De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel is misbruikt. Volgens berichten zijn meerdere bedrijven inmiddels door de AIVD of MIVD op de hoogte gesteld dat ze deze spionage mogelijk maken.
Elke professional die iets weet van IP-camera’s snapt direct wat hier aan de hand is geweest. Devices die onbeveiligd zijn, voorzien van een standaard admin/admin login of op andere wijze inherent onveilig kunnen via zoekmachines (Shodan is de bekendste) makkelijk worden getraceerd.
Iedereen kan op die manier traceren waar onveilige IP-camera’s staan. Voor echte criminelen en spionnen begint dan pas het echt werk.
In een brief aan de Tweede Kamer hebben de ministers van Binnenlandse Zaken en Defensie verteld wat er is geconstateerd gevolgd door een advies. Dat advies is als een apart document ook de te downloaden bij de AIVD (PDF).
Het zou goed zijn als iedereen die als IT beheerder, dienstverlener of op andere wijze te maken heeft met beveiligingscamera’s deze adviezen doorneemt. Dat kan veel voorkomen en uiteindelijk zit ook niemand te wachten op een brief of zelfs bezoek van een van de genoemde diensten.
Het advies noemt de volgende punten en gaat daar per keer dieper op in:
- Beperk directe toegang tot IP-camera’s vanaf het internet
- Beperk het gezichtsveld van de IP-camera
- Toegangsbeheer en authenticatie
- Onderhoud de firm- en software van de IP-camera
- Herkomst van de IP-camera
- Onbekende IP-camera’s
Noot
Buiten de scope van de bevoegdheden van de twee diensten valt overigens de constatering dat er nog een reden is deze adviezen op te volgen. Een deel van de punten heeft namelijk ook een link met de AVG.
Het klinkt leuk overal IP-camera’s te hangen en zo zicht te hebben op de omgeving. Maar de openbare ruimte vastleggen of monitoren (helemaal zonder dat aan te geven) is niet toegestaan.
Wat betreft het onderhoud van de camera’s – het is niet voor niets dat de EU regels heeft die leverancier verplichten veilige devices op de markt te brengen. En wat de herkomst van IP-camera’s: daar is al langer internationaal met enige regelmaat ophef over.