Onderzoek: slimme camera’s Universiteit Leiden hadden kwetsbaarheden

Uit onderzoek van de Universiteit Leiden blijkt dat de beveiliging van 371 slimme camera’s die tijdens de coronacrisis werden geïnstalleerd, kwetsbaarheden hadden. Als de universiteit de camera’s opnieuw wil inzetten, moet het ook een risicoanalyse uitvoeren.

De redactie van het universiteitsblad Mare kon het onderzoeksrapport, dat momenteel bij de universiteitsraad ligt, inkijken. Daarin staan de resultaten van de penetratietest die begin dit jaar werd uitgevoerd door een extern bureau. Uit die test blijkt dat gebruikers informatie over de slimme camera konden zien, zonder in te loggen. De wachtwoorden waren naar verluidt ook met een onveilige en verouderde versleuteling beveiligd. Volgens Mare voerde Xovis, het bedrijf achter de slimme camera’s, in februari van dit jaar een update door die de kwetsbaarheden heeft verholpen.

Volgens de redactie van het universiteitsblad is er tijdens de penetratietest echter enkel naar de mogelijke veiligheidsrisico’s gekeken die kunnen optreden bij het inloggen op het systeem. Er zou geen onderzoek gedaan zijn naar het onbedoeld gebruik van de sensoren en kwetsbaarheden door ingelogde gebruikers. De universiteit zal dit volgens het blad ook niet verder onderzoeken. “Kwetsbaarheden die zich aan de binnenkant bevinden, maar die niet op afstand te misbruiken zijn, achten wij een verwaarloosbaar risico”, klinkt het daar.

Ricardo Catalan, de functionaris gegevensbescherming van de Universiteit Leiden, stelt in het onderzoeksrapport dat de universiteit een data protection impact assessment, kortweg DPIA, moet doen als het de camera’s opnieuw wil inschakelen. Een DPIA is een analyse die een organisatie moet uitvoeren als er sprake is van gegevensverwerking met een hoog privacyrisico. Zo’n analyse was volgens de man en de universiteit eerder niet nodig. "Deze inschatting was niet juist", stelt Catalan nu.

Volgens de man had de universiteit ook beter moeten communiceren over de slimme camera’s. Zo stelt hij vast dat de universiteit vanaf het begin duidelijk moest maken dat het om slimme camera’s ging en niet om ‘sensoren’ of ‘scanners’ zoals aanvankelijk werd geopperd. Op die manier werd volgens de man de ernst van de privacykwestie onderschat.

De universiteit heeft nog niet besloten of de slimme camera’s opnieuw zullen worden ingeschakeld. Daarvoor wacht het eerst de resultaten van de DPIA af. Zodra die is afgerond, wordt de knoop in overleg met de universiteitsraad doorgehakt.

De Universiteit Leiden begin tijdens de coronacrisis in 2020 met het gebruik van 371 slimme camera’s. Het gaat om Xovix PC2S-camera’s die gebruikt kunnen worden voor het tellen van mensen, maar ook voor het volgens en analyseren van gedrag. De universiteit stelde dat de camera’s enkel werden ingezet als sensoren om het aantal aanwezige studenten vast te leggen. Zo zou er geen gebruik worden gemaakt van beeld. Volgens universiteitsblad Mare stond het privacyniveau van de hardware altijd op een niveau waardoor er meer mogelijk was. Mensen kwamen op dat niveau naar verluidt ook niet herkenbaar in beeld. Eind vorig jaar schakelde de universiteit de slimme camera’s uit naar aanleiding van de onrust die over privacy was ontstaan.

Xovis PC2S

Door Jay Stout

Redacteur

22-09-2022 • 19:19

31 Linkedin

Reacties (31)

Wijzig sortering
Als je meer achtergrond info wilt hebben waarom deze camera's moesten komen, kan je hier teruglezen.
Reageer
Waarom loopt een universiteit publiek geld uit te geven aan dit soort onzin?

