Alarm over IP, voor velen nog een uitdaging

De betrouwbaarheid van veel alarmtransmissie-oplossingen laat te wensen over. En dat terwijl cybercrime een steeds groter probleem wordt. Bij hogere risico’s werd tot medio 2013 DigiAccess Alarm van KPN toegepast. Het ging hierbij om de zogenoemde AL2/DP3 en AL3/DP4 -locaties, zoals juweliers en bedrijven met aantrekkelijke goederen. waarbij verzekeraars  een continue verbinding met de meldkamer eisen.

DigiAccess Alarm was een speciaal alarm-abonnement, te gebruiken in combinatie met een ISDN-aansluiting. Via dit abonnement werd een continu bewaakte, besloten verbinding opgezet tussen object en meldkamer. KPN zette deze alarmdienstverlening begin van dit jaar definitief uit vanwege verouderde netwerktechnologie. Als vervangende dienst had het bedrijf eerder al *DigiAlarm geïntroduceerd. Dit is een besloten netwerk dat wel via IP werkt maar geen gebruik maakt van het publieke internet. DigiAlarm is NPR 8136 conform. Het is als enige alarmtransmissie-oplossing voor de hogere AL2/DP3 en AL3/DP4 – risico’s door Kiwa end-to-end gecertificeerd conform de Europese norm (NEN-EN 50136:2012).

Wake up call cybercrime

Begin 2014 waren er nog wel 10.000 DigiAccess Alarm-aansluitingen die in dat jaar naar een alarmdoormelding over IP moesten migreren. Veel bedrijven lieten, op advies van de betrokken alarminstallateur, de alarmoverdracht naar de meldkamer overzetten op de al aanwezige internetverbinding. Hierbij werd vaak een zogenoemde VPN-tunnel over internet toegepast met een mobiele back-up via een internet-SIM.

Maar ook zo’n oplossing is en blijft internet, ook wat de ontvangst aan de PAC-zijde betreft. De locatie die tot voor kort was aangesloten op het veilige en besloten DigiAccessAlarm-netwerk verstuurt de alarmberichten nu dus over het publieke internet. Veel experts die de klant adviseren over de verbinding tussen object en meldkamer, zoals alarminstallateurs en verzekeraars, zijn blijkbaar doof voor het nieuws over de alsmaar oprukkende cybercriminaliteit. Inmiddels zijn DDoS-aanvallen, het hacken van computers en belangrijke websites ook in Nederland aan de orde van de dag. Dit is de snelst groeiende criminaliteit ter wereld. Cybercrime kan volgens het Nationaal Cyber Security Centrum niet alleen het bedrijfsleven maar ook de consument hard treffen.

DDoS-aanval

Ik blijf herhalen dat DDoS-aanvallen op centrale computers en sites ook in Nederland regelmatig plaats vinden. Meldkamers kunnen ook zo’n DDoS-aanval te verduren krijgen waardoor alarmmeldingen van risicolocaties, die op basis van een enkele of tweevoudige internetoplossing doormelden, lange tijd niet aankomen bij die meldkamer. Met alle kwalijke gevolgen van dien. Te vaak wordt geredeneerd: ‘dat overkomt ons niet’.

Betrokken alarminstallateurs zouden eindklanten van risicolocaties moeten wijzen op de risico’s die ontstaan bij alarmoverdracht over publiek internet. Ik ken weinig alarminstallateurs die hierover een gesprek met hun klant durven aangaan. Dat geldt overigens ook voor verzekeraars. Bovendien moeten die meer zicht houden op de alarmtransmissiewijzigingen die worden doorgevoerd op hun risicolocaties. Deze worden nu tijdens controles, die zeer beperkt plaatsvinden, vastgesteld.  Of de wijzigingen komen pas aan het licht als er een forse schade is.

NPR 8136

De beveiligingsbranche publiceerde in juli 2012 vanuit NEN (Taakgroep Alarmtransmissie) de Nederlandse praktijkrichtlijn NPR 8136 Alarmtransmissie over IP-netwerken. Dit is een leidraad voor ontwerp, installatie, inspectie en onderhoud, gebaseerd op de Europese norm NEN-EN 50136-1. Zo adviseert men bij lage risico’s (AL1/DP1/DP2) tenminste één besloten alarmtransmissieverbinding toe te passen en voor hogere risico’s twee besloten verbindingen tussen object en meldkamer te gebruiken.

Oplossingen die uitgaan van een tunnel (VPN) over internet worden niet als besloten en veilig gekwalificeerd. Het is teleurstellend dat er nauwelijks Alarm-over-IP-oplossingen zijn aangeboden die NPR-conform zijn, zoals de eerder genoemde DigiAlarm-dienstverlening.

Hierbij wordt geen gebruik gemaakt van het internet maar uitsluitend van besloten alarmtransmissie-verbindingen, geleverd door verschillende providers. De beschikbaarheid en betrouwbaarheid van dit DigiAlarm-netwerk is vele malen hoger dan het publieke internet. Bovendien wordt de dienst end-to-end beheerd en wordt de alarmtransmissie continu gecontroleerd.

