Cybersecurity van het IP-cameranetwerk
IP-camera's zijn IoT-apparaten die op het bedrijfsnetwerk draaien en daarmee kwetsbaar zijn voor cyberaanvallen. Een gecompromitteerd camerasysteem kan worden uitgeschakeld, gemanipuleerd of misbruikt als springplank naar andere systemen. Cybersecurity van het cameranetwerk is een gedeelde verantwoordelijkheid van FM en IT.
Nederlandse context
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt regelmatig voor kwetsbaarheden in IP-camera's en heeft in 2023 en 2024 beveiligingsadviezen gepubliceerd over specifieke merken. De Cyber Security Raad adviseert om beveiligingscamera's van fabrikanten uit niet-geallieerde landen met extra voorzichtigheid te beoordelen. De NIS2-richtlijn (Cyberbeveiligingswet) stelt eisen aan de beveiliging van netwerken en informatiesystemen, inclusief IoT-apparaten.
Kernbegrippen
- Netwerksegmentatie
- Het plaatsen van camera's op een apart VLAN dat gescheiden is van het kantoornetwerk. Voorkomt dat een gecompromitteerde camera toegang biedt tot bedrijfssystemen.
- Standaardwachtwoord
- Het fabriekswachtwoord waarmee camera's worden geleverd. Moet bij installatie direct worden gewijzigd naar een uniek, sterk wachtwoord.
- Firmware-update
- Software-update van de fabrikant die bekende kwetsbaarheden verhelpt. Regelmatig updaten is essentieel voor de veiligheid van IP-camera's.
- Supply chain risk
- Het risico dat camera's of firmware door de fabrikant of in de toeleveringsketen zijn gecompromitteerd met backdoors of spyware.
Wat de wet vereist
De NIS2-richtlijn verplicht organisaties tot passende technische maatregelen voor de beveiliging van netwerken en informatiesystemen. IP-camera's zijn onderdeel van het informatiesysteem en vallen onder deze verplichting. De AVG stelt in artikel 32 dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beschermen — camerabeelden zijn persoonsgegevens.
Praktisch vereist dit minimaal de volgende maatregelen. Ten eerste netwerksegmentatie: plaats alle camera's op een apart VLAN met een firewall die alleen het noodzakelijke verkeer (naar de VMS-server en voor firmware-updates) toestaat. Ten tweede wachtwoordbeleid: wijzig standaardwachtwoorden bij installatie, gebruik unieke wachtwoorden per camera en beheer ze in een password manager.
Ten derde firmware-management: controleer maandelijks op beschikbare updates en pas ze toe na testing. Schakel functies uit die niet worden gebruikt: UPnP, telnet, ongebruikte netwerkpoorten. Ten vierde leverancierskeuze: kies fabrikanten met een transparant cybersecurity-beleid, een dedicated security response team en een track record van tijdige patches. Het NCSC publiceert waarschuwingen over specifieke kwetsbaarheden — abonneer u op deze adviezen.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via CCTV-bewaking op FM Radar →