Kyberkriminalita ve VSS

Kyberkriminalita ve VSS

• V dnešní době jsou IP kamerové systémy jedním z nejčastějších cílů kybernetických útoků. Důvod je jednoduchý – kamery jsou připojené k internetu, jsou obrovsky rozšířené a velmi často špatně zabezpečené. Pro útočníky představují ideální kombinaci nízkého rizika a vysokého zisku.
• Nejčastější slabiny kamerových systémů nejsou technicky složité. Patří sem špatná konfigurace, ponechání defaultních přihlašovacích údajů, nebo neaktuální firmware, který obsahuje známé zranitelnosti. Tyto chyby se pravidelně opakují napříč různými firmami i institucemi.
• Dopady útoku ale mohou být mnohem závažnější, než se na první pohled zdá. Útočník může způsobit úplnou ztrátu obrazu, manipulovat s videem, skrýt pohyb po objektu, nebo dokonce využít kameru jako vstupní bod do celé firemní sítě. V praxi už existují případy, kdy útok na kamery skončil ransomwarem celé společnosti.
• Právě proto je kyberbezpečnost ve VSS systémech tak zásadní téma a je potřeba mu věnovat stejnou pozornost jako například serverům nebo firemním systémům.

Typické zranitelnosti IP kamer

• U IP kamer se stále dokola objevují stejné typické zranitelnosti, které útočníci velmi snadno zneužívají. Tou první jsou defaultní přihlašovací údaje. Mnoho kamer se po instalaci neodhesluje a zůstává tam původní ‚admin / admin‘ nebo jednoduché heslo. Tyto údaje jsou veřejně známé a existují i databáze výchozích hesel pro stovky modelů kamer.
• Další problém jsou zranitelné porty ONVIF nebo RTSP. Tyto protokoly slouží k získávání obrazu nebo správě kamery, ale často nejsou správně zabezpečené. Pokud jsou volně dostupné z internetu, útočník může získat živý obraz, někdy dokonce i plnou konfiguraci.
• Třetí slabina je neaktualizovaný firmware. Výrobci pravidelně vydávají opravy bezpečnostních chyb, ale v praxi je většina kamer aktualizována jen minimálně, nebo vůbec. Útočníci pak zneužívají veřejně známé CVE zranitelnosti, které jsou roky neopravené.
• A posledním velkým problémem je nešifrovaná komunikace. Některé starší kamery posílají obraz nebo přihlašovací údaje v nešifrované podobě. Útočník je pak může jednoduše odposlechnout přes síť. To je velmi nebezpečné zvlášť u kamer, které sledují citlivá místa, jako jsou kanceláře, sklady nebo nemocniční prostory.

Tyto zranitelnosti se objevují napříč trhem a jsou hlavním důvodem, proč jsou IP kamery tak častým cílem útoků.

Reálný případ: Hack 150 000 kamer (2021)

• V roce 2021 došlo k jednomu z největších úniků dat v historii kamerových systémů. Aktivistická hackerská skupina APT-69420 Arson Cats se dostala do interní správy cloudového poskytovatele kamer, společnosti Verkada, která provozovala více než 150 tisíc bezpečnostních kamer po celém světě.
• Útočníci získali superadministrátorský přístup k celé platformě. To znamená, že mohli sledovat živý obraz ze všech kamer, přehrávat záznamy, měnit konfiguraci a dokonce stahovat interní metadata o uživatelích a zařízeních.
• Mezi napadenými organizacemi byly nemocnice, školy, logistické firmy, výrobní závody, věznice a policejní oddělení. Na některých záznamech byly vidět osoby podstupující lékařské zákroky, pacienti na emergency, ale také ostraha ve věznicích nebo zaměstnanci v kritických provozech. Nešlo tedy o narušení „jen nějakého videa“, ale o zásadní zásah do soukromí a bezpečnosti.