De Verbeterde Risico Klasse Indeling (VRKI) is ‘een instrument om het risico op diefstal te bepalen’ en wordt door het CCV (Centrum voor Criminaliteitspreventie en Veiligheid) uitgegeven en beheerd. Onderwerpen die met betrekking tot de beveiliging van een object aan de orde komen, zijn onder andere de organisatorische-, bouwkundige – en elektronische maatregelen, en de reactie (het opvolgen van de alarmen). In het hoofdstuk Alarmering wordt uitgebreid ingegaan op wat onder een Alarm Transmissie Systeem (ATS) wordt verstaan, de specificatie van de verschillende ATS categorieën en de prestatieniveaus waaraan moet worden voldaan. Maar ook is er aandacht voor de verificatie hiervan (VoP) en de beschikbaarheid van het ATS. Dit is inclusief het alarmtransmissienetwerk. Bij de beschikbaarheid van het ATS wordt gesteld dat ‘ieder beschikbaar netwerk kan worden gebruikt om de meldingen naar de meldkamer te sturen’.

Feitelijk is dit juist maar je mag toch verwachten dat, afhankelijk van het risico, een netwerk wordt toegepast dat voldoende betrouwbaar, veilig en ongevoelig is voor de eerder genoemde toenemende cybercriminaliteit. Maar in de hele VRKI komt het woord Cybercrime of DDoS niet voor. Het wordt hoog tijd dat het CCV een actueel hoofdstuk toevoegt, met aandacht voor deze oprukkende criminaliteit en richtlijnen. Zodat de klant het vertrouwen blijft houden in de aangeboden beveiliging en toegepaste alarmtransmissie. Van verzekeraars zou je hierbij een veel actievere rol mogen verwachten, zoals het vasthouden aan de richtlijnen en adviezen uit de NPR 8136. Uiteindelijk zijn het hun risico’s waar een betrouwbare beveiliging wordt vereist, inclusief veilige (besloten) alarmtransmissie-verbindingen met de meldkamer.

NEN 8131 betreft systeem- en kwaliteitseisen plus toepassingsrichtlijnen voor inbraak- en overvalalarmsystemen. De norm geeft regels voor het ontwerp, de uitvoering, de bediening, de inbedrijfstelling, het onderhoud en de kwaliteit van inbraak- en overvalalarmsystemen (afgekort I&OAS). NEN 8131 stelt eisen aan de prestaties van een I&OAS en de kwaliteit van de toegepaste componenten. Daarnaast bevat de norm voorschriften en aanbevelingen voor het ontwerp van het systeem zoals bijvoorbeeld de aard en omvang van de detectie en de wijze van installatie van het systeem. Ook de eisen voor inbedrijfstelling, de documentatie en het onderhoud van een I&OAS staan beschreven in de norm. De eisen en aanbevelingen van NEN 8131 zijn gebaseerd op relevante normen zoals:

  • NEN-EN 50131, de Europese normreeks voor alarmsystemen
  • NEN-EN 50136,de normreeks voor alarmtransmissiesystemen

De systeemeisen en eisen aan apparatuur zijn hieruit overgenomen. Door verwijzing naar deze nieuwe norm kan verouderde regelgeving worden afgeschaft, voor zover deze betrekking heeft op de elektronische beveiligingsmaatregelen. Hierbij valt te denken aan bepaalde onderdelen van de eerder genoemde VRKI van het CCV.  Ook de verouderde voorschriften voor installatie van alarmapparatuur en voorschriften voor beheer en onderhoud van alarmapparatuur van het Verbond van Beveiligingsorganisaties (VvBO) zijn door NEN 8131 overbodig geworden.

Belangrijk gegeven uit de NEN 8131 is dat deze voor wat betreft de alarmtransmissie tussen object en PAC ondubbelzinnig verwijst naar de NPR 8136. Het is onbegrijpelijk dat zowel de NPR 8136 als deze NEN 8131 (nog) niet worden ‘omarmd’ door de beveiligingsbranche.

Wakker worden

Alarmtransmissie-oplossingen die frequent werden en worden aangeboden zijn vaak schijnbaar goedkope internetoplossingen. Lang niet alle kosten zijn voor de eindklant direct inzichtelijk. Vaak loopt zo’n aansluiting met de meldkamer via buitenlandse servers en bedrijven, zonder dat de klant dit weet. De betrouwbaarheid van die aansluiting op de meldkamer is hierdoor onvoldoende. Een DDos-aanval op een meldkamer kan grootschalige uitval van alarmverbindingen tot gevolg hebben. Blijkbaar is dit nodig voordat betrokken partijen cybercrime serieus nemen en er naar handelen, bijvoorbeeld door te investeren in veilige (DDoS ongevoelige) alarm over IP-oplossingen.

*Eind 2013 droeg KPN de exploitatie van DigiAlarm over aan ASB-Security BV

Bart Postelmans

Ik ben 33 jaar werkzaam geweest bij KPN en ben onder andere zeer betrokken geweest bij de ontwikkeling en introductie van betalen en alarmering over IP. Inmiddels ben ik bijna 7 jaar parttime werkzaam bij ASB-Security BV te Eindhoven als Senior Consultant Business Development & Innovation.

Zakelijk Glasvezel Postcodecheck

Geef een reactie