Alles wat digitaal functioneert, is in potentie kwetsbaar voor aanvallen. De gebouwautomatisering ontkomt er dus niet aan om concreet naar cyber security te kijken en deze verder te verhogen. Tijdens het minisymposium van de branche GA gaat Johan de Wit, Technical Officer Enterprise Security bij Siemens, dieper in op dit onderwerp.
De Wit zal een lezing verzorgen onder de titel ‘Gebouw gehackt? En wat ik had kunnen doen om dat te voorkomen?’. Hij wil nog niet teveel weggeven over de inhoud van zijn verhaal, maar het moet een awareness-sessie worden die vertelt wat je als organisatie kan doen om hackaanvallen te voorkomen. “Allereerst moet je inschatten hoe groot het eventuele probleem is”, zegt De Wit.
“Live gebeurt er ontzettend veel in cyberspace”, zegt hij. “Voor veel mensen is het abstract, want je ziet het niet. Live maps laten visueel zien hoe groot het probleem daadwerkelijk is. Maar worden gebouwen ook gehackt? Er zijn situaties van bekend dat dat gebeurt, maar veel aanvallen blijven onder de radar.”
Hoe dat komt? “Gemiddeld duurt het 280 dagen voordat een hack wordt ontdekt”, zegt de cyber security specialist. “En veel gebruikers in de bouwtechniek gebruiken helemaal geen monitoringtools, dus er wordt niet actief naar gekeken of er rare dingen gebeuren. En soms wordt een cyberaanval gewoon niet herkend.”
Er is dus volop werk aan de winkel in de branche: “In ons vakgebied zijn we dus onvoldoende van het gevaar bewust. Een van de doelen van mijn presentatie is dat ook onze technologie, de OT-zijde, kwetsbaar is. Vaak is er geen monitoringcomponent en worden cyberaanvallen aangemerkt als slechts een storing. Ook wordt er vaak door de opdrachtgever niet naar dergelijke tools gevraagd. Als je kijkt naar de mogelijke impact, dan moet je niet vergeten dat onze OT-systemen in een pand vaak cruciaal zijn voor de bedrijfsvoering.”
Legacy hardware en software
De Wit vervolgt: “Ik zal tijdens mijn presentatie ook dieper ingaan op de verschillen tussen IT en OT. Een daarvan is de levensduur van de hardware. Bij IT-hardware gaat dat zo’n drie tot vijf jaar mee en koop je iets nieuws. Maar een lichtbesturingsinstallatie ga je niet na drie jaar vervangen. En updates zijn vaak ook niet beschikbaar.”
“Veel gebouwen zitten nog vol met hardware van de vorige eeuw. Op zich niet erg, want het functioneert nog prima. Maar destijds dachten we anders na over cyber security dan tegenwoordig. Dus legacy apparatuur is vaak ongeschikt om goed te beveiligen. Ook oude protocollen, zoals het BACnet-protocol, is van origine een niet-beveiligd protocol. Het heeft geen enkele vorm van authenticatie bijvoorbeeld. Pas nu ontstaat er BACnet Secure Connect dat checkt of een device een object wel mag aansturen.”
Handige tool
Toch zal De Wit zijn toehoorders op weg helpen in dit complexe vraagstuk: “Belangrijk is dat je als bedrijf in al je processen rekening houdt met security. Ik zal tijdens mijn presentatie ook laten zien hoe je met een laagdrempelige tool, die we samen met andere partijen en het ministerie van Economische Zaken hebben ontwikkeld, verder kan komen. Sommige vragen zijn daarin heel basic: welke apparatuur heb je, ofwel asset management. En welke contracten heb ik? Dat soort basale vragen zijn belangrijk. Dit is een handig hulpmiddel om aan de slag te gaan.”