Iedereen is het erover eens dat cybersecurity belangrijk is. Maar we moeten goed beseffen dat het vooral ook een continu proces is. Dingen die door de mens zijn ontworpen en gemaakt, zijn nooit 100 procent veilig. De vele backdoors waarover we horen laten zien dat software niet waterdicht is ontworpen en geven aan dat er onvoldoende basiskennis is van een veilige digitale wereld waarin programmeerfouten niet geheel te vermijden zijn.
Cybersecurity is een gedeelde verantwoordelijkheid. Dit geldt in het bijzonder ook in de markt voor netwerkcamera-oplossingen. Geen van de betrokken partijen in de keten van ontwerp, productie, installatie en gebruik kan cybercriminaliteit in zijn eentje bestrijden. Ze zullen allemaal moeten samenwerken om cybercriminelen een stap voor te zijn.
Laten we kijken naar de verantwoordelijkheden van de verschillende stakeholders:
De gebruiker
De belangrijkste taak van de gebruiker is te betalen voor cybersecuritymaatregelen. Dit kan betekenen dat de it-afdeling zelf oplossingen toepast of een integrator/installateur wordt betaald om het onderhoud te verzorgen.
Een ip-camerasysteem gaat gemakkelijk tien tot vijftien jaar mee. Ervan uitgaan dat er in die periode niets meer hoeft te gebeuren om het systeem in goede staat te houden, is erg kortzichtig.
De integrator/installateur
Deze stakeholder speelt een belangrijke rol. De integrator/installateur moet ervoor zorgen dat al zijn/haar apparaten, laptops, mobiele apparaten, et cetera zijn gepatched met de meest recente updates voor het besturingssysteem en dat een geavanceerde virusscanner wordt gebruikt. De gekozen wachtwoorden moeten ingewikkeld genoeg zijn en voor iedere klant en locatie moet men een ander wachtwoord gebruiken. Vermijd het gebruik van één hoofdwachtwoord om het onderhoud van de apparaten te vereenvoudigen. Op afstand toegang verkrijgen tot installaties moet worden beperkt en alle apparaten die zijn verbonden met het systeem van de klant moeten zorgvuldig worden gecontroleerd op virussen om besmetting te voorkomen.
Tegenwoordig wordt videobewakingssoftware en de verbonden hardware maar zelden onderhouden. Zodra deze systemen zijn geïnstalleerd, worden ze meestal alleen bijgewerkt als er meer apparaten worden toegevoegd of wanneer de gebruiker vraagt om extra functies. Zonder onderhoud zal de veiligheid naar verloop van tijd afnemen. Er is bijna 100 procent kans dat er een kwetsbaarheid wordt ontdekt in het besturingssysteem, de software of de hardware.
Ook al lijkt het risico nog zo klein, elke kwetsbaarheid moet worden verholpen. In de meeste gevallen is het niet noodzakelijk om de kwetsbaarheid direct te verhelpen, maar ik raad sterk aan om twee keer per jaar het systeem volledig bij te werken. De integrator moet de klanten op de hoogte brengen van deze procedure, omdat het deel van de beveiligingsindustrie dat zich niet met it bezighoudt zich hiervan niet bewust is.
De adviseur
Ook adviseurs vormen een essentiële schakel, omdat zij de onderdelen van de beveiligingssystemen specificeren. Ze geven niet alleen de juiste productonderdelen en -eigenschappen aan, maar bepalen ook het onderhoud op basis van de levensduur van het systeem. Op deze manier kunnen ze benadrukken dat het van groot belang is om het systeem bijgewerkt te houden. Bovendien moeten ze transparant zijn over de eventuele kosten van zo’n project.
Maar wanneer oem/odm-producten worden geïnstalleerd, kan het onderhoud ervan niet altijd worden gegarandeerd. De meeste klanten schaffen dan ook geen systeem aan waarbij het onderhoud een kwestie van geluk is.
De distributeur
Voor distributeurs is het onderwerp cybersecurity heel simpel. Zij regelen alleen de logistiek en komen zelf niet met het product in aanraking. Toch moeten distributeurs die een toegevoegde waarde willen bieden, dezelfde aspecten in overweging nemen als integrators en installateurs (zie hierboven).
Voor distributeurs die ook zogenaamde oem/odm-producten doorverkopen (producten die ze kopen bij een fabrikant en onder een ander of hun eigen merk aanbieden), gelden heel andere regels. In de eerste plaats is transparantie van groot belang; ze moeten klanten duidelijk maken wat ze precies kopen. Zonder deze transparantie laat de klant zich vooral leiden door de prijs.
Ze moeten ook garanderen dat ze firmware-upgrades ter beschikking stellen in het geval er kwetsbaarheden ontstaan bij de oorspronkelijke producent. Binnen de industrie wordt een ontdekte kwetsbaarheid in de producten van de originele producent namelijk doorgaans niet verholpen in de producten van de vele oem-partners.
De fabrikant
De verantwoordelijkheden van fabrikanten zijn vrij eenvoudig: Vermijd opzettelijke aspecten zoals backdoors, hard gecodeerde wachtwoorden et cetera, stel de juiste middelen ter beschikking om het cybermanagement voor veel apparaten zo eenvoudig en betaalbaar mogelijk te maken, informeer mensen over de risico’s en hoe ze, zowel intern als extern, vermeden kunnen worden, neem relevante aspecten op in hardening guides of andere documentatie, maak het gebruik van standaardmechanismen mogelijk om apparaten zo veilig mogelijk te maken en informeer de partners over kwetsbaarheden en de beschikbare patches.
De onderzoeker
Kwetsbaarheden worden vaak niet door hackers, maar door onderzoekers ontdekt. Op basis van het soort kwetsbaarheid bepalen die dan welke maatregelen nodig zijn. Als de kwetsbaarheid niet opzettelijk is, nemen ze contact op met de fabrikant. Die krijgt vervolgens de tijd om het probleem te verhelpen voordat het product wordt uitgebracht. Als het echter gaat om een opzettelijke ernstige kwetsbaarheid, zoals een backdoor, dan brengen ze dit direct naar buiten om de gebruikers van het product te waarschuwen.
De consument
Ons eigen gedrag is ook een belangrijk onderdeel van een gevorderd cybersecurity bewustzijn. Hoe vaak wijzigen we het wachtwoord van de router? Hoe ingewikkeld zijn onze wachtwoorden? Gebruiken we verschillende wachtwoorden of één ‘hoofdwachtwoord’ voor de meeste toepassingen? Lui gedrag van gebruikers werkt nog steeds in het voordeel van hackers. Door wachtwoorden die eenvoudig te raden zijn en overal gebruikt worden, lopen consumenten het risico dat hun accounts worden overgenomen.
Eén stakeholder alleen kan er niet voor zorgen dat een systeem veilig is en blijft. Alleen als alle stakeholders hun verantwoordelijkheid nemen om gegevens veilig te houden, zullen we erin slagen om cybercriminaliteit te bestrijden.
Deze bijdrage verscheen eerder op https://www.computable.be/artikel/opinie/security/6403194/5594140/cybersecurity-is-gedeelde-verantwoordelijkheid.html.