Minstens 10 miljoen mensen potentieel doelwit van cyberaanvallen

Gepubliceerd op 21 november 2019 om 11:16
Minstens 10 miljoen mensen potentieel doelwit van cyberaanvallen

Het beheer van gebouwen wordt steeds verder geautomatiseerd, waarbij de systemen die worden gebruikt voor het bedienen van bijvoorbeeld alarmsystemen, stroomvoorziening, toegangsdeuren en -poorten, ventilatie of schuifdeuren steeds vaker zijn verbonden met internet. Doordat er te weinig aandacht is voor de digitale beveiliging, worden de systemen kwetsbaarder voor cyberaanvallen, terwijl de mogelijke impact van zulke aanvallen toeneemt.

Uit een verschenen rapport van het Amsterdamse cybersecuritybedrijf Applied Risk blijkt dat hierdoor minstens 10 miljoen mensen wereldwijd potentieel doelwit zijn van cyberaanvallen via gebouwbeheersystemen. Kwaadwillenden kunnen dergelijke aanvallen gebruiken voor bijvoorbeeld afpersing, voor het doen van inbraken door alarmsystemen uit te schakelen en deuren op afstand te openen.

Applied Risk, dat gespecialiseerd is in het beveiligen van industrie en infrastructuur, onderzocht onder meer hoe makkelijk het is om bepaalde veelgebruikte toegangssystemen te manipuleren om toegang te krijgen tot gebouwen als ziekenhuizen, overheidsgebouwen of kantoorpanden. “Dit is nog maar het topje van de ijsberg, want we hebben in dit onderzoek alleen gekeken hoe kwetsbaar deze systemen zijn voor digitale inbraken via internetbrowsers”, zegt CEO Jalal Bouhdada van Applied Risk. “Hoewel er voor toegangs- en beheerssystemen van smart buildings allerlei verschillende beveiligingssystemen worden gebruikt, blijven ze kwetsbaar voor aanvallen door het idee dat ze centraal aangestuurd moeten kunnen worden. Onze conclusie is dan ook dat de beveiliging van gebouwbeheersystemen veel verbetering behoeft.”

Het rapport

Het rapport bevat een lijst met aanbevelingen voor een betere beveiliging van geautomatiseerd gebouwbeheer. Enkele voorbeelden zijn:

  • Houd het netwerk waar het gebouwbeheersysteem op is aangesloten volstrekt gescheiden van andere netwerken.
  • Gebruik beveiligde toegangssystemen zoals vpn-netwerken als het toch noodzakelijk is om op afstand toegang te hebben tot het gebouwbeheer. Besef dat vpn-netwerken zo veilig zijn als de zwakste schakel in het netwerk: als je op een apparaat in het netwerk makkelijk kunt inbreken, breek je dus net zo makkelijk in op het hele netwerk.
  • Hackers gebruiken software waarmee ze miljoenen wachtwoord combinaties kunnen proberen (BFA). Verander daarom altijd de standaard ingestelde wachtwoorden van digitale systemen, en gebruik alleen sterke wachtwoorden van minstens acht tekens – maar hoe langer hoe beter – die regulier vervangen worden.
  • Zorg voor actieve monitoring van verkeer via het netwerk, en dat er een reactieplan klaarligt voor als er inbraakpogingen worden ontdekt.
  • Minimaliseer kwetsbaarheid door menselijke factoren met reguliere trainingsprogramma’s.

Conclusie

Gebouwautomatisering en toegangscontrolesystemen vormen de kern van veel kritieke infrastructuren en hun beveiliging is van vitaal belang. Door aanvallen op deze systemen uit te voeren, kunnen niet-geverifieerde aanvallers toegang krijgen tot en manipuleren van deuren, liften, airconditioningsystemen, camera's, boilers, lichten, veiligheidsalarmsystemen in een heel gebouw - wat mogelijk fysieke schade veroorzaakt, veiligheidsrisico's of financiële gevolgen met zich meebrengt. Dit rapport schetst diepgaande technische discussies en aanbevelingen voor het beveiligen van uw gebouwbeheersystemen.

 

I Own Your Building Managment System Applied Risk 2019
PDF – 14,3 MB 711 downloads

BRON: bnr, applied-risk

SCHRIJVER: BiG’r

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.