Aandachtspunten voor Smart Buildings - Cybersecurity

Cybersecurity

ICT-veiligheid of cybersecurity is niet weg te denken bij digitale systemen, in het bijzonder voor systemen met toegang tot het internet. Naast een correct systeem- en netwerkbeheer en het gebruik van technologieën zoals dataencryptie en dubbele authenticatie, zijn het beleid en de processen binnen een organisatie en het gedrag van gebruikers van cruciaal belang. Hackers proberen toegang te krijgen tot systemen en gaan hierbij op zoek naar de zwakste schakel. Dit kan bijvoorbeeld een slecht ingesteld systeem zijn (bv. beveiligd met een standaard wachtwoord, onveilig besturingssysteem, …) maar even goed een gebruiker die ingaat op een phishing mail.

Cybersecurity incidenten kunnen een impact hebben op de continuïteit van belangrijke gebouwfuncties zoals verwarming, elektriciteit, toegangscontrole, etc. Ook kan gevoelige en persoonsgebonden informatie in verkeerde handen terecht komen. Indien de primaire processen van een organisatie als gevolg van een incident verstoord worden, kan dit leiden tot financiële gevolgen.

Gebouwsystemen maken typisch zowel gebruik van technologie die onder de noemer ‘OT’ of ‘Operational Technology’ geplaatst wordt als IT-technologie[1]. Binnen de OT-wereld worden heel wat eerder oudere protocollen gebruikt die op gebied van cybersecurity tientallen jaren achter kunnen staan t.o.v. recentere IT-protocollen. In een Smart Building worden de verschillende (IT en OT) systemen tot op een bepaald niveau met elkaar en vaak ook met het internet geconnecteerd. Integratie van deze verschillende types systemen zal complexer worden naarmate het aantal systemen toeneemt. Daarnaast kunnen de verschillende systemen ook elk op zich complexiteit introduceren. Denk bijvoorbeeld aan gebouwsystemen en IoT-systemen die beroep doen op grote aantallen geconnecteerde componenten (bv. sensoren) die vaak ordegroottes hoger liggen dan bij traditionele IT-systemen. Deze aspecten kunnen ervoor zorgen dat het veiligheidsbeheer (bv. uitrollen updates en beveiligingspatches) een complexe taak wordt.

[1] Deze “hybride” aanpak wordt verder toegelicht in de conclusie van de publicatie rond interoperabiliteit (zie paragraaf 4.1).

Figuur 20: Bij de integratie van IT- en OT-systemen is cybersecurity een belangrijk aandachtspunt. Bron: Shutterstock.

Naast de technische complexiteit van veiligheidsbeheer moet ook gekeken worden naar de organisatorische aspecten. Bij het realiseren van een bouwproject zijn verschillende partijen betrokken op verschillende momenten doorheen het bouwproces en ook tijdens de exploitatiefase (bv. onderhoudspartijen, IT-beheerders, …). De samenwerking tussen deze partijen en afstemming op het vlak van cybersecurity kan eveneens een complexe uitdaging zijn.

Samenwerking met een organisatie gespecialiseerd in cybersecurity kan helpen bij het onder controle houden van zowel de technische als de organisatorische complexiteit. Idealiter wordt een dergelijke samenwerking zo vroeg mogelijk in het realisatieproces opgestart.

Om kwaliteitsborging op gebied van cybersecurity te realiseren, kan geopteerd worden voor een cybersecurity audit, bijvoorbeeld bij de voorlopige oplevering. Via een dergelijke audit kunnen verschillende cybersecurity aspecten van naderbij bekeken worden en kunnen eventuele pijnpunten blootgelegd worden. Hierbij denken we bijvoorbeeld aan:

Technische lokalen die fysiek te toegankelijk zijn (bv. via badge gebouwgebruikers)
Technische systemen die virtueel te toegankelijk zijn (bv. via netwerk gebouwgebruikers)
Een ontoereikend gebruikers- en wachtwoordbeheer (bv. gedeelde inloggegevens)
Een ontoereikend back-up beheer (bv. geen herstelmogelijkheid na een incident)
…

Meer informatie over cybersecurity kan teruggevonden worden op de website van het Centrum voor Cybersecurity België (CCB). Op de website zijn onder meer een gids en webinars terug te vinden die meer (basis)informatie bieden over cybersecurity. Voor hulp bij incidenten is er het Computer Emergency Response Team (CERT), de operationele dienst van het CCB. Op https://safeonweb.be/, eveneens een initiatief van het CCB, is interessante informatie m.b.t. cybersecurity voor eindgebruikers terug te vinden. Ook de Vlaamse overheid zet in op cybersecurity: op deze website is meer informatie terug te vinden over onder andere financiële steun, advies en begeleiding. Een interessante buitenlandse bron is de Cyber Security Guide van de Infocomm Media Development Authority (IMDA) uit Singapore (link).

Ga naar volgende artikel: Betrouwbaarheid
Keer terug naar de inhoudsopgave