Cybersecurity begint bij de toegangsbalie
Het beveiligen van smart buildings is een uitdaging vanwege de complexiteit. Elk apparaat of systeem dat is aangesloten op het internet vormt een potentile ingang voor slechte actoren. De beveiliging van slimme gebouwen vraagt daarom om een holistische benadering, waarbij aandacht wordt besteed aan de technische, organisatorische en menselijke aspecten van cybersecurity. Wij spraken Bas Labordus, van The S-Unit, over de technische aspecten.
Door: Eline te Velde
The S-Unit is een beveiligingsbedrijf gespecialiseerd in cybersecurity vraagstukken. Door middel van gecontroleerde aanvallen helpen zij klanten hun systemen beter te beveiligen. Daarbij kijken ze naar het hele proces, van pentesten tot een onafhankelijk advies. The S-Unit bedient uiteenlopende klanten, van bedrijven in de amusementenbranche, tot verzekeringsmaatschappijen en ziekenhuizen.
Kroonjuwelen
De cybersecurity-specialisten beginnen altijd met een onderzoeksvraag, legt Labordus uit. We zijn, samen met de opdrachtgever, altijd op zoek naar de belangrijkste assets. Wat wil je beschermen? Wat zijn jouw kroonjuwelen? En wat gebeurt er als die kroonjuwelen niet meer beschikbaar zijn, de data daarvan niet meer klopt, of de verkeerde mensen toegang hebben? De onderzoeksvraag bepaalt de scope en vanuit daar begint het testen.
Er zijn verschillende benaderingen mogelijk bij het testen, zoals black box testing, waarbij de aanvaller vooraf geen kennis heeft van de interne werking van de software. Daartegenover staat white box testing, waar de aanvaller kennis heeft van de interne structuur en als het ware aan de hand is meegenomen door het bedrijf.
Als we de onderzoeksvraag bepaald hebben, laten we hier scenarios op los. Dan proberen we op alle mogelijke manieren binnen te komen. Dit noemen wij pentesten. Een andere aanpak is Red Teaming, waarbij je een hele keten test. Je gaat uit van een bepaald scenario, bijvoorbeeld dat er geld is overmaakt naar een rekening. Om dat voor elkaar te krijgen moeten er allemaal stappen genomen worden. Bij deze manier van testen proberen we niet vanuit alle kanten aan te vallen, maar lopen we de stappen terug vertelt Labordus.
Bij pentesten pak je een element uit de keten en val je die van alle kanten aan. Met Red Teaming ga je het hele proces door en blijf je onder de radar.
Wachtwoord onder toetsenbord
De eerste stap om een gebouw aan te vallen is vaak fysiek. Om het netwerk binnen te komen of informatie te vinden, brengen we daadwerkelijk een bezoek aan het gebouw, vertelt Labordus: Wij proberen het gebouw echt binnen te komen, door bijvoorbeeld een open deur of met de rokers mee naar binnen te gaan. Daar komt een groot sociaal aspect bij kijken. Soms is het noodzakelijk om anderen te overtuigen om toegang te krijgen, bijvoorbeeld om de printer of internetverbinding te controleren. Alles wat we vervolgens tegenkomen is interessante informatie. Onder toetsenborden vind je bijvoorbeeld gebruikersnamen en wachtwoorden en op whiteboards staat altijd interessante informatie. Alle verzamelde informatie kan weer gebruikt worden in een vervolgaanval. De technische aanval begint eigenlijk bij de toegangsbalie beneden.
Wij proberen het gebouw echt binnen te komen, door bijvoorbeeld een open deur of met de rokers mee naar binnen te gaan. Daar komt een groot sociaal aspect bij kijken.
Zonnepanelen
Smart buildings bieden tal van voordelen. Ze verhogen bijvoorbeeld het comfort en de efficintie en helpen ons bij het besparen van energie. Maar de toegenomen connectiviteit brengt een groter risico op cyberaanvallen met zich mee. Labordus legt uit: We zien op dit moment dat veel gebouwen zonnepanelen installeren. Er zitten natuurlijk omvormers tussen en de vraag is hoe deze zijn aangesloten op het netwerk. Deze omvormer van een zonnepaneel kan een toegang zijn om het netwerk binnen te komen. Hier kun je de parallel trekken naar de fysieke toegang. Als de poortjes te laag zijn, kun je er eenvoudig overheen stappen. Dit principe is ook van toepassing op cybersecurity: als deuren openstaan, kun je binnenkomen.
Een andere ontwikkeling die Labordus ziet is de wens om steeds meer te automatiseren en integreren. Bedrijven willen energie besparen en hebben hun energieverbruik inzichtelijk in een dashboard. Supergoed natuurlijk, maar hoe komt die informatie daar? Hetzelfde zien we bij CO2 meters. Als het signaal uit de CO2 meter direct verbonden is met een dashboard, kan ik wellicht via de tegengestelde richting naar binnen komen. Daarnaast wordt er ook steeds meer op afstand gedaan, dus wordt het voor anderen ook makkelijker om op afstand binnen te dringen. Kortom: er is steeds meer mogelijk, maar we moeten daarom ook op steeds meer gebieden alert zijn.
Wil je meer weten over het beveiligen van slimme gebouwen? Tijdens de conferentie Digitaal Gebouw van de Toekomst op 15 november 2023 bij het AFAS Theater in Leusden, geeft Bas Labordus een lezing over cybersecurity in smart buildings. Meld je aan voor een gratis bezoek.