Klopt dat CCTV systeem wel en hoe komt het daar?

Een van de gevolgen van de Israëlische en Amerikaanse aanvallen op Iran is dat een grotere groep IT gebruikers CCTV systemen is gaan wantrouwen. Nu bekend is geworden dat de aanvallers gehackte CCTV systemen gebruiken om doelwitten te bepalen is het voor IT beheerders, overheidsdiensten en anderen opeens geen abstract verhaal meer dat ooit eventueel zou kunnen gebeuren. Het is realiteit geworden.

Het wantrouwen van CCTV systemen was tot op heden te linken aan het onvoorstelbaar grote aantal botnets dat gehackte en inherent goedkope devices, waaronder camera’s, gebruikt. Dat camera’s ook gericht gehacked konden worden om daarmee informatie te vergaren is al tijden bekend, maar het kwam betrekkelijk weinig voor.

Camera’s in de ban

Dat wil niet zeggen dat in tal van landen het risico bekend als hoog werd ingeschat. Om die reden zijn camera’s van Chinese leveranciers in de ban gedaan. Het proces van verplicht migreren kost tijd. Om die redenen worden de camera’s die al risicovol gelden extra in de gaten gehouden en waar mogelijk in nog beter afgezonderde netwerksegmenten opgenomen.

Er kunnen grappen gemaakt worden over veiligheidscamera’s die zelf weer bewaakt moeten worden, maar daar is op dit moment weinig behoefte aan. De aanvallen op Iran en de rol die CCTV’s daarbij spelen zijn daarvoor te confronterend.

We zien in directe reactie daarop in sommige landen toezichthouders, politici en de pers in actie komen. In India zijn de autoriteiten begonnen met een extra controle van alle CCTV systemen die gericht staan op overheidsgebouwen en infra. De oogst van de eerste week heeft de pers gehaald. Dat was niet zonder reden. Controleurs vonden 24/7 CCTV systemen zonder kennelijke eigenaar die via mobiel internet beelden doorgaven van een belangrijk spoorwegknooppunt. 

CCTV valt minder op dan drone

De vondsten in dat land hebben de pers gehaald en de ophef is wederom groot. Begrijpelijk ook want het gaat hier niet om het verkopen en plaatsen van CCTV’s die door brakke software te hacken zijn. Het gaat om systemen die zijn geïnstalleerd om op illegale wijze informatie te vergaren. Een drone die voorbijkomt valt al snel op. Een camera op een vaste plek, helemaal als die nog een beetje is weggewerkt, valt niet op.

Wat er gebeurt in Nederland als iemand een CCTV systeem ontdekt dat er niet hoort te zijn is trouwens onbekend. Dat soort zaken haalt hier (tot nu toe) de pers niet.

Update: enkele uren na het schrijven van dit artikel maakte de Indiase overheid bekend dat alle CCTV hardware uit China die via het internet bediend kan worden per komende maand verboden is.