Hoe veilig is een beveiligingscamera?

Alles met een IP-adres is kwetsbaar

Regelmatig lezen we berichten dat de beveiliging van camera’s zo lek is als een mandje. Digitale hulpmiddelen die de veiligheid moeten vergroten, blijken juist een bedreiging. Security Management sprak met Rick Strijbos (directeur Security Academy Nederland) over deze problematiek, de te nemen maatregelen en de rol van diverse partijen.

Hoe ben je in de security terechtgekomen?

“Dat was geen bewuste keuze. Op mijn vijfentwintigste kwam ik – bij toeval – in de IT terecht. Niet de technisch inhoudelijke kant trok mij, maar de dynamiek in de markt. Zestien jaar geleden raakte ik meer geïnteresseerd in security. Met mijn destijds eigen bedrijf verrichtte ik veel werk in de techniek van het internetbetalingsverkeer van banken. Toen ik op televisie zag hoe het tweede vliegtuig zich in de Twin Towers in New York boorde, realiseerde ik mij: This world is gonna change. Hier moeten we iets mee. Met mijn technische specialisten hebben we toen een post-hbo-opleiding Internet Security ontwikkeld voor de Haagse Hogeschool.”

Sinds januari 2015 ben je directeur van de Security Academy Nederland. Wat doet deze organisatie?

“Vanaf 2007 is ons opleidingsinstituut actief. Destijds zagen we dat er een enorm gat zat tussen vierjarige hbo-/academische en behoorlijk theoretische opleidingen en de ‘tweedaagse IT-knoppencursus’, oftewel ‘ik weet op welke knop ik moet drukken, maar niet waarom’. Wij zijn in het gat gesprongen en hebben post-hbo-opleidingen ontwikkeld van vijftien dagen, gegeven door mensen uit de praktijk. Momenteel kennen we opleidingen in een aantal securityvakgebieden: information security management, IT security, privacy & data protection, business continuity management & crisis management en fysieke beveiliging.”

Veiligheid van beveiligingscamera’s

Een van de hot items in securityland is die van de veiligheid van beveiligingscamera’s. Hoe staan we er voor?

“Ik trek het liever breder, naar het internet of things. Alles met een IP-nummer is kwetsbaar. Maar hoe kwetsbaar? We weten het niet. Praten we over beveiligingscamera’s, dan kunnen deze gehackt worden met als doel uitschakeling ervan om in te kunnen breken. Of, met een veel grotere impact, om in te zetten als device om een ander doelwit te treffen. Eind 2016 gingen in Amerika onder andere Twitter en Spotify plat door onveilige devices, gebruikt om data naar de centrale servers te sturen. Een DDoS-aanval. Dus zonder het te weten, kan jouw beveiligingscamera twee jaar geleden al gehackt zijn en deel uitmaken van een botnet.”

Dus we kunnen er moeilijk de vinger op leggen?

“Dat klopt.”

Maar zijn we ons wel voldoende bewust van de gevaren?

“De professionals wel, maar de gemiddelde gebruiker niet. Alhoewel, de professional, wie is hij? Komt hij uit de fysieke beveiliging, dan is hij wellicht geen professional in IT-security. Ook zijn er IT-securityprofessionals – die alles weten van de nullen en de enen – maar op Facebook melden dat ze de volgende dag op vakantie gaan.”

Actie is nodig?

“Inderdaad. En dat kan met onder andere security by design. Goed nadenken over de beveiliging bij het ontwerp en tijdens de bouw, zodanig dat security intrinsiek is verweven in de software. Een ketting is zo sterk als de zwakste schakel, dus moeten er structureel maatregelen genomen worden. Wat heeft het voor zin om van een bankgebouw alle ramen en deuren te vergrendelen als binnen de sleutel gewoon in de kluis zit? Kortom, zowel de gebruiker als de leverancier van bijvoorbeeld een beveiligingscamera moeten een mechanisme ontwikkelen om de veiligheid te verhogen. Stel: je koopt een beveiligingscamera, dan is standaard vaak de login ‘admin’ met als wachtwoord ‘0000’. De fabrikant zou ook het wachtwoordnummer separaat toe kunnen sturen. Aan de andere kant, de gebruiker zou moeten eisen dat een beveiligingscamera op deze wijze geleverd wordt. Zelf het wachtwoord kunnen aanpassen. En bereid zijn een paar euro meer te betalen.”

Gebeurt dit dan nog maar mondjesmaat?

“Dat is afhankelijk van de sector. Het bank- en verzekeringswezen is er bekend mee. Kijken we naar de kritische infrastructuur, dan bemoeit de overheid zich hier gelukkig mee middels wet- en regelgeving. Over de zorgsector maak ik me meer zorgen. Vanuit welke kant de push kan komen? Verschillende. Bijvoorbeeld vanuit de overheid. En dat gebeurt ook. Zij hebben er voor gezorgd dat privacy nu wel op de directietafel ligt. Het krijgt managementaandacht en budget. Maar uiteindelijk hebben we te maken met mensen. Mensen hebben blinde vlekken en kwaliteiten. Ik snap best dat een arts in een ziekenhuis zijn focus heeft op patiëntveiligheid, de rest is bijzaak. Dat is ook goed. Maar dan moeten we wel de persoon die binnen het ziekenhuis verantwoordelijk is voor informatiebeveiliging de ruimte geven die andere beveiliging in orde te maken.”

Veiligheid door awareness

Is awareness belangrijker dan technische beveiliging?