Het tellen van studenten heeft geen of nauwelijks nut. Wat was het doel hiervan? Waren er nog meer doelen die op een later tijdstip ingezet zouden worden zoals agressie detectie?
Reageer
Uit de bron waarnaar mrbullet hierboven linkt, heb ik het even voor je op een rijtje gezet:

In eerste instantie waren de camera’s sensoren bedoeld om de anderhalve meter te handhaven/monitoren die nodig was tijdens de coronatijd. Dit middel is op zich al twijfelachtig om het doel te bereiken. Men vergat in eerste instantie de privacy officers in te lichten, er was geen verwerkersovereenkomst en er werd meteen al gedacht aan: “waar kunnen we het nog meer voor gebruiken”. Dus dataminimalisatie was nou ook niet echt een speerpunt, zullen we maar zeggen.

Na het doel ‘anderhalve meter’, werd het doel: registreren van bezoekers omdat de universiteit tijdens corona (gedeeltelijk) open wilde. Op een andere manier registreren was ‘teveel gedoe’. Da’s altijd een goede grondslag voor een verwerking volgens de Avg… :)

Later werd ‘continue bezettingsgraadmeting’ weer van stal gehaald (had men in 2019 al bedacht).

Een van de privacy officers werd uiteindelijk te laat ingeschakeld en met haar (toch wel beperkte advies) is weinig gedaan. Ook met het advies van de tweede privacy officer werd niet echt wat gedaan.

Al tijdens de pandemie worden de camera’s voor meer gebruikt dan alleen registratie van bezoekers: het UFB past schoonmaakroosters en openingstijden aan op de gemeten bezetting.

Kortom, de conclusie staat ook in bovenstaand artikel: apparaten die veel meer konden dan nodig (en dus uitnodigden om ook daadwerkelijk gebruik te gaan maken van de geboden mogelijkheden), heel veel geld voor iets dat overbodig is, overtreding van de Avg, (bewust?) slechte communicatie, meer data willen verzamelen dan nodig (dataminimalisatie was duidelijk iets dat niet aan de orde was), geen DPIA, niet/te laat inlichten van de universiteitsraad.

Wijzig:
Betreffende bron.

[Reactie gewijzigd door batavier op 23 september 2022 13:57]

Reageer
Kunnen roosteren in kleinere of minder lokalen, waardoor ze geen externe ruimtes meer hoeven te huren/er meer ruimtes vrijkomen
Reageer
Dat zou alleen zinvol zijn als in de praktijk het merendeel van de studenten niet op komt dagen bij colleges.
Is dat het geval? (in mijn tijd heeeeel lang geleden was iedereen er gewoon)
Reageer
Dat is inderdaad het geval, zeker bij werkgroepen. Colleges valt dit semester wel weer mee, omdat het niet meer wordt opgenomen/gestreamd. Werkcolleges daalt altijd gedurende het semester (begin veel, midden weinig, einde veel). Als je dat dus ipv in 5 lokalen in 3 kan doen, heb je er weer 2 vrij
Reageer
hoeft geen publiek geld te zijn, universiteiten genereren ook andere geldstromen met betaald werk.
Reageer
Een risico analyse is zeer zeker wat anders dan een DPIA. Een risico analyse heeft als doel om het risico in kaart te brengen om vervolgens te bepalen of en hoe dit risico verminderd kan worden. Een DPIA is een assessment of iets wel/niet voldoet aan wetten zoals de AVG. Benieuwd wat het vervolg zal zijn.
Reageer
Onjuist, een DPIA is nu juist bij uitstek bedoeld om mitigerende maatregelen te onderzoeken :)

