Sistemele de automatizare a clădirilor (BAS) oferă servicii fundamentale pentru spațiile comerciale de birouri, campusuri, hoteluri și facilități de vânzare cu amănuntul, iar utilizarea acestora duce la economii de energie, economii de costuri și integrare tehnologică, lucruri care pot crește enorm productivitatea. Majoritatea practicienilor își dau seama că această conectivitate și control al infrastructurii și echipamentelor oferite de astfel de sisteme pot avea un impact semnificativ asupra costurilor, securității fizice și siguranței vieții; dar, din păcate, securitatea cibernetică a multor dintre aceste sisteme poate fi adesea neglijată.

Sistemele de control pentru clădiri conectează, gestionează și controlează echipamentele și dispozitivele din clădiri prin rețele de calculatoare. Conectivitatea la Internet în astfel de sisteme aduce oportunități extraordinare, dar poate cauza și mari provocări. Este binecunoscut faptul că potențialul de economisire a costurilor și integrarea tehnologică a acestor sisteme oferă o valoare deosebită proprietarilor de imobile și chiriașilor, dar expunerea la rețea de internet a echipamentului clădirii poate cauza riscuri semnificative de securitate cibernetică. Sistemele de construcții conectate la Internet sunt ținte ale hackerilor, deoarece tehnologiile implicate conectează lumea virtuală a internetului într-un loc care poate genera schimbări chiar în lumea fizică reală. În mod alarmant, există multe instrumente ”hacker friendly” care permit infractorilor cibernetici să caute, să descopere și să exploateze dispozitive conectate la Internet, iar multe site-uri web chiar furnizează aceste instrumente și, de asemenea, fac publice informații despre locațiile și adresele IP ale sistemelor BAS care sunt expuse pe rețeaua web.

Care sunt riscurile la care vă expuneți?

Riscurile la care vă expuneți ar putea fi destul de semnificative, în funcție de tipul de echipament pe care sistemul dumneavoastră îl controlează. Dacă sunteți proprietarul unui lanț de magazine alimentare, care ar fi impactul asupra costurilor dacă un hacker ar închide frigiderele în magazinele dumneavoastră, ceea ce va provoca alterarea inventarului alimentar? Dacă aveți active valoroase în magazinul dumneavoastră de retail, ar putea un hacker să vă deblocheze ușile și să meargă la o sesiune de cumpărături „gratuită” după orele de închidere? Dacă sunteți administratorul unei proprietăți cu chiriași care se așteaptă la un anumit nivel de serviciu, ce impact ar avea dacă un hacker ar modifica temperatura din clădirea dumneavoastră pentru a fi atât de inconfortabilă încât locatarii ar pleca? O persoană rău voitoare ar putea să modifice în mod malițios echipamentele pentru a provoca un incident care amenință viața persoanelor din clădire? Toate acestea sunt întrebări serioase, ce au costuri măsurabile, care includ, dar nu se limitează la, siguranță, răspunderea financiară, clienții pierduți și daunele pentru brand și reputație.

Dintr-o perspectivă de gestionare a riscurilor, securitatea cibernetică a sistemelor BAS este complicată, deoarece mai multe părți sunt implicate între eliberarea sistemelor BAS și managementul final al acestora:

• Sistemele de automatizare a clădirilor sunt scoase pe piață de producători specializați;

• Integratorii de sisteme iau aceste sisteme, le configurează și le conectează în rețelele clienților;

• Modul de configurare a rețelelor de date pe baza infrastructurii de rețea de bază a unei întreprinderi este, de obicei, supravegheat de grupurile de facilități sau de un departament IT;

• Administratorii instalațiilor operează și mențin sistemul BAS de-a lungul timpului.

Prin urmare, pentru soluțiile de automatizare a clădirilor, cibersecuritatea reprezintă o călătorie pe care întregul lanț valoric este încheiat împreună, iar aceasta include furnizorul BAS, revânzătorii cu valoare adăugată, integratori de sisteme, furnizorii de infrastructură de rețea IT, managerii de facilități și clădirea clientului final, proprietarii și chiriașii acestora. Clădirea unei stategii de securitate cibernetică este un efort de echipă.

