Juni 2021
Kennis is de sleutel tot inperken cyberrisico’s
In een meer en meer digitaliserende wereld gaat cybersecurity een steeds belangrijkere rol spelen. Om de bewustwording -over de cyberrisico’s binnen de installatiemarkt te vergroten, publiceerde KNX Nederland een whitepaper over het onderwerp. Wat zijn op dit moment de grootste gevaren in de digitale wereld en wat kunnen de mensen in de installatiebranche doen om te zorgen dat het niet mis gaat?
De term cybersecurity staat voor het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en digitale gegevens tegen aanvallen door cybercriminelen. Deze aanvallen hebben vaak financieel gewin als motivatie. Toch komt ook cybercriminaliteit met een politieke of maatschappelijke grondslag regelmatig voor.
Digitale weerbaarheid
Het belang van goede digitale beveiliging werd nog maar eens heel duidelijk toen er in 2019 een datalek plaatsvond bij Orvibo, een producent van IoT- en smart home-apparatuur. Het lek zorgde ervoor dat de gegevens van hun apparatuur – met onder meer wachtwoorden, mailadressen, geolocatie-data, ip-adressen en namen van een miljoen klanten – op straat lagen. Hierdoor was het mogelijk om de accounts van de klanten over te nemen en konden kwaadwillenden de controle over de slimme apparaten van Orvibo in handen krijgen. Het rapport Cybersecuritybeeld Nederland 2020 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid illustreert een tweede situatie die de risico’s van cybercriminaliteit duidelijk maakt. Kwetsbaarheden in Citrix ADC en Gateway servers zorgden eind 2019 dat alleen al in Nederland 3.700 organisaties – waaronder aanbieders van zogeheten ‘vitale processen’ – extra vatbaar waren voor digitale aanvallen.
Misbruik van coronapandemie
Ook op dit moment zijn de digitale risico’s onverminderd groot. Daar waar het coronavirus de fysieke wereld grotendeels lam legt, tiert de wereld van de cybercriminaliteit juist welig tijdens de coronacrisis. Hackers en andere cybercriminelen spelen vooral in op de groei van het aantal werknemers dat thuis werkt. Op de website Security Management legt cybersecurity expert Marc van Vliet van Perfect Day uit hoe dit in zijn werk gaat. ‘Cybercriminelen leven bij disruptie en chaos’, aldus Van Vliet. ‘Op het moment dat bijna iedereen opeens thuis moet werken, zie je dat mensen minder argwanend zijn als iets er net wat anders uitziet dan gebruikelijk. Of wanneer ze te maken krijgen met andere contactpersonen dan ze gewend zijn. Eigenlijk zou een crisis juist moeten zorgen dat je kritischer bent dan normaal, maar we zien dat het omgekeerde gebeurt. Omdat alles anders is, zijn mensen vaak toch wat afgeleid.’ Als voorbeeld van de wijze waarop cybercriminelen hier gebruik van maken noemt Van Vliet een mail met de tekst ‘De komende twee weken werken we thuis. Klik op deze link om een beveiligde verbinding tot stand te brengen’. ‘Wanneer een e-mail met zo’n strekking afkomstig lijkt te zijn van de directeur, trekken weinigen deze in twijfel. Cybercriminelen gebruiken het feit dat de coronacrisis de gebruikelijke communicatiestructuren van bedrijven doorbreekt.’
Groter speelveld
Volgens het zakelijke blog The Digital Dutch van KPN spelen cybercriminelen ook in op de angst rondom corona. Via digitale communicatie doen cybercriminelen zich voor als de GGD of Inspectie Sociale Zaken en Werkgelegenheid met als doel te phishen (hengelen) naar gevoelige gegevens. De coronacrisis heeft het speelveld voor cybercriminelen ook op andere vlakken vergroot. Zo groeide het aanvalsoppervlak door de vele thuiswerkenden, zitten veel pc’s en mobiele apparaten niet langer op het goed beveiligde bedrijfsnetwerk en worden de apparaten bij de medewerkers thuis soms minder goed geüpdatet. Maar niet alleen het aantal computers en mobiele apparaten om aan te vallen neem toe. De blijvende groei van slimme systemen die via het Internet of Things (IoT) op afstand zijn aan te sturen en met elkaar communiceren, zorgt dat ook het aantal kwetsbaarheden binnen slimme gebouwen en smart homes toeneemt. The Digital Dutch verwacht dat zowel het aantal IoT-toepassingen als het aantal kwetsbaarheden op dit gebied in een stroomversnelling komen bij de uitrol van 5G. Voorbeelden hiervan zijn problemen rondom firmware, SSL-certificaten, encryptie en wifi.
