Jak zabezpieczyć swój system CCTV i co robić w przypadku cyberataku

W oparciu o artykuł sekurak.pl na temat luki bezpieczeństwa w kamerach Hikvision

Systemy monitoringu wideo (CCTV) są wszechobecne – w firmach, instytucjach publicznych, a nawet w domach prywatnych. Zapewniają poczucie bezpieczeństwa, pomagają w prewencji kradzieży i umożliwiają szybką reakcję w razie incydentu. Jednak niewiele osób zdaje sobie sprawę, że same kamery mogą stać się celem ataków dla cyberprzestępców.

Niedawne doniesienia z serwisu Sekurak.pl pokazały, że stara luka w kamerach IP Hikvision (CVE-2017-7921) wciąż jest masowo wykorzystywana. Hakerzy skanują Internet w poszukiwaniu niezabezpieczonych kamer i włamują się do nich bez większego wysiłku.

Ten przypadek jest doskonałą lekcją, jak ważne jest utrzymanie bezpieczeństwa systemu CCTV i jak działać, gdy dojdzie do incydentu.
Poniżej znajdziesz kompletny poradnik krok po kroku, jak:

1. Zabezpieczyć kamery i rejestratory,
2. Utrzymać bezpieczną infrastrukturę monitoringu,
3. Zareagować prawidłowo, jeśli podejrzewasz włamanie.

1️⃣ Zrozum zagrożenie: jak hakerzy włamują się do kamer

W opisywanym przez Sekurak przypadku badacz bezpieczeństwa Johannes B. Ullrich (SANS Europe) zauważył zwiększony ruch w honeypotach – specjalnych pułapkach symulujących kamery Hikvision.

Atakujący wysyłali żądania HTTP do adresów urządzeń z parametrem auth w adresie URL, np.:

GET /System/deviceInfo?auth=YWRtaW46MTEK

Po odszyfrowaniu auth=YWRtaW46MTEK otrzymujemy admin:11.
To oznacza, że boty masowo testują kombinacje loginów i haseł, często wykorzystując lukę pozwalającą uwierzytelnić się w ten sposób bez żadnych zabezpieczeń.

Wszystko wskazuje, że to właśnie stara luka CVE-2017-7921 – podatność, która od lat pozwalała zalogować się do kamer Hikvision z pełnymi uprawnieniami administratora. I choć producent już dawno wypuścił aktualizacje, wiele urządzeń do dziś działa w niezałatanych wersjach.

2️⃣ Dlaczego to takie groźne?

Przejęcie kamery to nie tylko podgląd obrazu. W praktyce oznacza to, że:

• przestępcy mogą mieć dostęp do nagranego wideo i dźwięku,
• mogą sterować kamerą, usuwać nagrania,
• uzyskać dane o sieci, w której kamera działa,
• wykorzystać ją jako most (pivot) do dalszych ataków wewnątrz sieci,
• lub włączyć urządzenie do botnetu, np. do ataków DDoS.

Z pozoru niegroźne urządzenie może stać się punktem wejścia do całej infrastruktury firmy lub domu.

3️⃣ Pierwszy krok: sprawdź, co masz

Nie da się zabezpieczyć czegoś, czego nie znasz.
Dlatego pierwszy krok to audyt własnego systemu CCTV.

Krok 1.1 – Spis urządzeń

Zrób pełną listę wszystkich kamer, rejestratorów i urządzeń powiązanych z monitoringiem. Zanotuj:

markę, model, numer seryjny,
wersję firmware (oprogramowania),
datę ostatniej aktualizacji,
sposób połączenia (LAN / Internet / Wi-Fi),
czy urządzenie ma dostęp zdalny (np. przez chmurę lub aplikację).

Krok 1.2 – Sprawdź wersje firmware

Wejdź na stronę producenta (np. Hikvision) i sprawdź:

czy Twoja wersja oprogramowania jest aktualna,
czy na liście poprawek widnieją słowa security fix lub CVE patch.
Jeśli nie masz pewności – zaktualizuj. Brak aktualizacji to otwarte drzwi dla atakującego.

Krok 1.3 – Sprawdź dostępność urządzeń w Internecie

Użyj wyszukiwarek typu Shodan.io lub Censys.io, aby sprawdzić, czy Twoje kamery są widoczne publicznie.
Jeśli tak – natychmiast ogranicz ich dostęp (więcej o tym poniżej).

