Data security en privacy in smart buildings: “Mensen zijn de zwakste schakel”
Slimme gebouwen brengen veel voordelen met zich mee. Ze maken onze omgeving comfortabel, veiliger en efficiënt. Maar de toegenomen connectiviteit van apparaten met de cloud maakt gebouwen ook kwetsbaar voor cyberaanvallen. Cybersecurity in smart buildings is daarom noodzakelijk om data veilig te houden en de privacy van de gebruikers te waarborgen. Samen met Elena Chochanova en Tousif Rahman van TNO kijken we naar de uitdagingen bij het beschermen van data.
Door: Eline te Velde
Om het belang van dataveiligheid en privacy in smart buildings onder de aandacht te brengen, hebben Chochanova en Rahman een framework voor data security, privacy & ethics in smart buildings ontwikkeld. Het framework is onderdeel van de resultaten van het Brains for Buildings-project en bestaat onder andere uit een stappenplan met aanbevelingen. “Het project is tweeënhalf jaar geleden gestart met het doel om big data te benutten voor het verbeteren van onder andere comfort, duurzaamheid en energieverbruik van slimme gebouwen. Hierbij speelt de vraag wat privacy, ethiek en veiligheid betekenen voor slimme gebouwen een belangrijke rol,” vertelt Chochanova.
Verbondenheid van IT en OT
Chochanova legt uit dat het beveiligen van smart buildings om een nieuwe manier van denken vraagt: “Historisch gezien zijn de Information Technology (IT) en Operational Technology (OT) domeinen heel verschillend: IT bevindt zich volledig in de digitale wereld, maar OT staat in contact met de fysieke wereld. Ze waren daarom ook strikt van elkaar gescheiden door een letterlijke ‘air gap’. Maar naarmate de technologie zich verder ontwikkelt, bijvoorbeeld door gebruik van Internet of Things (IoT)-apparaten, ontstaat er steeds meer onderlinge verbondenheid. Hierdoor wordt OT blootgesteld aan invloeden van buiten en moet tegenwoordig ook beveiligd worden tegen cyberaanvallen, niet alleen tegen fysieke bedreigingen. En IT-beveiligingsprincipes zijn niet zomaar toe te passen op OT-systemen. Dit maakt het daarom aanzienlijk ingewikkelder om te beveiligen. Je moet andere oplossingen bedenken.”
“IT-beveiligingsprincipes zijn niet zomaar toe te passen op OT-systemen. Dit maakt het daarom aanzienlijk ingewikkelder om te beveiligen. Je moet andere oplossingen bedenken.”
De TNO-onderzoekers benadrukken dat de connectie met het internet een zwakke plek is. “De architectuur laat doorgaans een tweedeling zien, het gedeelte binnen het gebouw en daarbuiten. Alles in het gebouw heb je zelf onder controle, hier kun je diverse veiligheidsmaatregelen treffen. Zodra de data in connectie staat met het internet, de buitenwereld, wordt het ingewikkelder.” Rahman voegt toe: “Zorg dat je de partij die jouw data bewaart genoeg vragen stelt. Waar bewaar je de data? Hoe zit het met de beveiliging? Ben je gecertificeerd? Maak je back-ups? Mensen zijn geneigd om voor de goedkoopste optie te gaan, maar denk goed na als het data betreft.”
Naast de toegenomen connectiviteit is het ook niet altijd duidelijk wie er verantwoordelijk is voor de data uit gebouwen. “Het zou goed zijn om de verantwoordelijkheid vast te leggen, bijvoorbeeld als onderdeel van procedures. Als het duidelijk is van wie de data is, dan is het ook makkelijker om te beheren en traceren. Traceerbaarheid in data is één van de belangrijkste punten als het gaat om beveiliging.”
De zwakste schakel
De toegenomen connectiviteit is een zwakke schakel in het systeem, maar niet de zwakste. Dat is namelijk de mens. Mensen maken fouten: iemand vergeet een wachtwoord te veranderen, gebruikt een 'foute' usb-stick of klikt op een link in een phishing mail. Om dit te voorkomen is training en voorlichting onmisbaar, zo legt Rahman uit: “Er is altijd een risico dat mensen fouten maken, maar uiteraard zijn bewustwording en training erg belangrijk. Vooral ook om mensen te leren wát ze beschermen. Want als je de waarde kent, als je weet wat je beschermt, dan zie je het belang ervan in.”
“Er is altijd een risico dat mensen fouten maken, maar uiteraard zijn bewustwording en training erg belangrijk. Vooral ook om mensen te leren wát ze beschermen. Want als je de waarde kent, als je weet wat je beschermt, dan zie je het belang ervan in.”
Aanbevelingen
Als onderdeel van het framework hebben Chochanova en Rahman tien stappen geformuleerd om een betere cyberweerbaarheid op te bouwen. De eerste stap is risicobeoordeling. Je kunt namelijk geen beveiligingsplan maken zonder een inschatting van de risico’s, vertellen de onderzoekers. “Het mag duidelijk zijn dat de risico’s voor een kerncentrale anders zijn dan voor een hotel. Hoewel een hotel ook niet veilig is tegen cyberaanvallen, en kan gemakkelijk ten prooi vallen voor bijvoorbeeld ransomware” merkt Chochanova op. Ze verwijst hierbij naar een hotel in de Oostenrijkse alpen, waar het elektronische sleutelsysteem was gehackt.
Na de risicoanalyse is de aanbeveling om een risicobeperkingsplan te maken en beleid en procedures vast te leggen. In stap vijf wordt stilgestaan bij het risico van mensen. Om het risico te minimaliseren zijn training en bewustwording essentieel. Bewustwording gaat verder dan inzicht in de verzamelde data en risico’s, het gaat ook om kennis van je eigen systeem: “Het is tegenwoordig bijna té makkelijk om een verbinding te maken. Het zou zonde zijn als je veel geld en moeite steekt in beveiliging van gebouw en verbindingen, maar vervolgens onwetend een nieuwe sensor aansluit die direct signalen naar het internet stuurt. Zo rol je de rode loper uit voor slechte actoren.”
Brains for Buildings (B4B) is een innovatieproject gericht op het ontwikkelen van methodes om data uit slimme meters, building managementsystemen en IoT-apparaten te benutten. Door gebouwen als het ware een brein te geven, worden gebouweigenaren en gebruikers in staat gesteld om betere beslissingen te maken. Wil je meer weten over het project? Bezoek dan de website van Brains for Buildings of lees meer over het privacy, ethics en security framework.