In deze tijd van IoT zijn steeds meer systemen verbonden met internet. Bij installaties gaat het dan meestal om bediening en onderhoud op afstand. Handig en comfortabel, maar niet alleen voor rechtmatige gebruikers. Slecht beveiligd biedt het namelijk ook mogelijkheden voor cybercrime. De bescherming hiertegen is bij veel systemen nog (lang) niet in orde.
Een installateur legt binnen een project een veertiental camerasystemen aan bij evenveel woningen en geeft – ‘want voor onderhoud o zo handig’ – elk systeem hetzelfde wachtwoord. Met het ‘hacken’ van dit ene wachtwoord, heeft de dader zonder problemen zicht op de aanwezigheid van de bewoners, het alarmsysteem en de spullen in alle veertien woningen. Een van de vele voorbeelden dat aangeeft dat cyberveiligheid óók het domein van installateurs is.
Topje van de ijsberg
De berichten in de media tonen vaak slechts het topje van de ijsberg als het gaat om cybercriminaliteit. Alleen hele grote zaken halen nog het nieuws. Zo werd in 2017 naar buiten gebracht dat in verschillende landen malware werd verspreid die bestanden ‘gijzelt’. Dit leidde in de Oekraïne onder ander tot het uitvallen van overheidssystemen en metro’s, overlast op het vliegveld van Kiev en problemen bij elektriciteitscentrales. Ook de Nederlandse pakketvervoerder TNT Express werd getroffen door geïnfecteerde computers. Achteraf bleek dat de malware verspreid was via een software-update voor M.E.Doc, een softwarepakket voor een Oekraïens boekhoudprogramma. Alle bedrijven die niet de laatste versie van hun beveiligingssoftware hadden geïnstalleerd, waren vatbaar voor deze hack.
DDos-aanvallen
Meer recent zijn de DDoS-aanvallen van afgelopen najaar op verschillende overheids- en financiële instellingen. Onder andere de Belastingdienst, DigiD en enkele banken waren uren, tot in een enkel geval twee dagen, tijdelijk onbereikbaar. In dit geval bleek de aanval niet afkomstig van een criminele organisatie, maar van een 18-jarige man uit Noord-Brabant die (voor de lol?) veertig euro had betaald voor een zogenoemde ‘stresser’: een dienst voor softwareontwikkelaars waarmee de belastbaarheid van software kan worden getest.
Wachtwoorden
Nu steeds meer apparaten en installaties worden verbonden met internet, wordt goed wachtwoordbeheer uiterst belangrijk. Het gaat daarbij niet alleen om sterke wachtwoorden en goede versleuteling (encryptie). Ook veilig opslag van actuele wachtwoorden mag niet over het hoofd worden gezien. Er zijn genoeg voorbeelden van goed beveiligde installaties die na het vertrek van de betreffende monteur ‘ineens’ ontoegankelijk bleken, omdat niemand anders het actuele wachtwoord wist.
Ook staan veel mensen er niet bij stil om na het vertrek van personeel de bij die mensen bekende wachtwoorden van klanten te wijzigen. Nu zal er in de regel nauwelijks iets gebeuren, maar er hoeft maar één boze ex-medewerker te zijn…
Klanten
Met de toenemende digitalisering van de installatiebranche komt cybersecurity steeds meer ook op het bordje van de installateur te liggen. En dat gaat niet alleen om het goed op orde hebben van de eigen zaken, maar ook om kennis over te dragen aan klanten. Want de keten is zo sterk als de zwakste schakel. Is de beveiligingssoftware bij de klant altijd up-to-date? Is de firewall goed genoeg? En hoe zit het met de beveiliging van de smartphones waarmee de klant het klimaatsysteem kan bedienen?
Cyberweerbaarheid
Om installateurs te ondersteunen in deze taak, is Techniek Nederland samen met Wij Techniek, ThreadStone CyberSecurity en Isso, gestart met het project Verhogen cyberweerbaarheid beveiligingssituaties. Een project dat valt onder het stimuleringsprogramma van het ministerie van EZK, VNO-NCW & MKB Nederland en Techniek Nederland.
Projectleider Peter Zwakhals van Techniek Nederland: ‘Het project omvat deskresearch onder stakeholders, relevante wetgeving en cyber- en securityproblemen bij beveiligingsinstallaties, gevolgd door interviews met installateurs en beveiligingsbedrijven. Op basis hiervan worden conclusies getrokken ten aanzien van het beschikbare en benodigde kennisniveau, waarna de doelstelling is om producten en diensten te ontwikkelen die de cyberweerbaarheid verhogen. Het gaat daarbij in eerste instantie om beveiligingsinstallaties, maar de kennis die we hier opdoen is ongetwijfeld breder toepasbaar.’
Bewustzijn
Zwakhals: ‘Daarnaast is het belangrijk dat we met dit project het bewustzijn verhogen. Wie herinnert zich niet de hack vanuit de Oekraïne die alle containerkranen op de Maasvlakte plat legde. De kranen zelf functioneerden technisch weliswaar, maar omdat de logistieke software niet meer functioneerde ‘wist’ geen kraan meer waar een specifieke container naartoe moest. Geen menselijke schade; wel een enorm financieel debacle. Kortom: we moeten opletten. Er is écht iets aan de hand en de installatiesector gaat een belangrijke rol spelen in de bijbehorende cyberbeveiliging.’
Tekst: Marjolein de Wit - Blok
Fotografie: Industrie