Securitatea cibernetică este un subiect îi ține treji noaptea pe directorii seniori ai marilor companii din lume. Furturile de date ale consumatorilor și hacking-ul prin e-mail reprezintă amenințări aproape omniprezente, iar adevărul este că orice sistem conectat la internet poate fi în pericol – inclusiv un sistem de automatizare a clădirilor (BAS).
Este o procedură obișnuită ca organizațiile să achiziționeze (sau să creeze) un BAS, să implementeze soluția și apoi să uite mai mult sau mai puțin de aceasta, lăsând întreaga rețea și controlerele sale să funcționeze de unele singure, uneori chiar zeci de ani, până când apare o defecțiune. Această mentalitate poate crea un mediu în care nevoile de securitate a rețelei nu sunt abordate. O intruziune într-un BAS poate duce la compromiterea securității clădirii și poate cauza timpi de oprire neplanificați ai sistemelor critice, fapt ce poate avea efecte de zdrobire în procesele de afaceri ale unei companii (sau ale unui chiriaș).
Mai jos vom enumera trei puncte de bază ale securității cibernetice cărora managerii de facilități ar trebui să le acorde MULT mai multă atenție. Dacă nu faceți acest lucru, riscați să plătiți prețul în cazul unor breșe de securitate sau a altor tipuri de evenimente legate de securitatea cibernetică.
1. Definiți nivelurile de securitate necesare
Pentru a răspunde nevoilor de securitate ale BAS-ului unei organizații, un manager trebuie să definească timpul de funcționare necesar al controalelor BAS. De asemenea, este necesar să se știe ce fel de informații sunt stocate pe computerele din cadrul organizației, precum și tipul de informații care călătoresc în rețea.
De exemplu, o instalație care produce abur poate necesita un timp de funcționare de 100 la sută pe regulatorul ce comunică cu cazanul care produce abur, în timp ce o pompă de căldură dintr-o clădire de birouri ar putea necesita doar 20 până la 50 la sută uptime pentru a menține temperatura camerei. Cu cât este mai valoros un echipament, cu atât este mai probabil să fie vizat într-un atac cibernetic. Odată ce riscul este cunoscut, devine mai ușor să distribuiți resursele și să protejați dispozitivele cele mai critice.
Securizarea corectă a unei rețele se poate dovedi a fi un efort scump; știind care sunt dispozitivele ce pot provoca daune considerabile dacă sunt compromise, indică și unde trebuie să se aplice resurse. O componentă precum JACE ar trebui considerată ca fiind un activ cu risc ridicat, deoarece este un dispozitiv critic, poate avea o cantitate mare de expunere (dacă a fost plasată pe o platformă web deschisă cu o adresă IP publică) și ar putea fi expusă unui nivel ridicat de amenințare (poate apărea pe site-ul shodan.io, iar dacă un hacker câștigă controlul asupra acestuia poate controla BAS). Există modalități de atenuare a riscurilor, atâta vreme cât acestea sunt identificate în mod corespunzător.
Totuși, acordarea atenției exclusive doar dispozitivelor nu este adecvată pentru a determina în mod corespunzător riscul cibernetic. Riscul trebuie, de asemenea, determinat prin examinarea riscului general al organizației. O organizație trebuie să fie conștientă atât de amenințările interne, precum și de cele externe care ar putea provoca daune organizației. De exemplu, pentru organizațiile cu un risc redus, accesul la un BAS poate fi justificat printr-o rețea privată virtuală și firewall. Trebuie definit un nivel acceptabil de risc. Conducerea superioară a organizației trebuie să decidă dacă beneficiul de a avea anumite niveluri de acces suplimentare depășește riscul accesului la BAS.
Managerii de facilități ar trebui să fie conștienți de faptul că aceste controale sunt mai puțin sigure față de un un computer MAC / Windows / Linux tradițional, iar acest nivel de securitate mai scăzut face ca actul de pivotare pe o rețea să fie mult mai ușor. Întrucât BAS comunică adesea cu un computer principal, BAS poate fi utilizat în atacuri cibernetice (de către botnet-uri care controlează dispozitive zombie) sau de malware-uri pentru a ataca sisteme non-BAS. Dacă un BAS are acces la internet printr-o rețea privată virtuală sau este localizat pe internet deschis, este riscant ca acesta să comunice, chiar și indirect, cu dispozitivele clădirii care sunt critice pentru misiunea companiei sau care stochează informații importante.
În unele cazuri, ar trebui creată o rețea independentă special concepută pentru BAS pentru a proteja celelalte tipuri informații din rețea.
Configurația ideală pentru un BAS ar fi ca rețeaua să-și asume o configurație de tip „ceapă”, informațiile fiind protejate de numeroase straturi de securitate. Odată ce se ajunge mai adânc în rețea, nivelul de securitate crește, utilizându-se mai multe metode pentru a asigura integritatea informațiilor. Aceste metode pot include firewall-uri și diverse gateway-uri unidirecționale pentru a împiedica trecerea informațiilor sensibile. Mergând tot mai adânc în rețea, nivelul de securitate continuă să crească, iar în acest regiuni de siguranță sporită ar trebui plasate cele mai critice dispozitive, care pot avea efecte asupra vieții omenești și care sunt esențiale pentru misiune.
