Cybersecurity van smart buildings: de 5 belangrijkste trends

25 augustus 2020

Intelligente gebouwen, zogenoemde smart buildings, communiceren met hun omgeving en zijn zelflerend. Maar hoe beveiligen we ze tegen cybercriminaliteit?

Er zijn goede redenen om gebouwen intelligent te maken. Smart buildings reageren intuïtief op de behoeften van gebouwgebruikers, zijn zelflerend en kunnen zich flexibel aanpassen aan veranderde omstandigheden. Ze zijn comfortabel, veilig en efficiënt. Ze gaan zuinig om met energie, kunnen deze zelf opwekken en opslaan. Als ze zijn aangesloten op het energienetwerk kunnen ze een bijdrage leveren aan het energie-ecosysteem. Anderzijds brengen intelligente gebouwen nieuwe risico’s met zich mee. Door het Internet of Things en de koppeling van gebouwtechnologie met de cloud zijn ze steeds vaker het doelwit van hackers. Cyberbeveiliging is dan ook geen ‘nice to have’ voor gebouweigenaren en -beheerders. Het is een must.

 

Wat zijn de belangrijkste trends rond de cyberbeveiliging van intelligente gebouwen? Welke maatregelen kan men nemen om cyberaanvallen te voorkomen?

 

Trend 1: Integratie van IT en OT creëert nieuwe risico’s

Gebouwtechnologie was vroeger operationele technologie (OT), die slechts een beetje informatietechnologie (IT) bevatte. IT- en OT-netwerken waren van elkaar gescheiden en wisselden geen informatie uit. Binnen smart buildings zijn de IT- en OT-netwerken sterk vervlochten. Dit maakt de gebouwen kwetsbaar voor cyberaanvallen. Hackers kunnen zwakke punten in bestaande en nieuwe installaties gebruiken om data te stelen of schade aan te richten in het gebouw. Via phishing mails kunnen ze illegaal toegang krijgen tot OT-systemen. Ook kunnen ze zich via HVAC- en andere OT-systemen toegang verschaffen tot datacenters en overkoepelende IT-netwerken.

Trend 2: Verbeterde cyberbeveiliging in gebouwnetwerken

De meeste gebouwprotocollen (BACnet, KNX, Modbus enz.) hebben geen geïntegreerde beveiligings-functionaliteit. Hierdoor zijn cyberaanvallen moeilijk te detecteren en af te wenden. Dit jaar publiceerde de American Society of Heating, Refrigerating and Air-Conditioning Engineers (ASHRAE) een addendum over BACnet Secure Connect.

Met BACnet Secure Connect (BACnet/SC) zet de gebouwindustrie een grote stap om de netwerken binnen gebouwen beter te beveiligen. BACnet/SC maakt het eenvoudiger om een veilige, gestandaardiseerde structuur voor gebouwautomatisering op te zetten. Ook andere communicatieprotocollen boeken vooruitgang op het gebied van cyberbeveiliging. Zo wordt het KNX IP Secure protocol de nieuwe ISO standaard voor het beveiligen van IP-communicatie tussen de KNX-installaties. Meer informatie hierover is te vinden in de Buildings for Tomorrow podcast.

Trend 3: Strengere regelgeving

Vanwege het stijgende risico op cyberaanvallen op gebouwen wordt wereldwijd nieuwe wet- en regelgeving ontwikkeld. In eerste instantie om de vitale nationale infrastructuur te beveiligen. De afgelopen zes maanden werden in diverse landen nieuwe regels van kracht. Voorbeelden zijn de California IoT Bill en de California Consumer Privacy Act (CCPA) in de VS, de Telecommunications Business Law in Japan en het Duitse IT-Sicherheitsgesetz 2.0. Ongetwijfeld zullen de komende tijd nog veel meer nieuwe regels volgen. Als voorbereiding hierop implementeren bedrijven cybersecurity-standaarden zoals IEC 62443, ISO 27001, NIST 800-53 in hun producten, systemen en processen.

Trend 4: Beveiliging van de keten

Zwakke schakels in de keten kunnen de beveiliging van de hele keten ondermijnen. Om die reden legt het Charter of Trust initiatief – een samenwerking tussen Siemens en internationale partners – de nadruk op optimale cyberbeveiliging van de gehele digitale supply chain. De partners hebben basisvoorwaarden gedefinieerd waaraan moet worden voldaan om de cyberveiligheid in de digitale supply chain te borgen. Nieuwe toeleveranciers van Siemens moeten hun cyberbeveiliging goed op orde hebben. Dit is opgenomen in een bindende clausule bij alle contracten.

Trend 5: Cybersecurity by design and default

Gebouwinstallaties waren vroeger ‘stand alone’ apparaten en systemen. Tegenwoordig zijn met elkaar gekoppeld en via internet verbonden met de cloud. Dit maakt ze tot een potentieel doelwit van hackers. Leveranciers van gebouwtechnologie nemen cyberbeveiliging daarom mee vanaf de ontwerpfase: cybersecurity by design. Ook zorgen ze voor veilige standaard instellingen: cybersecurity by default. Dit geldt onder meer voor de nieuwe  Desigo PXC4 en PXC5 controllers van Siemens.

 

Holistische aanpak

De snelle digitalisering en technologische ontwikkelingen binnen de gebouwindustrie vragen om een holistische benadering van cybersecurity. Dit is een wereldwijde uitdaging, waarbij alle stakeholders rond het gebouw de krachten moeten bundelen: eigenaren, planners, ontwerpers, operators, systeemintegratoren, gebruikers en technologieleveranciers.