Cybercriminaliteit tiert welig tijdens de coronacrisis
‘Veiligheid in systemen integreren’
Zowel op IT-gebied (laptops en mobiele apparaten) als op het vlak van operational technology (OT), waaronder slimme apparaten en woning- en gebouwautomatisering, neemt het aantal kwetsbare systemen dus toe. Toch is er op het gebied van cybersecurity een groot verschil tussen IT en OT, meent security-onderzoeker Daan Keuper van Computest. Tijdens de conferentie Bits, Bricks & Behaviour ging Keuper vorig jaar uitgebreid in op de risico’s van het verbinden van gebouwbeheersystemen met het internet. ‘Bij IT zie je dat als dingen verouderen, men deze vervangt door nieuwe producten, die bij aankoop direct voldoen aan de laatste eisen. Bij OT blijven wat oudere producten voor bijvoorbeeld woning- en gebouwautomatisering langere tijd in gebouwen actief, waarbij de beveiliging niet altijd een update krijgt. Maar ook de nieuwere producten zijn niet altijd ‘bij’ met de nieuwste beveiligingsstandaard. Nu gebouwautomatiseringsproducten veel meer aan internet worden gekoppeld, is het belangrijk dat OT dezelfde stap maakt die IT eerder maakte.’
Volgens Keupers is het aan de fabrikanten om in dit proces de regie te pakken. ‘Je moet toe naar een situatie dat zowel de eindgebruiker als de installateur niks hoeft te doen om veilig in contact te staan met internet. De beveiliging moet al in de slimme systemen zijn ingebakken als deze op de markt komen. Het moet dan – als het ware – moeilijker zijn voor de installateur of systeemintegrator om een onveilige verbinding te maken dan een veilige aansluiting te realiseren. Een soort ‘plug-and-play’-systeem voor slimme installaties met een goede cybersecurity. Zo minimaliseer je het risico op cybercriminaliteit bij intelligente apparaten, onafhankelijk van de kennis van de installateur of systeemintegrator.’
Cyber security-producten
Een fabrikant die een product aanbiedt waar de digitale beveiliging al zit ‘ingebakken’, is Gira. De Gira S1 is een gateway tussen internet en de KNX-bus die bewoners automatisch versleutelde toegang geeft tot hun KNX Smart Home. ‘Hierdoor kunnen gebruikers op een veilige manier hun slimme apparaten op afstand aansturen’, zegt Paul Huisman, technisch adviseur bij Gira. ‘Maar het is ook mogelijk om op afstand de ETS-programmering aan te passen met dit product. Het voordeel van de S1 is dat je zeker weet dat onbevoegden geen toegang hebben tot deze communicatie en niet bij je intelligente installaties kunnen.’
‘De gateway beschikt over een VDE-keur met het certificaat ‘Smart Home-Informatiebeveiliging’ en is dus gecertificeerd voor veilige toegang op afstand door encryptie, volgens de Duitse regelgeving inzake gegevensbescherming. Na de aansluiting draagt de installateur of systeemintegrator de controle over deze gateway over aan de eindgebruiker, die vervolgens als enige verbinding kan maken met de slimme systemen. De eigenaar is ook de enige die toestemming kan geven om derden tijdelijk toegang tot het systeem te verlenen. Bijvoorbeeld als de installateur updates in het systeem moet doorvoeren. De eindklant heeft de volledige controle.’