https://www.autoriteitper...on-impact-assessment-dpia
Reageer
Een risico assessment is heel wat anders dan een risico analyse, dit is wat ik schrijf :)
Reageer
Van die site van de AP:
Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Volgens mij is dat precies wat jij een analyse noemt:
Een risico analyse heeft als doel om het risico in kaart te brengen om vervolgens te bepalen of en hoe dit risico verminderd kan worden
Taalkundig gezien heb je wellicht gelijk. Maar in de prakijk worden assessment en analyse nogal eens door elkaar gebruikt. En zoals je ziet is dat zeker bij een DPIA het geval.
Reageer
Hier is vorig jaar inderdaad een uitgebreide discussie over geweest. Men vond bijvoorbeeld dat het goed was om te weten hoeveel studenten er in een ruimte waren om de kachel uit te zetten zodra er niemand was, of in algemenere zin: om ruimte efficienter in te kunnen zetten. De camera's zijn echter geavanceerd en kunnen naast aanwezigheid ook gedrag, geslacht, lengte, humeur en leeftijd bepalen. Dat is op alle fronten te veel data die potentieel in verkeerde handen kan vallen, zeker voor de doeleinden die de universiteit (tot nu toe) heeft met deze camera's. Alle infrastructruur is er nu, het is alleen nog wachten op iemand die het daadwerkelijk wilt gaan inzetten of kwaadwillenden die er misbruik van maken.
Reageer
Weet je welke "sensor" ook kan bepalen of er aanwezigheid is, een simpele PIR melder in elke ruimte, liefst meerdere aan elkaar gekoppeld. En alah, je weet of er beweging in de ruimte is.
Reageer
Je hebt tegenwoordig ook mmWave "Presence detection" om te zien of er iemand aanwezig is.
Een voorbeeld is de Xiaomi Aqara FP1
https://www.gizmochina.co...eter-wave-radar-unveiled/

[Reactie gewijzigd door thomas1907 op 22 september 2022 23:50]

Reageer
Nou en?
Als het niet herleidbaar nasr de persoon is, is het toch geen enkel probleem?

Altijd zo'n lekkere gleidende schaal wat wel en niet mag.

[Reactie gewijzigd door GMJansen op 23 september 2022 00:26]

Reageer
Precies dit, met een kanon op een mug schieten in de zin van privacy. Voor zulke dingen is een DPIA inderdaad vereist om af te wegen of de oplossing proportioneel is voor het probleem en of er geen alternatieven zijn die de privacy minder schaad. Zoals een andere soort sensor die minder vastlegt of dat het überhaupt wel een gegrond probleem is.
Reageer
Stel de cameras worden hierdoor onbruikbaar. Gaan ze nog actie ondernemen tegen de fabrikant?
Reageer
Het is maar de vraag in hoeverre de risico’s van privacyschending binnen de aansprakelijkheid van de fabrikant vallen of zelfs maar aan de fabrikant verwijtbaar zijn. Om maar een extreem en algemeen voorbeeld te noemen (dat overigens niet in Leiden speelde): als de camera’s op toiletten hangen, is dat een keiharde en waarschijnlijk zelfs strafbare inbreuk op de privacy van de toiletgebruikers. Deze privacyschending is echter niet de schuld van de camerafabrikant, maar komt volledig op het conto van de eigenaar of gebruiker van de camera’s. Een tweede voorbeeld: als de camera-eigenaar in alle camera’s het wachtwoord secret instelt, is dan de fabrikant die aansprakelijk is voor zwakke wachtwoordprotocollen, of de camera-eigenaar die überhaupt niet de moeite neemt om een fatsoenlijk wachtwoordbeleid te gebruiken?
Reageer
Actie voor wat precies? Volgens bovenstaand artikel zijn de kwetsbaarheden door de fabrikant reeds verholpen.
Reageer
Ligt aan de gebruikersvoorwaarden, denk dat je uiteindelijk meer kans maakt bij de aannemer die ze geplaatst heeft. Daar heeft de universiteit de producten ook gekocht en is dus het eerste aanspreekpunt voor problemen met het materiaal. Echter, die zal zich ook ingedekt hebben en alleen op hardwarefalen garantie geven. Maar de punten zijn zoals het er naar uit ziet verholpen als ik het goed interpreteer.

[Reactie gewijzigd door jdh009 op 22 september 2022 21:43]

Reageer
Wat voor actie zou je verwachten?

De universiteit heeft de wettelijke verantwoordelijkheid om al voor aanschaf en gebruik zelf voor privacyrechten van hun klanten op te komen. Dat lijkt nauwelijks tot niet te zijn gedaan. Terwijl je van een universiteit toch juist mag verwachten dat die weten hoe belangrijk goed onderzoek en inhoudelijke kennis is en ze met jaren aan juridisch onderwijs over privacy en bedrijfsverantwoordelijkheid geven wel beter hadden moeten weten dan kennelijk negeren en bagatelliseren.

Daarbij hebben bedrijven niet zomaar veel recht dat een ander bedrijf ze maar een product levert wat aan de verantwoordelijkheid van de koper voldoet.

