Camera's beter beveiligen tegen cyberaanvallen

  1. 15 mrt 2018
  2. 0 reacties

mx_img_p25_InCeiling3-4PerspRE_150707

Gartner voorspelt dat er eind 2018 ruim 11 miljard apparaten verbonden zijn met het Internet of Things en in 2020 meer dan 20 miljard. Een deel daarvan zijn camera's, die voor steeds meer toepassingen worden gebruikt. Behalve voor de gebruikers en beheerders is het snelgroeiende aantal camera's interessant voor cybercriminelen, om informatie te stelen of aanvallen mee uit te voeren. Tim De Craene business development manager BeLux van Mobotix en Taco Tjalkens business development manager Nederland pleiten voor het voorkomen van misbruik, door camera's beter te gaan beveiligen tegen cyberaanvallen. 

Snelgroeiend aantal camera's en toepassingen

Camera's beïnvloeden de levens van miljarden mensen. Variërend van toezicht op hun gedrag in de dagelijkse leefomgeving, werknemers in organisaties en slapende baby’s, tot het observeren van winkelbezoekers, productieprocessen, logistieke transporten en het scannen van kentekens. De snelle groei van het aantal camera's en toepassingen is het gevolg van toenemende veiligheidszorgen, de beschikbaarheid van visuele sensoren in steeds meer producten en verbeteringen op het gebied van videosoftware. Vroeger was het bij cameratoezicht noodzakelijk dat beveiligingsmedewerkers 24/7 alle beelden in de gaten hielden voor het signaleren van afwijkend gedrag en incidenten. Tegenwoordig krijgen de gebruikers en beheerders van cameratoepassingen automatische berichten over beeldopnames die volgens de eigen instellingen interessant zijn. Een zorgwekkend gevolg van het snelgroeiend aantal camera's en toepassingen zijn helaas ook de bijbehorende securityrisico's.

Grootste securityrisico's

Dat camera´s een geliefd en kwetsbaar doelwit zijn voor cyberaanvallen, bleek in 2016 bij de succesvolle DDoS-aanval op Amazon, Netflix, Twitter en andere sites, via een groot botnet van digital video recorders (DVR's) en IP-camera's. Begin 2017 slaagden hackers er zelfs in twee derde van de toezichtcamera's van de politie in Washington tijdelijk over te nemen. De vijf grootste securityrisico's bestaan uit:

  • aanvallen waarbij men het beheerderswachtwoord bemachtigt via een gehackt gebruikersaccount
  • ongeautoriseerde toegang via een 'backdoor' van de fabrikant
  • installatie en uitvoering van malware via de 'Real Time Streaming Protocol'-pakketverwerker
  • kwetsbaarheden die het omzeilen van de gebruikersauthenticatie mogelijk maken en hackers toegang geven tot de configuratiebestanden
  • aanvallen op camera's waarbij derden live video streams weten te onderscheppen
P1220237.00_00_31_08.Still007-615x346

Een groot deel van bovenstaande risico's is het gevolg van kwetsbaarheden in gelicenseerde software of hardware van toeleveranciers en onvoldoende oog en aandacht voor het voorkomen ervan. 

Privacyzorgen

Terwijl de financiële en strafrechtelijke aansprakelijkheid met betrekking tot het hacken van camera's nog ter discussie staan, komt er gelukkig al wel meer duidelijkheid in de regelgeving. Videobeelden vallen namelijk ook onder de nieuwe Europese richtlijn voor het beschermen van de persoonlijke informatie en privacy van mensen. Simpelweg omdat opnames van bijvoorbeeld het bezoeken van een psycholoog, of bijwonen van een politieke bijeenkomst, waardevolle informatie kan zijn. Tevens bestaat het risico dat op videobeelden andere persoonlijke informatie van mensen te zien is. In lijn daarmee werken overheden in de hele wereld ook aan richtlijnen om de volgende generatie IoT-apparatuur beter te beveiligen. Er is echter nog geen wereldwijde of industriespecifieke consensus en uniformiteit om mensen effectief te beschermen tegen misbruik van het snel toenemende aantal camera's. "Als innovator op het gebied van digitale videotoepassingen beveiligen wij al onze oplossingen zo optimaal mogelijk vanaf het ontwerpstadium", vertelt De Craene. "Daardoor bieden ze nu al de best mogelijke beveiliging tegen cyberaanvallen." 