4️⃣ Wzmocnij zabezpieczenia krok po kroku

4.1 Zmień domyślne dane logowania

To banał, ale tysiące kamer wciąż działa na fabrycznych danych typu admin / 12345.

• Zmień hasło zaraz po pierwszym uruchomieniu.
• Użyj długiego, unikalnego hasła (min. 12 znaków).
• Nie używaj tego samego hasła dla wielu kamer.

4.2 Wyłącz dostęp przez Internet, jeśli nie jest potrzebny

Jeśli nie musisz podglądać kamer spoza sieci lokalnej:

• wyłącz funkcję P2P (chmury) lub zdalnego podglądu,
• usuń przekierowania portów (np. 80, 554) w routerze,
• jeśli zdalny dostęp jest konieczny – korzystaj z VPN.

4.3 Ogranicz dostęp tylko do zaufanych adresów IP

Ustaw tzw. whitelistę – czyli listę dozwolonych adresów IP, z których można się łączyć z kamerami.
W przypadku sieci firmowej można użyć reguł na zaporze (firewallu).

4.4 Włącz szyfrowanie

Jeśli Twój rejestrator lub kamera obsługuje HTTPS, zawsze go używaj.
Protokół HTTP przesyła dane (w tym hasła!) otwartym tekstem – co ułatwia ich przechwycenie.

4.5 Zaktualizuj oprogramowanie

Regularnie sprawdzaj dostępność aktualizacji firmware.
Zadbaj o:

• kopię zapasową konfiguracji,
• bezpieczny kanał aktualizacji (ze strony producenta, nie z nieznanych źródeł),
• harmonogram przeglądów bezpieczeństwa (np. co kwartał).

4.6 Ogranicz uprawnienia

Nie wszyscy użytkownicy potrzebują pełnych uprawnień.
Utwórz osobne konta z różnymi poziomami dostępu:

• operatorzy – tylko podgląd,
• administratorzy – konfiguracja i aktualizacje.

5️⃣ Zadbaj o architekturę sieci

Bezpieczny system CCTV to nie tylko same kamery – to sieć, w której one działają.

5.1 Segmentacja sieci

Umieść kamery w oddzielnej podsieci (np. VLAN).
Niech nie mają bezpośredniego dostępu do komputerów, serwerów czy sieci biurowej.

5.2 Firewall i reguły ruchu

Skonfiguruj zaporę, by:

blokowała połączenia wychodzące z kamer do Internetu (jeśli nie są potrzebne),
ograniczała ruch tylko do rejestratora lub serwera NVR,
monitorowała próby nieautoryzowanego dostępu.
???? 5.3 Rejestruj i analizuj logi

Ustaw logowanie wszystkich prób logowania, błędów i zmian konfiguracji.
Regularnie sprawdzaj logi pod kątem podejrzanych żądań (np. /System/deviceInfo?auth=).

6️⃣ Monitoruj, wykrywaj i reaguj

6.1 Monitoruj aktywność sieciową

Zainstaluj narzędzia IDS/IPS (Intrusion Detection/Prevention System), które wykrywają nietypowe zachowania, np. wzrost ruchu HTTP lub logowania z nieznanych adresów.

6.2 Ustaw alerty bezpieczeństwa

Niektóre rejestratory pozwalają wysyłać powiadomienia e-mail lub SMS o:

• próbach nieudanego logowania,
• zmianach konfiguracji,
• utracie połączenia z kamerą.

6.3 Analizuj logi regularnie

Nie czekaj, aż coś się stanie.
Ustal harmonogram – np. raz w tygodniu – przeglądu logów systemu CCTV.

7️⃣ Co zrobić, jeśli podejrzewasz włamanie?

W przypadku incydentu kluczowe są spokój, procedura i dokumentacja.

Poniżej plan reagowania krok po kroku:

Krok 1. Odizoluj urządzenie

Natychmiast odłącz kamerę lub rejestrator od sieci (np. przez wyłączenie portu na switchu).
Nie wyłączaj zasilania, jeśli to możliwe – może to zniszczyć dowody w pamięci urządzenia.

Krok 2. Zrób kopię konfiguracji i logów

Zabezpiecz:

• logi z kamery i routera,
• zrzuty konfiguracji,
• ewentualne nagrania z momentu włamania.

Nie nadpisuj tych danych.

Krok 3. Zmień wszystkie hasła

Zmień hasła do wszystkich kont powiązanych z kamerami – również na rejestratorze, w aplikacjach mobilnych i chmurze.
Użyj nowych, silnych haseł i nie powtarzaj starych.

Krok 4. Sprawdź inne urządzenia w sieci

Hakerzy często wykorzystują kamerę tylko jako punkt wejścia.
Przeprowadź skanowanie sieci, by wykryć inne zainfekowane urządzenia.

Krok 5. Przeinstaluj firmware

Pobierz najnowszy firmware z oficjalnej strony producenta i zainstaluj ponownie.
Nie przywracaj starej konfiguracji z backupu sprzed incydentu – mogła zawierać złośliwe wpisy.

Krok 6. Zgłoś incydent

W przypadku firmy lub instytucji publicznej:

zgłoś incydent do działu IT / bezpieczeństwa,
jeśli doszło do naruszenia danych osobowych (np. nagrań osób), zgłoś to do UODO,
w razie poważnego incydentu – rozważ kontakt z CERT Polska lub policją cybernetyczną.

8️⃣ Długofalowa ochrona: buduj odporność systemu

Bezpieczeństwo to proces, nie jednorazowe działanie.
Poniższe kroki pomogą Ci utrzymać wysoki poziom ochrony w dłuższej perspektywie.

8.1 Regularne aktualizacje

Wprowadź harmonogram przeglądów bezpieczeństwa – np. raz na kwartał:

• sprawdź nowe wersje firmware,
• przetestuj działanie kamer,
• wykonaj test logowania z nieautoryzowanego IP.

8.2 Kopie zapasowe

Rób regularne kopie konfiguracji i nagrań – przechowuj je offline, w bezpiecznym miejscu.
W razie ataku ransomware lub uszkodzenia pamięci, łatwo przywrócisz system.

8.3 Testy penetracyjne (pentesty)

Jeśli zarządzasz dużą siecią monitoringu (np. w firmie, sklepie, instytucji):

• zleć testy penetracyjne systemu CCTV,
• sprawdź, czy segmentacja sieci działa,
• oceń ryzyko przejęcia urządzeń.

8.4 Edukacja personelu

Nawet najlepsze zabezpieczenia nie pomogą, jeśli pracownicy:

• klikną podejrzany link,
• zignorują alert,
• wprowadzą stare hasło.

Zadbaj o szkolenia z podstaw cyberbezpieczeństwa – nawet dla personelu technicznego monitoringu.

8.5 Dokumentacja i procedury

Opracuj wewnętrzną instrukcję postępowania:

• jak aktualizować kamery,
• jak reagować na incydenty,
• kto odpowiada za bezpieczeństwo systemu CCTV.

9️⃣ Czego uczy nas przypadek Hikvision?

Historia luki w kamerach Hikvision pokazuje trzy kluczowe prawdy:

1. Stare luki nie umierają.

   Choć luka CVE-2017-7921 ma już kilka lat, nadal jest masowo wykorzystywana.

2. Bezpieczeństwo to nie tylko serwery i komputery.

   Kamery, drukarki, routery – wszystko, co ma IP, może być celem ataku.

3. Użytkownik jest ostatnią linią obrony.

   Nawet najlepsze oprogramowanie nie pomoże, jeśli zignorujemy aktualizacje i podstawowe zasady higieny cyfrowej.

Podsumowanie: Twoja checklista bezpieczeństwa CCTV

✅ Audyt urządzeń – wiesz, co masz i w jakiej wersji.
✅ Aktualizacje firmware – zawsze najnowsze.
✅ Silne, unikalne hasła – żadnych „admin/12345”.
✅ Segmentacja sieci – kamery w osobnej podsieci.
✅ Monitorowanie logów i alerty.
✅ Procedura reagowania na incydent.
✅ Szkolenia i świadomość użytkowników.

Wniosek

System monitoringu ma chronić – nie być zagrożeniem.
Dlatego traktuj kamery tak samo poważnie jak serwery czy systemy produkcyjne.