Oricine de-a lungul lanțului de roluri ar putea crește riscul cibernetic al sistemului general, nerespectând cele mai bune practici de securitate cibernetică. Fiecare parte implicată trebuie să se concentreze intenționat asupra cibersecurității și să lucreze în parteneriat cu alte persoane implicate. În configurația de fabrică, un BAS trebuie să fie proiectat cu o mentalitate de apărare în profunzime a cibersecurității, însă este esențial ca și clienții să știe să asigure acest sistem. Apoi, BAS trebuie să fie configurat în mod corespunzător și sigur, utilizând ghidurile de securitate cibernetică ale producătorului și cele mai bune practici din domeniul securității cibernetice.

Odată configurată, securitatea BAS depinde și de configurația de securitate a rețelei, care ar trebui să fie configurată folosind cele mai bune practici de rețea și de apărare în profunzime. În același timp, securitatea fiecărui dispozitiv se bazează pe securitatea fizică a mediului în care este plasat dispozitivul. În cele din urmă, sistemul trebuie gestionat în mod continuu, monitorizat și actualizat pe măsură ce producătorul furnizează actualizări de securitate. La fiecare nivel, respectarea securității celor mai bune practici implică nu numai tehnologia, ci instruirea operatorilor în procese, proceduri și utilizarea corectă a tehnologiei informației.

Dacă sistemele dumneavoastră nu sunt configurate în siguranță, dacă nu sunt actualizate, dacă nu sunt monitorizate proactiv și dacă sunt configurate pentru a fi expuse pe Internet sau expuse chiar și rețelelor interne care nu sunt gestionate eficient, atunci trebuie să vă așteptați la probleme.

O abordare holistică, de apărare în profunzime, este necesară. Proprietarul clădirii trebuie să supravegheze acest proces și trebuie să se asigure că cineva se concentrează activ – și proactiv – pe securitatea cibernetică, asigurându-vă că rețelele și activele dumneavoastră sunt evaluate periodic și constant pentru riscurile cibernetice care pot fi atenuate. O abordare de succes începe prin stabilirea proceselor de cibersecuritate pentru organizația dumneavoastră. Aceasta implică instruirea tuturor persoanelor potrivite în aceste procese și asigurarea înțelegerii utilizării și configurației corecte și sigure a tehnologiilor și rețelelor implicate.

Atingerea tuturor acestor obiective poate părea descurajantă, însă puteți începe să consultați îndrumări de la organizații precum Institutul Național pentru Standarde și Tehnologie (NIST) care pot fi adaptate oricărei organizații. Puteți obține o orientare și mai specifică a sistemului de control de la organizații precum echipa de intervenție în caz de securitate cibernetică a sistemelor de control industrial (ICS-CERT), din cadrul Centrului Național de Cibersecuritate și Integrarea Comunicațiilor (NCCIC), și al International Society of Automation (ISA).

În cele din urmă, este important să aveți grijă atunci când conectați orice dispozitiv la rețeaua dumneavoastră, inclusiv un sistem de control al clădirii sau un alt dispozitiv de bord. Pentru orice dispozitiv pe care aveți în vedere să-l conectați la rețeaua dumneavoastră, puneți-vă cinci întrebări:

(1) Este conștient producătorul de riscurile cibernetice și are un proces de cibersecuritate documentat?

(2) Producătorul va sprijini dispozitivul și va suporta actualizări și corecții de securitate ale dispozitivului în timp util?

(3) Ați efectuat dumneavoastră sau altcineva o evaluare a cibersecurității sau a riscului asupra produsului?

(4) Cum va fi conectat dispozitivul la rețea și există controale setate în rețeaua propriu-zisă pentru a reduce riscurile?

(5) Cine va configura acest dispozitiv atunci când este conectat la rețeaua dumneavoastră și cine va monitoriza și gestiona proactiv dispozitivul respectiv?

Cu toate că riscurile cibernetice sunt mult mai variate și pot apărea sub diverse forme, conștientizarea informațiilor expuse în articol și clădirea unei strategii de securitate cibernetic bine documentată, care să urmeze cele mai bune standarde ale industriei, vă vor ajuta să vă țineți sistemul BAS și echipamentele clădirii dumneavoastră în siguranță.

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here