Modelový případ: Útok na firemní kamerový systém

• Tento scénář ukazuje, jak vypadá reálný útok na firmu, která používá NVR a IP kamery. Útočník většinou nezačíná technickým prolomením systému, ale jde po lidech. Nejčastější způsob je phishing, tedy podvodná zpráva, která vyláká přihlašovací údaje správce.
• Jakmile útočník získá heslo, přihlásí se do NVR, které je často dostupné přes internet. Tady začne manipulovat se systémem – může vypnout jednotlivé kamery, skrýt obraz, nebo dokonce přepsat záznam, aby zakryl své kroky. To je velmi časté u útoků spojených s krádežemi nebo sabotáží.
• Dalším krokem je přesun do firemní LAN. Pokud kamery a NVR nejsou oddělené v samostatné VLAN, útočník získává přístup do celé interní sítě. Odtud už je jen krůček k tomu, aby nasadil ransomware a ochromil celou organizaci.
• Tento scénář je reálný a velmi podobně proběhlo mnoho útoků v posledních letech. Slabá segmentace, neaktuální firmware a chybějící 2FA umožňují útočníkovi nejen ovládnout kamery, ale i rozšířit se do firemních systémů

Chyby, které se opakují

• Když se podíváme na to, proč jsou kamerové systémy tak často úspěšně napadány, zjistíme, že se neustále opakují stejné chyby. Tyto chyby nejsou technologicky složité, ale jsou velmi časté.
• První a největší problém je chybějící dvoufaktorová autentizace. Pokud mají kamery nebo NVR pouze klasické heslo, útočníkovi stačí heslo uhodnout, odposlechnout nebo získat z úniku dat. 2FA je dnes standard, ale u kamerových systémů se stále minimálně používá.
• Další velký problém je neaktualizovaný firmware kamer nebo NVR. Útočníci velmi často využívají známé zranitelnosti, které jsou veřejně uvedené v CVE databázi. Pokud je firmware starý, je v podstatě otevřenou bránou do systému. Bez aktualizací se z každé kamery stává snadný cíl.
• Třetí typickou chybou je špatná síťová segmentace. To znamená, že kamery běží ve stejné síti jako firemní počítače nebo servery. Pokud útočník hackne jednu kameru, může se dostat dál do infrastruktury. Správně by měl být VSS systém oddělený do samostatné VLAN nebo úplně oddělené sítě.
• A poslední věc jsou slabé nebo opakovaně používané heslové politiky. Mnoho kamer stále používá výchozí hesla jako admin/admin, nebo jednoduchá hesla, která lze prolomit hrubou silou. Pokud správce nepoužívá politiku silných hesel a jejich pravidelné změny, systém je velmi zranitelný.

Tyto chyby se objevují stále dokola a většina kyberincidentů u kamerových systémů vzniká právě kvůli nim.

Co dělat při incidentu

1. Pokud bychom zjistili, že kamerový systém byl napaden, prvním krokem je okamžitá izolace kamerové sítě. Cílem je zabránit útočníkovi v dalším šíření nebo přístupu do ostatních systémů. Typicky to znamená odpojit kamery od internetu nebo je uzavřít do samostatné VLAN.
2. Následně je potřeba zkontrolovat přístupové logy. Z těch poznáme, odkud se útočník připojoval, jaké účty použil, zda měnil konfiguraci nebo stahoval záznamy. Logy nám pomáhají odhadnout rozsah incidentu a identifikovat slabiny, které byly zneužity.
3. Dalším krokem je změna všech hesel a aktualizace firmwaru. Pokud byla zneužita zranitelnost, výrobce často vydá opravu. Aktualizace je nutná proto, aby útočník nemohl využít stejný problém znovu. Změna hesel je zásadní zejména u administrátorských účtů a účtů třetích stran.
4. A nakonec musíme řešit ohlášení incidentu. Pokud jde o trestný čin, je nutné podat oznámení policii. A protože kamerové systémy zpracovávají osobní údaje, vzniká zároveň povinnost hlásit incident ÚOOÚ do 72 hodin, jak požaduje GDPR. Tato povinnost je zákonná a nelze se jí vyhnout.

Celý postup má za cíl minimalizovat škody, obnovit bezpečnost systému a splnit všechny právní požadavky.

