artikel

Gebouwbeheersystemen verbinden met internet: wat zijn de risico’s?

digitalisering

Het verbinden van gebouwbeheersystemen met het internet zorgt voor gebruiksgemak, maar ook voor risico’s. Hoe voorkom je dat hackers de boel overnemen? Installateurs lijken het probleem nog altijd niet serieus te nemen en daarom bereiden KNX en Techniek Nederland een nationale voorlichtingscampagne voor.

Gebouwbeheersystemen verbinden met internet: wat zijn de risico’s?

Door Edo Beerda

Amerikaanse hackers slaagden er onlangs in de slimme thermostaten van een aantal gebouwen over te nemen. Dat lukte door een virus te installeren op de SD kaart, waarna ze door middel van ransomware de gebouweigenaar voor een keuze konden stellen: 500 dollar betalen of anders ging de thermostaat omhoog naar de maximale stand van 37 graden Celsius.

Ethische hackers

In dit geval boften de gebouweigenaren, want de inbraak werd gepleegd door zogenoemde ‘ethische hackers’. Maar dat Internet of Things (IoT) kwetsbaar is, maakte de hack pijnlijk duidelijk. Het bericht vorige maand dat ook domotica-toepassingen met de KNX-standaard makkelijk te kraken kunnen zijn, onderstreept dat nog eens. Een ethische hacker van Computest ontdekte dat hij in duizenden gebouwen met deze veelgebruikte standaard voor woning- en gebouwautomatisering de bediening kon overnemen.

Installateurs

Om precies ging het om 17.444 gebouwen wereldwijd, waarvan 1.322 in Nederland. Klinkt als een verbijsterend aantal. “Maar die getallen verbazen mij helemaal niet”, reageert Aiko Pras, hoogleraar Internet Security. “Het gaat ook helemaal niet om de KNX-standaard, dit kan bij elke standaard gebeuren. De kern van het probleem ligt bij de installateurs. Zij zijn gewend iets af te leveren dat na oplevering klaar is. Maar bij IoT is dat helemaal niet zo, daar blijft security áltijd hoofdzaak.”

Internetkoppeling

Hoe goed systemen ook bedacht zijn, in de miljoenen regels code zitten altijd fouten, stelt Pras. En dat betekent ook dat er altijd kwetsbaarheden in zitten. Maar meestal hoeven hackers helemaal niet op zoek naar dergelijke missers in de code, het probleem zit meestal bij de internetkoppeling.

Gateway

Besturingssystemen voor gebouwen kunnen intern communiceren, maar zijn niet per definitie verbonden met het internet. Dat gebeurt pas als er een gateway tussen wordt gehangen. Makkelijk voor iedereen, want dan hoeft er geen busje voor te rijden bij problemen. Maar wordt de koppeling gelegd zonder beperking, dan is het voor een hacker een koud kunstje om binnen te komen. Pras: “Je moet het daarom aan een Virtual Private Network (VPN) hangen met meerdere lagen van beveiliging, net als bij een middeleeuws fort, want de eerste muur kan altijd vallen.”

Terug van de tandarts

Te vaak nog gebeurt dat niet. Want wat moet een hacker nou met de besturing van een woning? De lampen aan- en uitzetten? De tv naar een andere zender schakelen? Het wordt interessanter als bewoners of organisaties hun voordeur via internet op afstand gaan bedienen. Een Zweedse slotenmaker stak er in een reclamespotje de draak mee. Het filmpje toont een man die zijn hele huis, inclusief voordeur, online bedient met behulp van stemcontrole. Wanneer hij terugkeert van de tandarts en nauwelijks kan praten, laat de computer hem zijn eigen huis niet in. Pras: “Lachen natuurlijk. Maar als een hacker je deur wel open krijgt, heb je een probleem.”

Virtual Private Network

Doen ontwikkelaars van standaarden voor gebouwautomatisering dan niets om indringers buiten te houden? Jazeker, ze werken zelfs voortdurend aan verbetering van hun protocollen. Bij KNX Nederland zijn ze geschrokken van de commotie die de bevindingen van Computest veroorzaken. De hacker kwam waarschijnlijk de KNX-bus binnen doordat sommige klanten nog steeds geforward worden naar 3671 – de standaardpoort voor opbouwen van een KNX/IP tunnel, vermoeden ze.

KNX

KNX-secretaris Rob van Mil vindt het overigens niet eerlijk dat de ethische hacker zich alleen richtte op de – ISO, EN en NEN-genormeerde – KNX-standaard. “Bij andere standaarden zou je een soortgelijk resultaat krijgen. Zonder een veilige koppeling met het internet is het altijd riskant om je systeem via smartphone of tablet te bedienen. Helaas ontbreekt het vaak aan kennis bij installateurs en fabrikanten over hoe dat moet.”

It-kennis

Via een VPN is dat prima voor elkaar te krijgen, maar het vergt wel enige it-kennis. Als je de poort open laat staan en het VPN niet op orde hebt, loopt je gebouwsysteem een risico. Aangezien niet iedereen dat voor elkaar krijgt, heeft KNX een IP Secure Gateway bedacht. Dat is een stukje hardware dat er bij het leggen van een verbinding met internet automatisch voor zorgt dat elk bericht wordt versleuteld. Alleen wie de sleutel heeft, komt erin.

