Kamere su postavljene na objektima i unutar njih, u državnim i lokalnim institucijama, vrtićima, ulazima u zgrade, privatnim kompanijama, pa čak i u dječijim sobama. Najviše nezaštićenih kamera nalazi se u Sarajevu (1.597), zatim Mostaru (855), Zenici (536), Banjaluci (404) i Bijeljini (306). Gotovo svaka opština i grad u BiH bilježi ovakve sigurnosne propuste u video nadzoru.

Najveći dio ovih kamera dolazi iz Kine, od proizvođača “Hikvision” i “Dahua”, čiji su uređaji poznati po pristupačnoj cijeni, ali i sigurnosnim ranjivostima. Portal CAPITAL je otkrio 852 ranjive kamere samo ovog prvog proizvođača. Većina kamera ostavljena je s fabričkim postavkama, odnosno bez promijenjenih lozinki ili koristeći default lozinke poput “admin/admin”. Ovo omogućava svakome sa osnovnim informatičkim znanjem da pristupi kamerama, upravlja njima ili ih čak koristi za špijunažu i druge nezakonite radnje.

IT stručnjaci upozoravaju da ovakvo stanje predstavlja veliku sigurnosnu prijetnju. Nezaštićene kamere mogu služiti kao ulazne tačke za pristup širim mrežama unutar objekata, što omogućava potencijalne napade na računare, servere i druge uređaje.

Nenadzorovani video nadzor izlaže građane brojnim rizicima:

Krađa privatnosti i voajerizam – kamere mogu snimati i dijeliti privatne trenutke bez znanja i pristanka.

Špijunaža i industrijska špijunaža – snimci mogu biti zloupotrebljeni za praćenje poslovnih tajni i informacija.

Manipulacija snimcima – brisanje, mijenjanje ili montiranje snimaka može onemogućiti istrage i pravdu.

Organizovani kriminal i iznude – “sextortion” grupe koriste ranjive kamere za ucjene i zlostavljanje.

Planiranje kriminalnih radnji – lokalni kriminalci mogu pratiti rutine i planirati pljačke.

Pristup botnet mrežama – ranjive kamere mogu biti regrutovane u mreže zaraženih uređaja za DDoS napade.

Stručnjak Nenad Borovčanin ističe da su svjesni da su mnoge kamere ranjive zbog nepromijenjenih fabričkih lozinki i nedovoljne svijesti o sajber sigurnosti u BiH.Pored privatnih prostora, značajan broj kamera u javnim institucijama BiH također je ranjiv na neovlašteni pristup. Do sada su otkrili oko 5.000 takvih kamera, a mnoge institucije nisu ni svjesne da su njihove sigurnosne mreže kompromitovane.

U nekim slučajevima moguće je pristupiti i bazama podataka koje sadrže lične podatke zaposlenih – adrese, matične brojeve, bankovne račune i druge osjetljive informacije.

BiH nema uspostavljen centralni nadzor i regulativu za postavljanje i održavanje IP kamera. Agencija za zaštitu ličnih podataka prima brojne pritužbe zbog nezakonitog i neadekvatnog video nadzora, ali ne postoji efektivan sistem kontrole.

Ministarstvo sigurnosti BiH potvrdilo je da još uvijek nije uspostavljen CERT (Computer Emergency Response Team) za institucije BiH, iako je Vijeće ministara donijelo odluku o njegovoj uspostavi još 2017. godine. Tek 2025. godine je planirano zapošljavanje stručnjaka, ali nedostatak interesa IT kadrova otežava realizaciju.

U Ministarstvu sigurnosti kažu da nadzor kamera u privatnim i javnim prostorima nije u nadležnosti CERT-a, već da su vlasnici i kontrolori odgovorni za zaštitu i nadzor. Većina video opreme u BiH uvezena je iz inostranstva, najčešće iz Kine, Japana i Tajvana. Neki proizvođači kamere su optuživani za implementaciju “backdoor” pristupa, koji omogućavaju proizvođačima ili drugim akterima pristup snimcima i informacijama.

S obzirom na osjetljivi politički kontekst BiH, ovakvi propusti mogu biti iskorišteni za prikupljanje obavještajnih podataka, širenje dezinformacija, pa i destabilizaciju države.

Hikvision: američka CISA je 2024. godine otkrila ozbiljnu ranjivost koja omogućava potpuni pristup uređajima i utječe na preko 100 miliona korisnika. Iako je proizvođač priznao propust i tvrdio da se pridržava EU propisa, problem nije u potpunosti riješen.

Dahua: ranije su otkrivene skrivene ulazne tačke i ugrađene lozinke koje omogućavaju hakiranje, preuzimanje lozinki i potpuni administratorski pristup.

U EU institucijama, video nadzor je jasno regulisan i koristi se ciljano za specifične sigurnosne potrebe, uz poštivanje privatnosti i minimiziranje prikupljanja nepotrebnih podataka.