Aktuální hrozby (2023–2025)

• Deepfake útoky přes kamery (manipulace obrazu)
• Cloud útoky na poskytovatele VSS
• Zero-day CVEs ve firmwaru
• Zneužívání kamer k DDoS útokům

1. Deepfake útok znamená, že útočník vloží falešný obraz nebo video do streamu kamery — tak, aby se zdálo, že je záběr reálný.
2. Útok na cloudového poskytovatele kamer, kde jsou spravovány tisíce kamer z mnoha organizací.
3. Zero-day je zranitelnost, která je nově objevená, ještě neopravená a často utajená.
   Výrobce o ní ví až po útoku.
4. Útočníci hacknou tisíce kamer a vytvoří z nich botnet — síť zařízení řízených útočníkem. Ddos útoky

Právní kvalifikace útoku v ČR

• Když dojde k napadení kamerového systému, nejedná se jen o technický problém, ale také o trestněprávní a regulační záležitost. Český trestní zákoník obsahuje několik paragrafů, které se přímo vztahují na útoky na IT infrastrukturu a kamerové systémy.

1. Prvním je § 230 – Neoprávněný přístup do počítačového systému. Ten se týká samotného vniknutí do systému, například když útočník prolomí heslo, obejde ochranu nebo použije ukradené přihlašovací údaje. Už pouhé získání přístupu je trestným činem.
2. Druhým paragrafem je § 231 – Přechovávání přístupových zařízení a hesel. Ten řeší situace, kdy někdo vytváří nebo přechovává nástroje pro útoky – například generátory hesel, zranitelné konfigurace nebo přístupové údaje jiných osob. I samotné držení takových prostředků může být trestné.
3. Třetím je § 232 – Neoprávněný zásah do vybavení a systému. Sem spadá jakékoli poškození, přepisování, mazání záznamů nebo vypínání kamer. To znamená, že pokud útočník vypne VSS, smaže záznam nebo změní obraz, dopouští se trestného činu podle tohoto paragrafu.
4. Kromě trestního zákoníku musíme řešit i oblast ochrany osobních údajů. Kamerové systémy totiž často zaznamenávají tváře lidí a jedná se tedy o osobní údaje.
5. Pokud dojde k prolomení kamer nebo úniku videa, jedná se o incident podle GDPR, článek 33. Správce – tedy organizace, která kamery provozuje – musí posoudit riziko a incident nahlásit.
6. Česká legislativa to doplňuje v zákoně č. 110/2019 Sb. o zpracování osobních údajů, který stanovuje povinnosti při ochraně dat v ČR a upřesňuje, jak mají správci postupovat.
7. A nejdůležitější praktická povinnost je, že pokud dojde k úniku z kamerového systému, je organizace povinna nahlásit incident Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy se o něm dozví. Je to zákonná lhůta a její nedodržení může vést k pokutám.

Tenhle právní rámec ukazuje, že kyberútok na kamerový systém není jen technickým problémem, ale má i trestněprávní a regulační důsledky.

• Kamery obsahují osobní údaje → GDPR
• Útočník měl úmysl narušit systém (dle §13 Trestního Zákoníku)
• Dopad: ohrožení majetku / bezpečnosti osob
• Útok může být kvalifikován i jako příprava trestného činu

U útoku na kamerový systém je velmi důležité správně odůvodnit právní kvalifikaci. V první řadě si musíme uvědomit, že kamery ve většině případů zaznamenávají osoby, a tedy obsahují osobní údaje podle GDPR. To znamená, že každý neoprávněný přístup nebo únik videa automaticky představuje porušení ochrany osobních údajů.

• Z pohledu trestního práva je rozhodující, že útočník jedná úmyslně, což vychází z §13 trestního zákoníku. Nestačí, že systém byl napaden – pachatel měl jasný cíl narušit systém, obejít zabezpečení nebo získat záznamy, což naplňuje prvky úmyslu. Tento úmysl je klíčový při kvalifikaci činu podle §230, §231 nebo §232.
• Dále je potřeba zdůraznit dopad útoku. Nejde jen o technické narušení provozu kamer. Únik nebo manipulace obrazu může přímo ohrozit bezpečnost osob, například v nemocnici, škole nebo ve firmě. Může také ohrozit majetek – pokud útok umožní krádež, sabotáže nebo znemožní ostraze reagovat.

