'Minstens 10 miljoen mensen potentieel doelwit van cyberaanvallen door verdere automatisering van gebouwbeheer'

Het beheer van gebouwen wordt steeds verder geautomatiseerd, waarbij de systemen die worden gebruikt voor het bedienen van bijvoorbeeld alarmsystemen, stroomvoorziening, toegangsdeuren en -poorten, ventilatie of schuifdeuren steeds vaker zijn verbonden met internet. Doordat er te weinig aandacht is voor de digitale beveiliging, worden de systemen kwetsbaarder voor cyberaanvallen, terwijl de mogelijke impact van zulke aanvallen toeneemt. Uit een rapport van het Amsterdamse cybersecuritybedrijf Applied Risk blijkt dat hierdoor minstens 10 miljoen mensen wereldwijd potentieel doelwit zijn van cyberaanvallen via gebouwbeheersystemen.

Kwaadwillenden kunnen dergelijke aanvallen gebruiken voor bijvoorbeeld afpersing, voor het doen van inbraken door alarmsystemen uit te schakelen en deuren op afstand te openen, enzovoorts.

Topje van de ijsberg

Applied Risk, dat gespecialiseerd is in het beveiligen van industrie en infrastructuur, onderzocht onder meer hoe makkelijk het is om bepaalde veelgebruikte toegangssystemen te manipuleren om toegang te krijgen tot gebouwen als ziekenhuizen, overheidsgebouwen of kantoorpanden. "Dit is nog maar het topje van de ijsberg, want we hebben in dit onderzoek alleen gekeken hoe kwetsbaar deze systemen zijn voor digitale inbraken via internetbrowsers", zegt CEO Jalal Bouhdada van Applied Risk. "Hoewel er voor toegangs- en beheerssystemen van smart buildings allerlei verschillende beveiligingssystemen worden gebruikt, blijven ze kwetsbaar voor aanvallen door het idee dat ze centraal aangestuurd moeten kunnen worden. Onze conclusie is dan ook dat de beveiliging van gebouwbeheersystemen veel verbetering behoeft."
Het rapport bevat een lijst met aanbevelingen voor een betere beveiliging van geautomatiseerd gebouwbeheer. Enkele voorbeelden zijn:
• Houd het netwerk waar het gebouwbeheersysteem op is aangesloten volstrekt gescheiden van andere netwerken.
• Gebruik beveiligde toegangssystemen zoals vpn-netwerken als het toch noodzakelijk is om op afstand toegang te hebben tot het gebouwbeheer. Besef dat vpn-netwerken zo veilig zijn als de zwakste schakel in het netwerk: als je op een apparaat in het netwerk makkelijk kunt inbreken, breek je dus net zo makkelijk in op het hele netwerk.
• Hackers gebruiken software waarmee ze miljoenen wachtwoordcombinaties kunnen proberen. Verander daarom altijd de standaard ingestelde wachtwoorden van digitale systemen, en gebruik alleen sterke wachtwoorden van minstens acht tekens - maar hoe langer hoe beter - die regulier vervangen worden.
• Zorg voor actieve monitoring van verkeer via het netwerk, en dat er een reactieplan klaarligt voor als er inbraakpogingen worden ontdekt.
• Minimaliseer kwetsbaarheid door menselijke factoren met reguliere trainingsprogramma's.

Lees hier het rapport

I_Own_Your_Building_Managment_System_2019