KNX/IP Secure Gateway

Er is één probleem: KNX/IP Secure Gateway is pas in 2018 geïntroduceerd, de meeste operationele gebouwautomatiseringssystemen stammen van voor die tijd. Die zijn dus nog steeds aangewezen op een VPN. Hebben ze een zwak of helemaal geen wachtwoord, dan zijn ze eenvoudig te kraken. “Dan nog moet je nog heel wat it-kennis en speciale software hebben om die KNX-bus te kunnen lezen, maar je zit er wel in”, zegt Van Mil. KNX heeft er workshops en netwerkbijeenkomsten over georganiseerd, maar kennelijk is dat niet voldoende. Gateways beveiligen was geen onderdeel van de KNX basistraining. Dat wordt het in de toekomst wel.

Promotiecampagne

Techniek Nederland zet ook in op dergelijke verbeteringen. De brancheorganisatie maakte al eens een stappenplan waaraan installateurs zich zouden moeten houden bij koppeling van gebouwinstallaties aan het internet. Naar aanleiding van de melding van Computest steken Techniek Nederland, KNX Nederland en brancheorganisatie Gebouw Automatisering nu de koppen bij elkaar. De drie partijen denken aan het organiseren van een promotiecampagne om installateurs bewust te maken van de gevaren van onvoldoende beveiliging van internetkoppelingen.

Onvoldoende bewustzijn

Ondertussen blijft het een vreemd verhaal dat er nog onvoldoende bewustzijn in branche is over de gevaren van hackactiviteit. Het probleem speelt niet alleen in Nederland. Een Duits computerblad slaagde er enkele jaren geleden in de bediening van de deuren van een gevangenis en een brandweerkazerne over te nemen.

Generatiekloof

Hoe kan het toch dat professionele installateurs onveilige beheerssystemen blijven afleveren? Aiko Pras – zelf 60 jaar – vermoedt dat er een generatiekloof is die een rol speelt. “Een installateur van 55 heeft niet geleerd op school hoe hij een internetbeveiliging installeert, terwijl de jeugd precies weet hoe je daar misbruik van maakt. Mensen hebben gewoon meer bijscholing nodig.”

Cybersecurity

De Tweede Kamer nam in december 2017 een motie aan om de haalbaarheid van een cybersecurity onderzoeksinstituut te onderzoeken. Gaat dat iets opleveren? Pras: “Het probleem is dat we te weinig gekwalificeerde mensen hebben om dergelijke plannen daadwerkelijk uit te voeren. Jaarlijks leveren Nederlandse universiteiten honderd ict’ers af met specialiteit cybersecurituy. Dat is veel te weinig voor de behoeften van het bedrijfsleven.”

Tip: Installatie Journaal heeft een gratis downloadable over alarm over IP
en een gratis whitepaper over domotica 3.0

 

Omvormers zonnepanelen

Gezien de tsunami aan nieuwe IoT-toepassingen zal dat tekort alleen maar nijpender worden, verwacht hij. Installateurs zijn niet de enigen die daardoor steken laten vallen. Fabrikanten kunnen er ook wat van. Zo bleken omvormers voor zonnepanelen die als ‘beveiligd’ werden verkocht, in de praktijk geen authenticiteitscheck uit te voeren. Ook ‘slimme’ wasmachines blijken gevoelig voor hacken. Het levert niet alleen risico’s op voor het functioneren, gehackte mini-computers in apparaten kunnen ook onderdeel worden van een botnet. Op die manier zijn ze weer bruikbaar voor Ddos-aanvallen. Hoeveel mensen zijn zich bewust van dát gevaar?

Terroristische organisaties

“En dan hebben we het nog niet gehad over veel grotere gevaren: dat vreemde mogendheden of terroristische organisaties vitale infrastructuur hacken bijvoorbeeld of mensen op afstand vermoorden met behulp van een gehackt systeem”, zegt Pras. “We moeten ons veel beter bewust worden van de gevaren van onze afhankelijkheid van het internet. Elk ict-systeem wordt op een dag gehackt, dat is een natuurwet.”

KNX-installatie veilig?

Computest heeft een site geopend waarop gebouwbeheerders en consumenten kunnen controleren of hun KNX-installatie veilig is: www.knxscan.com. KNX Nederland heeft een KNX Security Checklist die vakmensen helpt met een stapsgewijze beveiliging. De checklist is te downloaden via Smart Inside: https://smartinside.nl/documentation/overview

Risico’s gebouwbeheersystemen beperken

Om de risico’s van gebouwbeheerssystemen met internetconnectie te beperken adviseert Techniek Nederland om altijd vijf stappen in acht te nemen:

Stap 1. Wachtwoordbeheer

Verander alle standaardwachtwoorden voordat een apparaat wordt verbonden met internet. Gebruik wachtwoorden met minstens tien karakters, een computer kan miljarden wachtwoorden per seconde testen.

Stap 2. Netwerkbeheer

Dek kwetsbare toegangspoorten, zoals web-interface, usb-poorten, IP-poorten en netwerkapparaten, goed af. Schakel de autorun-functie van de usb-poort uit. Gebruik alleen usb-sticks uit een afgesloten verpakking, afkomstig van een bekende en veilige leverancier. Minimaliseer het aantal open TCP/IP-poorten of installeer een firewall.

Stap 3. Accountbeheer

Geef gebruikers alleen de privileges die ze nodig hebben, laat wachtwoorden periodiek resetten. Schakel het account van vertrekkende werknemers uit.

Stap 4. Softwarebeheer

Laat alleen geautoriseerde gebruikers software implementeren en installeer alleen geautoriseerde software.

Stap 5. Inventariseer de risico’s

Stel een plan met de veiligheidsrisico’s van het systeem en hun prioriteit op. Zorg ervoor dat medewerkers zich realiseren hoe belangrijk een veilig systeem is.

Reageer op dit artikel