Het gevaar van ­cyberaanvallen via GBS

Bij een kantoorgebouw in New York werd via een snackautomaat verbinding gemaakt met het interne bedrijfsnetwerk.

Hoewel concrete gegevens over Nederlandse incidenten tot nu toe ontbreken, zijn er duidelijke aanwijzingen dat de kans groot is dat ook hier met name oudere GBS-installaties kwetsbaar kunnen zijn. Beter gezegd: er zijn voldoende signalen dat er wel degelijk ook in Nederland cyberincidenten rond GBS-systemen hebben gespeeld, maar tot nu toe valt het niet mee om hier duidelijkheid over te krijgen. Laten we een aantal van dit soort signalen eens op een rij zetten.
• Computest: kwetsbare KNX-systemen - Een onderzoek van Computest onthulde al in 2019 dat wereldwijd meer dan 17.000 KNX-installaties direct vanaf het internet benaderbaar waren. Daarvan bevonden zich er meer dan 1.300 in Nederland. Veel van deze installaties hadden geen enkele vorm van toegangsbeveiliging, bleek uit het onderzoek. Zonder enige vorm van authenticatie konden kwaadwillenden deze installaties benaderen en functionaliteiten manipuleren zoals in- of uitschakelen van verlichting, veranderen van temperatuurinstellingen, openen of sluiten van zonwering, aansturen van alarmsystemen, verstoren van energiebeheersystemen. Het zal duidelijk zijn dat de risico’s hiervan zeer groot zijn.
• Fysieke toegang als ‘aanvalsvector’ - In verschillende buitenlandse incidenten is gebleken dat fysieke toegang tot een apparaat dat op het interne bedrijfsnetwerk is aangesloten, voldoende kan zijn om een aanval te starten. In cybersecurity-jargon noemt men dat ook wel de ‘aanvalsvector’. Een vaak aangehaald voorbeeld is een verkoopautomaat met frisdrank en snoep in een kantoorgebouw, dat via zijn netwerkverbinding toegang geeft tot het GBS. Kwaadwillenden kunnen via dit pad uiteindelijk HVAC-systemen en zelfs fysieke toegangspoorten beïnvloeden. In kantoorgebouwen en fabrieksomgevingen is het goed denkbaar dat bijvoorbeeld ook netwerkprinters, digitale informatieschermen (‘narrowcasting’) en andere netwerkapparatuur zonder segmentatie vergelijkbare risico’s vormen. Deze zwakke plekken zijn moeilijk te detecteren zonder een gedetailleerde netwerk- en dreigingsanalyse.
• TU Eindhoven: cyberaanval zonder duidelijkheid over vector – Begin dit jaar werd de TU Eindhoven getroffen door een cyberaanval. Als gevolg hiervan werd het onderwijs tijdelijk stilgelegd en werden meerdere IT-diensten uit voorzorg offline gehaald. Hoewel er geen specifieke details over de aanvalsmethode zijn vrijgegeven, illustreert het incident dat ook technisch geavanceerde instellingen kwetsbaar blijven voor digitale aanvallen. Gezien de omvang van de TU/e-campus en het gebruik van gebouwautomatisering op grote schaal, is het zeker niet uit te sluiten dat ook GBS-componenten deel uitmaakten van de gecompromitteerde infrastructuur.

Zorg voor een goede beveiliging, bijvoorbeeld door MFA (multifactor authenticatie) en beperk toegang op IP-niveau.