“Het gaat hand in hand. Maar omdat we allemaal mensen zijn met onze zwakheden, moeten we – om iets af te dwingen – ook kiezen voor technische oplossingen. We kunnen medewerkers in een bedrijf instrueren over phishing. Vertellen wanneer ze wel of niet op een link mogen klikken. Maar aan de andere kant, e-mails zijn tegenwoordig zo geavanceerd dat zelfs een beveiligingsspecialist zes keer moet kijken of een link wel of niet betrouwbaar is. Techniek kan soms de oplossing zijn, ook al is die nooit helemaal waterdicht. Oftewel, de keuze kan vallen op het plaatsen van devices in het netwerk die verkeerde mails op basis van geheel andere criteria eruit vissen en in de spambox plaatsen.”

Als we Nederland vergelijken met het buitenland, reageren wij dan anders op dit securityvraagstuk? Of we het nu hebben over (on)veilige beveiligingscamera’s of phishing.

“Als gevolg van de volksaard zien we verschillen. Amerikanen zijn erg goed in technische oplossingen. Duitsland is het strengste en meest genuanceerd denkende land ter wereld als we het hebben over privacy. Nederland is goed in management. We zijn direct en open. Dus signaleren we snel wat het probleem is. Dat klinkt paradoxaal in security. Hoe dichter alles is, hoe beter in control. Het tegendeel is waar. Want des te minder zien we wat er echt speelt.”

Tot slot, security is je vakgebied. Ben jij privé hierdoor extra alert op veiligheid en beveiliging?

“Eigenlijk niet. Ik weet dat honderd procent veiligheid niet bestaat. Ik accepteer risico’s. Op vakantie ben ik gelukkig niet continu bezig met security. Dan kun je niet lekker meer leven. Wel heb ik een zesde zintuig voor mensen on twikkeld en vraag me misschien eerder dan de gemiddelde mens af welke intenties zij hebben. Vanuit mijn functie bezoek ik regelmatig grote bedrijven. Ik vind het fantastisch om – als ik vijf minuten te vroeg ben en zit te wachten bij de receptie – te signaleren wat er gebeurt en of er een mogelijke kwetsbaarheid is. Maar thuis is mijn vrouw degene die let op bijvoorbeeld de keurmerken op sloten. Dan denk ik: ‘Het zal wel’. Als iemand het maar doet, toch?”

tekst: Betty Rombout – geplaatst in Security Management 11 2017

Schrijf u hieronder in voor onze nieuwsbrief!

Cookie	Duur	Beschrijving
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
.ASPXANONYMOUS	2 months 8 days 11 hours	This cookies is set by ASP.NET and is used to track users within a session without requiring the user to log in.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
dnn_IsMobile	session	This cookie is set by the provider DNN platform. This cookie is used by the CMS to determine if the visitor is browsing from a mobile device. It is necessary for the site functionality.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duur	Beschrijving
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-6227160-3	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duur	Beschrijving
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duur	Beschrijving
collect_chat_page_load	1 month	This cookie is set by the provider Collect.chat. This cookie is used for optimizing the chat-box functionality by recognising the user.
language	session	This cookie is used to store the language preference of the user.

Hoe veilig is een beveiligingscamera?

Alles met een IP-adres is kwetsbaar

Hoe ben je in de security terechtgekomen?

Sinds januari 2015 ben je directeur van de Security Academy Nederland. Wat doet deze organisatie?

Veiligheid van beveiligingscamera’s

Een van de hot items in securityland is die van de veiligheid van beveiligingscamera’s. Hoe staan we er voor?

Dus we kunnen er moeilijk de vinger op leggen?

Maar zijn we ons wel voldoende bewust van de gevaren?

Actie is nodig?

Gebeurt dit dan nog maar mondjesmaat?

Veiligheid door awareness

Is awareness belangrijker dan technische beveiliging?

Als we Nederland vergelijken met het buitenland, reageren wij dan anders op dit securityvraagstuk? Of we het nu hebben over (on)veilige beveiligingscamera’s of phishing.

Tot slot, security is je vakgebied. Ben jij privé hierdoor extra alert op veiligheid en beveiliging?

tekst: Betty Rombout – geplaatst in Security Management 11 2017

Recente berichten

Blijf op de hoogte met onze nieuwsbrief

Review

Hoe veilig is een beveiligingscamera?

Alles met een IP-adres is kwetsbaar

Hoe ben je in de security terechtgekomen?

Sinds januari 2015 ben je directeur van de Security Academy Nederland. Wat doet deze organisatie?

Veiligheid van beveiligingscamera’s

Een van de hot items in securityland is die van de veiligheid van beveiligingscamera’s. Hoe staan we er voor?

Dus we kunnen er moeilijk de vinger op leggen?

Maar zijn we ons wel voldoende bewust van de gevaren?

Actie is nodig?

Gebeurt dit dan nog maar mondjesmaat?

Veiligheid door awareness

Is awareness belangrijker dan technische beveiliging?

Als we Nederland vergelijken met het buitenland, reageren wij dan anders op dit securityvraagstuk? Of we het nu hebben over (on)veilige beveiligingscamera’s of phishing.

Tot slot, security is je vakgebied. Ben jij privé hierdoor extra alert op veiligheid en beveiliging?

tekst: Betty Rombout – geplaatst in Security Management 11 2017

Share This Post!

Recente berichten

Blijf op de hoogte met onze nieuwsbrief

Tags

Review

Deze site gebruikt cookies