Op deze pagina:
Meer informatie over gebouwtechniek

Interview
"Hiaten op het gebied van cyber security"

Norbert Pohlmann is hoogleraar informatica voor decentrale systemen en informatieveiligheid en hoofd van het instituut voor internetveiligheid aan de Westfälische Hochschule Gelsenkirchen.

In dit interview licht hij toe waarom bedrijven in de gebouwautomatisering de veiligheidstechnologieën continu up-to-date moeten houden. Cybercriminaliteit is een groeiend probleem dat steeds professionelere vormen aanneemt. Aanvallen op de informatietechnologie en de complexe ICT-structuren zoals deze in gebouwen veelvuldig voorkomen, komen steeds vaker voor en vormen een echte bedreiging.

Cybercriminaliteit beleeft een toenemende industrialisering en een ongekende professionalisering. Hoe vindt deze trend zijn neerslag in gebouwen, en nog concreter: hoe zien aanvallen op installaties voor de gebouwautomatisering er in de praktijk uit?

Norbert Pohlmann: "In principe is de gehele informatietechnologie een potentieel doelwit voor cyberaanvallen. Veiligheid kan nooit voor de volle 100% worden gegarandeerd. Gebouwen worden tegenwoordig gekenmerkt door complexe ICT-structuren, die verantwoordelijk zijn voor de besturing van verwarming, verlichting, zonwering, liften en tal van andere toepassingen. Alle bereiken lopen dus gevaar."

Kunt u een voorbeeld noemen?

Pohlmann: "In het kader van een demonstratie hebben wij het verwarmingssysteem van een ziekenhuis gehackt. Daarmee wilden we de kwetsbaarheid van het systeem aantonen. De ziekenhuisexploitant kon het veiligheidslek vervolgens dichten, maar daar waren we, tegen de verwachtingen in, meerdere maanden mee in de weer. Stelt u zich eens voor dat echte hackers het verwarmingssysteem zouden hebben gehackt, met als doel geld af te persen, eventueel met de dreiging het verwarmingssysteem volledig stil te leggen. Of dat jaloezieën neergelaten of elektronische deuren gesloten zouden worden, puur en alleen om paniek te zaaien. In een ziekenhuis staan bij dergelijke scenario's levens op het spel. Het is echter ook denkbaar dat de hackers aanvankelijk alleen informatie over een gebouw en de veiligheidsvoorzieningen verzamelen om vervolgens doelgericht bewakingscamera's uit te schakelen, bijvoorbeeld om een inbraak te plegen. En zo zijn natuurlijk ook tal van andere dreigingen denkbaar. Denk hierbij bijvoorbeeld aan malware die systemen stil kan leggen of waarmee de controle over netwerkapparaten zoals bewakingscamera's kan worden overgenomen. Duizenden apparaten kunnen tot een botnet worden gekoppeld, waarmee zogenoemde DoS-aanvallen uitgevoerd kunnen worden, bijvoorbeeld om webservers plat te leggen."

Hoe reëel zijn dergelijke gevarenscenario's?

Pohlmann: "Die zijn zeer reëel, en het risico neemt ieder jaar verder toe. De zogenoemde digitale transformatie gaat gepaard met een toenemend aantal systemen en apparaten in gebouwen die via netwerken met elkaar verbonden worden en op het internet aangesloten zijn. Dat betekent dus automatisch meer potentiële aanvalspunten. In de ICT-wereld spreekt men dan ook graag van twee verschillende soorten bedrijven: bedrijven die weten dat ze aangevallen worden en bedrijven die het nog niet weten. Feit is dat vrijwel alle bedrijven worden aangevallen."

Wie zijn de daders?

Pohlmann: "Mogelijke daders zijn er meer dan genoeg. Denk bijvoorbeeld aan scriptkiddies en jonge hackers. Met behulp van eenvoudig te downloaden hackersoftware proberen ze het een en ander uit, op zoek naar snel succes. Dan zijn er natuurlijk criminele bendes die uit winstbejag cyberaanvallen uitvoeren om geld te verdienen. En niet te vergeten de door overheden gefinancierde hackers die in opdracht van regeringen werken om politieke doelen te bereiken. Dat lijkt dan op oorlog, ook al is er geen sprake van een oorlogsverklaring."

U geeft aan dat 100% veiligheid niet haalbaar is. Kunnen we de handdoek dus als het ware in de ring gooien?

Pohlmann: "Nee, integendeel. Het klopt dat 100% veiligheid niet kan worden gerealiseerd. Dit dient echter wel een stimulans te zijn om niet op te geven. In feite moeten effectieve ICT-veiligheidsoplossingen het de aanvallers zo moeilijk mogelijk maken. In eerste instantie betekent dit dat gebruikelijke instrumenten en methoden toegepast dienen te worden, denk bijvoorbeeld aan een firewall of een codering. Het is daarom erg belangrijk preventief te werk te gaan. Aangezien er altijd wel ergens een veiligheidslek is, moeten aanvallen in een volgende stap zo spoedig mogelijk worden gedetecteerd, bijvoorbeeld met een "Intrusion Detection System". Zodra ik een aanval heb gedetecteerd, kan ik daarop reageren en de aanvallers eventueel zelfs nog tijdens de aanval stoppen. Mocht dat niet lukken, kan de aanval in ieder geval geanalyseerd worden om het aanwezige veiligheidslek te dichten."

