Před mikrofonem: Chytré kamery lépe chrání bezpečnost, majetek i soukromí

Zabýváte se technickými bezpečnostními nástroji, zejména kamerovými systémy, přístupovými systémy, síťovými kamerami atd. Jaké v této oblasti v posledních letech sledujete trendy? Rozšiřuje se zájem o kamerového a další bezpečnostní systémy i do oblastí a sektorů, kde to dříve nebylo běžné?

Dalibor Smažinka (Axis Communications): Nemyslím si, že by se bezpečnostní kamerové systémy a další technologie fyzické bezpečnosti začaly nějak revolučně objevovat v oblastech, kde dřív nebyly. Je to spíš postupný, evoluční proces. Tyto technologie se stále nejčastěji využívají v sektorech jako obchody, doprava, města, banky, průmyslové a skladové objekty nebo veřejné budovy, například školy a nemocnice. V těchto oblastech vidíme i mírný růst jejich využívání, přičemž největší nárůst je u prvků kritické infrastruktury.

Jedním z nejzajímavějších trendů je ale využití kamer v non-security oblastech, třeba při automatizované kontrole kvality ve výrobě, například v automobilkách. I když je objem takto využívaných kamer zatím menší než v tradičním bezpečnostním sektoru, roste s digitalizací a robotizací průmyslu. V maloobchodu zase kamery často plní hybridní roli – slouží nejen k ochraně proti krádežím, ale zároveň poskytují data pro provozní a marketingové účely. Umí anonymně sledovat, kolik zákazníků navštívilo prodejnu, jak se pohybovali po prodejní ploše nebo jak dlouhé byly fronty u pokladen.

Tento posun ukazuje, že kamery dnes nejsou jen bezpečnostní nástroje, ale stále častěji pomáhají zefektivnit provoz i v dalších odvětvích. 

Čím je podle vás rostoucí oblíbenost kamerových a dalších sledovacích zařízení způsobena?

Dalibor Smažinka (Axis Communications): Když se podíváme na segment kritické infrastruktury, důvod pro modernizaci bezpečnostních technologií je zcela jasný – zhoršující se geopolitická situace. Státy vidí, nejen na příkladu ruské agrese na Ukrajině, že infrastruktura jako jsou elektrárny, vodárny, teplárny nebo komunikační sítě, je v případě konfliktu jedním z prvních cílů. Tyto objekty sice vždy měly nějakou fyzickou ochranu, ale ta často neodpovídá jejich významu pro chod státu. Technologie bývají zastaralé, neefektivní nebo vzájemně neintegrované, což zvyšuje nároky na jejich obsluhu i náklady. Navíc jsou často zaměřené pouze pasivně – zaznamenají událost nebo pachatele, ale nijak nebrání incidentu. Moderní technologie však nabízejí mnohem víc: aktivitu a prevenci místo pouhé pasivity.

Dalším faktorem je legislativa. Směrnice CER (Critical Entities Resilience), která se transponuje do nového zákona o kritické infrastruktuře, už teď motivuje organizace přemýšlet dopředu. I když se očekává, že zákon bude účinný zřejmě až v druhé polovině roku 2025, případně ještě o něco později, zodpovědné organizace už dnes modernizují své systémy. Technologie se totiž pořizují na dlouhou dobu, obvykle na 5 až 7 let. Podobně i směrnice NIS2 zaměřená na kybernetickou bezpečnost tlačí na obměnu technologií. Dnes je totiž všechno propojené. Kamery a další systémy jsou IT zařízení, která potřebují kybernetickou ochranu, a zároveň hrají klíčovou roli ve fyzickém zabezpečení, například při ochraně datacenter nebo prostorů se servery.

Zhoršující se bezpečnostní situace nutí k modernizaci i další organizace jako je armáda, zpravodajské služby nebo Policie ČR. Jedním z mement je incident ve Vrběticích, který ukázal, že ani na našem území není nemožné, aby cizí silové složky provedly fyzický útok na subjekt kritické infrastruktury. To jasně potvrzuje, že je nezbytné tyto objekty zodolnit všemi dostupnými technickými a organizačními opatřeními, včetně pokročilých technologií.

A co kamerové systémy v rezidenčním sektoru?