Ook xxter heeft een oplossing ontwikkeld waarmee gebruikers op een veilige manier hun slimme apparaten op afstand kunnen aansturen. ‘De xxter Connect Service is een betaalde dienst die zorgt dat de eindklant via end-to-end encryptie de intelligente installaties kan beheren’, zegt Harm Elzinga. De oprichter en technisch directeur van xxter geeft aan dat een professioneel hackbedrijf regelmatig controleert of de dienst nog ‘hackproof’ is. ‘De encryptie in de beveiliging zorgt er daarnaast voor dat ook de mensen die de server van de dienst beheren, niet kunnen inzien wat onze gebruikers doen.’
‘Iedereen moet zijn eigen onderdeel van het proces veilig maken en houden’
‘Gegarandeerde veiligheid illusie’
Een digitaal veiligheidsniveau van 100 procent is volgens Elzinga een illusie: ‘Gegarandeerde veiligheid heb je nooit als het gaat om cybersecurity. Als iemand ongelimiteerde middelen tot zijn beschikking heeft, komt deze uiteindelijk door alle digitale verdedigingen heen.’ Xxter geeft dan ook geen garantie dat het systeem ‘onhackbaar’ is. ‘Dat zou ook heel moeilijk uitvoerbaar zijn in de praktijk. Want wanneer ligt het aan de fabrikant als iemand een systeem is binnengedrongen en wanneer aan de gebruiker? Als een eindgebruiker zijn telefoon met daarin de beveiligingssleutels afgeeft aan een oplichter, wie is er dan verantwoordelijk? Het gaat erom dat je er alles aan doet qua online weerbaarheid en dat doen wij dan ook via onze automatische updates.’ Op de vraag bij wie de algemene verantwoordelijkheid ligt om slimme systemen veilig te maken tegen cybercriminelen, antwoordt Elzinga dat dit een gedeelde verantwoordelijkheid is. ‘Fabrikanten moeten zorgen dat de software veilig is. Dus als er lekken worden geconstateerd, moet de fabrikant deze via updates dichten. De installateur en systeemintegrator spelen ook een belangrijke rol; zij moeten de slimme installaties op een veilige manier aansluiten. De eindgebruiker heeft op zijn beurt weer de verantwoordelijkheid om de intelligente systemen op de juiste manier te gebruiken.’ Ook Huisman is van mening dat het digitaal weerbaar maken van slimme systemen een gedeelde verantwoordelijkheid is: ‘Iedereen moet zijn eigen onderdeel van het proces veilig maken en houden. De keten is zo sterk als de zwakste schakel. Als wij fabrikanten het heel veilig maken, maar de klant deelt bijvoorbeeld zijn wachtwoorden online met derden dan is het nog eenvoudig te kraken. Vergelijk het met een pinpas waar je met watervaste stift de pincode op schrijft.’
Tips voor installateur en systeem integrator
Keupers geeft installateurs en systeemintegratoren als tip voor het veilig aansluiten van slimme apparaten mee om het ‘laaghangend fruit’ op het gebied van cybersecurity te gebruiken. ‘Gebruik altijd een veilige VPN-verbinding met een sterk wachtwoord; zet je verbinding nooit zomaar open naar de buitenwereld.’ Ook Huisman raadt het gebruik van een VPN-verbinding aan. ‘Daar is wel wat IT-kennis voor nodig, dus het is goed als installateurs en systeemintegratoren bij zichzelf nagaan welke kennis ze op dit vlak al hebben en welke extra kennis ze eventueel nog moeten opdoen of wie ze kunnen inhuren die hen daarbij helpt.’ Elzinga vult aan: ‘School jezelf, zorg dat je weet waar je mee bezig bent. En als je iets moet aansluiten op het internet en je twijfelt, vraag het dan aan iemand die er veel vanaf weet. Dat kan de fabrikant zijn, de leverancier van het product, maar ook een ict-beveiligingsbedrijf. Het is belangrijk dat je je bewust bent van de risico’s van bepaalde acties en deze risico’s zoveel mogelijk vermijdt.’
Informatie
Wil je meer weten over de cyberrisico’s in woning- en gebouwautomatisering en welke maatregelen je kunt nemen? Je leest dit in de uitgebreide whitepaper Cyber Security die KNX Nederland samenstelde. De whitepaper is gratis te downloaden op www.smartinside.nl/documentation.
Tekst: Leo Hoekstra
Fotografie: iStock