“Cyberaanval op gebouwbeheersysteem kan je organisatie raken tot in de kern”

18 september 2020

Dat hackers via gebouwtechnologie naast het binnenklimaat ook primaire processen kunnen beïnvloeden, wordt nog vaak onderschat. Een doordachte cyber security-strategie, van design tot maintenance, is dan ook geen overbodige luxe. Maar wat is het ons waard?

In veel gebouwen is een uitgebalanceerd binnenklimaat meer dan alleen een kwestie van comfort, bijvoorbeeld in ziekenhuizen. De juiste temperatuur-, luchtdruk- en luchtvochtigheidsverhoudingen bevorderen het herstel van patiënten en voorkomen onder meer dat virussen zich via de lucht verspreiden. Ontregelde klimaatinstallaties kunnen ertoe leiden dat in de operatiekamers niet meer veilig kan worden geopereerd. Voldoende reden om deze installaties goed te beveiligen tegen ongewenste toegang van buitenaf. Brandmeldinstallaties zijn dan weer vaak gekoppeld aan systemen voor toegangscontrole. Door een brandmeldinstallatie te activeren, kunnen hackers zich toegang verschaffen tot het gebouw. Geen hypothetische scenario’s, maar voorbeelden van cybercriminaliteit in de praktijk.

Security by design

Over het algemeen hebben bedrijven hun IT-systemen goed beveiligd tegen cyberaanvallen. Voor OT-systemen, waartoe gebouwtechnologie behoort, geldt dit nog steeds in mindere mate. Des te meer is men aangewezen op de aandacht van technologiepartners voor cyber security. Te beginnen bij de leverancier. “Over cyber security denken wij al in de ontwerpfase na”, zegt Ton Mes, Product & Solution Security Officer bij Siemens Smart Infrastructure. “Dit geldt voor al onze technologie, waarbij totaaloplossingen complexer zijn dan producten. Ze bevatten naast onze eigen componenten vaak producten van derden. We gebruiken alleen technologie waarvan de cyberbeveiliging in beginsel voldoet aan de hoogste internationale standaarden.”

Veel bedrijven scheiden hun IT-netwerken van de OT-netwerken, waarop ook het gebouwbeheersysteem zit. OT-netwerken zijn echter vaak minder goed beveiligd
Johan de Wit, Technical Officer Enterprise Security, Siemens Nederland

System hardening

Bij de implementatie speelt onder meer het toepassen van veilige protocollen een rol. Ook system hardening is een sleutelbegrip. Johan de Wit, Technical Officer Enterprise Security: “Veel bedrijven scheiden hun IT-netwerken van de OT-netwerken, waarop ook het gebouwbeheersysteem zit. OT-netwerken zijn echter vaak minder goed beveiligd. Met alle IoT-devices die je tegenwoordig op netwerken kunt inpluggen vormt dit een risico; het is immers niet altijd duidelijk wat er op dergelijke netwerken plaatsvindt. Netwerksegmentatie en -beveiliging worden daarom steeds belangrijker. Als onderdeel van system hardening activeren we alle beschikbare security functies van technische apparatuur en deactiveren we alle niet noodzakelijke functies zoals bijvoorbeeld usb-poorten die niet nodig zijn voor het functioneren van het gebouwbeheersysteem.”

Monitoren en updaten

Weerbaarheid tegen cybercriminaliteit is echter niet alleen een technologisch vraagstuk. Vanuit een holistische benadering heeft Siemens ook richtlijnen ontwikkeld voor een veilige omgang met haar technologie. Denk aan het aanpassen van default wachtwoorden en het regelmatig installeren van patches en updates. Siemens kan de gebouwgebonden installaties van klanten voorzien van een oplossing om hun status 24/7 te monitoren en eventuele zwakheden te detecteren. Een plotselinge afwijking in het gedrag van componenten kan bijvoorbeeld wijzen op een cyber aanval. Voor alle onderdelen – ook die van derden - wordt automatisch bijgehouden of regelmatig updates en patches worden geïnstalleerd. Klanten kunnen deze monitoring zelf uitvoeren, binnen hun eigen netwerk. Siemens kan dit echter ook via een beveiligde verbinding op afstand doen. Daartoe moet de klant de verbinding  vrijgeven voordat een technicus toegang tot de klantinstallatie verkrijgt.

Cyber Emergency Response

Op haar website publiceert Siemens consequent kwetsbaarheden in haar technologie en neemt, afhankelijk van het servicecontract, de benodigde mitigerende maatregelen op de klantinstallaties. Ton Mes merkt dat klanten hier steeds actiever op reageren. “Een teken dat het bewustzijn voor cyberbeveiliging groeit. Dat is positief. Want hoe goed technologie ook beveiligd is, een hack kan altijd plaatsvinden.” Via een Taskforcemodel kan Siemens snel reageren als klanten melden dat ze worden of zijn gehackt. Er start dan onmiddellijk een Emergency Management Procedure onder de hoede van het lokale Cyber Emergency Response Team (CERT). Afhankelijk van de ernst van het incident kan hierbij ook het ProductCERT en zelfs Siemens Global CERT worden betrokken. “We zetten alle kennis in die we hebben en schalen op indien nodig. 24 uur per dag.” 

Checklijsten

Aangezien hackers meester zijn in het uitwissen van hun sporen, is het niet altijd eenvoudig met zekerheid vast te stellen of er daadwerkelijk sprake is van een cyber-incident. De servicetechnici van Siemens hebben checklijsten om dit te kunnen bepalen. Cyberincidenten vereisen dan ook een andere aanpak dan reguliere storingen. De Wit: “Bij een normaal incident ga je meestal zo snel mogelijk repareren. Bijvoorbeeld door de software opnieuw te installeren. Bij een cyberincident is het vaak verstandiger te wachten tot de apparatuur goed is onderzocht. Dit kan een intensief, diepgaand traject zijn met analyses en forensisch onderzoek.”

Ketenverantwoordelijk

Als initiator van de Charter of Trust spoort Siemens ook ketenpartijen aan om goed na te denken over mogelijke risico’s. Dit geldt onder meer voor installateurs en onderhoudspartijen. Uiteraard ligt ook een grote verantwoordelijkheid bij de gebruikers van gebouwbeheersystemen. Mes: “Welke processen heb je als organisatie voor het beveiligen van je technologie? Is er bijvoorbeeld een Emergency Management Procedure voor cyberaanvallen? Controleer je of beveiligingsupdates daadwerkelijk worden geïnstalleerd? Dat mag bij veel bedrijven best nog scherper op het netvlies staan.” Anderzijds komen er meer mogelijkheden bij om cybersecurity via de cloud uit te besteden. In de IT is dit al jaren gebruikelijk. De Wit: “Vroeger had iedereen zijn eigen datacenter, maar tegenwoordig zit alles in de cloud. Die trend is, mede ingegeven door veiligheid, ook zichtbaar in de OT, waaronder gebouwinstallaties.”

 

Blijft de vraag hoeveel bedrijven willen betalen voor een dergelijke dienstverlening. Investeren in cyber security levert niet direct extra functionaliteit op. Als je goed beveiligd bent, merk je waarschijnlijk niet eens dat men gepoogd heeft je te hacken. De Wit: “Vergelijk het met een autogordel. Die zit tegenwoordig standaard in iedere auto. Maar zouden we hem ook willen als we er extra voor moesten betalen? Wat is een virusscanner op je gebouwbeheersysteem je waard? Die afweging moet uiteindelijk ieder bedrijf voor zich maken. We zien helaas nog te vaak dat de prijs de doorslag geeft zonder dat er aandacht is voor cybersecurity.”

 

Meer weten over cyber veiligheid van OT-systemen en gebouwtechnologie? Kijk op de website of neem contact op met Ton Mes.