Hoe goed moet je je smartbuilding beveiligen? net iets beter dan je buurman

“De bedoeling van een Tetra-project zoals het onze is academische kennis te vertalen naar een breed publiek”, zegt Jorn Lapon van de Distrinet-eenheid van de KU Leuven in Gent. “In het geval van smart buildings is dat brede perspectief zeker nodig. De risico’s op vlak van cyberveiligheid bevinden zich op alle niveaus van de ontwikkeling en het gebruik, bij particulieren, in grote organisaties maar zeker ook in kmo’s. Iedereen is op zijn eigen domein bezig met technologie en toepassingen maar cyberveiligheid is niet noodzakelijk onderdeel van die ontwikkelingen. Lang niet iedereen is zich bewust van de veiligheidsrisico’s, noch van de maatregelen die mogelijk zijn om risico’s uit te sluiten.”

“Het klinkt als een huizenhoog cliché maar de ketting is effectief zo zwak als de zwakste schakel”, vult zijn collega Tom Cordemans aan. “Om van een gebouw een smart building te maken moeten alle partners inspanningen leveren en samenwerken. Als een van die partijen steken laat vallen, dan is dat een deur langswaar ongewenst bezoek het netwerk kan binnenkomen. Op elk niveau moeten we door een betere bewustwording, betere procedures en een betere opleiding van de betrokkenen naar een systeem evolueren dat in zijn geheel matuurder is. Hoe goed moet je je slim gebouw beveiligen? Net iets beter dan je buurman. Want als mensen met slechte bedoelingen merken dat ze te veel moeite moeten doen, dan gaan ze elders proberen. Dé cyberveiligheid bestaat niet. Precies zoals 100% veiligheid niet bestaat.”

Zwakke schakel

Een gebouw wordt slim omdat heel veel toestellen data uitwisselen over luchtkwaliteit, temperatuur, bezettingsgraad, in- en uitstroom, beveiliging en processen.

“Dat kunnen sensoren en actuatoren zijn maar evengoed koelkasten, slimme deurbellen, camerasystemen, inbraakdetectiesensoren, communicatieapparatuur, whiteboards, ... allemaal kleine computers die online kunnen gaan. En terwijl iedereen het normaal vindt dat zijn laptop om de zoveel tijd veiligheidsupdates installeert, zijn slimme toestellen daar meestal niet voor uitgerust omdat dat de levensduur van de batterij te veel belast. Aangezien ze bovendien een te beperkte opslagcapaciteit en CPU-kracht hebben, beschikken ze doorgaans ook niet over een firewall of een virusscanner om aanvallen van buitenaf tegen te houden. Zonder extra ingrepen installeer je met andere woorden een kwetsbaar toestel, dat doorgaans ook nog eens zo goedkoop mogelijk werd geproduceerd. Zeker als het gaat over toestellen die van de band rolden op een ogenblik dat het nog niet de bedoeling was dat ze met het internet zouden verbonden worden. De tijd van stand-alonetoestellen is echter voorbij, met als gevolg dat dit zwakke schakels zijn die jarenlang in stilte de ketting verzwakken en die hackers graag gebruiken om toegang te krijgen tot je netwerk. Verschillende toepassingen maken vaak gebruik van verschillende netwerkprotocollen en die werken niet per se goed samen. Apparaten correct configureren is bijgevolg niet altijd evident.”

“Een laptop vervang je pakweg om de 3 à 4 jaar maar toestellen die in smart buildings worden geïntegreerd, blijven vijftien jaar later nog steeds potentieel kwetsbaar. De meeste eigenaren beseffen niet eens dat ze een risico lopen. Zeker als alle toestellen dan nog in hetzelfde netwerk zitten, kan één kwetsbaar onderdeel de rest infecteren. Een netwerk opsplitsen in kleinere segmenten is daarom een belangrijke maatregel om de cyberveiligheid te verhogen. Bij een incident zal de impact beperkter zijn.”

Laaghangend fruit

Het is een van de adviezen die ongetwijfeld tot de goede praktijken zal behoren waarmee het onderzoek in 2027 zal afsluiten. Dat startte vorig jaar met de bevraging van een groep fabrikanten, softwareontwikkelaars, integratoren en installateurs. Daaruit bleek dat het om te beginnen allerminst eenduidig is wat onder ‘cybersecurity’ verstaan wordt.