Beveiligingsverschillen camera's

"Mobotix biedt in tegenstelling tot andere merken alleen toegang tot de camera via een webinterface", licht De Craene toe. "Dit betekent dat klanten onze camera’s slechts via één poort kunnen configureren en beheren en die poort optimaal te beveiligen en te monitoren is. Er zit dus geen backdoor of resetfunctie voor het beheerderswachtwoord in, zoals bij andere fabrikanten. Als een klant zijn wachtwoord kwijtraakt moet de camera terug naar onze fabriek om deze opnieuw in te stellen. Onze supportmedewerkers kunnen een wachtwoord namelijk niet op afstand resetten, dus hackers evenmin. Als een camera wordt gestolen en de eigenaar meldt het serienummer ervan bij Mobotix, wordt een ingezonden camera herkend en is de dief eenvoudig te traceren. Gebruiksgemak vinden wij erg belangrijk, maar niet als dat ten koste van de beveiliging gaat."

"Ook onze eigen accessoires en complementaire oplossingen van derden moeten via die ene toegangspoort en een speciale interne MxBus met de camera communiceren", vult Tjalkens aan. "Alle communicatie met onze camera's gebeurt uiteraard versleuteld, waardoor deze nooit herkenbaar is en ook de beeldopnames worden versleuteld opgeslagen op de interne en/of externe geheugencapaciteit."

Intelligente videosoftware

Behalve op beveiligingsgebied onderscheidt Mobotix zich ook met software van concurrenten. Camera's van Mobotix zijn te vergelijken met een smartphone, omdat er een processor, geheugen, hoge resolutie lens en audio in zit. Die hardware wordt volledig ontwikkeld en geproduceerd in Duitsland en aangestuurd met een extra beveiligd Linux OS. "Kritische Linux-functies voor onder andere de authenticatie zijn door onze eigen engineers volledig herontworpen en beter beveiligd", zegt De Craene. "Andere standaard Linux-services die overbodig zijn en wellicht kwetsbaarheden kunnen bevatten zijn verwijderd. Uiteraard worden ook de updates van onze software versleuteld verstuurd naar de klanten en partners".

"Behalve op het gebied van security onderscheiden Mobotix-camera's zich ook met intelligentie, via de meegeleverde en licentievrije analyse- en managementsoftware", vertelt Tjalkens. "Daarmee is zowel volledig automatisch afwijkend gedrag te detecteren, als een videocall op te zetten met een bezoeker om daarna een deur op afstand te openen. Maar bijvoorbeeld ook het aantal bezoekers van winkels in de retail te tellen."

P1220237.00_00_06_07.Still003-615x346

Belfius-project

Een voorbeeldproject waarbij de extra beveiligingsaspecten van Mobotix doorslaggevend zijn geweest voor de leverancierskeuze, is de modernisering van het cameratoezicht in alle kantoren van Belfius. Dat is een grote Belgische bank en verzekeraar met zo'n 10.000 medewerkers en ruim 700 kantoren. "Eind 2015 zijn wij op zoek gegaan naar hoge resolutie digitale IP-camera's ter vervanging van onze verouderde analoge CCTV-systemen", zegt projectleider Zisis Patronoudis. "Daarbij waren de bedrijfszekerheid en beeldkwaliteit van de camera's uiteraard belangrijke selectiecriteria. Tevens zochten wij camera's die zowel goed beveiligd zelfstandig als in een lokaal netwerk te gebruiken waren en eenvoudig te bedienen door lokale bankmedewerkers. Na een 'Proof-Of-Concept' periode heeft Belfius voor Mobotix gekozen. Die beslissing is gebaseerd op de betrouwbaarheid en kwaliteit van hun camera's en andere onderscheidende factoren. Zoals het feit dat de volledige functionele besturing in de camera zelf zit en niet centraal, het interne SD-geheugen, dual-lens mogelijkheden en zij waren één van de eerste met 5 Megapixel beeldkwaliteit. Nu bevatten de nieuwste types al 6 Megapixel Moonlight lenzen, die onder minimale lichtomstandigheden nog steeds duidelijke opnames maken. Een ander verschil is de licentievrije MxManagementCenter videomanagementsoftware, wat voor zo'n 4.500 camera's een interessant financieel voordeel oplevert."