“De Chinese inlichtingendienst die camerabeelden bekijkt uit het centrum van uw gemeente doordat ze misbruik maken van een onbewezen achterdeur die de fabrikant van de camera’s er op last van de Chinese staat heeft ingebracht.” Als het aan de NOS ligt dan staat deze zin in het risicoregister van de CISO. Als we dat risico vervolgens als laag inschatten, dan loopt de gemeente kans om voor naïef te worden uitgemaakt, een risico in het risicoregister van de bestuurder. Onze gemeente is niet naïef: hup, die camera’s in de straten moeten weg. En zo zijn we in de volgende fase van de nieuwscyclus. “Gemeenten doen Chinese camera’s in de ban uit angst voor spionage”. Huh? Nu zijn we niet naïef maar bang? Bang zijn we, maar vooral voor de beeldvorming.
De BIO en de AVG bieden prima kaders voor netwerkcamera’s en een setje maatregelen is zo bedacht. Op basis van die kaders dien je te starten met een risicoanalyse die gebaseerd is op een gezonde afweging tussen de kwetsbaarheden, bedreigingen, de kans, het risico en met als uitkomst een afgewogen set van maatregelen die dienen te worden toegepast bij de inzet van een camera bewakingssysteem.
Op welke maatregelen kom je dan zoal uit. Voor de ingebruikname van een systeem is pentesten geen overbodige luxe. De camera’s zijn afgeschermd van het interne netwerk door een firewall en IDS/IPS, toegang is voorbehouden aan geautoriseerde medewerkers en beveiligd met 2FA. Camera’s en andere componenten zijn voorzien van de laatste updates. Bovendien slaan we de beelden lokaal en afgeschermd op met een keurig beleid dat bepaalt wie onder welke voorwaarden de beelden voor hoe lang kan bekijken of gebruiken. Daarnaast zorgen we ervoor dat het camerasysteem wordt gemonitord zodat we kunnen zien welk netwerkverkeer plaatsvindt, en vooral ook waarheen en waarvandaan. Kortom er wordt gemonitord op achterdeurtjes die er misschien kunnen zijn. Alle systeem activiteiten worden gelogd.
Het beveiligings- en privacybeleid wordt niet bepaald door wat er in de krant staat, maar op basis van een nuchtere risicoanalyse. Maar het vereist een rechte rug en vertrouwen in elkaar (CISO, FG, management en bestuur) om als gemeente te staan achter beslissingen die je hebt genomen.
Jule Hintzbergen, Adviseur (IBD) en Remco Groet, Strategisch Adviseur (IBD)