Internationale voorbeelden

De impact van onvoldoende beveiligde gebouwbeheer­systemen blijkt ook duidelijk uit incidenten in het buitenland.
• Johnson Controls International – In september 2023 werd Johnson Controls, een wereldwijde aanbieder van systemen van onder andere gebouwautomatisering, slachtoffer van een ransomware-aanval. Naast operationele verstoringen werd gevreesd dat gevoelige klantinformatie, plannen voor productontwikkelingen en toegangsinformatie voor kritieke infrastructuur in handen van de cybercriminelen waren gevallen. Het Amerikaanse ministerie van Homeland Security startte daarop een onderzoek naar de implicaties, aangezien Johnson Controls systemen levert aan onder meer defensiegebouwen en -faciliteiten, voor luchthavens en voor overheidsgebouwen.
• Kantoorgebouw New York: via verkoopautomaat naar GBS – Een cyberaanval op een kantoorgebouw in New York toont aan hoe een ogenschijnlijk onschuldig apparaat – de eerder genoemde en met internet verbonden snackautomaat – als aanvalspoort kan dienen. Cybercriminelen gebruikten deze om verbinding te maken met het interne bedrijfsnetwerk. Ze verwierven toegang tot onder andere het GBS, waarmee ze HVAC, de beveiligingscamera’s en de toegangscontrole konden beïnvloeden. De gevolgen waren ernstig: bedrijfsstilstand van meerdere dagen en schade ter waarde van circa 350 miljoen dollar. Het incident werd pas opgemerkt toen klimaatinstallaties op onverklaarbare wijze begonnen te falen. Opmerkelijk aan deze laatste constatering is natuurlijk dat er geen sprake was van monitoring van het GBS. Met andere woorden: er werd geen goed toezicht gehouden op het functioneren van het GBS-systeem. Vergelijk dit met een intern bedrijfsnetwerk. Beheerders van dit netwerk houden de prestaties en de beschikbaarheid van het netwerk 24/7 in de gaten. De monitoringsoftware die hierbij wordt toegepast, is bovendien in staat om afwijkende gebeurtenissen in het netwerk waar te nemen en hierover een alarm af te geven. Dit kan plaatsvinden via een SOC (‘security operations center’) als het om een grote en complexe netwerkomgeving gaat, maar voor kleinere infrastructuren zal de beheerder vaak vooral via sms of email worden gewaarschuwd van ‘events’ die afwijken van wat gebruikelijk is in het netwerk.
• Wetenschappelijk onderzoek naar KNX-manipulatie – Een studie uit 2022 onderzocht de mogelijkheid tot zogeheten ‘false data injection’-aanvallen op KNX-systemen. Dat gebeurde door valse temperatuurdata ‘te injecteren’ via een aanvalstechniek die ‘man in the middle’ wordt genoemd. Bij dit type aanval positioneert een aanvaller zich op zo’n manier tussen twee via het netwerk communicerende partijen dat hun communicatie kan worden onderschept of gemanipuleerd, zonder dat de partijen dit merken. Hierdoor ontstaat dus ook de mogelijkheid om foutieve data in het systeem te brengen. Onderzoekers bekeken in hoeverre via een dergelijke aanpak een klimaatbeheersysteem zodanig kan worden gemanipuleerd zodat het, bijvoorbeeld, op inefficiënte wijze blijft verwarmen of koelen. De resultaten waren duidelijk: dit soort aanvallen bleken met ‘succes’ te kunnen worden uitgevoerd. Met als gevolg: hogere energiekosten, schade aan apparatuur en verlies van controle over de systemen. Dit soort aanvallen is bijzonder moeilijk te detecteren als er geen slimme monitoring aanwezig is.
• Google Australië – Twee ethische hackers slaagden er een aantal jaren geleden in om het GBS van Google’s kantoor in Sydney te compromitteren. Ze maakten gebruik van het Tridium Niagara AX-platform. De hackers konden zonder problemen inloggen als ‘administrator’ en kregen toegang tot bedieningsfuncties van onder meer airconditioning en ventilatie. Oorzaak was dat software-updates niet bleken te zijn doorgevoerd. Het incident was een wake-up call: zelfs bij een organisatie die als technologisch geavanceerd bekend staat, kan er rond cybersecurity veel mis gaan. Zeker – en dat is belangrijk om te constateren – als het gaat om het beveiligen van systemen die niet tot de kernactiviteiten van een organisatie behoren, zoals een GBS.
• Duitsland: gebouwbeheerders buitenspel – Beveiligingsexperts in Duitsland onderzochten aanvallen waarbij cybercriminelen zich toegang wisten te verschaffen tot GBS-installaties en de door de organisatie aangestelde beheerders wisten buiten te sluiten door inloggegevens te wijzigen. De controle over het gebouw kwam daardoor volledig in handen van de aanvallers. De verlichting, verwarming en toegangscontrole konden enkel nog door hen worden aangepast. Dergelijke scenario’s zijn niet alleen disruptief, maar brengen ook grote veiligheidsrisico’s met zich mee.

Onbeveiligd GBS kan brug vormen naar andere IT-systemen

Beveiligingsmaatregelen

Het voorkomen van aanvallen op GBS-systemen vereist een gestructureerde aanpak met technische, organisatorische en menselijke componenten. De technisch adviseur speelt hierbij een belangrijke rol. Hij of zij is immers de persoon die de gebouweigenaar en bijvoorbeeld een facilitaire dienst, de installateur die onderhoud doet en de betrokken IT-afdeling moet wijzen op het belang van goed gestructureerde beveiliging van het GBS.

De volgende maatregelen bieden hierbij houvast:
1. Netwerksegmentatie – Zorg voor een scheiding tussen GBS-systemen en bedrijfsnetwerken via zogeheten VLANs (virtuele lokale netwerken) of fysieke segmentatie.
2. Sterke authenticatie – Vervang standaardwachtwoorden, gebruik MFA (multifactor authenticatie) en beperk toegang op IP-niveau.
3. Regelmatige updates – Werk de firmware, software en andere componenten van het GBS bij via een vast patchbeleid. Stel dit niet uit, maar regel dit zodra de updates beschikbaar zijn.
4. Encryptie van communicatie – Wie een ‘man in the middle’-aanval wil voorkomen, dient zogeheten ‘end-to-end’ encryptie voor dataverkeer tussen componenten van het GBS en eventuele andere softwaresystemen binnen het gebouw in te stellen.
5. Toegangscontrole en logging – Zorg dat de rechten van iedereen die toegang heeft tot het GBS zoveel mogelijk beperkt zijn. Leg bovendien alle acties vast in logbestanden.
6. Fysieke beveiliging – Regel dat schakelkasten, routers en randapparaten niet vrij toegankelijk zijn.
7. Beperk externe toegang – Stel regels in voor externe leveranciers, gebruik tijdsgebonden toegangsrechten en monitor deze. Deze dienen ook te gelden voor bedrijven en bijvoorbeeld servicemonteurs die aan het GB moeten werken. Leg hun activiteiten bovendien vast in een goed gestructureerde administratie. Al was het maar zodat bij een eventueel incident achterhaald kan worden wat er precies is gebeurd en wie daarbij op welk moment was betrokken.
8. Moderne protocollen – Vermijd verouderde GBS-protocollen en stap over op versies met ingebouwde beveiliging, zoals Bacnet/SC en KNX Secure.
9. Risicoanalyses en penetratietesten – Schakel met enige regelmaat ethische hackers in om te controleren op kwetsbaarheden. Dat geldt niet alleen voor het bedrijfsnetwerk, maar ook voor het GBS.
10. Opleiding en bewustwording – Zorg dat beheerders en facilitair personeel cyberrisico’s herkennen en juist handelen. Security awareness is cruciaal, ook bij GBS-systemen.
11. Herstelplannen en backups – Test backup-strategieën en herstelprocedures periodiek.

Cybercriminelen kunnen via een kwetsbaar GBS toegang krijgen tot bijvoorbeeld verlichting, klimaatbeheersing en beveiligingssystemen.

Belangrijke rol

In elke levensfase van een gebouw – ontwerp, uitvoering, beheer en renovatie – speelt de technisch adviseur uiteraard een cruciale rol. Cybersecurity van gebouwgebonden systemen speelt hierbij inmiddels een zeer belangrijke rol. De vraag wat die rol dan precies is, laat zich goed beantwoorden:
• Inventarisatie en risicobeoordeling – De technisch adviseur brengt alle gebouwgebonden systemen in kaart, inclusief hun netwerkconfiguratie en afhankelijkheden. Hiermee wordt een basis gelegd voor het identificeren van kwetsbare koppelingen en de prioritering van maatregelen.
• Kies voor een digital twin – Misschien nog niet bij iedereen op het radarscherm, maar een digital twin van het gebouw biedt uitstekende mogelijkheden voor het inventariseren van onder andere alle gebouwgebonden systemen. Bovendien biedt een digital twin zeer goede mogelijkheden om scenario’s te simuleren. Wat als we toegang tot een bepaald deel van het GBS-systeem verliezen? Wat zijn de gevolgen als zo’n ‘vending machine’ door een aanvaller wordt overgenomen?
• Specificatie van veilige systemen – Bij nieuwbouw dient de technisch adviseur nauw betrokken te zijn bij de advisering over veilige GBS-oplossingen. Denk aan het uitsluiten van producten zonder ondersteuning voor moderne beveiligingsstandaarden of het eisen van logging-functionaliteiten.
• Toezicht op leveranciers – Tijdens aanbesteding en implementatie houdt de adviseur toezicht op naleving van eisen, inclusief documentatie, toegangssleutels (‘keys’) en wachtwoorden. Ook toetst hij/zij of remote toegang correct is geconfigureerd en niet standaard ingeschakeld blijft.
• Beheer en monitoring – In de exploitatiefase adviseert hij/zij over slimme monitoring van afwijkingen, koppelingen met andere securitysystemen en het doorvoeren van firmware-updates.
• Samenwerking met IT en facility management – De adviseur vormt de brug tussen de IT-afdeling en het facilitaire team. Hij/zij stemt af over netwerkbeveiliging, segmentatie en ‘incident response’.
• Training en voorlichting – De technisch adviseur organiseert of faciliteert trainingen voor gebouwbeheerders, installateurs en gebruikers. Informatie over cyberdreigingen en correcte handelingen in geval van verstoringen maken hiervan deel uit. Gebruik hierbij bijvoorbeeld informatie uit de Europese cybersecurity-database van Enisa.
• Naleving van wet- en regelgeving – De NIS2-richtlijn stelt stevige eisen aan cybersecurity. De technisch adviseur ondersteunt organisaties bij risicobeoordelingen en documentatie, het opstellen van beleid en procedures, de selectie van passende beveiligingstools en het voorbereiden van audits en rapportages.

Groeiend probleem

De cyberdreiging via GBS is een sluimerend, maar urgent en groeiend probleem. De adviseur is bij dit probleem onmisbaar als bruggenbouwer tussen beleid en praktijk, tussen IT en gebouwbeheer. Door vroegtijdig betrokken te zijn en structureel verantwoordelijkheid te nemen, helpt hij of zij om gebouwen digitaal weerbaar te maken - en te houden.

Tekst: Robbert Hoeffnagel
Fotografie: iStock

Meer weten over innovatieve technieken en ontwikkelingen?
Meld u dan nu aan voor onze gratis nieuwsbrief