Właściciele firm i działy IT często zakładają, że ich system monitoringu wizyjnego (CCTV) działa wyłącznie jako wewnętrzne narzędzie bezpieczeństwa. Rzeczywistość bywa jednak znacznie mniej komfortowa. W momencie tworzenia tej analizy ponad 40 000 systemów monitoringu Hikvision w Polsce jest publicznie dostępnych przez Internet.
Cyfrowy Panoptykon, który tworzysz nieświadomie
Ta liczba nie jest szacunkiem - pochodzi z bezpośredniego skanowania przestrzeni adresowej IP przy użyciu wyspecjalizowanych wyszukiwarek Internetu Rzeczy (IoT), takich jak Shodan.
Platformy te nieustannie indeksują wszystkie urządzenia podłączone do sieci, identyfikując otwarte porty, panele logowania i wersje oprogramowania.
Kluczowe jest jedno: nie mówimy o publicznych kamerach internetowych, transmitujących widoki miejsc publicznych. Mówimy o prywatnych systemach B2B, które miały monitorować:
- zaplecza sklepów,
- parkingi,
- korytarze firm,
- wejścia do budynków,
- przestrzenie magazynowe.
Analiza publicznie dostępnych strumieni często ujawnia sceny o wysokiej wrażliwości, takie jak:
- klienci wpisujący PIN przy terminalu,
- personel pochylający się nad dokumentami,
- pacjenci w korytarzach przychodni i szpitali.
Konsekwencje?
- utrata reputacji,
- odpowiedzialność prawna,
- dotkliwe kary finansowe.
40 000 publicznie dostępnych kamer to 40 000 realnych, udokumentowanych naruszeń.
Problem 1: Nieświadome wystawienie systemu na świat
Główną przyczyną tak dużej ekspozycji jest błędna konfiguracja zdalnego dostępu, czyli port forwarding.
Jak to działa - i dlaczego jest niebezpieczne
Aby umożliwić zdalny podgląd, wielu instalatorów modyfikuje konfigurację routera, otwierając porty kamer na świat.
Najczęściej wystawiane porty Hikvision:
| Port | Funkcja |
|---|---|
| 80 (HTTP) | panel logowania |
| 8000 (Server) | obsługa aplikacji klienckich / strumieni |
Otworzenie tych portów tworzy bezpośrednią dziurę w firewallu. Urządzenie zostaje natychmiast zaindeksowane przez skanery IoT.
Najgorsza możliwa praktyka: DMZ
Włączenie DMZ dla kamer oznacza, że wszystkie porty urządzenia stają się publiczne.
To cyfrowy odpowiednik wyjęcia wszystkich zamków z drzwi firmy.
Dlaczego to jest tak powszechne?
Wiele poradników i instrukcji wykonania instalacji przedstawia port forwarding jako normalne rozwiązanie. Efektem jest dziesiątki tysięcy błędnych, ale “zgodnych z instrukcją” instalacji.
Bezpieczne alternatywy
1. Usługi P2P, np. Hik-Connect
- brak potrzeby otwierania portów,
- pod warunkiem aktualnego firmware - bardzo bezpieczne.
2. Prywatna sieć VPN (najbezpieczniejsze rozwiązanie profesjonalne)
- porty urządzeń pozostają zamknięte,
- użytkownik łączy się najpierw z VPN, dopiero potem z kamerami,
- cały ruch jest szyfrowany.
Problem 2: Drzwi bez zamka - wyłączone mechanizmy ochronne
Po wystawieniu panelu logowania zaczynają działać boty i skanery wykonujące automatyczne ataki brute-force.
Hikvision posiada zabezpieczenie „Illegal Login Lock”, ale w praktyce:
- jest ono często wyłączane,
- powodem są fałszywe alarmy w systemach VMS (np. Milestone XProtect),
- instalatorzy dezaktywują ochronę, aby „nie przeszkadzała”.
Efekt?
Firma inwestuje w bezpieczeństwo → instalator wyłącza zabezpieczenia → system staje się podatny na atak.
Problem 3: Tykająca bomba - nieaktualny firmware
Nawet najlepsza konfiguracja nie wystarczy, jeśli urządzenie działa na starej wersji oprogramowania.
Nowe podatności (CVE) pojawiają się regularnie.
Brak aktualizacji = realna możliwość przejęcia urządzenia przez Internet.
Wybrane poważne podatności (2023–2025)
| CVE | CVSS | Charakter | Skutek |
|---|---|---|---|
| CVE-2025-39247 | 8.6 | Access Control Bypass | Atakujący uzyskuje uprawnienia administratora. |
| CVE-2023-48121 | 8.2 | Authentication Bypass | Ominięcie Hik-Connect, pełny podgląd obrazu i dźwięku. |
| CVE-2024-29949 | 7.2 | Command Injection | Możliwość wykonania poleceń systemowych. |
| CVE-2024-25063 | 7.5 | Access Control Bypass | Dostęp do zasobów bez logowania. |
| CVE-2025-34067 | 10.0 | Remote Code Execution | Pełne przejęcie serwera zdalnie. |
Konsekwencje ataku
Poziom 1: Ujawnienie danych i naruszenie prywatności
- podgląd pracy firmy,
- szpiegostwo przemysłowe,
- naruszenia RODO i kary finansowe.
Poziom 2: Kamera jako Koń Trojański
Po przejęciu kamery atakujący trafia do środka sieci firmowej, skąd może:
- skanować zasoby,
- atakować serwery i bazy danych,
- wdrożyć ransomware i sparaliżować działalność.
Problem kamer to problem bezpieczeństwa całej infrastruktury IT, nie tylko monitoringu.
Wezwanie do działania
Bezpieczeństwo CCTV wymaga audytu i ciągłego monitoringu. Samodzielne próby naprawy często powodują kolejne problemy.
Profesjonalny audyt powinien obejmować:
- eliminację port forwarding i DMZ,
- weryfikację wersji oprogramowania,
- wdrożenie VPN i segmentacji sieci,
- sprawdzenie konfiguracji VMS,
- testy bezpieczeństwa i odporności na brute-force.
Czekanie na incydent to strategia bardzo wysokiego ryzyka - zwłaszcza gdy mówimy o tysiącach urządzeń wystawionych na świat.