Vuonna 2016 Mirai-bottiverkko kaappasi satojatuhansia IoT-laitteita — suurin osa niistä oli valvontakameroita oletussalasanoilla. Ne käytettiin DDoS-hyökkäykseen, joka kaatoi suuren osan amerikkalaisesta internet-infrastruktuurista hetkeksi.
Kameravalvonnan kyberturvallisuus ei ole akateeminen kysymys. Se on käytännön riski, joka toteutuu suomalaisissa yrityksissä — hiljaista, näkymätöntä ja useimmiten huomaamatonta.
Miksi kamerat ovat houkutteleva kohde?
IP-kamera on verkkolaite. Se:
- On aina päällä ja yhteydessä verkkoon
- Käyttää usein vanhentunutta Linux-pohjaista firmwarea
- Saa harvoin päivityksiä asennuksen jälkeen
- On usein samassa verkkosegmentissä kuin muut yrityksen laitteet
Heikosti suojattu kamera ei ole vain turvallisuusriski — se on reitti yrityksen muuhun verkkoon.
Yleisimmät kyberriskitekijät kameravalvonnassa
1. Oletussalasanat
Monien kameroiden ja NVR-laitteiden tehdasasetus on admin/admin tai admin/12345. Automaattiset skannerit löytävät nämä laitteet internetistä sekunteissa.
Ratkaisu: vaihda salasana välittömästi asennuksen yhteydessä. Käytä vähintään 12 merkkiä, isot ja pienet kirjaimet, numerot, erikoismerkit.
2. Vanhentunut firmware
Firmware on kameran käyttöjärjestelmä. Valmistajat julkaisevat päivityksiä, jotka korjaavat tunnettuja haavoittuvuuksia. Päivittämätön kamera on avoin niille kaikille.
Ratkaisu: tarkista firmware-versio vähintään kahdesti vuodessa. Dahua, Hikvision ja Axis julkaisevat säännöllisiä päivityksiä — asenna ne.
3. Suora julkinen IP-osoite
Jotkut asennukset konfiguroivat kameran suoraan internetiin ilman palomuuria tai VPN:ää. Tällöin kamera on näkyvillä kaikille internetin skanneille.
Ratkaisu: kamerat eivät saa olla suoraan julkisessa internetissä. Käytä P2P-yhteyttä (Dahua DMC, Hikvision Hik-Connect), joka salaa yhteyden, tai VPN-tunnelia etäkäyttöä varten.
4. Avoin hallintaportti
Tietyt portit (80, 8000, 8080, 554) auki reitittimessä kameran verkko-osoitteeseen ovat kutsuja skannereille. Porttiohjauksella tehty etäkäyttö on vanhentunut ja turvaton tapa.
Ratkaisu: käytä P2P tai VPN etäkäytölle. Sulje tarpeettomat portit reitittimestä.
5. Kamera samassa verkossa kuin kriittiset järjestelmät
Jos kamerat ovat samassa verkkosegmentissä kuin toimistotietokoneet, palvelimet tai kassajärjestelmät, kaapattu kamera on sillanpääasema koko verkkoon.
Ratkaisu: eristä kamerat erilliseen VLAN:iin tai aliverkkoon. Kameralla pitää olla pääsy vain NVR:ään ja internet-reittiin — ei muihin yrityksen laitteisiin.
Käytännön tarkistuslista — kameravalvonnan kyberturva
Salasanat:
- Kaikilla kameroilla ja NVR:llä on vaihdettu oletussalasana
- Salasana on vähintään 12 merkkiä, sisältää isot/pienet kirjaimet ja numerot
- Salasanat on tallennettu turvalliseen salasananhallintajärjestelmään
Verkko:
- Kamerat ovat erillisessä VLAN:issa tai aliverkossa
- Porttiohjauksilla tehty etäkäyttö on korvattu P2P:llä tai VPN:llä
- Avoimet portit reitittimessä on tarkistettu ja tarpeettomia ei ole
Firmware:
- Kaikki kamerat ja NVR on päivitetty uusimpaan firmwareen
- Päivityskalenteri on olemassa (tarkistus 2 kertaa vuodessa)
Käyttöoikeudet:
- Etäkäyttöoikeudet on rajattu vain tarvittaville henkilöille
- Vieraileville huoltoteknikoille on erillinen, rajoitettu tunnus — ei jaeta pääkäyttäjän salasanaa
Valmistajan valinta:
- Laitteet ovat valmistajalta, joka julkaisee säännöllisiä turvallisuuspäivityksiä
- Ei käytetä tuntemattomia noname-laitteita epäselvistä toimitusketjuista
NIS2 ja kameravalvonnan tietoturva
NIS2-direktiivi edellyttää, että olennaiset ja tärkeät toimijat (energia, liikenne, terveydenhuolto, digitaaliinfrastruktuuri ja muut) hallitsevat toimitusketjunsa kyberriskejä — myös fyysisen turvallisuuden järjestelmät.
Kameravalvontajärjestelmän kyberturvallisuusdokumentaatio — mukaan lukien salasanapolitiikka, päivityskalenteri ja verkkosegmentointi — on osa NIS2-vaatimustenmukaisuuden osoittamista.
Mikä on riski, jos ei tee mitään?
- Kaapattu kamera voidaan käyttää vakoiluun — kuva ja ääni siirtyvät ulkopuoliselle
- Kamera liitetään bottiverkkoon ilman, että yritys huomaa mitään
- Kaapatun kameran kautta päästään muihin yrityksen verkon laitteisiin
- Tietomurto GDPR:n nojalla — henkilötietoja (kuvamateriaali) on päätynyt ulkopuolisille
Haluatko tarkistaa, onko kameravalvontanne kyberturvallisuus kunnossa? Ota yhteyttä — teemme järjestelmäauditoinnin ja korjausehdotuksen.
