplossingen zijn daarin ingebouwd?”
Op zoek naar de meest geweldige fabrikant aller tijden
Hoe kies je een camera? Smits komt met een laatste tip. “Vraag naar het cybersecurityprogramma van de fabrikant. IP-camera’s zijn computers en alle computers hebben kwetsbaarheden. Er bestaat een speciale databank met informatie over kwetsbaarheden in computersystemen en netwerken, de zogenoemde Common Vulnerabilities and Exposures (CVE). Daarmee kun je zien welke kwetsbaarheden de fabrikanten zelf hebben opgespoord en wat ze daaraan doen. Vind je er nul? Dan kan dat twee dingen betekenen: of het is de meest geweldige fabrikant aller tijden of… niemand is nog van de kwetsbaarheden op de hoogte.”
Peter Passenier. Peter is freelance journalist
– Civis Sollicitus: Diep lerende camera’s
– Checklist: Hoe kies je de juiste beveiligingscamera?
– Je camera als computer
Volg Security Management op LinkedIn