Efter flere bemærkelsesværdige overbelastningsangreb mod sikkerhedskameraer er kameraernes manglende sikkerhed blevet et stadig mere aktuelt samtaleemne.

– Det største og absolut mest almindelige problem i dag er, at du har et password og et brugernavn, som virkelig er dårlige, eller at du har en gammel firmware som ikke er opdateret, og at du har åbne porte i produkterne. Det spiller ingen rolle, hvor sikkert dit produkt eller dit system er, hvis du ikke håndterer disse fundamentale ting korrekt, siger Anders Karlsson, Product Marketing Manager for Bosch i Nordeuropa.

Han mener, at et gennemsnitligt system med netværkskameraer i dag hovedsagelig bygger på, at brugeren skal indtaste brugernavn og password.

– I branchen har vi ikke så store krav til brugernavne og passwords. Der er stadig temmelig få systemer, som forlanger, at du med jævne intervaller skal udskifte dine passwords fra de oprindelige. I stedet stoler mange på, at leverandørerne af infrastruktur og IT-udstyr håndterer sikkerheden.

Skal forbedres
Siden netværkskameraerne slog igennem har det meste handlet om forbedret opløsning, brugervenlighed, lysfølsomhed og intelligente funktioner. Meget taler for, at der fremover vil komme mere fokus på, hvordan kameraerne sikres mod angreb.

– En IT-sikkerhedsansvarlig vil ikke acceptere, at producenter kommer med deres eget sikkerhedsprodukt med en egen sikkerhedsløsning, som skal køres i kundens netværk, siger Anders Karlsson.

Mange store sikkerhedssystemer er og har været lukkede og ikke opkoblet til internet, men når softwaret skal opdateres, indebærer det at de bliver udsat for risici, for eksempel ved at opdateringen bliver lagt på en USB-hukommelse, eller ved at opdateringen hentes online.

– Sikkerhedsbranchen er kommet til en opkoblet, verden og den nye type bruger og installatør, som kommer fra IT-verden, stiller krav. Penetreringstest af systemer bliver stadig mere almindelige, siger Anders Karlsson.

Mere bevidste om risici
Der er flere risici ved netværkskameraer. En udenforstående vil måske hacke sig ind i systemet for at se på optaget videomateriale eller på en liveoptagelse.

– Formålet kan være at få adgang til forretningskritisk information eller at krænke individers integritet – der kan ske både afpresning og pression af forskellig art.

Det er også muligt at placere malware i kameraerne for at slå systemet ud eller manipulere det.

Et stort problem er, at kameraerne ikke opdateres. De fleste producenter har ifølge Anders Karlsson forskellige måder at håndtere dette på, og at meddele at kameraet, lagringsløsningen eller softwaret skal opdateres, men ofte er teknikeren ikke vant til at programmere det.

– Det er et spørgsmål om uddannelse. Visse teknikere bliver vanvittige, fordi vi gør deres hverdag vanskeligere: de er nødt til at uddanne sig og holde rede på passwords, men de, der stiller krav til systemets sikkerhed, bliver glade. For IT-teknikere er det dog ingen ulempe, da han eller hun vil skulle arbejde mere med værktøjer, protokoller og tjenester, som teknikeren er vant til.

Sikkerhedskameraer har typisk haft mange porte åbne for at kunne konfigurere produkter samt universelle plug-and-play-funktioner.

– For et år siden havde vi masser af åbne porte, men i dag anses de snarere for at være sikkerhedsrisici end muligheder, og de bliver lukket i et stigende tempo, siger Anders Karlsson.

Firewalls og VPN
I løbet af 2016 begyndte Bosch at betone ”data security”, og selskabet har kombineret sikkerhed i såvel software som hardware, og Bosch har udstyret deres kameraer med en ”trusted platform module” for sikkert at lagre de certifikater, som er nødvendige til autentisering og kryptering. Anders Karlsson siger, at der desuden er en type firewall i systemet, som ser på adfærd: Hvor kommer indlogningen fra? Er det en kendt bruger, som har været der før, eller er det en ny? Afhængig af dette sorteres indlogningerne i forskellige kategorier.

Yderligere en grund til, at sikkerheden ikke er prioriteret i netværkskameraer, er, at ydelsen bliver dårligere i systemet, hvis der for eksempel skal foretages en virusscanning samtidig med, at der optages store mængder af video.

Anders Karlsson tror, at nyheder om, at kameraer er blevet hacket, og spekulationerne om, at den kinesiske regering har adgang til materiale fra for eksempel Hikvisions kameraer, har fået stor indvirkning på markedet, uanset om det er sandt eller ej.

– Ikke mindst for producenterne. Vi, der hævder, at vores kameraer er sikrere, vil hurtigt videreudvikle sikkerheden, og de, der ikke har nogen sikkerhed, vil meget hurtigt forsøge at gøre noget ved det. Flere resurser bliver brugt på datasikkerhed nu end tidligere, og måske får dette oven i købet den konsekvens, at andre ydelsesforstærkende funktioner bliver nedprioriteret.

Visse producenter benytter sig af en VPN-tunnel for at sikre sig mod overbelastningsangreb. Andre sikrer i princippet slet ikke deres data.

– Nær vi præsenterer nye produkter i maj måned, vil vi tale om fire ben - og datasikkerhed vil være det fjerde, slutter Anders Karlsson.

Vi har ikke så strenge krav til, hvordan vi anvender brugernavne og passwords i branchen siger Anders Karlsson Product Marketing Manager hos Bosch.

(Denne artikel af Henrik Söderlund har været bragt i det sidste nummer af magasinet Detektor Scandinavia).