Welke andere hulpmiddelen kunnen, afgezien van de technische veiligheidsvoorzieningen, in dit geval uitkomst bieden?

Pohlmann: "Grotere bedrijven zouden over een team van medewerkers moeten beschikken dat bij een aanval een task force vormt. Alle beslissingen worden vervolgens door deze task force genomen. Bijvoorbeeld de beslissing of systemen van het netwerk losgekoppeld worden om aanvallen te stoppen. Een ander belangrijk punt zijn regelmatige bijscholingen voor medewerkers. De medewerkers moeten potentiële gevaren kennen én herkennen om deze te kunnen vermijden."

Welke rol spelen de fabrikanten?

Pohlmann: "De fabrikanten dragen een groot deel van de verantwoordelijkheid. Met name op het gebied van besturingssystemen en Office-toepassingen, dat grotendeels door Amerikaanse bedrijven zoals Microsoft, Apple, Google en anderen wordt gedomineerd, is het helaas zo dat de software bewust onveilig wordt gehouden. De onthullingen van Edward Snowden zijn hiervan een goed bewijs. Duitse bedrijven die actief zijn in de gebouwautomatisering zou ik dan ook willen adviseren om altijd de meest actuele veiligheidstechnologieën toe te passen en het gebruik hiervan te benadrukken, om zo een voorsprong op de concurrentie te creëren. Het attribuut "cyber security" wordt namelijk ook in deze branche steeds belangrijker. Een goede oplossing kost wellicht iets meer, maar de klanten zullen het weten te waarderen. Uiteindelijk hoeven zij hierdoor minder geld uit te geven om de systemen achteraf te beveiligen of om schade te verhelpen."

Zouden standaards en normen hier uitkomst kunnen bieden?

Pohlmann: "Daarvan bestaan er al een aantal, de bekendste zijn ongetwijfeld die voor bedrijven op het gebied van kritieke infrastructuren. Het zou in ieder geval zinvol zijn als bedrijven, die niet tot de bovengenoemde groep behoren, zich ook aan deze standaards zouden oriënteren. Ik ben echter van mening dat nog meer standaards en normen niet noodzakelijk zijn. Het zou echter wel wenselijk zijn als bedrijven in de gebouwautomatisering hun krachten bundelen om samen veiligheidsstandaards te creëren. Dankzij zulke samenwerkingen kan veel worden bereikt, en kan een veilige en betrouwbare gebouwautomatisering over de gehele lijn worden gerealiseerd."

Welke voorstelling heeft u van een ideale wereld waarin ICT-systemen nog veel veiliger zijn?

Pohlmann: "Als wetenschapper weet ik dat onderzoekers met het oog op veiligheidsstandaards minstens vijf jaar voorlopen op het bedrijfsleven. Op het gebied van onderzoek naar ICT-veiligheid staat Duitsland sterk, vooral in vergelijking met andere Europese landen. Bovendien heeft Duitsland een goed ontwikkelde ICT-veiligheidsindustrie. Alleen in de deelstaat Noordrijn-Westfalen zijn bijvoorbeeld meer dan 400 bedrijven gevestigd die in deze branche actief zijn. Met het oog op ICT-veiligheid betekent dit dat veel bedrijven veel beter zouden kunnen scoren dan ze nu doen. De mogelijkheden worden simpelweg niet optimaal benut. Het is dus zaak dat bedrijven veiligheidsoplossingen sneller aanpassen aan de actuele stand van de wetenschap. Dat zou ook in bedrijfseconomisch opzicht voordelig zijn. De kosten voor het verhelpen van potentiële schade kunnen immers aanzienlijk zijn.

Meneer Pohlmann, hartelijk dank voor dit gesprek.

Norbert Pohlmann is een erkende deskundige op het gebied van cyber security. Sinds 2003 is Norbert Pohlmann hoogleraar informatica voor decentrale systemen en informatieveiligheid aan de faculteit informatica en hoofd van het instituut voor internetveiligheid "if(is)" aan de Westfälische Hochschule Gelsenkirchen. Daarnaast is Norbert Pohlmann onder andere voorzitter van de raad van bestuur van de Duitse branchevereniging voor ICT-veiligheid "TeleTrusT", lid van het bestuur van de branchevereniging van de Duitse internetindustrie "eco" en lid van de wetenschappelijke adviesraad van de Duitse vereniging voor gegevensbescherming en gegevensbeveiliging GDD alsmede lid van de stuurgroep van het initiatief "ICT-veiligheid in het bedrijfsleven" van het Duitse ministerie van Economie en Technologie.

Meer informatie over gebouwtechniek

Digitalisering en netwerkvorming bieden kansen, zijn tegelijkertijd echter ook een enorme uitdaging. Een intelligent gebouw moet namelijk zowel gebruikers als exploitanten een optimale werkomgeving bieden, en moet ook nog eens te allen tijde flexibel aan veranderende behoeften aangepast kunnen worden. WAGO heeft hiervoor de perfecte producten en oplossingen.

Gebouwtechniek

U bent bezig met de planning van de lichtinstallatie en -automatisering in uw kantoorgebouw, wilt een verwarmings-, airconditionings- en ventilatiesysteem ombouwen of bent geïnteresseerd in de ruimteautomatisering? WAGO helpt u bij de realisatie van uw plannen voor het gebouw.

mm-31018_key-visuals-industrie-sectors_building_2000x1125.jpg