“De interpretatie van cyberveiligheid is momenteel niet eenduidig”, zegt Jorn. “Vandaar dat iedereen de noodzaak voelt om in een lastenboek ‘cyberveiligheid’ zodanig te kunnen omschrijven dat het niet meer vatbaar is voor interpretatie. Het zou een meerwaarde zijn voor leveranciers, die niet willen dat ze uit de markt worden geduwd als ze veiligheid serieus nemen, maar ook voor gebouweigenaars die een mogelijkheid willen om de claims van de leverancier af te toetsen.”

“De strategie moet zijn om een slim gebouw niet alleen bij de oplevering maar op lange termijn uit te bouwen, zonder het risico te lopen van een vendor lock-in, waarbij je afhankelijk wordt van een leverancier die failliet kan gaan. Overstappen kan in dat geval grote financiële gevolgen hebben. Er zijn veel actoren in het verhaal en die moeten allemaal meegenomen worden in de strategie.”

Tom Cordemans: “Vaak ligt cybersecurity samen met gebruikerscomfort in de weegschaal. Voor een fabrikant zal het bijvoorbeeld belangrijk zijn dat de toestellen wereldwijd eenvoudig vanop afstand te monitoren zijn. Terwijl de gebruiker de controle zal willen bewaren over wie wanneer in zijn netwerk zit te neuzen. Maar het mag ook weer niet té veilig opgebouwd worden, want dan dreigt de gebruiksvriendelijkheid erbij in te schieten. Voor sommige kmo’s is de segmentering van het netwerk bijvoorbeeld al een brug te ver, omdat dat vaak de tussenkomst van experts betekent. De cyberveiligheidsattitude is vandaag nog onvoldoende ingesleten, wat het zoeken naar een gemeenschappelijke deler niet gemakkelijk maakt.”

“In dergelijke onduidelijke situatie, is het belangrijk om het probleem op te splitsen en te beginnen het laaghangend fruit al weg te halen. Daarvoor kan je best met een IoT-risicoanalyse beginnen, wat echter ook niet evident is, aangezien veel kmo’s niet weten welke slimme toestellen ze in huis hebben. Dus is een inventaris het echte begin. Dan blijkt pas hoe bangelijk veel toestellen de mogelijkheid hebben om online te gaan. Laaghangend fruit plukken is dan bijvoorbeeld: zich afvragen of dat wel altijd nodig is. Als je het aan de fabrikant vraagt wel, aangezien data voor hem een bron van (marketing)kennis is. Maar wordt het leven van de eindgebruiker daar beter van? Of zorgen die data ervoor dat je energieverbruik effectief daalt?”

Jorn Lapon: “Een andere quick-win is ervoor zorgen dat de default wachtwoorden waarmee de fabrikant zijn toestellen heeft geprogrammeerd, aangepast worden. De goede praktijk leert dat je dat wachtwoord meteen personaliseert bij de ingebruikname. Dat is bijvoorbeeld iets dat de Cyber Resilience Act (CRA) van de Europese Unie vanaf augustus verplicht zal maken. De verordening verplicht fabrikanten, importeurs en distributeurs om producten zodanig aan te passen zodat ze gedurende de hele levenscyclus voldoen aan de essentiële cyberbeveiligingsvereisten.”

Veiligheidsattitude

“Je kan de evolutie van cyberpreventie vergelijken met die van de brandpreventie”, aldus Tom Cordemans. “Alle maatregelen om gebouwen brandveilig te maken zijn er ook niet van de ene op de andere dag gekomen. In de ideale wereld is het de installateur die je daarin begeleidt. En er zijn er vandaag al die dat ook doen maar het is zeker nog geen routine. Onder meer omdat niet elke installateur de nodige kennis heeft. Het is bijvoorbeeld niet normaal dat een installateur van systemen voor toegangscontrole hetzelfde serviceaccount gebruikt voor alle gebouwen en dat, terwijl medewerkers komen en gaan, de inloggegevens dezelfde blijven. Als we voor dat soort basisproblemen al een procedure kunnen afspreken, dan kunnen we het maturiteitslevel een beetje hoger duwen. Vandaar dat de samenwerking met UC Leuven-Limburg zo belangrijk is. Als we over twee jaar met resultaten naar buiten komen, hoop ik dat onze adviezen opgepikt worden door bedrijven en in opleidingen, en zullen helpen om mensen een cyberveiligheidsattitude aan te leren.”

“Daarnaast werken we ook verder rond ‘incident response’. Wat moet je doen als je vaststelt dat je gehackt bent? Vandaag zijn er weinig bedrijven die je daar het antwoord op zullen geven. Tenslotte willen we ook een overzicht maken van standaarden en regelgeving die vandaag gelden. Want Europa is op dat vlak heel productief, waardoor het heel gemakkelijk is om door de bomen het bos niet meer te zien.”