Cybersecurity in gebouwautomatisering: het onderschatte risico
Gebouwautomatisering draait steeds vaker op IP-netwerken. Dat brengt risico's mee waar veel gebouweigenaren zich niet van bewust zijn.
- Gebouwautomatisering is steeds vaker IP-gebaseerd en daarmee kwetsbaar
- BACnet/IP, Modbus/TCP en webinterfaces zijn vaak onbeveiligd
- OT-segmentatie, authenticatie en monitoring zijn essentieel
- Begin met een inventarisatie van alle verbonden systemen
Artikel
Waarom OT-security nu op de agenda moet
De convergentie van IT en OT (Operational Technology) in gebouwen brengt enorme voordelen: remote monitoring, centrale aansturing, datagedreven optimalisatie. Maar het brengt ook risico's mee die tot voor kort nauwelijks op de radar stonden. Gebouwautomatiseringssystemen die ooit op gesloten netwerken draaiden, zijn nu verbonden met het internet, en daarmee kwetsbaar voor cyberaanvallen.
Wat staat er op het spel?Manipulatie van klimaatregelingen, brandmeldinstallaties of toegangscontrole kan directe impact hebben op de veiligheid van gebouwgebruikers.
Ransomware op een GBS kan het volledige gebouwbeheer platleggen. Herstelkosten, productieverlies en reputatieschade lopen snel op.
De NIS2-richtlijn en aanverwante regelgeving stellen steeds strengere eisen aan de beveiliging van kritieke infrastructuur, waar gebouwautomatisering onder kan vallen.
In de praktijk zijn dit de meest voorkomende kwetsbaarheden in gebouwautomatiseringsomgevingen:
BACnet/IP en Modbus/TCP zijn ontworpen voor betrouwbaarheid, niet voor beveiliging. Ze hebben standaard geen authenticatie of encryptie.
GBS-webinterfaces die rechtstreeks bereikbaar zijn vanaf het internet, vaak met standaard wachtwoorden of verouderde software.
OT-systemen die op hetzelfde netwerk zitten als kantoorcomputers. Een gecompromitteerde laptop kan zo toegang geven tot de complete gebouwautomatisering.
Controllers en servers die draaien op end-of-life besturingssystemen zonder security patches. Windows XP en Server 2008 zijn nog verrassend vaak aanwezig.
Scheid OT- en IT-netwerken fysiek of via VLAN's. Gebruik firewalls voor verkeer tussen zones.
Verander standaardwachtwoorden, gebruik sterke credentials en beperk toegangsrechten per gebruikersrol.
Monitor netwerkverkeer op het OT-netwerk. Log alle toegangspogingen en configuratiewijzigingen.
Houd firmware en software up-to-date. Vervang end-of-life systemen die geen patches meer ontvangen.
Breng alle verbonden apparaten in kaart: controllers, gateways, servers, sensoren met IP-adressen. Je kunt niet beschermen wat je niet kent.
De meeste verbeteringen in OT-security zijn niet duur maar vragen wel initiatief. Netwerksegmentatie, wachtwoordwijzigingen en een actuele inventarisatie zijn vaak in weken te realiseren, niet in maanden.
Degero is geen cybersecurity-bedrijf, maar begrijpt als geen ander hoe gebouwautomatisering technisch is opgebouwd. Bij elk engineeringtraject en elke migratie houdt Degero rekening met netwerksegmentatie, protocolbeveiliging en toegangsbeheer. Want een veilig gebouw begint bij een veilig ontworpen automatiseringsarchitectuur.
Gerelateerde pagina's: Gebouwautomatisering · Engineering · Advies
Veelgestelde vragen
Is cybersecurity relevant voor gebouwautomatisering?
Absoluut. Zodra systemen IP-gebaseerd zijn of verbonden met het internet, zijn ze een potentieel doelwit. De impact kan variëren van comfortproblemen tot volledige uitval van gebouwfuncties.
Wat is de eerste stap in OT-security?
Inventarisatie: breng alle verbonden apparaten in kaart, controleer netwerksegmentatie en wijzig standaardwachtwoorden. Dat alleen al elimineert een groot deel van de risico's.
Wil je de security van je gebouwautomatisering beoordelen?
Degero kan de technische architectuur doorlichten en advies geven over netwerksegmentatie en veilige koppelingen.
Vraag een offerte aan