Efter flera uppmärksammade överbelastningsattacker med säkerhetskameror har kamerornas bristande säkerhet blivit ett allt hetare samtalsämne.
– Det största och absolut vanligaste problemet i dag är att du har ett lösenord och en användar- hantering som är usel, eller att du har en gammal firmware som inte uppdaterats och att du har öppna portar i produkterna. Det spelar ingen roll hur säker din produkt eller ditt system är om du inte hanterar dessa fundamentala saker korrekt, säger Anders Karlsson, Product Marketing Manager för Bosch i norra Europa.
Han menar att ett genomsnittligt system med nätverkskameror i dag i huvudsak bygger på att användaren ska lägga in användarnamn och lösenord.
– Vi har inte så hårda krav på hur vi sätter användarnamn och lösenord i branschen. Det är fortfarande ganska få system som kräver att du med jämna intervaller ska byta dina lösenord från det ursprungliga. Istället förlitar sig många på att leverantörerna av infrastruktur och IT-utrustning hanterar säkerheten.
Måste förbättras
Sedan nätverkskameror slog igenom har det mesta handlat om förbättrad upplösning, användarvänlighet, ljuskänslighet och intelligenta funktioner. Mycket talar för att hur kamerorna skyddas från angrepp kommer att prioriteras mer framöver.
– En IT-säkerhetsansvarig kommer inte att acceptera att tillverkare kommer med en egen säkerhetsprodukt med en egen säkerhetslösning som ska köras i deras nätverk hur som helst, säger Anders Karlsson.
Många stora säkerhetssystem är och har varit slutna och inte uppkopplade mot internet, men när mjukvarorna väl ska uppdateras innebär det att de utsätts för risker, till exempel genom att uppdateringen läggs på ett USB-minne eller genom att uppdateringen hämtas online.
– Säkerhetsbranschen har kommit till en uppkopplad värld och den nya typen av användare och installatörer som kommer från IT-världen ställer krav. Penetreringstester av system blir allt vanligare, säger Anders Karlsson.
Mer medvetna om riskerna
Det finns flera risker med nätverkskameror. En utomstående vill kanske hacka sig in i systemet för att titta på inspelat videomaterial eller på en liveinspelning.
– Syftet kan vara att komma åt affärskritisk information eller att kränka individers integritet, det kan ske både utpressning och påtryckning av olika slag.
Det är också möjligt att placera mjukvaror eller ”malware” i kamerorna för att slå ut systemet eller manipulera det.
Ett stort problem är att kamerorna inte uppdateras. De flesta tillverkare har enligt Anders Karlsson olika sätt att hantera det och att meddela att kameran, lagrings- lösningen eller mjukvaran måste uppdateras men ofta är teknikern inte van att programmera den.
– Det är en utbildningsfråga. Vissa tekniker blir vansinniga eftersom vi försvårar deras vardag: de måste utbilda sig och hålla reda på lösenord men de som ställer krav på systemets säkerhet blir glada. För IT-tekniker är det dock ingen nackdel eftersom han eller hon kommer att jobba mer med verktyg, protokoll och tjänster som han eller hon är van vid.
Säkerhetskameror har i regel haft många portar öppna för att kunna konfigurera produkter, och universal plug-and-play-funktioner.
– För ett år sedan hade vi massor av öppna portar, men i dag anses de vara säkerhetsrisker snarare än möjligheter och stängs en efter en. Man hänvisar oftare till säkra portar som har certifikatshantering och kryptering för att kunna kom- municera med produkten, säger Anders Karlsson.
Brandväggar och VPN
Under 2016 började Bosch betona ”data security” och bolaget har kombinerat säkerhet både i mjukvara och hårdvara och utrustat sina kameror med en ”trusted platform module” för att säkert lagra certifikat som behövs för autentisering och kryptering Anders Karlsson säger att det dessutom finns en typ av brandvägg i systemet som tittar på beteendet: var någonstans kommer inloggningen ifrån, är det en känd inloggare som har lyckats logga in förut eller är det en ny? Beroende på det sorteras inloggningarna i olika kategorier.
Ytterligare en anledning till att säkerheten inte har prioriterats i nätverkskameror är att prestandan försämras i systemet om det till exempel ska göras en virusscanning samtidigt som stora mängder video spelas in.
Anders Karlsson tror att nyheter om att kameror blivit hackade och ryktet om att den kinesiska regeringen har tillgång till material från till exempel Hikvisions kameror har fått stor påverkan på marknaden oavsett om det är sant eller inte.
– Framför allt för tillverkarna. Vi som hävdar att våra kameror är säkrare vill snabbt vidareutveckla säkerheten och de som inte har någon säkerhet blir extremt snabba på att försöka åtgärda det. Mer resurser läggs på datasäkerhet nu än tidigare, kanske får detta till och med konsekvensen att andra prestandahöjande funktioner nedprioriteras.
Vissa tillverkare använder sig av en VPN-tunnel för att skydda sig mot överbelastningsattacker, andra skyddar i princip inte sin data alls.
Tidigare har datasäkerhet knappt platsat bland de tio saker som Bosch betonar mest vid för- säljning av säkerhetskameror.
– När vi presenterar nya produkter i maj kommer vi prata om fyra stöttepelare. Och datasäker- het kommer att vara den fjärde, avslutar Anders Karlsson.
Vi har inte så hårda krav på hur vi sätter användarnamn och lösenord i branschen säger Anders Karlsson Product Marketing Manager på Bosch.
Henrik Söderlund
Fotnot: Denna artikel har tidigare publicerat i facktidningen Detektor 1/2017
Global
