Kameravalvonnan tietoturva ei ala salasanasta. Se alkaa verkosta. CISA:n zero trust -malleissa korostuvat vähimmän oikeuden periaate, epäluotettuna oletettu verkko ja segmentointi, jotka sopivat suoraan videovalvonnan suunnitteluun. Hyvä laitekovennuskäytäntö nostaa esiin hyökkäyspinnan pienentämisen, suojatun hallinnan ja järjestelmän elinkaaren aikaiset turvallisuusasetukset.
Kameraverkon tietoturvan keskeisiä teknisiä vaatimuksia:
- Verkkosegmentointi: kamerat eristetään toimistoverkosta VLAN- tai palomuurisäännöillä
- 802.1X-porttitunnistus: luvattomia laitteita ei päästetä verkkoon, vaikka ne kytkettäisiin fyysisesti
- HTTPS ja TLS: kaikki hallintaliikenne salattuna, ei selkotekstiyhteyksiä
- Laitekovennus: oletussalasanat vaihdettu, tarpeettomat palvelut poistettu, firmware päivitetty
- ZTNA-etäkäyttö: port forwarding korvattu hallitulla välityspalvelulla tai nollaluottamusarkkitehtuurilla
NIS2-direktiivi (Kyberturvallisuuskeskus – NIS2) asettaa vaatimuksia kyberturvallisuusriskien hallinnalle toimijoille, jotka kuuluvat direktiivin soveltamisalaan. Kameravalvontajärjestelmät ovat osa tietoverkkoa, joka kuuluu näiden vaatimusten piiriin.
Miksi segmentointi erottaa valvonnan muusta verkosta?
Jos kamerat, tallennus, analytiikka, integraatiot ja toimiston muu liikenne elävät samassa luottamusvyöhykkeessä ilman rajoja, pienikin ongelma voi levitä liian laajalle. Segmentointi ja mikrosegmentointi ovat juuri siksi hyödyllisiä: ne pienentävät hyökkäyspintaa ja rajaavat sivuttaisliikettä. CISA on nostanut mikrosegmentoinnin yhdeksi zero trust -arkkitehtuurin keskeiseksi keinoksi.
Mitä laitekovennus tarkoittaa ja kenen vastuulla se on?
Laitekovennus kattaa turvallisia oletusasetuksia, ajan synkronoinnin, sertifikaattien käytön, HTTPS:n, 802.1X-porttipohjaisen verkkotunnistuksen ja rajatut palvelut. Tämä kertoo hyvin, ettei kameran tietoturva synny pelkästä tuotemerkistä vaan siitä, miten laite otetaan käyttöön.
Miten turvallisuus ja käytettävyys sovitetaan yhteen kameraverkossa?
Liian tiukka malli ilman käytettävää hallintaa johtaa helposti kiertoteihin. Liian avoin malli taas tekee valvonnasta hyökkäyspinnan. Siksi oikea ratkaisu löytyy yleensä hyvin dokumentoidusta verkkoarkkitehtuurista, jossa laitteet, tallennus, analytiikka, etäkäyttö ja integraatiot on eroteltu rooleittain.
Kameraverkon tietoturva-arvio – segmentointi ja salasanahallinnan tarkistus
HTTPS, VLAN, firmware-hallinta ja roolipohjainen etäkäyttö kunnossa.
Pyydä järjestelmäkartoitusMilloin verkkotekniikan arviointi on kiireellistä?
Kameraverkon tietoturva pitää arvioida aina käyttöönottovaiheessa, firmware-päivitysten yhteydessä ja merkittävien järjestelmämuutosten jälkeen. Erityisen kiireellistä arviointi on, jos kameraverkossa on oletussalasanoja, avoimia portteja internetiin tai laitteita, joiden firmware on vanhentunut tai tuki loppunut.