În unele cazuri, o facilitate ar putea dori să implementeze comunicarea de tip wireless în BAS. Adesea, acest lucru se realizează pentru a scuti costurile sau pentru a evita lucrările de cablaj în zonele greu accesibile. Cu toate acestea, înainte de a permite implementarea tehnologiilor de comunicare wireless, administratorii de facilități ar trebui să fie conștienți de faptul că este mai ușor pentru un hacker să parcheze mașina lângă clădire și să atace un sistem BAS wireless, decât să se conecteze în mod fizic la rețeaua unei clădiri și să rămână nedetectat.
2. Implicați personalul IT
Un administrator de rețea IT cunoaște tipul de informații care călătoresc în rețea, protocoalele pe care rețeaua le folosește pentru a comunica, ce dispozitive stochează informații valoroase și care este aspectul fizic al rețelei. Implicarea personalului IT facilitează configurarea securității BAS și integrarea acesteia în strategia de cibersecuritate generală a unei organizații. În anumite cazuri, unele organizații nu vor dori să utilizeze protocoale de comunicare specifice sau să permită anumite caracteristici ale unui protocol. De exemplu, permiterea transferului de text simplu în orice formă de transmitere a datelor poate afecta securitatea generală. Este important să ascultați sfaturile personalului IT și să lucrați cu aceștia pentru a ajunge la o soluție.
În plus, cunoștințele personalului IT cu privire la dispozitivele / informațiile critice sunt foarte importante atunci când vine vorba de stratificarea securității rețelei. Personalul IT poate ajuta la identificarea dispozitivelor care pot conține informații critice pentru misiune. Aceștia vor fi capabili să îi ajute pe cei care creează o BAS să impună segmentarea rețelei și chiar să ajute la justificarea unei rețele complet separate pentru BAS, dacă este necesar. Este esențial ca cei care creează BAS să informeze personalul IT despre controlerele care pot avea un impact critic asupra cibersecurității, dacă sunt compromise și să explice consecințele fizice ale unui eveniment de securitate cibernetică care afectează BAS. Chiar dacă de multe ori IT-ul se raportează la ofițerul de informații sau la ofițerul de securitate, care sunt în cele din urmă responsabili atunci când se produce o breșă de securitate, nu se poate presupune niciodată că cei responsabili de cibersecuritate înțeleg pe deplin riscurile potențiale pe care le prezintă un echipament compromis.
Multe clădiri au deja o rețea Ethernet, care poate fi dificil de trasat complet fără ajutor. Personalul IT ar trebui să știe ce dispozitive sunt conectate la ce porturi. De asemenea, ar trebui să aibă o structură de rețea care să arate în mod grafic unde sunt amplasate toate device-urile. Aceste resurse vor ajuta la segmentarea rețelei BAS, dacă nu este posibilă crearea unei rețele complet separate. Aspectele de rețea îi vor ajuta pe toți cei implicați să ajungă la concluzii logice despre unde să se conecteze și să realizeze de ce o anumită zonă specifică este optimă pentru necesitățile lor.
Personalul IT poate ajuta și la realizarea actualizărilor unui BAS. În unele cazuri, acestea pot fi capabile să ofere acces la distanță pentru patch-uri și actualizări. Din păcate, în cazul majorității controalelor patch-urile și actualizările sunt adesea oprite. Drept urmare, pot exista găuri de securitate timp de săptămâni sau chiar luni înainte de instalarea unui nou patch de securitate. Patching-ul tuturor dispozitivelor din rețeaua BAS gradual, pe măsură ce se lansează patch-urile, reprezintă cea mai bună practică pentru prevenirea atacurilor și breșelor de securitate. Un profesionist în domeniul IT ar trebui angajat să coordoneze patch-urile și să evite problemele cu orice alte dispozitive din rețea, cum ar fi firewall-uri, servere și alte computere care ar putea fi instalate pentru BAS.
3. Dezvoltați politici și proceduri adecvate
O organizație trebuie să ia în considerare gradul de acces la BAS, precum și momentul în care va fi acordat accesul. Ar trebui să existe conturi independente pentru fiecare utilizator sau programator, iar jurnalele de logare ar trebui să fie activate pentru ca BAS să țină evidența accesului și a oricăror comenzi date. Jurnalele sunt de neprețuit dacă și când are loc o încălcare, iar acestea pot ajuta la prevenirea viitoarelor intruziuni.
A avea o strategie de securitate cibernetică pentru o un sistem BAS este esențială în lumea conectată de astăzi. Sistemele BAS nu mai pot funcționa izolat de restul infrastructurii unei companii. Evaluând aceste trei puncte de bază, managerii de facilități pot face pași impportanți către securizarea cât mai eficientă a sistemului și către minimizarea riscurilor.
