Hackers die een verlichtingssysteem overnemen, veroorzaken misschien irritatie maar ze richten geen schade aan. Wel laten ze zien dat het kan, en daar zit ‘m de kneep. Want wat als er iemand kwaad wil en op bedrijfsgegevens uit is? Of privégegevens voor chantage? Aan cybersecurity moet serieus aandacht worden gegeven. Martin van Ling, directeur van Hestia Domotica, vertelt over de praktische kant van online beveiliging.
Door: Marion de Graaff, Installatie Journaal
Van Ling zit zowel in de technische commissie als in de marketingcommissie van KNX Nederland, en is directeur van Hestia Domotica. Als system integrator werkt hij met alle systemen die er in de markt zijn, en heeft hij een ruime ervaring met het online beveiligen van al die verschillende systemen.
KNX
Om te beginnen legt Van Ling nog even kort uit dat het KNX-protocol alle systemen met elkaar verbindt. “Het zorgt ervoor dat alles met elkaar kan praten, ook al zijn de componenten afkomstig van verschillende fabrikanten of van een compleet andersoortige installatie. Om een systeem te kunnen beveiligen, is het belangrijk om de topologie te begrijpen. Bij KNX is dat als volgt: je bouwt een lijn, waaraan je vervolgens 255 busdeelnemers kunt hangen. Wil je meer componenten kwijt, dan maak je een hoofdlijn en verbind je hieraan het benodigde aantal lijnen door middel van lijnkoppelaars. Je kunt dan 15 lijnen maken, en met behulp van een backbone kun je dat nog 15 keer doen. Zo kun je dus een enorm netwerk bouwen. De enige restrictie is dat je geen kringetjes maakt, bijvoorbeeld door de lijnen met elkaar te verbinden. Dat hele netwerk kan worden verbonden met een IP zodat je een koppeling kunt maken met allerlei apparatuur uit de systeemwereld. Ook kan je er voor kiezen alle lijnen rechtstreeks met een IP-backbone te verbinden door middel van IP-routers. Zodoende kun je visualisaties van het hele systeem mogelijk maken, maar ook programmeren en beheren op afstand. Onmisbaar dus als je vanaf de zaak cv-ketels van klanten monitort. Of als je een totale HVAC-installatie wilt uitlezen omdat er een storing is gesignaleerd.”
Poortje 3671
“En waar zitten dan de bedreigingen?”, vraagt Van Ling. “Die komen natuurlijk allereerst uit de boze buitenwereld. Via een router kan er van alles binnenkomen, en wat je absoluut nooit moet doen is poortje 3671 openzetten. Een ethical hacker heeft onlangs nog geconstateerd dat dat op grote schaal voorkomt. Ik zeg je: Doe – Het – Niet. Je stelt het systeem dan namelijk open voor allerlei ellende van buitenaf, en hackers kunnen zo je netwerk in, met alle gevolgen van dien.”
Routers programmeren
Het programmeren van routers en wifi-accesspoints is misschien niet heel moeilijk, maar toch moet je goed weten wat je doet, zegt Van Ling. “Ben je ergens een router en accesspoint voor een klant aan het configureren en hij geeft aan ook een gastennetwerk te willen, dan kun je simpelweg een SSID aanmaken en dat gastennetwerk noemen. Maar dan zit je dus wel op hetzelfde netwerk, en dan kan een gast overal bij. Het inrichten van een VLAN is hier de oplossing, maar begin er niet aan als je niet weet hoe dat moet. Cyber security is voor een groot deel een kwestie van awareness, van je realiseren hoe het in elkaar zit en begrijpen wat er mis kan gaan.”
De hacker in jezelf
Behalve bedreigingen van buitenaf is ook de computer zelf een element in de beveiliging. Van Ling: “Laat je je kinderen ’s avonds een spelletje doen op de laptop waarmee je overdag aan de installaties van klanten werkt? Niet doen! Een virus is snel opgelopen en verspreidt zich vervolgens naar het netwerk van je klanten, daar wil je niet verantwoordelijk voor zijn. En dan is er nog de KNX-installatie zelf. Ook bij de configuratie van KNX-componenten is het belangrijk om met kennis van zaken te werk te gaan. De instellingen van zowel de router naar het IP-netwerk, als de lijnkoppelaars en busdeelnemers zelf moeten kloppen en op elkaar en het beoogde gebruik afgestemd zijn. Daar moeten we niet te licht over denken, een foutje is snel gemaakt. Als ik in een hotelkamer verblijf, probeer ik altijd even om op het netwerk te komen, vooral als er KNX geïnstalleerd is. Even kijken of het lukt, even kijken waar ik bij kan… Er zit een hacker in ons allemaal. Gebruik die nieuwsgierigheid ook als je een systeem ontwerpt, bouwt, configureert of integreert. Dat helpt je bij het online beveiligen ervan.”
Admin admin
“Het laatste aspect is de human factor”, stelt Van Ling. “Want mensen bouwen systemen, beveiligen en gebruiken ze. Laat je je laptop onbewaakt achter? Sluit je hem altijd netjes af? Heb je hem beveiligd, en zo ja hoe? De mens zelf is de grootste bedreiging. En dan zijn er ook nog eens talloze installatiecomponenten die je met gebruikersnaam admin en wachtwoord admin zomaar binnen kunt wandelen. De bekendste voorbeelden zijn natuurlijk draadloze bewakingscamera’s en intelligente deurbellen, maar ook in professionele installaties komen heel vaak niet beveiligde componenten voor of staat het wachtwoord gewoon op de achterkant vermeld. Geef hackers geen kans. Beveilig de router, de computer, het netwerk. Zorg er ook voor dat hackers fysiek niet gemakkelijk kansen krijgen. Losse bedrading in een publieke ruimte, schakelaars op ooghoogte, een buitenlamp met bewegingssensor aan een gevel: allemaal potentiële gevaren. Maak gebruik van de functionaliteiten van een systeem, zoals een filtertabel in de lijnkoppelaar. Door die te activeren, worden alleen de telegrammen doorgelaten die nodig zijn voor de componenten op de desbetreffende lijn. Maak je zo een separaat segment aan, dan is er van buitenaf niks te zien.”
VPN, ISE en KNX Secure
“Hoe kun je een systeem – KNX, BACnet, LON, of wat dan ook – beveiligen als je er toch via internet bij wilt kunnen komen?”, vraagt Van Ling vervolgens. “Dat gaat het beste met VPN, want daar worden de securityniveaus in opgeschaald. Maar wees op je hoede. Wat twee jaar geleden nog veilig was, is vandaag de dag not done. Zo was een VPN op basis van PPTP twee jaar geleden gebruikelijk maar wordt tegenwoordig als onveilig bestempeld. Minimaal L2TP, IPsec, OpenVPN en ook hier geldt weer: als je niet van de hoed en de rand weet, begin er dan niet aan. Fabrikantspecifieke beveiliging door middel van een beveiligingscomponent in het netwerk is een goed alternatief, maar weet dat je dan van deze fabrikant afhankelijk bent. Dit geldt voor de beveiliging zelf, maar ook voor de continuïteit. Stopt de fabrikant er mee of erger, wordt deze zelf gehackt of gaat hij failliet, dan komt daarmee ook de beveiliging te vervallen. Dus zorg dat je op de hoogte bent, of laat het over aan een gespecialiseerd bedrijf.”
Techniek Nederland organiseerde samen met een aantal partners, waaronder FHI Gebouw Automatisering, voorlichting over cyber security tijdens een drietal Cyber Security Meetings. Martin van Ling, directeur van Hestia Domotica, was een van de organisatoren en sprekers.