Dagens digitale bygg er utsatt for de samme sikkerhetsutfordringer som alle andre IT-systemer og vi må derfor sørge for at de beskyttes med god IT sikkerhet. Ingen ønsker at noen anonyme på internett tar over bygget for så å kreve løsepenger.
Dette er en av mange risikoer vi møter etter hvert som vi gjør byggene smartere. Men IT sikkerhet for digitale bygg trenger ikke å være vanskelig. Med enkle grep kan man øke IT sikkerheten betraktelig.
Her er noen forslag på hva du kan gjøre for å bedre IT sikkerheten i ditt bygg.
Mange SD anlegg og tekniske systemer i bygg settes opp med en felles administrator. Det betyr at alle som trenger tilgang bruker samme brukernavn og passord. I tillegg brukes det samme passordet på alle systemene. Det er også tilfeller hvor entreprenører bruker samme passord hos alle kundene sine og det er vanlig at passordene aldri endres. Dette er en stor sikkerhetsrisiko fordi mange kan logge seg på systemet, også de som har sluttet.
Løsningen på dette er å sette opp et sentralt system for administrasjon av tilganger og brukere. Her bør alle personer i driftsorganisasjonen og hos eksterne firmaer ha personlige bruker kontoer. De fleste moderne SD-anlegg og undersentraler støtter LDAP og andre metoder for sentral brukeradministrasjon
Hvis du har flere systemer, gjerne i flere bygg bør sentralisere tilgangen til systemene til en felles driftsportal. Denne portalen kan igjen beskyttes med to-faktor autentisering og gode løsninger for å endre passordet hvis brukeren har glemt det. Driftsportalen kan gjerne plasseres i en skyløsning som settes opp med kommunikasjon til byggene.
Det er blitt vanlig å ha et teknisk nett for å koble til de tekniske systemene i et bygg. Men ofte leveres disse nettene av leverandøren av byggautomasjon, elektro eller ventilasjon. Disse firmaene har ofte ikke den IT-kompetansen som trengs for at de tekniske nettene skal bli sikre. I tillegg er det vanlig at underentreprenører installerer sine egne «bakdører» inn til de systemene de installerer.
IT sikkerhet og datanettverk må prosjekteres, installeres og driftes av folk som har kompetanse på dette. Ved å sette opp det tekniske nettet og brannmuren riktig vil sikkerheten til bygget kraftig forbedres. Brannmur og det tekniske nettet bør også administreres og overvåkes av personer som har kompetanse på dette. Ved å bruke en rimelig men god brannmur kan man også sikre at kommunikasjon mot eksterne driftsportaler og skyløsninger beskyttes.
Dessverre oppdateres programvaren for SD-anlegg og undersentraler altfor sjeldent og i mange tilfeller oppdateres den aldri. Men det trenger ikke være slik. Flere av leverandører av byggautomasjon kommer med oppdateringer av programvare som tetter sikkerhetshull og gir ny funksjonalitet gjevnlig. De har også ganske enkle metoder for å installere den nye programvaren Ved å ha support avtaler som inkluderer programvareoppdateringer kan man sørge for at systemene alltid er oppdatert og får tettet sikkerhetshullene.
Når man anskaffer et system for byggautomasjon bør man også vurdere hvor god produsenten er på IT sikkerhet. Et godt eksempel er Niagara fra selskapet Tridium
Niagara Framework oppdateres en til to ganger i året med sikkerhets-fikser og forbedringer og disse oppdateringen bør legges inn når de blir tilgjengelige
I tillegg legger Tridium og andre produsenter ut sikkerhetsinformasjon og veiledninger om hvordan man best beskytter systemene.
Her er en god link med nyttig informasjon fra Tridium
Cybersecurity and the IoT - Threats, Best Practices and Lessons Learned (tridium.com)
Nymotens IoT løsninger består ofte av IoT enheter i bygget som kommuniserer direkte med en skytjeneste som driftes og administreres av leverandøren. Det gjør at man må stole på at leveandøren har IT sikkerheten på plass og det er som oftest ikke mulig å endre på hvordan sikkerheten er satt opp for andre. Ved valg av system bør man derfor stille krav til IT sikkerhetene i løsningen, både på IoT enhetene i bygget og i leverandøren skytjeneste. i tillegg må man redusere risikoen et eventuelt hackerangrep kan ha på resten av bygget. Dette gjøres med en god nettverkssikkerhet, hvor man kontrollerer og begrenser kommunikasjonen mellom IoT enhetene og resten av systemene. I tillegg bør man ha kontroll på kommunikasjonen mellom IoT enhetene og sky.
Tradisjonelle protokoller for kommunikasjon i byggautomasjon som BACnet IP og Modbus TCP er laget for at kommunikasjonen mellom enhetene skal være enkel og funksjonell. Men de er ikke sikre å bruke gjennom internett. For koblinger mellom byggautomasjon og skytjenester bør man i stedet velge kommunikasjonsprotokoller som er laget for dette formålet. Eksempler på slike er MQTT og REST API. Disse protokollene beskyttes igjen med kryptering og autentisering. Du må også stille krav til at skyleverandøren sørger for IT sikkerheten i sine systemer. Med rett valg av teknologier og sikkerhetsmekanismer kan du koble byggene dine til skyen uten å kompromittere sikkerheten til systemene i byggene.
Alle IT-systemer inkludert automasjonssystemer bør ha en etablert og godkjent sikkerhetspolicy. Denne bør blant annet inneholde regler om temaene som er beskrevet tidligere i denne teksten, samt informasjon om hvem som er ansvarlig får å vedta og gjennomføre reglene.
IT sikkerheten for de tekniske systemene bør også gjennomgås jevnlig slik at man tar hensyn til nye systemer og nye teknologier som blir innført.
IT sikkerhet for digitale bygg er ikke veldig forskjellig fra annen IT-sikkerhet. Det er derfor en god ide å trekke inn folk som kan IT sikkerhet for å sikre de digitale byggene også. Alle forslagene over er i allerede etablert for de andre IT-systemene. Samtidig har IT avdelinger liten kunnskap om de tekniske systemene i byggene. Med et samarbeid mellom IT og byggautomasjon vil man kunne lære av hverandre og kunne få bygge sikre og funksjonelle digitale bygg
Vi i Veni har kompetanse på IT, Byggautomasjon, adgangskontroll og smarte bygg. Og vi lærer av hverandre ved å samarbeide og dele erfaringer og kompetanse hver dag. Ta gjerne kontakt hvis du har synspunkter eller vil vite mer om IT sikkerhet for byggautomasjon