Het lijkt een paradox: beveiligingssystemen die risico’s kunnen opleveren voor de bedrijven en organisaties die hen inzetten om gebouwen, goederen en medewerkers te beschermen. Toch is het een realistisch scenario in een wereld waarin steeds meer apparaten en systemen met elkaar zijn gekoppeld en op afstand overal en altijd met bijvoorbeeld een smartphone of tablet zijn te benaderen. Beveiligingssystemen zijn kwetsbare doelwitten voor hackers die zich in toenemende mate richten op onder andere IP-camera’s en netwerk videorecorders om toegang te krijgen tot netwerken. Zelfs ‘geïsoleerde’ netwerken die specifiek zijn aangelegd voor videobewaking kunnen onbedoelde verbindingen hebben die toegang geven tot het bedrijfsnetwerk.
Hoewel de risico’s nooit voor honderd procent zijn uit te sluiten, kunnen er tal van maatregelen worden getroffen die de cyberveiligheid aanzienlijk verhogen. Dit proces, het zogenoemde hardening van beveiligingssystemen, wordt toegepast op servers en IP gebaseerde hardware zoals IP-camera’s en recorders. Het draait hierbij niet alleen om technische, maar ook om organisatorische maatregelen. Hardening is dus zeker niet alleen een zaak van beveiligingsinstallateurs en system integrators, maar vereist nadrukkelijk ook aandacht van security managers en hun ICT-afdelingen. Om hardening te stimuleren, hebben verschillende fabrikanten van apparatuur en software voor videobewaking de afgelopen jaren ‘Hardening Guides’ gepubliceerd waarin uiteenlopende maatregelen en methodes worden besproken.
Topologie
Fabrikanten die Hardening Guides of soortgelijke documenten beschikbaar stellen zijn onder andere Avigilon, Axis Communications, Bosch Security Systems, Dahua Technology, Genetec, Hanwha Techwin, Hikvision, Johnson Controls, Milestone Systems, Mobotix, Sony en Vivotek. De meeste documenten zijn Engelstalig, hebben een gemiddelde omvang van zo’n dertig pagina’s met uitschieters tot zestig pagina’s, worden regelmatig geactualiseerd en zijn gratis te downloaden via de websites van de fabrikanten. Soms is hiervoor een inlogcode vereist die gebruikers of installateurs kunnen opvragen bij de fabrikant. Vrijwel alle Hardening Guides hebben een algemeen gedeelte met uitleg over potentiële cyberrisico’s, hardening en netwerktopologie. Daarnaast wordt ingegaan op de producten van de fabrikant, zoals IP-camera’s, netwerk videorecorders, video management software en opslagsystemen zoals een NAS met de bijbehorende aanbevolen maatregelen.
Het doel van hardening is het aanvallers zo moeilijk mogelijk te maken om toegang te krijgen tot systemen en netwerken. Mocht een aanval toch slagen, moeten indringers zo weinig mogelijk schade kunnen aanrichten zoals het installeren van kwaadaardige software of manipuleren van gebruikersrechten. Eventueel verkregen data zoals camerabeelden of persoonsgegevens moet zo onbruikbaar mogelijk worden gemaakt voor de aanvallers.
Wachtwoorden
Maatregelen die in alle Hardening Guides van de hierboven genoemde fabrikanten worden vermeld zijn het instellen van sterke wachtwoorden, encryptie en het opstellen van een beleid voor het installeren van de software en firmware (security)updates die periodiek door fabrikanten worden uitgebracht. Dit lijken eenvoudige en vanzelfsprekende maatregelen, die in de praktijk echter niet zelden in onvoldoende mate worden uitgevoerd. Om misbruik van standaard fabriekswachtwoorden van IP-camera’s te voorkomen, hebben bijvoorbeeld veel fabrikanten deze vervangen door het verplicht invoeren van een wachtwoord bij de installatie van de camera. Als installateurs dan deels om gemaksredenen kiezen voor ‘0000’ of ‘1111’ is het risico op misbruik uiteraard niet teniet gedaan.
Andere maatregelen zijn het verwijderen van onnodige gebruikersaccounts en beperken van toegang tot het systeem op basis van IP-adressen. Zo kunnen bepaalde IP-adressen standaard worden uitgesloten, of is het mogelijk alleen toegang te verlenen tot vooraf ingevoerde IP-adressen. Beveiligingssystemen worden vaak gekoppeld met andere systemen met behulp van een API/SDK. Dit vereist de nodige aandacht van installateurs en de ICT-afdeling. Wanneer toegang tot internet niet nodig is, zou dit ook niet mogelijk gemaakt moeten worden. Communicatie moet worden gefilterd en gecontroleerd met firewalls.