Dalibor Smažinka (Axis Communications): Kamerové systémy si laická veřejnost nejčastěji spojuje s rezidenčním sektorem, tedy s kamerami v bytových a rodinných domech. To je pochopitelné, lidé je mají na dosah a snadno si je dokážou představit. Ve skutečnosti je ale rezidenční sektor spíš okrajový a v mnoha ohledech se vymyká ostatním oblastem. Paradoxní je, že právě tady vznikají největší problémy s ochranou soukromí.

Hlavní potíž je v tom, že správci a provozovatelé těchto systémů, jako jsou jednotlivci, bytová družstva nebo SVJ, jsou často laici. Chybí jim odborné znalosti, aby kamerový systém správně nastavili,  ať už z pohledu ochrany soukromí nebo kybernetické bezpečnosti. To pak vede k problémům, jako jsou sousedské spory, které se přes kamery řeší, místo aby sloužily ke své skutečné ochranářské funkci. Podle Úřadu pro ochranu osobních údajů právě rezidenční sektor generuje nejvíc podnětů ke kontrole. Ve většině případů ale nejde o zásadní porušení pravidel, spíš o sousedské naschvály, kdy se kamery stávají nástrojem osobních konfliktů.

Je to škoda, protože takové situace vrhají špatné světlo i na profesionální kamerové systémy, které mají prokazatelný přínos při ochraně životů, zdraví, majetku a veřejného pořádku. Trend v rezidenčním sektoru osobně příliš nesleduji, ale odhaduji, že počet těchto kamer bude nadále mírně růst. S tím by ale mělo jít ruku v ruce i lepší povědomí o tom, jak tyto systémy správně nastavit a provozovat. To by mohlo zmírnit problémy a zvýšit jejich skutečný přínos. 

Když se hovoří o kybernetické bezpečnosti, třeba v souvislosti se směrnicí NIS2 či nařízením DORA, obvykle se mluví o zabezpečení dat online, řízení přístupů, hackerských útocích nebo o riziku subdodavatelů. O fyzické ochraně prostor se hovoří už méně, přitom je to nedílnou součástí celkové bezpečnostní politiky každé organizace, bez ohledu na to, jestli je regulována nebo ne. Narážíte na to také někdy v praxi, kladou někteří klienti větší pozornost na bezpečnost řekněme v online světě a tu fyzickou třeba i lehce podceňují?

Dalibor Smažinka (Axis Communications): Máte pravdu, že kybernetická bezpečnost je dnes často skloňovaná, hlavně kvůli regulacím jako je směrnice NIS2 nebo nařízení DORA. A je pravda, že tato oblast zahrnuje i bezpečnostní technologie, protože dnes už prakticky všechna zařízení, která se instalují, jsou digitální. Jsou to IT prvky, které potřebují kybernetickou ochranu, stejně jako třeba servery nebo síťové prvky.

Ale nesouhlasím s tím, že by se o fyzické ochraně mluvilo méně. Možná to tak působí, pokud se víc pohybujete v oblasti informační bezpečnosti a ochrany soukromí, kde má kybernetika logicky větší prostor. O potřebě fyzické bezpečnosti se ale mluví také hodně – a v poslední době ještě víc.

Já osobně jsem začínal v kybernetické bezpečnosti, kde jsem byl aktivní před zhruba 20 lety, ale postupně jsem přešel k fyzické bezpečnosti a už jsem u ní zůstal. Proto jsem rád, že se kybernetika stále víc propojuje i s fyzickými systémy. Ještě donedávna byla fyzická bezpečnost čistě analogová, digitalizace je v tomto oboru poměrně nová. Setkávám se ale občas s názorem „starých bezpečáků“, že kybernetika se fyzických systémů netýká. To už dnes rozhodně neplatí.

Podobně jako NIS2 nastavuje pravidla pro kybernetickou bezpečnost, je tu již zmiňovaná směrnice CER, která se zaměřuje na fyzickou ochranu kritických subjektů. Jejím cílem je posílit jejich odolnost vůči hrozbám, fyzickým, digitálním nebo datovým. Směrnice CER se soustředí na klíčové oblasti, jako je energetika, doprava nebo zdravotnictví, a zároveň zahrnuje aspekty kybernetické bezpečnosti i ochrany soukromí. Myslím, že právě tento integrovaný přístup je na těchto nových pravidlech to nejpozitivnější.

Měl byste po ruce nějaký příběh, kdy podcenění fyzické bezpečnosti mělo bezprostřední negativní dopad na celkový systém ochrany informací či fungování organizace jako takové?

Dalibor Smažinka (Axis Communications): Takových případů je bohužel hodně, ale otevřeně o nich mluvit je často nemožné, a to z několika důvodů. Zaprvé, prokázat přímou souvislost mezi technickým selháním fyzického zabezpečení a porušením GDPR je velmi složité. Vyžaduje to detailní analýzu, která často není veřejně dostupná. Zadruhé, mnoho těchto případů se řeší neveřejně, ať už před soudy nebo regulačními orgány. A zatřetí, technické detaily o konkrétních slabinách nebo chybách bývají pro veřejnost obtížně srozumitelné a nezřídka zůstávají utajené, aby nedošlo k dalšímu ohrožení.

Existují i veřejně známé případy, kdy nedostatečné fyzické zabezpečení vedlo k úniku osobních dat. Například v roce 2014 došlo k úniku osobních údajů zákazníků společnosti T-Mobile, což vedlo k pokutě 3,6 milionu Kč a poškození reputace firmy. Podobně v roce 2022 zpřístupnil špatně nastavený server Azure Blob citlivá data tisíců firem a institucí, včetně českých ministerstev. Tyto případy ukazují, že podcenění fyzické bezpečnosti může mít vážné důsledky pro ochranu osobních údajů.

Jedním z problémů, které v tomto kontextu stále častěji vidíme, jsou útoky ransomwarem. Škodlivý kód se může do sítě uživatele dostat například přes špatně zabezpečený kamerový systém nebo server, na kterém běží video management software. Útočníci poté zašifrují uložená data, včetně osobních údajů a kamerových záznamů. Osobně znám několik takových případů, kdy firmy musely čelit značným problémům. Jeden z těchto útoků se stal zrovna nedávno, firmě byly zašifrovány všechny klíčové systémy včetně kamerového systému. Náklady na obnovení dat a zprovoznění systémů byly násobně vyšší než preventivní investice do správné kybernetické a fyzické ochrany.

Tyto případy ukazují, že fyzická bezpečnost musí být nedílnou součástí celkové strategie ochrany dat. Nestačí mít špičkové kybernetické zabezpečení, pokud je například serverovna přístupná přes zámek, který lze snadno překonat. Bezpečnost je vždy otázkou propojení technologií, procesů a odpovědného přístupu. Právě tento holistický přístup dokáže organizace ochránit před riziky a zároveň zvýšit důvěru jejich zákazníků.

Vaše společnost nabízí rovněž inteligentní kamerové systémy. Co si pod tím pojmem představit? Pokračování rozhovoru naleznete na doméně GDPR.cz.

Dalibor Smažinka je odborníkem v oblasti fyzické bezpečnosti, kybernetické ochrany a ochrany osobních údajů s více než 18 lety zkušeností v oboru bezpečnostních technologií. Specializuje se na kamerové a přístupové systémy a jejich integraci do komplexních bezpečnostních řešení. Jako Ph.D. student v oboru bezpečnostního inženýrství se věnuje tématům využití inteligentních technologií pro zajištění bezpečnosti v městském prostředí. Kromě toho aktivně působí jako konzultant a lektor, přičemž se zaměřuje na problematiku souvislostí CER, NIS2, GDPR a dalších regulací ovlivňujících bezpečnostní technologie.

Axis Communications je světovým lídrem v oblasti síťových video řešení a pionýrem v oblasti IP kamer. Společnost nabízí široké portfolio produktů a služeb zaměřených na bezpečnost, dohled a analýzu dat, včetně kamerových systémů, přístupových technologií, audio systémů a analytických nástrojů založených na umělé inteligenci. Axis klade důraz na inovace, udržitelnost a odpovědné využívání technologií v souladu s principy „Privacy by Design“ a „Privacy by Default“. Jako součást skupiny Canon se Axis zaměřuje na řešení, která pomáhají organizacím po celém světě zajišťovat bezpečnost a ochranu dat v souladu s moderní legislativou, jako jsou GDPR nebo AI Act.