Budynek bezpieczny w sieci

opublikowano: 10-12-2018, 22:00

Biurowiec sterowany smartfonem to wygoda dla użytkowników. Źle zabezpieczony, staje się bramą dla hakerów

Stające nagle windy, zablokowane wyjścia, światło gasnące w galerii handlowej pełnej ludzi — takie katastroficzne wizje pojawiają się, gdy wyobrazimy sobie budynek zaatakowany przez hakerów. W rzeczywistości incydenty związane z cyberbezpieczeństwem zdarzają się, choć ich celem nie są akty terrorystyczne, lecz np. szpiegostwo lub próba kradzieży na szkodę firm posiadających w nich biura albo po prostu upublicznienie informacji, że konkretna firma o bezpieczeństwo nie dba.

Podłączone do sieci sterowniki, kontrolujące urządzenia w budynku, mogą się
stać furtką dla przestępców, jeśli nie są zabezpieczone.
Zobacz więcej

ZAGROŻENIE:

Podłączone do sieci sterowniki, kontrolujące urządzenia w budynku, mogą się stać furtką dla przestępców, jeśli nie są zabezpieczone. Fot. Walter Herz

Każdy zainteresowany znajdzie w internecie portale wyspecjalizowane w wyszukiwaniu niezabezpieczonych adresów IP. Wśród nich — wpisując odpowiednią frazę — znajdzie sterowniki różnych urządzeń podłączonych do sieci. Jeśli komuś się nudzi, może wejść i np. podejrzeć, jaka temperatura panuje w jakimś budynku. Zdaniem Michała Czumy, eksperta ds. bezpieczeństwa, byłego dyrektora biura antyfraudowego w PKO BP, im więcej urządzeń komunikujących się między sobą, tym większe wyzwania związane z cyberbezpieczeństwem.

— Jeden z pentesterów opowiedział mi historię włamania do wewnętrznej sieci polskiego banku przez… akwarium morskie w gabinecie jednego z menedżerów. Sterowanie akwarium było możliwe np. ze smartfonu przez aplikację internetową. Haker połączył się z urządzeniem sterującym akwarium i wykorzystując to, że było połączone z siecią banku przez moduł Wi-Fi (jak się okazało nieszyfrowany i zabezpieczony prostym hasłem), dostał się do kilku niewyłączonych na noc z sieci komputerów — podaje przykład Michał Czuma.

Na podobny atak może być narażony tzw. inteligentny budynek, wyposażony w liczne urządzenia do pomiarów i sterowania. Według raportu EY z 2015 r. na temat cyberbezpieczeństwa, 70 proc. produktów działających w ramach internetu rzeczy zawiera luki, które narażają te urządzenia na ataki.

Zasady higieny

Według Macieja Czajki, kierownika ds. rozwoju biznesu w globalnej firmie dostarczającej m.in. systemy zarządzania budynkami (BMS), o bezpieczeństwo trzeba zadbać od podstaw. Należy do nich m.in. przestrzeganie zasad „higieny” przy instalowaniu systemów budynkowych — np. niewykorzystywanie tych samych tras kablowych czy infrastruktury IT dla sieci technologicznej (łączącej czujniki i sterowniki BMS) i sieci komercyjnej. Takie oddzielenie utrudni możliwość połączenia z jednej sieci do drugiej.

— Producenci urządzeń powinni wyposażać je w możliwość szyfrowania danych i wymuszania wielostopniowego logowania. Na przykład nie pozwalamy na stosowanie haseł domyślnych: użytkownik nie będzie mógł zacząć korzystać z naszego urządzenia, dopóki nie zmieni hasła na wystarczająco skomplikowane i długie, a co kilka miesięcy będzie musiał je zastąpić nowym — tłumaczy Maciej Czajka.

Cyfrowy kontrwywiad

Według Michała Czumy, aby się zabezpieczyć przed cyberatakami, trzeba wdrożyć rozwiązania Security Information and Event Management (SIEM). Takie systemy w trybie online zapewniają wgląd w całe środowisko cyfrowe firmy od zasobów lokalnych do chmury. Zbierają, analizują, raportują i zapisują dane dzienników z hostów, aplikacji i urządzeń zabezpieczających w celu zapewnienia wsparcia dla zarządzania zgodnością z politykami bezpieczeństwa i stosowanymi przepisami regulatora.

— Drugim, niezbędnym elementem bezpieczeństwa jest przygotowanie Security Operations Center (SOC). Jest to miejsce, w którym bezpieczeństwo IT, informatyka śledcza, a także procedury i ludzie współpracują ze sobą, tworząc wyższy poziom bezpieczeństwa. W dwóch centrach, przy których stworzeniu pomagałem, SOC zarządzał również ochroną, dzięki czemu np. łapano intruzów w budynkach, przeciwdziałano zwykłym kradzieżom, a system tworzył dokumentację, pozwalającą na szybkie skazanie winnych — mówi Michał Czuma.

W outsourcingu

Nie wszystkich stać na stworzenie stanowisk pracy dla wysokiej klasy specjalistów w Security Operations Center. O tego typu informatyków walczą największe firmy audytorskie (w związku z ustawą o krajowym systemie cyberbezpieczeństwa), banki i towarzystwa ubezpieczeniowe. Firmom deweloperskim trudno konkurować o tych specjalistów z firmami Wielkiej Czwórki, ale…

— My też mamy swoje SOC na zasadzie outsourcingu. Jesteśmy zabezpieczani przez zewnętrzną firmę, która reaguje na incydenty bezpieczeństwa — czy to jest włamanie, czy atak phishingowy — mówi Krzysztof Krzosek, dyrektor działu IT w Echo Investment.

Pewien poziom bezpieczeństwa zapewnia w dużych budynkach BMS czy stosowane nie tylko w nieruchomościach, ale i w przemyśle SCADA. Mają wiele zabezpieczeń już na poziomie sieci — np. blokowanie portów, korzystanie z bezpiecznych protokołów komunikacyjnych. Eksperci przyznają jednak, że najsłabszym ogniwem w zapewnieniu cyberbezpieczeństwa jest człowiek. Według Krzysztofa Krzoska, średnio skomplikowane hasło (np. typu Kwiatuszek1234!) czy to do systemu automatyki przemysłowej, czy do systemu operacyjnego komputera lub smartfonu, sprawny haker może złamać w ciągu czterech sekund. Dlatego od pracowników należy wymagać staranności w tej kwestii.

— W Echo oprócz rozwiązań informatycznych prowadzimy regularnie akcje uświadamiające, polegające na podawaniu przypadków, sztuczne, symulowane kampanie phisingowe, ostrzeganie. To najlepszy sposób podnoszenia bezpieczeństwa — mówi Krzysztof Krzosek, dyrektor działu IT w Echo Investment.

Przemysław Kostrzewa, senior project manager w Golub GetHouse, zwraca też uwagę na dostęp do pomieszczeń. Podkreśla, że nieakceptowalne jest wpuszczanie, nawet pod nadzorem, osób przypadkowych do krytycznych miejsc w budynku.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Paweł Berłowski

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu