GDPR-compliancy: suggerimenti per gli operatori della videosorveglianza

da Ufficio Stampa Hikvision

Il regolamento generale sulla protezione dei dati (GDPR) incide sull’industria della videosorveglianza in maniera importante, dal momento che gli utenti delle soluzioni TVCC trattano e gestiscono una notevole mole di dati. Titolari e responsabili del trattamento devono quindi elevare i livelli di sicurezza operando, in prima linea, su 4 filoni di base: identità; accessibilità; privacy; monitoraggio degli eventi.

Quanto all’autenticazione dell’identità, è essenziale impostare password sicure (minimo 8 caratteri con incluse almeno 3 categorie di caratteri tra maiuscole, minuscole, numeri e caratteri speciali) e reimpostarle mensilmente o settimanalmente per aumentare il livello di protezione e di accesso al sistema. I sistemi più evoluti (1) bloccano l’indirizzo IP del client remoto quando l’utente amministratore fallisce 7 tentativi di digitazione di user/password (5 in caso di operatore/utente). E’ molto utile disporre di diversi livelli di autorizzazione per ciascun utente in modo da impostare eventuali limitazioni per il controllo e gestione degli apparati di videosorveglianza.

ACCESSIBILITÀ

L’amministratore deve poter configurare le autorizzazioni e i diritti di visualizzazione live sia da postazione locale che da postazione remota del sistema di videosorveglianza. L’abilitazione del filtro IP per i client autorizzati impedisce che soggetti non autorizzati possano accedere alle telecamere. Per la security delle porte d’accesso i produttori più evoluti (1) adottano l’approccio by default: alcune funzioni sono disabilitate di default per assicurarsi, in primo luogo, che il dispositivo non sia collegato ad una rete non sicura. I dispositivi disabilitano ad esempio l’SSH, come pure l’SNMP e l’UPNP. Anche il multicasting e la funzionalità ONVIF sono disabilitate di default.

PRIVACY

La Stream Encryption crittografa i flussi per visualizzazione live, riproduzione, download, backup, ecc. e protegge il trasferimento dei dati. La crittografia dei dati HTTPS fornisce l’autenticazione del sito web remoto e del relativo Web server associato, che protegge da attacchi “man-in-the-middle”. Per l’accessibilità alla rete, le telecamere IP supportano lo standard IEEE 802.1X: quando la funzione è abilitata, i dati della telecamera sono protetti e si richiede un’autenticazione utente per collegare la telecamera alla rete protetta da IEEE 802.1X. Quanto al tempo di conservazione dei dati (lasso di tempo nel quale un file registrato viene mantenuto nell’HDD), se si imposta un valore temporale ben definito, alla scadenza di tale valore, i file verranno eliminati. Il tempo di conservazione del file deve essere determinato dal titolare del trattamento quando si imposta un Requisito Operativo (OR) o gli obiettivi per l’uso di un sistema TVCC e sarà influenzato anche dalla capacità dell’HDD. L’aggiunta di un watermark (filigrana elettronica) nello stream video è poi ideale per gestire i problemi di manipolazione video: la filigrana elettronica è infatti nascosta nel file originale ed è possibile visualizzare le informazioni solo con il player apposito.

MONITORAGGIO DEGLI EVENTI

Per garantire che tutte le operazioni possano essere tracciate, il file di log permette di memorizzare gli eventi come gli allarmi rilevati, le operazioni svolte, le anomalie rilevate e le altre informazioni di servizio del dispositivo di videosorveglianza. È anche possibile esportare su richiesta i file di log. Attraverso l’interfaccia “gestione utenti online” si possono poi individuare gli utenti che stanno visitando il dispositivo. Le informazioni utente (es. nome utente, livello, indirizzo IP e orario di accesso al sistema) sono visualizzate nella lista utenti. Per quanto attiene alla sicurezza del cloud, occorre primariamente garantire la sicurezza lato dispositivo attraverso vari accorgimenti (codice seriale unico, verifica random del codice, crittografia, etc) e poi prevedere delle autorizzazioni di verifica (numero di serie e autenticazione del codice di verifica, prevedere un solo dispositivo per un solo account, etc) e infine occuparsi della crittografia sullo streaming. Altre garanzie di sicurezza che un leader mondiale (1) è in grado di prevedere sono: test almeno trimestrali dell’integrità del sistema rispetto a possibili minacce alla sicurezza di terze parti, impostazione di una piattaforma esterna di raccolta delle vulnerabilità, team di R&D completamente dedicato alla sicurezza, utilizzo di software specifici di analisi approfondita per la salvaguardia i dati. E, non da ultimo, certificazioni indipendenti per garantire la serietà del proprio operato (vedi ISO 27001e Report SOC 1 tipo 1 - controlli elaborati dall’AICPA, coperti da SSAE 16, per garantire che i fornitori di servizi tecnologici dispongano di sistemi adeguati per proteggere le informazioni e i dati dei clienti).

Nota:

(1) Come Hikvision, numero uno al mondo nella produzione di sistemi e soluzioni di videosorveglianza e sicurezza, designata nel 2018 CVE Numbering Authority e di recente certificata U.S. Government Federal Information Processing Standard (FIPS) 140-2. Dettagli sulla GDPR-compliance dei dispositivi Hikvision e sulle nuove norme vigenti nel White Paper scaricabile al link: https://www.hikvision.com/it/Support/White-Papers.