A co je důležité na závěr – pokud útočník například vypíná kamery, přepisuje záznamy nebo si připravuje přístup na později, může být jeho jednání právně posouzeno nejen jako dokonání trestného činu, ale i jako příprava trestného činu. To znamená, že odpovědnost může vzniknout i tehdy, když k samotnému dokonání útoku ještě nedošlo.

Prevence a závěr

Na závěr je důležité zmínit, jak podobným útokům předcházet. Základem je silná autentizace, ideálně dvoufaktorová. To znamená, že útočníkovi nestačí jen získat heslo, protože systém bude vyžadovat další ověřovací prvek, například kód z mobilu.

• Další klíčová věc jsou pravidelné aktualizace firmware kamer i NVR. Výrobci průběžně opravují zranitelnosti a staré verze často obsahují chyby, které jsou veřejně známé. Neaktualizovaný firmware je ve skutečnosti jedna z nejčastějších příčin úspěšných útoků.
• Velmi důležité je také oddělení kamerového systému od firemní sítě. Pokud jsou kamery ve stejné síti jako servery a počítače, může útočník využít kameru jako vstupní bránu do celé infrastruktury. Samostatná VLAN nebo fyzické oddělení výrazně snižují riziko laterálního pohybu útočníka.
• Dalším prvkem je monitoring a detekce anomálií. Moderní systémy dokážou automaticky upozornit na podezřelé chování – například neobvyklé přihlášení, změnu konfigurace nebo přetížení datového toku. Čím dříve je incident odhalen, tím menší škody způsobí.
• A nakonec nesmíme zapomínat na fyzickou bezpečnost kamer. Pokud je kamera fyzicky dostupná veřejnosti, může být resetována, vyměněna nebo odpojena. Bez správného umístění a zabezpečení je i nejlépe nakonfigurovaný systém zranitelný.

Celkově prevence stojí na kombinaci technických a organizačních opatření. Je to mnohem levnější a jednodušší než řešení kyberincidentu.

Autor: Bc. Radek Hlaváč - 14.12.2025, VŠB-TUO

Zdroje:

• •ENISA. Threat Landscape for Smart Home & IoT Devices. [online]. ENISA, 2022. [cit. 2025-12-14]. Dostupné z: https://www.enisa.europa.eu/sites/default/files/publications/ENISA Threat Landscape 2023.pdf
• OWASP. OWASP IoT Top 10. [online]. OWASP Foundation, 2019. [cit. 2025-12-14]. Dostupné z: https://owasp.org/www-chapter-toronto/assets/slides/2019-12-11-OWASP-IoT-Top-10---Introduction-and-Root-Causes.pdf
• Bloomberg. Hackers Breach Thousands of Security Cameras. [online]. 2021. [cit. 2025-12-14]. Dostupné z: https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams
• NÚKIB. Doporučení pro bezpečné používání IoT zařízení. [online]. Brno: NÚKIB, 2023. [cit. 2025-12-14]. Dostupné z: https://nukib.gov.cz/cs/infoservis/doporuceni/
• NÚKIB. Čínské IP kamerové systémy: Analýza rizik. [online]. Brno: NÚKIB, 2021. [cit. 2025-12-14]. Dostupné z: https://nukib.gov.cz/download/publikace/analyzy/Cinske-IP-kamerove-systemy.pdf
• ÚOOÚ. Kamerové systémy – metodika. [online]. Úřad pro ochranu osobních údajů, 2022. [cit. 2025-12-14]. Dostupné z: https://uoou.gov.cz/profesional/metodiky-a-doporuceni-pro-spravce/metodika-ke-kamerovym-systemum
• Česko. Trestní zákoník č. 40/2009 Sb. [online]. Zákony pro lidi, Ministerstvo spravedlnosti, 2009. [cit. 2025-12-14]. Dostupné z: https://www.zakonyprolidi.cz/cs/2009-40