Technologische verandering en wetgeving bepalen vandaag de richting voor fabrikanten van beveiligingsoplossingen.
Wetgeving duwt de securitysector in een nieuwe versnelling. Europese regelgeving zoals GDPR en de AI Act zetten fabrikanten ertoe aan om niet alleen privacy te beschermen, maar ook cyberveiligheid en de authenticiteit van beeldmateriaal aantoonbaar te maken.
Het koppelen van eender welk IT-apparaat creëert ook een potentiële toegangspoort voor aanvallers, zeker wanneer apparaten niet correct worden ‘dichtgetimmerd’ na installatie. Beveiligingsfabrikant Axis Communications probeert die spanningsboog te managen met security-by-design én een interne ethische toets: niet alles wat kan, moet ook in de markt gezet worden.
Wetgeving wijst de weg
“Axis Communications ontwikkelt al jarenlang beveiligingsoplossingen, waaronder camera’s”, begint Erik Baeten, beveiligingsadviseur bij Axis Communications. “Veel camera’s worden tegenwoordig ingezet voor Business Intelligence en Operational Efficiency doeleinden. Sinds enkele jaren merken we daar een duidelijke verandering in, omdat de technologie zich steeds verder ontwikkelt.”
Heel wat van die veranderingen worden bepaald door de evoluerende regelgevingen. “In de Europese Unie bestaan er allerlei wetgevingen die ervoor zorgen dat de technologie zich in een bepaalde richting beweegt”, weet hij. Een bekend voorbeeld is de GDPR, die zich focust op de bescherming van persoonsgegevens binnen Europa.
Maar het gaat verder dan dat. Ook wetgevingen zoals NIS2 en AI Act raken aan de ontwikkeling van bijvoorbeeld camera’s. “Dit zijn enkele van de wetgevingen die bepalen welke richting fabrikanten uit moeten gaan om hun apparaten volgens de regels te ontwikkelen.”
Tools en technologieën
“Het doel van dergelijke wetgevingen is dat je systemen bouwt die lastig te kraken zijn”, gaat Baeten verder. “Zeker bij camera’s is het belangrijk dat de data die je systemen voortbrengen, zoals video- en metadata, niet in slechte handen terechtkomen.”
lees ook
Deepfakes ondermijnen digitaal vertrouwen in je bedrijf: wat kan je doen?
Maar ook authenticiteit van beeldmateriaal is belangrijk. “Er bestaan ondertussen allerlei tools en technieken waarmee je kan aantonen dat het videomateriaal authentiek is, en dus rechtstreeks uit de camera komt zonder dat iemand de beelden heeft kunnen manipuleren”, stelt hij. De wetgevingen pushen de industrie om dergelijke tools te maken.
Versleutelde video’s
Eén van zo’n beveiligingstechniek is op basis van encryptiesleutels. “Video’s worden niet als ruwe videbeelden over het netwerk getransporteerd omdat dit veel te gevoelig is”, stelt Baeten. “De camera verstuurt het beeldmateriaal versleuteld naar de ontvanger, waar het opnieuw wordt ontsleuteld.”
Een andere manier om video’s veilig over te dragen is zoals Baeten het noemt: Signed Video. “Het beeldmateriaal van de camera wordt samen met een specifieke handtekening verstuurd. Alleen als je die handtekening hebt, kan je het materiaal raadplegen”, legt hij uit. Bovendien kan je met die sleutel ook aantonen dat de video het oorspronkelijke, authentieke videomateriaal is.
Slim, slimmer, AI
Als het gaat over nieuwe technologieën, kunnen we natuurlijk niet om AI heen. Ook in de beveiligingswereld bestaan er diverse AI-toepassingen. “Om terug te komen op de sturende wetgevingen, ligt hier de AI Act ten grondslag”, stelt Baeten. De AI Act is een Europese wetgeving die stelt dat iedereen die een AI-algoritme ontwikkelt, duidelijk moet beschrijven wat het doel ervan is, hoe je het gaat inzetten en welke datasets gebruikt worden.
“We ontwikkelen zelf AI-algoritmes met bepaalde doelstellingen, die gerelateerd zijn aan de doelstellingen van een camera.” Baeten illustreert: “Dankzij AI-tools kunnen we bijvoorbeeld verschillende voertuigen classificeren, zoals het detecteren van vrachtwagens. We willen enkel betrouwbare meldingen ontvangen, want “ieder alarm dat getriggerd wordt, moet je opvolgen en daar hangen kosten aan vast”, stelt hij.
AI-algoritmes worden ook steeds meer ingezet voor andere zaken die voorbij beveiliging gaan. “In de gezondheidszorg worden dergelijke AI-technologieën bijvoorbeeld toegepast om na te gaan of iemand uit bed is gevallen of onrustig wordt”, weet Baeten.
