Kameravalvonnan etähallinta mahdollistaa kameroiden, tallenteiden, hälytysten ja käyttöoikeuksien hallinnan yhdestä näkymästä. Se sopii erityisesti yrityksille, joilla on useita toimipisteitä, hajautettuja kohteita tai tarve nopeaan reagointiin.
Etähallinta vs. VSaaS: Etähallinta on toiminto – se kertoo miten järjestelmää ohjataan etänä. VSaaS on palvelumalli, johon etähallinta usein sisältyy. Etähallinta voidaan toteuttaa myös paikallisessa tai hybridijärjestelmässä.
Mitä etähallinta mahdollistaa?
Etähallinnan avulla yritys voi:
- Katsoa livekuvaa mistä tahansa selaimella tai sovelluksella
- Hakea ja viedä tallenteita tapahtumien jälkiselvitykseen
- Muuttaa kamera- ja hälytyksenasetuksia ilman huoltokäyntiä
- Hallita käyttäjärooleja ja käyttöoikeuksia keskitetysti
- Vastaanottaa hälytykset ja toimia välittömästi
Usean toimipisteen yrityksessä etähallinta on ero hallinnan ja kaaoksen välillä. Yksi näkymä, roolipohjaiset oikeudet ja selkeät lokit tekevät valvonnasta johdettavaa. Excel-lista käyttäjätunnuksista ei ole tietoturvamalli.
Mitä pitää huomioida?
Etähallinta vaatii vahvan tunnistautumisen, rajatut käyttöoikeudet, lokituksen ja turvallisen verkkoyhteyden. Etäkäyttö on hyöty vain, jos se on suojattu oikein. Muuten se on vain ovi verkkoon.
Ratkaisu ei sovi organisaatiolle, joka ei hallitse käyttäjäoikeuksiaan. Kun vastuut ja roolit ovat kunnossa, etähallinta tehostaa ylläpitoa, nopeuttaa reagointia ja parantaa koko valvontajärjestelmän arvoa.
Etähallinta ilman avoimia portteja
Turvallisin etäkäyttömalli rakentuu hallitun välityspalvelun tai ZTNA-arkkitehtuurin (Zero Trust Network Access) päälle. Laitteet eivät avaudu suoraan internetiin port-forwarding-tyylisesti, vaan yhteydet kulkevat valvotun kanavan kautta. Tämä pienentää hyökkäyspintaa merkittävästi ja helpottaa käyttöoikeuksien hallintaa. NIS2-direktiivi (Kyberturvallisuuskeskus – NIS2) edellyttää vastaavaa riskiperusteista lähestymistapaa tietojärjestelmien etäkäyttöön.
Miksi port forwarding on väärä tapa toteuttaa etäkäyttö?
Port forwarding on yleisin tapa, jolla etäkäyttö toteutetaan väärin. Se avaa reitittimessä portin suoraan kameran tai tallentimen IP-osoitteeseen — ja samalla sen koko internetille. Käytännön ongelmat ovat konkreettisia:
- Skannattu ja löydetty: Kaikki avoimet portit löytyvät automaattisista verkkoskannauksista minuuteissa. Kamerajärjestelmät ovat tunnettuja hyökkäyskohteita.
- Valmistajan oletussalasanat: Jos laitteen oletussalasanaa ei ole vaihdettu — mikä on yleistä asennuksen jälkeen — pääsy on triviaali.
- Ei lokitusta: Port forwarding ei tuota käyttäjätason lokia. Et tiedä, kuka on kirjautunut sisään tai milloin.
- Ei roolipohjaista hallintaa: Yhteys menee suoraan laitteelle — roolirajauksia ei ole käytännössä mahdollista toteuttaa.
Parempi malli on hallittu välityspalvelu tai ZTNA-arkkitehtuuri, jossa laite itse ottaa yhteyden ulos — ei ota sisään.
ZTNA-arkkitehtuurin periaate käytännössä
Zero Trust Network Access (ZTNA) muuttaa yhteydenmuodostuksen logiikan: sen sijaan että laite odottaa yhteyttä ulkoa (port forwarding), laite itse rakentaa salatun tunnelin hallittuun välityspalveluun. Tämä tarkoittaa:
- Ei avoimia portteja — laite ei kuuntele internetiä
- Identiteettipohjainen pääsy — käyttäjä tunnistetaan ennen kuin yhteys muodostuu laitteelle
- Minimioikeudet — käyttäjä näkee vain ne kamerat, joihin hänellä on rooli
- Lokitettava — jokainen kirjautuminen, katselu ja lataus kirjautuu aikaleiman kanssa
Käytännössä tämä näkyy käyttäjälle selaimena tai sovelluksena, joka toimii normaalisti — mutta taustalla yhteys on suojattu eikä avaa hyökkäyspintaa.
NIS2 ja etäkäyttö
NIS2-direktiivi (Kyberturvallisuuskeskus – NIS2) edellyttää kriittisten infrastruktuurikohteiden osalta riskiperusteista lähestymistapaa tietojärjestelmien suojaamiseen. Etäkäyttö kuuluu tähän: organisaation pitää pystyä osoittamaan, että etäpääsyyn liittyvät riskit on arvioitu ja hallittu. Port forwarding ei täytä tätä vaatimusta. Hallittu ZTNA-malli — jossa on lokitus, tunnistautuminen ja roolipohjainen pääsy — täyttää.
Usean toimipisteen hallinta käytännössä
Monitoimipaikkaisessa yrityksessä etähallinta näkyy parhaiten, kun kaikki kohteet näkyvät yhdessä näkymässä. Esimerkki:
- Vähittäiskaupan ketjulla on 12 myymälää eri paikkakunnilla
- Jokaisessa on omat kamerat ja tallennin
- Tietoturvavastaava hallitsee käyttöoikeuksia keskitetysti
- Kun myymäläpäällikkö vaihtuu, oikeudet päivitetään yhdestä paikasta
- Hälytyskeskus saa automaattisesti hälytyksen jokaisesta poikkeamasta
Ilman etähallintaa jokainen muutos edellyttäisi fyysistä käyntiä kohteessa tai erillistä järjestelmää jokaiselle toimipisteelle. Kustannusero on merkittävä jo viiden kohteen kohdalla.
Milloin etähallinta on oikea valinta?
Etähallinta on oikea valinta lähes aina, kun kohteita on enemmän kuin yksi tai kun ylläpidon pitää reagoida nopeasti ilman kohteessa käyntiä. Edellytyksenä on, että etäkäyttö toteutetaan turvallisesti: vahva tunnistautuminen, roolipohjaiset oikeudet ja lokitus ovat minimivaatimukset ennen kuin etähallintaa kannattaa avata.
