Il regolamento generale sulla protezione dei dati (GDPR) incide sull’industria della videosorveglianza in maniera importante. Di seguito un estratto dei principali suggerimenti agli operatori del settore.
Autenticazione dell’identità – E’ essenziale impostare password sicure (minimo 8 caratteri con incluse almeno 3 categorie di caratteri tra maiuscole, minuscole, numeri e caratteri speciali) e reimpostarle mensilmente o settimanalmente per aumentare il livello di protezione e di accesso al sistema. I sistemi bloccano l’indirizzo IP del client remoto quando l’utente amministratore fallisce X tentativi di digitazione di user/password. E’ molto utile disporre di diversi livelli di autorizzazione per ciascun utente in modo da impostare eventuali limitazioni per il controllo e gestione degli apparati di videosorveglianza.
Accessibilità – L’amministratore deve poter configurare le autorizzazioni e i diritti di visualizzazione live sia da postazione locale che da postazione remota del sistema di videosorveglianza. L’abilitazione del filtro IP per i client autorizzati impedisce che soggetti non autorizzati possano accedere alle telecamere. Per la security delle porte d’accesso c’è l’approccio by default: alcune funzioni sono disabilitate di default per assicurarsi, in primo luogo, che il dispositivo non sia collegato ad una rete non sicura. I dispositivi disabilitano ad esempio l’SSH, come pure l’SNMP e l’UPNP. Anche il multicasting e la funzionalità ONVIF sono disabilitate di default.
Privacy – La Stream Encryption crittografa i flussi per visualizzazione live, riproduzione, download, backup, ecc. e protegge il trasferimento dei dati. La crittografia dei dati HTTPS fornisce l’autenticazione del sito web remoto e del relativo Web server associato, che protegge da attacchi “man-in-the-middle”. Per l’accessibilità alla rete, le telecamere IP supportano lo standard IEEE 802.1X: quando la funzione è abilitata, i dati della telecamera sono protetti e si richiede un’autenticazione utente per collegare la telecamera alla rete protetta da IEEE 802.1X. Quanto al tempo di conservazione dei dati (tempo nel quale un file registrato viene mantenuto nell’HDD), se si imposta un valore temporale ben definito, alla scadenza di tale valore, i file verranno eliminati. Il tempo di conservazione del file deve essere determinato dal titolare del trattamento quando si imposta un Requisito Operativo (OR) o gli obiettivi per l’uso di un sistema TVCC e sarà influenzato anche dalla capacità dell’HDD.
Monitoraggio degli eventi – Per garantire che tutte le operazioni possano essere tracciate, il file di log permette di memorizzare gli eventi come gli allarmi rilevati, le operazioni svolte, le anomalie rilevate e le altre informazioni di servizio del dispositivo di videosorveglianza. È anche possibile esportare su richiesta i file di log. Attraverso l’interfaccia “gestione utenti online” si possono poi individuare gli utenti che stanno visitando il dispositivo. Le informazioni utente (es. nome utente, livello, indirizzo IP e orario di accesso al sistema) sono visualizzate nella lista utenti. Per quanto attiene alla sicurezza del cloud, occorre primariamente garantire la sicurezza lato dispositivo attraverso vari accorgimenti (codice seriale unico, verifica random del codice, crittografia, etc) e poi prevedere delle autorizzazioni di verifica (numero di serie e autenticazione del codice di verifica, prevedere un solo dispositivo per un solo account, etc) e infine occuparsi della crittografia sullo streaming.