Natuurlijk valt er actie te ondernemen om misschien te proberen te voorkomen dat andere bedrijven geinformeerd worden dat de producten niet zomaar gebruik maken van de laatste technologie, of dat het niet zomaar slechts sensoren zijn of dat iso9001 niet zomaar zorgt dat het aan de privacy eisen of beveiligingseisen van een koper voldoet. Maar dat heeft waarschijnlijk meer waarde door dat als universiteit gewoon duidelijker publiek duidelijk te maken aan zichzelf en alle mogelijke kopers van dit soort producten.
Reageer
Ik vind het vreemd dat men het heeft over in/uitschakelen.
Als privacy echt een issue is zou de vraag moeten zijn: weghalen/ laten hangen.

Het is algemeen bekend dat camera's remote ingeschakeld kunnen worden.
Reageer
Nouja succes daarmee als ze geen stroom hebben.
Reageer
Dit lijkt op een typisch geval van overal verantwoordelijkheid afschuiven en andere prioriteiten hebben dan privacybescherming en kwaliteit van de beveiliging.

De fabrikant verkoopt hun producten met camera's en real-time mee kunnen kijken liever als sensoren die de laatste security gebruikt. De kwaliteit hang kennelijk vooral af van ISO9001, wat niets zegt over hoe goed de privacy en de producten beschermd zijn. Bij de eerste de beste test bleek dat dus niet zomaar te kloppen.

De klant, waar veel gebruikers van afhankelijk zijn, lijkt dat kennelijk zomaar zonder controle over te nemen en had ook geen aandacht voor privacy en dus de wettelijke eisen of kwaliteit van de beveiliging van die apparatuur. Kennelijk koopt men liever maar wat in omdat het kan dan zekerheid te hebben of men wel krijgt waarom is gevraagd en nodig is?

De verantwoordelijke functionaris stelt dat ze betrokken waren maar onvoldoende aandacht hadden. En lijkt dit vervolgens af te schuiven op de coronaperiode, terwijl drukte juist geen wettelijk excuus is om kennelijk maar niet door te vragen.
Reageer
Ze worden dus nu niet meer gebruikt, en sinds vorige week lopen er surveillanten rond die elke 2 uur in elk lokaal het aantal studenten komt tellen. Toch grappig als een docent verbaasd is wanneer er iemand binnenkomt, rondkijkt en weer weg gaat.
Reageer
mooi dat een universiteitsblad het ontdekt, goede journalisten, let je op @WoutF das jouw alma mater, tech journalisten in de dop :D

oh en 371, lijkt Londen wel :)

[Reactie gewijzigd door Silent7 op 22 september 2022 19:39]

Reageer
371 camera's is toch niet zo'n gek aantal, 1 per patiënt die in isolatie ligt?

Deze zijn bedoeld om met minder risico meer patiënten in de gaten te kunnen houden lijkt mij. zo hoeft het personeel minder vaak blootgesteld te worden en voorkom je ook voor een deel kruisbestuiving (kamertje in, kamertje uit, volgende)
Reageer
Voor een ziekenhuis snap ik je punt.
Maar het artikel zegt:
". De universiteit stelde dat de camera’s enkel werden ingezet als sensoren om het aantal aanwezige studenten vast te leggen. "
Reageer
woops, my bad. ik had LUMC in mijn hoofd zitten toen ik de titel las.

Maar als het puur voor aanwezigheidsdetectie is kan ik het ook nog wel begrijpen dat je aantallen per ruimte wil weten om eventueel de luchtbehandeling beter in te stellen of desnoods het ontruimingsalarm te laten gaan. In de corona tijd werd niet altijd even goed met de aantallen en afstanden rekening gehouden, maar is een bedrijf wel verantwoordelijk voor de handhaving.
Reageer
Op dit moment worden weer handmatige tellingen uitgevoerd. Personen die heel de dag mensen tellen in kamers en zalen…
Reageer
De grootste kwetsbaarheid is de persoon die het heeft doorgedrukt om AI camera's te installeren welke aan gedragsanalyse doen..

Als we als het ware een virus/malwarescan op het personeel zouden kunnen uitvoeren, zou er een dikke rode uitroepteken op zijn kop staan en verwijderd worden. Daarmee zou de rest al niet gebeurd zijn.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee