Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

RODO a telewizja dozorowa. Gotowe rozwiązania firmy Hanwha Techwin

Printer Friendly and PDF

25 maja 2018 r. we wszystkich krajach Unii Europejskiej wchodzi w życie Rozporządzenie o Ochronie Danych Osobowych (RODO). Ramy niniejszego artykułu pozwalają jedynie na bardzo ograniczoną analizę zapisów tego rozporządzenia, dlatego odnosi się on głównie do konsekwencji RODO dotyczących codziennej eksploatacji systemów telewizji dozorowej.

RODO – ochrona danych na nowo

Media społecznościowe, e-bankowość, płatności elektroniczne, zakupy w sieci, profilowane reklamy, geolokalizacja, big data, upowszechnienie nadzoru wizyjnego z wykorzystaniem sieci IP oraz wiele innych nowych rozwiązań IT całkowicie odmieniło nasze codzienne życie i stało się to w bardzo krótkim czasie. Nie sposób było przewidzieć wszystkie możliwe konsekwencje, także te negatywne, jakie niosły ze sobą tak dynamiczne zmiany. Wycieki wielkich ilości danych, stalking, uporczywy telemarketing czy internetowy spam to tylko kilka przykładów. Regulacje RODO mają pomóc w ograniczeniu tych negatywnych zjawisk, a nade wszystko wprowadzić nowy porządek w zarządzaniu danymi osobowymi. Według RODO systemy telewizji dozorowej mogą generować i przetwarzać bardzo dużo danych osobowych, głównie w postaci obrazów twarzy osób znajdujących się w zasięgu działania wizyjnego systemu dozorowego. Oznacza to, że taki system gromadzi dane osobowe i sposób jego funkcjonowania musi spełniać wymogi rozporządzenia.

Co się zmieni?

Nowe reguły wynikające z rozporządzenia muszą być stosowane przez wszystkie przedsiębiorstwa, w tym osoby prowadzące działalność gospodarczą samodzielnie. Wprowadzenie katalogu zasad przetwarzania danych osobowych, nowe obowiązki dla przetwarzających dane, prawo do „bycia zapomnianym”, prawo do przenoszenia danych, obowiązek zgłaszania naruszeń i nieprawidłowości czy wzmocnione prawo do dostępu i wglądu w nasze dane to tylko kilka najistotniejszych zmian wprowadzanych przez nowe rozporządzenie. Poniżej zajmiemy się ich analizą w praktycznym kontekście codziennej eksploatacji wizyjnych systemów dozorowych.

Fot. 1. Rejestrator PRN-4011 z fizycznym zabezpieczeniem dysków i logowaniem wieloma hasłami

 

Zasada poufności

Zgodnie z tą zasadą należy wdrożyć środki zapobiegające ujawnieniu lub udostępnieniu gromadzonych danych nieuprawnionym podmiotom i (lub) ich przetwarzaniu. W przypadku wizyjnego systemu dozorowego oznacza to m.in. fizyczne zabezpieczenie samego urządzenia rejestrującego i dysków, ochronę dostępu na poziomie sieci czy właściwy stopień złożoności haseł, a także odpowiednie zabezpieczenie danych na wypadek ich nieuprawnionego pozyskania. Hanwha Techwin oferuje gotowe rozwiązania uwzględniające każdy z tych aspektów ochrony. Na przykład panel przedni rejestratora PRN-4011, zamykany na zamek, chroni fizycznie kieszenie z dyskami.

Wymuszanie skomplikowanych i długich haseł używanych podczas logowania się znacznie utrudnia próby włamania metodą brutalnej siły (ang. brute force). Brak haseł domyślnych jest dodatkową ochroną na tym poziomie. Warto też wymienić filtrowanie adresów IP, które umożliwia zalogowanie się tylko konkretnym urządzeniom, oraz szyfrowanie plików konfiguracyjnych i oprogramowania układowego, które zapobiega próbie pozyskania loginu i hasła z wnętrza pliku. Szyfrowane są także pliki konfiguracyjne i tabele bazy danych oprogramowania zarządzającego (np. SSM i SmartViewer). Uwierzytelnianie użytkowników metodami SSL i TLS/EAP oraz możliwość współpracy z serwerami Radius stanowi bardzo ważne i skuteczne uzupełnienie systemu ochrony danych. Niezwykle istotna jest także możliwość zaszyfrowania kopii zapasowej, które gwarantuje ochronę materiału nawet w przypadku jego nieuprawnionego pozyskania. Na szczególną uwagę zasługuje funkcja automatycznego powiadamiania o podaniu nieprawidłowego hasła podczas logowania się, którą mają nowe modele urządzeń z serii Wisenet. Opisane wyżej metody zabezpieczenia oferuje znakomita większość rejestratorów, kamer IP oraz oprogramowania Hanwha Techwin, a niektóre z tych metod są umożliwione nawet przez klawiatury sterujące.

Fot. 2. Oprogramowanie Wisenet Wave z funkcją serwerów zapasowych

 

Zasada integralności

Zasada integralności narzucona w RODO oznacza obowiązek uniemożliwienia modyfikacji, usuwania i dodawania danych w sposób nieupoważniony, a także obowiązek zabezpieczenia ich przed zniszczeniem. W przypadku wizyjnych systemów dozorowych rozwiązania wynikające z konieczności przestrzegania tej zasady pokrywają się w dużej części z rozwiązaniami przedstawionymi wyżej, w opisie zasady poufności. Dodatkowo, w odniesieniu do zabezpieczenia danych przed zniszczeniem, warto wymienić zapis macierzowy RAID-5 i RAID-6, zapis awaryjny bezpośrednio na kartach SD umieszczonych wewnątrz kamer, automatyczne przywracanie kopii zapasowej ARB, redundancję Failover n+1 rejestratorów czy rozwiązania wysokiej dostępności na poziomie serwerów. To wszystko jest oferowane przez wybrane rejestratory IP serii Wisenet oraz oprogramowanie SSM i Wisenet Wave (to ostatnie działa w systemach operacyjnych Windows, Linux i Apple/Mac).

Zasada minimalizacji danych

Zgodnie z kolejną zasadą podaną w RODO zakres gromadzonych danych osobowych musi być ograniczony do niezbędnego minimum oraz adekwatny do celu ich gromadzenia. W przypadku rejestracji obrazu praktycznym sposobem przestrzegania tego wymogu jest zdefiniowanie retencji danych. Proste wyliczenie szacowanego czasu zapisu jest niestety niewystarczające, gdyż z powodu zmienności czynników środowiskowych (takich jak poziom oświetlenia, szumy czy ilość ruchu w kadrze) zmienia się także zajętość miejsca na dyskach i nie można precyzyjnie określić docelowego czasu rejestracji materiału. Aby rozwiązać ten problem, Hanwha Techwin wprowadziła w swoich rejestratorach Wisenet funkcję kontroli retencji danych, która pozwala na precyzyjne określenie, po jakim czasie gromadzone dane mają zostać usunięte, nawet jeśli zastosowane dyski umożliwiają ich dalsze przechowywanie. Co istotne, funkcja ta jest dostępna także w kamerach IP serii Wisenet wyposażonych w gniazda dla kart SD, co jest kluczowe w przypadku wykorzystania zapisu awaryjnego wewnątrz kamer.

Fot. 3. Kamera serii Wisenet X z funkcją ARB, umożliwiająca lokalny zapis do 512 GB

 

Zasada ograniczenia celu

Zgodnie z tą zasadą cel przetwarzania danych musi być wyraźnie określony, a proces przetwarzania nie może wykraczać poza realizację tego celu. Dotyczy to także ograniczenia dostępu do zbioru danych dla użytkowników, którzy przetwarzania dokonują, oraz możliwości okresowych przeglądów i modyfikacji ich uprawnień. W przypadku wizyjnych systemów dozorowych bardzo ważne jest skuteczne zarządzanie listą użytkowników ich uprawnieniami do dostępu do danych i do ich przetwarzania, np. do podglądu obrazu w czasie rzeczywistym, odtwarzania lub kopiowania materiału, łączności zdalnej. Uprawnienia do korzystania z poszczególnych funkcji można określać bardzo szczegółowo zarówno w rejestratorach IP, jak i w oprogramowaniu firmy Hanwha Techwin. Ograniczenie dostępu można określać niezależnie dla każdego z użytkowników, niezależnie dla każdej z kamer, niezależnie dla trybu podglądu, trybu odtwarzania i trybu kopii zapasowej. Możliwość wprowadzania wielu haseł, dostępna w przypadku wybranych modeli stanowi dodatkowe zabezpieczenie w procesie ograniczania celu przetwarzania.

Fot. 4. Szczegółowy dziennik zdarzeń na przykładzie kamer Wisenet

 

Zasada rozliczalności

Zasada rozliczalności polega na nałożeniu na administratora systemu obowiązku wykazania, że wszystkie operacje wykonywane na zbiorze danych osobowych są zgodne z regulacjami RODO. Zasada ta nakłada również obowiązek zgłaszania organowi nadzorującemu wszelkich nieprawidłowości i naruszeń rozporządzenia. Na terenie RP takim organem jest GIODO. Na przykład atak hakerski na stronę internetową czy wyciek danych należy zgłosić najpóźniej w ciągu 72 godzin. W przypadku wizyjnych systemów dozorowych przestrzeganie zasady rozliczalności wiąże się bardzo ściśle z zastosowaniem środków technicznych mających na celu uwzględnienie opisanej wyżej zasady ograniczenia celu oraz innych zasad, np. umożliwiających bieżącą kontrolę aktywności użytkowników i osób nimi zarządzających. Doskonale sprawdzą się dzienniki systemowe i dzienniki zdarzeń, dostępne we wszystkich urządzeniach sieciowych i oprogramowaniu firmy Hanwha Techwin. Dzięki dużej szczegółowości wpisów w dziennikach można sprawdzić np. nie tylko, kto i kiedy utworzył, usunął czy zmodyfikował konto nowego użytkownika, wykonał kopię zapasową, zmienił czas systemowy itp., ale także ustalić, jakie nowe dane wprowadzono oraz z jakiego adresu IP dokonano zmian. Powiadamianie w czasie rzeczywistym o podejrzanych działaniach lub nietypowych zdarzeniach (np. o wielokrotnym wpisaniu błędnego hasła czy utracie połączenia sieciowego) również ułatwia przestrzeganie zasady rozliczalności.

Opisane wyżej funkcje produktów firmy Hanwha Techwin umożliwiają spełnienie wymagań RODO w przypadku wizyjnych systemów dozorowych. Oczywiście nie zostały tu omówione wszystkie zasady narzucone przez RODO i wszystkie rozwiązania firmy Hanwha Techwin, które ułatwiają dostosowanie się do nowych przepisów, dlatego gorąco zachęcamy do bezpośredniego kontaktu z przedstawicielami firmy w Polsce oraz do zapoznania się z informacjami dostępnymi na stronie
www.hanwha-security.eu.

Piotr Rogalewski
p.rogalewski@hanwha.com
Hanwha Techwin Europe

 

Zabezpieczenia 2/2018

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony