Digital Construction World

Digitalisering is essentieel voor aannemers die zich willen professionaliseren en de Confederatie Bouw moet hen daarop voorbereiden.

Techlink – Bescherming van Smart Buildings tegen cyberaanvallen

Door de integratie van nieuwe technologie in Smart Buildings neemt het risico op cyberaanvallen toe en daarom moet de gebruiker, maar ook de beheerders van bedrijfsgebouwen, zijn cybersecurity verbeteren. Dit betekent dat er processen moeten komen om ervoor te zorgen dat cybersecurity een prioriteit is voor alle technieken die in Smart Buildings worden gebruikt. Dit kan Jochen Verboven, Digitalization Manager Smart Infrastructure bij Siemens, enkel maar beamen. Hierna hadden we een gesprek met Jochen over Smart Buildings, data en cybersecurity.

Wat is precies een Smart Building?

De laatste tien jaar hebben gebouwen een revolutie ondergaan. Veel gebouwen lieten zich voor 2010 als “traditioneel”omschrijven. Processen die zich erin afspelen – of het nu kantoren, ziekenhuizenof openbare gebouwen zijn – waren vaak weinig tot niet geoptimaliseerd. Vandaag verwachten we van gebouwen dat ze ons, als gebruikers, veel individueel comfort aanreiken. In de praktijk gebeurt dat door gebouwen uit te rusten met technologie en die onderling te verbinden.Zo ontstaat een Smart Building.

Welke mogelijkheden biedt zo’n SmartBuilding?

Een Smart Building maakt gebruik van geautomatiseerde processen en data om activiteiten zoals verwarming, ventilatie, airconditioning, verlichting, domotica en beveiliging te regelen. Veel Smart Buildings vertrouwen op Internet ofThings (IoT)-technologie, wat betekent dat ze sensoren hebben om gegevens te verzamelen en software om deze te beheren om het energieverbruik en de impact op het milieu te minimaliseren. Bijvoorbeeld “slimme” energiemeters geven advies over energiebesparing of sensoren houden lichaamsfuncties in de gaten. Tenslotte ontsnappen ook gebouwen niet aan de trend waarbij onze smartphone het digitale verlengstuk van ons lichaam wordt. Er bestaan ondertussen apps waarmee je o.a. een werkplek kan reserveren, verlichting en verwarming regelen naar je voorkeuren, en de locatie van collega’s opzoeken.

Smart Buildings zijn de stap naar de toekomst omdat technologie steeds meer in ons dagelijks leven wordt ingebed. De laatste tijd is echter gebleken dat gebouwen en infrastructuur steeds meer te maken krijgen met cyberaanvallen. Waarom is dat zo?

Hiervoor zijn er een aantal redenen. Denk aan:

– Smart Buildings vereisen een verbinding tussen het gebouw en zijn gebruikers.

– Connectiviteit die niet oordeelkundig wordt opgezet, vormt een risico.

– Data die gebouwen genereren worden steeds waardevoller.

 En zoals alles dat van waarde is, wekt het de interesse van criminelen. Hackers in dit geval.

Wat is het risico?

De risicobeoordeling is afhankelijk van de functie van het gebouw. Eenkantoor, ziekenhuis of sporthal hebben elk een andere ernstgraad.

– Toegang krijgen tot data van gebouwen.Soms onschuldig, soms heel waardevol in geval van     persoonsgebonden gegevens die uitlekken.

– Voorbeeld van incident is de zogenaamde “Denial of Service” aanval. Dit betekent dat hackers een systeem niet zelf kunnen besturen maar er wel voor zorgen dat de eigenaar er geen gebruik van kan maken.

– Reputatieverlies: niemand wil er werken in een gebouw waarin jouw persoonsgegevens zomaar te grabbel worden gegooid.

Smart Buildings interageren met hun gebruikers en passen zich automatisch aan naargelang hun noden en omgevingsfactoren. Ze wisselen informatie uit met de omgeving en leren van situaties. Maar hoe houden we de mensen, de data en de gebouwen cyberveilig?

Een vaak gebruikt concept in cybersecurity is “Defence in Depth”: vergelijk het met een middeleeuws kasteel. Dat bestond uit meerdere fysieke “verdedigingsringen” die aanvallers allemaal moesten overkomen. Hoe meer en hoe moeilijker de barrières, hoe kleiner de kans dat iemand met slechte bedoelingen binnenraakt en schade aanricht. In termen van cybersecurity is een heel eenvoudige maar belangrijke aanbeveling aan studiebureaus en installateurs om voldoende fysieke beveiliging te voorzien. Of je dat technologisch realiseert door sleutelplannen, toegangscontrole installaties of camerabewaking hangt af van het type gebouw en het budget van de klant. Cybersecurity valt uiteen in twee fasen: technologie veilig opbouwen tijdens deconstructie én bijgewerkt houden tijdens de ganse gebruiksfase van het gebouw. De installateur is betrokken in de constructie en speelt daar een belangrijke rol in de keuze van de technologiepartner.

Recente studies tonen aan dat het aantal cyberaanvallen op geconnecteerde toestellen uit IoToplossingen groeit. Krijgt cybersecurity bij de ontwikkeling van Smart Buildings voldoende aandacht?

In de Duitse industrie is er in dat verband een Charter of Trust afgesloten, dat ook Siemens heeft ondertekend. Het charter omvat een ethische standaard rond cybersecurity. Maar, dat is natuurlijk het standpunt van de leverancier die ook zelf niet in moeilijkheden wil komen. In de praktijk is het vaak een stuk complexer. Wat als je een gebouw verkoopt of verhuurt? Dat roept meteen heel wat vragen op rond het bezit van bepaalde data en de verantwoordelijkheid over die data.

Het is ons duidelijk geworden dat cybersecurity in gebouwen van cruciaal belang is. Ook de EU onderneemt in dit kader actie om cyberdreigingen aan te pakken. Kan je ons iets vertellen over de Europese NIS-richtlijn?

De netwerk- en Informatiebeveiligingsrichtlijn,of kortweg NIS-richtlijn, is van toepassing op specifieke sectoren (denk aan: energie, mobiliteit, gezondheidszorg, financiële sector, water en digitale infrastructuur). Zij moeten voldoen aan specifieke vereisten op het gebied van cyberveiligheid. Bijvoorbeeld: plicht om cyberincidenten in hun systemen op een publieke website te rapporteren. Het kiezen van een gepaste technologiepartner is opnieuw cruciaal voor de installateur.

We zien veel gezond verstand in de aanpak, maar dit lijkt toch op een grote verandering voor de sector. Hoe gaan technologieleveranciers zoals Siemens hiermee om?

Er is een belangrijke mentaliteitsverandering: in het verleden leverden wij producten en oplossingen, die verondersteld werden bij de oplevering volmaakt afgewerkt te zijn en die klaar waren om jarenlang te dienen. Voor hardware staat dit model op zich nog overeind, maar software kent een veel snellere evolutie. Rekenkracht neemt zeer snel toe, cyberaanvallers gebruiken die en worden snel slimmer. Voor onze softwareproducten raden wij nu alle klanten aan om in te schrijven in een servicecontract waardoor we periodiek de laatste upgrades en patches ter beschikking kunnen stellen. Daarom beschikt Siemens over een CERT (Computer Emergency response team) dat hackersmethodes gebruikt om de bestendigheid van onze eigen producten tegen cyberaanvallen te evalueren en indien nodig bij te sturen.