VISIE New Security Magazine 157 – februari 2021
Hoe veilig is een beveiligingscamera?
Hoe veilig is een beveiligingscamera? Dat lijkt een simpele vraag, maar is het helaas niet. Wat voor de ene persoon veilig is, betekent niet dat het ook voor de andere persoon veilig is en hebben we het dan over fysieke of digitale beveiliging? Laat ik daarom de vraag concreet maken:
“Hoe eenvoudig is het om een beveiligingscamera te hacken?”
Een bekende stelling van Mikko Hypponen, een wereldberoemde cybersecurity evangelist uit Finland, luidt: “If a device is smart, it’s vulnerable!”. Hij geeft hiermee aan dat alle apparaten die bestaan uit hard- en software, en aan het internet zijn verbonden, onveilig zijn (en dus te hacken zijn). Kijkend naar deze stelling, dan is een IP-beveiligingscamera ook kwetsbaar en mogelijk te hacken. De essentie van het verhaal is echter, hoe eenvoudig is dit?
Beveiligingscamera’s (lees verder: camera’s) zijn er in alle soorten en worden door een groot aantal leveranciers uit verschillende landen ontworpen en gebouwd. De huidige camera’s zijn technologisch zo uitgebreid dat ze kunnen worden beschouwd als ‘edge computing devices in an IoT world’, oftewel technologisch geavanceerde apparaten met veel rekenkracht aan boord.
Deze technologie zorgt voor ongekende innovatieve beveiligingsmogelijkheden, maar brengt ook gelijk digitale beveiligingsuitdagingen met zich mee. Een huidige camera bestaat uit geavanceerde hard- en software componenten, die zowel zelf worden ontwikkeld en gefabriceerd als door ‘derden’ worden geleverd. Door deze complexiteit vormt een camera een uitnodigend aanvalsoppervlakte voor de ‘bad guys’. Het feit dat er genoeg voorbeelden zijn van gehackte camera’s bevestigt het beeld dat camera’s een gewillig doelwit zijn voor de cyberaanvallers. Maar is het ook een eenvoudig doelwit? Dat ligt eraan…..
Digitale aanvallen op camera’s zijn er namelijk ook in allerlei soorten, net zoals verschillende soorten beveiligingsmaatregelen die door producenten van deze camera’s kunnen worden genomen. En daar bevindt zich het antwoord op de kernvraag. De veiligheid van een camera is in grote mate afhankelijk van de mate van bereidwilligheid van de producent m.b.t. de beveiliging van de camera zelf. Hoe belangrijk vindt de cameraproducent de beveiliging van de camera en hoeveel tijd, energie en geld is deze producent bereid hierin te investeren?
Het is een gegeven dat alles met een netwerkaansluiting, waaronder IP-camera’s te hacken zijn, maar het is ook bekend dat hoe moeilijker een camera te hacken is, des te eerder de aanvaller zal overstappen naar een andere camera, die eenvoudiger is te hacken. De aanvallers zijn weliswaar heel slim, maar ook pragmatisch. Dit betekent dat ze eenvoudige doelwitten prefereren boven de moeilijkere doelwitten, mits hetzelfde resultaat wordt bereikt. Een cameraproducent die er dus alles aan doet zijn/haar camera zo ‘cyberresilient’ mogelijk te maken maakt zijn apparaten op deze manier een minder gewild doelwit. De digitale aanvaller zal zich liever richten op camera’s waarvoor hij met minder moeite meer resultaat kan behalen (lees: snel veel camera’s hacken). . Het zijn dus juist deze investeringen, zoals een Secure-by-Design productieproces, een Security Response Center, regional Directors Cybersecurity of een Source Code Transparency Center, die het verschil maken.
De vraag ‘Hoe eenvoudig is het om een beveiligingscamera te ‘hacken’ kan dus worden beantwoord door te kijken naar de cameraproducent en hoeveel cyberresillient investeringen deze producent heeft gedaan. Dan is het niet moeilijk deze vraag te beantwoorden……