GDPR, il regolamento generale sulla protezione dei dati incide sull’industria della videosorveglianza in maniera importante. Hikvision, numero uno al mondo nella produzione di sistemi e soluzioni di videosorveglianza e sicurezza, designata nel 2018 CVE Numbering Authority e di recente certificata U.S. Government Federal Information Processing Standard (FIPS) 140-2, ha sviluppato un White Paper sulla GDPR-compliance (1) dei suoi dispositivi e sulle nuove norme.
Di seguito un estratto dei principali suggerimenti agli operatori del settore.
Autenticazione dell’identità
È essenziale impostare passwords sicure (minimo 8 caratteri con incluse almeno 3 categorie di caratteri tra maiuscole, minuscole, numeri e caratteri speciali) e reimpostarle mensilmente o settimanalmente per aumentare il livello di protezione e di accesso al sistema. I sistemi Hikvision bloccano l’indirizzo IP del client remoto quando l’utente amministratore fallisce 7 tentativi di digitazione di user/password (5 in caso di operatore/utente). È molto utile disporre di diversi livelli di autorizzazione per ciascun utente in modo da impostare eventuali limitazioni per il controllo e gestione degli apparati di videosorveglianza.
Accessibilità
L’amministratore deve poter configurare le autorizzazioni e i diritti di visualizzazione live sia da postazione locale che da postazione remota del sistema di videosorveglianza. L’abilitazione del filtro IP per i clients autorizzati impedisce che soggetti non autorizzati possano accedere alle telecamere. Per la security delle porte d’accesso Hikvision adotta l’approccio by default: alcune funzioni sono disabilitate di default per assicurarsi, in primo luogo, che il dispositivo non sia collegato ad una rete non sicura. I dispositivi disabilitano ad esempio l’SSH, come pure l’SNMP e l’UPNP. Anche il multicasting e la funzionalità ONVIF sono disabilitate di default.
Privacy
La Stream Encryption crittografa i flussi per visualizzazione live, riproduzione, download, backup, ecc. e protegge il trasferimento dei dati. La crittografia dei dati HTTPS fornisce l’autenticazione del sito web remoto e del relativo Web server associato, che protegge da attacchi “man-in-the-middle”. Per l’accessibilità alla rete, le telecamere IP supportano lo standard IEEE 802.1X: quando la funzione è abilitata, i dati della telecamera sono protetti e si richiede un’autenticazione utente per collegare la telecamera alla rete protetta da IEEE 802.1X.
Quanto al tempo di conservazione dei dati (tempo nel quale un file registrato viene mantenuto nell’HDD), se si imposta un valore temporale ben definito, alla scadenza di tale valore, i file verranno eliminati. Il tempo di conservazione del file deve essere determinato dal titolare del trattamento quando si imposta un Requisito Operativo (OR) o gli obiettivi per l’uso di un sistema TVCC e sarà influenzato anche dalla capacità dell’HDD. L’aggiunta di un watermark (filigrana elettronica) nello stream video è poi ideale per gestire i problemi di manipolazione video: la filigrana elettronica è infatti nascosta nei file originali ed è possibile visualizzare le informazioni solo con il player apposito.
Monitoraggio degli eventi
Per garantire che tutte le operazioni possano essere tracciate, il file di log permette di memorizzare gli eventi come gli allarmi rilevati, le operazioni svolte, le anomalie rilevate e le altre informazioni di servizio del dispositivo di videosorveglianza. È anche possibile esportare su richiesta i file di log. Attraverso l’interfaccia “gestione utenti online” si possono poi individuare gli utenti che stanno visitando il dispositivo. Le informazioni utente (es. nome utente, livello, indirizzo IP e orario di accesso al sistema) sono visualizzate nella lista utenti.
Per quanto attiene alla sicurezza del cloud, occorre primariamente garantire la sicurezza lato dispositivo attraverso vari accorgimenti (codice seriale unico, verifica random del codice, crittografia, etc) e poi prevedere delle autorizzazioni di verifica (numero di serie e autenticazione del codice di verifica, prevedere un solo dispositivo per un solo account, etc) e infine occuparsi della crittografia sullo streaming (2). Ulteriori dettagli nel White Paper Hikvision sulla GDPR-compliance (1).
1. Scaricabile al link: https://www.hikvision.com/it/Support/White-Papers
2. Altre garanzie di sicurezza che il leader mondiale è in grado di prevedere,test almeno trimestrali dell’integrità del sistema rispetto a possibili minacce alla sicurezza di terze parti, impostazione di una piattaforma esterna di raccolta delle vulnerabilità, team di R&D completamente dedicato alla sicurezza, utilizzo di software specifici di analisi approfondita per la salvaguardia i dati. E, non da ultimo, certificazioni indipendenti per garantire la serietà del proprio operato (vedi ISO 27001e Report SOC 1 tipo 1 – controlli elaborati dall’AICPA, coperti da SSAE 16, per garantire che i fornitori di servizi tecnologici dispongano di sistemi adeguati per proteggere le informazioni e i dati dei clienti).
a cura dell’Ufficio Comunicazione Hikvision Italy