Doel van de technologie
Deze (AI-)ontwikkelingen kunnen verschillende processen slimmer maken en voor efficiëntie zorgen, maar Baeten is er zich van bewust dat het ook misbruikt kan worden. “We willen met onze technologieën de wereld beter maken, maar beseffen dat er ook een keerzijde kan zijn”, gaat hij verder. Daarom richtte Axis Communications een Code of Conduct op.
“Met de commissie proberen we eerst per case te achterhalen waarvoor een bepaalde technologie nodig is. Bovendien stellen we ons de vraag of die technologie ook op een eenvoudige manier toegepast kan worden, zonder dat het tegen ons gebruikt kan worden”, legt hij uit. Dit leidt er volgens hem toe dat bepaalde technologieën gewoon niet gebruikt of verkocht worden.
Als concreet voorbeeld noemt Baeten gezichtsherkenning: “Dit is technisch mogelijk, maar de privacy-bijvangst is te groot omdat je eigenlijk alle gezichten aan het analyseren bent. Het kan netto meer schade aanbrengen dan goed.”
Open deur
Bovendien kan de technologie ook de deur op een kier zetten voor cybercriminelen. “Helaas steekt niet iedere fabrikant er evenveel tijd in om apparaten cyberveilig te maken”, aldus Baeten. “Ieder IP-apparaat, zoals een camera, prik je vast aan een netwerk. Die apparaten maken op hun beurt verbinding met de buitenwereld, het internet, om bijvoorbeeld updates binnen te halen.” Het is een voordeur die je openzet. “Alles wat naar buiten kan, kan uiteindelijk ook naar binnen.”
Elk apparaat is een ingang tot heel je netwerk.
Erik Baeten, beveiligingsadviseur bij Axis Communications
Volgens Baeten staan fabrikanten in een spreidstand. “Je kan onmogelijk een dichtgetimmerd apparaat leveren, want dan kan de klant het niet meer aan zijn netwerk koppelen. Axis zorgt er daarom voor dat partners opleidingen krijgen over hoe ze een netwerk moeten beveiligen en hoe ze camera’s op een veilige wijze kunnen koppelen aan een netwerk, zodat er een goed beveiligd geheel ontstaat.
Zwakke plekken
Bedrijven moeten zich bewust zijn van de cyberveiligheid van hun apparaten. “Onze apparaten komen vaak in hoogwaardige omgevingen terecht, net omdat we zo hameren op de cyberveiligheid, en daar merk je wel dat het bewustzijn sterk leeft”, vertelt Baeten.
Cybercriminelen zullen vandaag niet een grote, goed beveiligde bank rechtstreeks aanvallen, maar wel een kleine partij die verbonden is met de bank. Via die toegangspoort kunnen ze vervolgens binnendringen, door bijvoorbeeld een phishingmail te verzenden.
lees ook
De blinde vlek van IoT: hoe veilig zijn slimme apparaten?
“Als fabrikant moeten we zoveel mogelijk maatregelen nemen om zo min mogelijk zwakke plekken te creëren”, stelt hij. “Dat gaat van maatregels voor camera’s, maar ook tot opleidingen of gidsen over hoe je het camerasysteem dicht timmert, en netwerkopleidingen over hoe je een netwerk betrouwbaar maakt.”
“We wachten niet op de buitenwereld, maar huren zelf mensen in om op zoek te gaan naar zwakheden in onze systemen”, aldus Baeten. Openheid is een belangrijk aspect, daarom zijn we ook onderdeel van Common Vulnerabilities and Exposures (CVE) en communiceren we transparant over onze kwetsbaarheden en voeren we de nodige patches uit.
Echt of niet?
Hoewel we het artikel begonnen met een resem aan wetgevingen die de richting voor fabrikanten bepalen, is die regelgeving ook de achilleshiel van de technologische ontwikkelingen. “De wetgeving loopt altijd wat achter op de technologie”, stelt Baeten. “De technologie bestaat al lang, en nu pas begint wetgeving te komen.”
Hij maakt zich voornamelijk zorgen over de volgende generaties. “Onze jeugd zal moeten aanleren om kritisch te kijken naar alle data die ze voorgespiegeld krijgen en leren om onderscheid te maken tussen betrouwbaar en onbetrouwbaar en écht en onecht”, aldus Baeten.
“Het is aan ons om de volgende generatie op te leiden met technieken zoals de eerdergenoemde Signed Video of encryptiesleutels. De technologieën die we nu hebben, moeten ervoor zorgen dat alles te herleiden is naar een betrouwbare bron”, besluit hij.