Titel - Title

Article

Hoe veilig zijn beveiligingscamera's?

Iedereen kan zien hoe jij in bed ligt

Onlangs was website insecam.com groot nieuws. De website publiceert online beelden van tienduizenden onbeveiligde beveiligingscamera’s ter wereld. Onbeschaamd meekijken bij mensen in de woonkamer, de kinderkamer of zelfs de ouderlijke slaapkamer. En dat alles omdat gebruikers het standaard wachtwoord van de camera niet hebben aangepast. Hadden deze mensen beter moeten weten? Of is het strafbaar dat die beelden worden gepubliceerd?

Het antwoord op de laatste vraag is duidelijk: het is niet toegestaan om die beelden online te zetten. ‘Het is wellicht niet strafbaar, maar het is een inbreuk op de privacy’, laat Niels Aafjes weten. Hij is privacy expert bij Deloitte. ‘De man achter insecam.com heeft namelijk geen toestemming voor publicatie van de beelden. Natuurlijk is het onverstandig dat mensen dat wachtwoord niet hebben aangepast, maar er zit een verschil tussen geen wachtwoord en een standaard wachtwoord. Heb je geen wachtwoord, dan zet je je voordeur als het ware open en mogen mensen zomaar binnenlopen. Maar gebruik je wel een wachtwoord – al dan niet standaard – dan wil je niet dat iedereen die beelden zomaar kan bekijken.’

Standaardwachtwoorden scannen

Dat dit toch kan, komt deels door onwetendheid van consumenten. Er ligt echter ook verantwoordelijkheid bij de fabrikanten, die elke camera configureren met hetzelfde standaard wachtwoord. Voor hackers is het heel eenvoudig om een scanprogramma te bouwen. Met zo’n programma kan vervolgens door middel van allerlei standaard wachtwoorden –admin123, 12345- geprobeerd worden in te loggen bij tienduizenden camera’s. Dat deze aanpak werkt is te zien aan website als insecam.com.

‘De hacker zegt dat hij deze website is gestart vanuit een vorm van activisme’, zegt Roel van Rijsewijk, partner cyber security bij Deloitte. ‘Hij wil een bewustwording creëren over dit onderwerp. Die awareness ontbreekt bij consumenten op dit moment nog te vaak. Mensen overzien de gevolgen niet van onvoorzichtig gebruik van wachtwoorden. Ze zien enkel de voordelen van een beveiligingscamera, bijvoorbeeld dat ze vanaf hun werk kunnen zien wat er in huis gebeurd. Maar ze realiseren zich niet dat de rest van de wereld dat nu ook kan zien.’
 

Naming and shaming

Ondanks claims van de hacker dat hij nobele intenties heeft, keuren Aafjes en Van Rijsewijk de actie af. Aafjes: ‘Als je via Google naar insecam zoekt en bij de resultaten naar de afbeeldingen kijkt, zie je naakte mensen, mensen in ondergoed of kleine kinderen die zitten te spelen. Op veel individuen waarvan de beelden nu online staan heeft deze actie dus grote impact. De burger is op deze manier de dupe.’ Van Rijsewijk stemt hiermee in. ‘Ik vind dat de zorgplicht in dit geval bij bedrijven ligt. Als het je gaat om naming and shaming, zoals die hacker beweert, dan zou hij zich moeten richten op de fabrikanten van de camera’s. Opvallend is overigens dat er een duidelijk businessmodel is voor de website. Er staan veelvuldig reclames op, dus de hacker verdient hier geld mee. Dat maakt het geheel minder activistisch.’
 

Veiligheidslekken

De actie van deze Russische hacker staat uiteraard niet op zichzelf. Het is een gevolg van steeds verdergaande technologische ontwikkelingen waar we niet altijd de gevolgen van overzien, betoogt van Rijsewijk. ‘Zie het als learning by doing. Bedrijven bedenken steeds wat nieuws en er kan technisch steeds meer.’ Hierdoor ontstaan er constant nieuwe uitdagingen voor hackers. Van Rijsewijk: ‘Dat laatste hoeft niet per se een bedreiging te zijn. Bedrijven kunnen er hun voordeel mee doen als ze door hackers op veiligheidslekken worden gewezen. Mijn advies is altijd om een goed responsible disclosure-beleid te maken. Je verzoekt hackers een eventueel lek te melden in plaats van die publiek te maken. In ruil daarvoor neem je geen juridische stappen. Wat je noemt win-win.’

Are you looking for a Cyber Security training? Check here for our learning curriculum.

Vond u dit nuttig?

Gerelateerde onderwerpen