Cybercriminaliteit en kwetsbaarheid brandmeldsystemen

Cybercriminaliteit professionaliseert zich in een hoog tempo. Het is inmiddels big business, uitgevoerd door goed georganiseerde criminelen die er veel geld mee verdienen. Daarom zijn cybercriminelen continu op zoek naar nieuwe kwetsbaarheden bij bedrijven en organisaties. Hoog tijd om te kijken hoe veilig brandmeldsystemen zijn.

Dagelijks lezen we berichten over cybercriminaliteit. In de coronatijd is deze vorm van criminaliteit zelfs enorm toegenomen. Daaruit blijkt dat cybercriminelen er keer op keer in slagen om bedrijven en organisaties binnen te dringen. Dit gebeurt niet alleen via computernetwerken en computerapparatuur, maar kan ook via alle techniek die op een of andere manier is aangesloten op een netwerk en daarmee wellicht ook aan het internet. Denk bijvoorbeeld aan brandmeldinstallaties, inbraakinstallaties, camera-observatiesystemen, toegangsverleningssystemen, en hvac-systemen (heating, ventilation & air conditioning). Maar ook koffieapparaten, kopieermachines, liften en niet te vergeten de moderne IoT-apparaten (Internet of Things) die sowieso een internetverbinding moeten hebben. Eigenlijk kunnen we stellen dat er steeds minder producten worden verkocht zonder netwerkverbinding.

Dreiging

In een recent gepubliceerd artikel in NFPA Journal (https://www.nfpa.org/News-and-Research/Publications-and-media/NFPA-Journal/2021/Spring-2021/Features/Cybersecurity) is het volgende te lezen over de dreiging die uitgaat van cybercriminaliteit in relatie tot brandmeldsystemen:

“Deskundigen zijn bezorgd dat cybercriminelen brand- en levensveiligheidssystemen kunnen gebruiken als aanvalsmiddel, hetzij als achterdeur naar grotere bedrijfsnetwerken of als doelwitten om uit te schakelen of te manipuleren. Het activeren van een brandalarm zou bijvoorbeeld externe nooddeuren kunnen ontgrendelen, waardoor slechte actoren fysiek toegang krijgen tot een gebouw om gegevens te stelen of systemen uit te schakelen. (…) Nog verontrustender is, dat het mogelijk is dat hackers controle krijgen over systemen met de bedoeling mensen pijn te doen of eigendommen te vernietigen. Onderzoekers hebben bijvoorbeeld aangetoond dat het mogelijk is om een ​​groot energieopslagsysteem te hacken en het opzettelijk onstabiel te maken en misschien zelfs te laten exploderen.”

In het vervolg van dit artikel kijken we dan ook in het bijzonder naar brandmeldsystemen. Lopen dit soort installaties gevaar? En wat moet er veranderen?

Gevaren

Brandmeldsystemen en -installaties kunnen op verschillende manieren worden ontsloten naar IP. Is een brandmeldinstallatie (of een onderdeel van de installatie) via IP te bereiken, dan hebben we meestal nog iets nodig om met dat apparaat te communiceren. Dit kan een specifieke tool zijn van de fabrikant. Een scanning en resolving tool, een communicatie driver, of zelfs een ingebouwde webbrowser behoren tot de mogelijkheden. Als we een verbinding kunnen maken, kunnen we vervolgens de acties uitvoeren die ons zijn ‘toevertrouwd’.

Communicatieprotocollen zijn nodig om met een aangesloten apparaat te communiceren. Dit zijn standaardprotocollen of merk- en apparaatspecifieke protocollen. Voorbeelden van standaardprotocollen bij brandmeldinstallaties zijn onder andere OPC, Modbus, Bacnet en Espa. Veruit de meeste fabrikanten hebben (ook) merkspecifieke protocollen. Deze laatste bieden niet alleen meer functionaliteit, maar kunnen ook door de fabrikant worden voorzien van extra beveiligingsmaatregelen.

De leverancier van de apparatuur is gebaat bij een remote toegang, omdat hij dan snel en adequaat de klant kan bedienen, de service levels kan waarborgen, en zelfs processen op afstand kan uitvoeren. Daarmee kunnen werkzaamheden op locatie worden voorkomen en kan de leverancier zijn diensten goedkoper aan de klant aanbieden.

De eindgebruiker wil zijn installatie optimaal kunnen bedienen en beheren, en steeds vaker ook op afstand. Dashboards geven immers in één oogopslag de status van de aangesloten installaties, terwijl afwijkingen direct worden gemeld op zijn mobiele apparaat via push notifications.

Cybercriminaliteit is een gratis optie bij netwerkverbindingen

Al deze niet meer weg te denken mogelijkheden hebben ook een keerzijde. Immers, wat voor de leverancier, de installateur of de eindgebruiker mogelijk is, is ook mogelijk voor kwaadwillende personen zoals hackers. De echte hacker heeft zeker nog andere mogelijkheden om de brandmeldinstallatie te benaderen én heeft wellicht mogelijkheden om verder het netwerk op te komen naar andere installaties. Wat te denken van verdere onheilbrengende acties zoals aanvallen van buitenaf, diefstal van informatie, verstoring of uitval van installaties en dergelijke. Dat wat iedereen in de organisatie kan met de eigen systemen, kan de hacker ook. Maar dan wel met andere middelen en bedoelingen. Tenzij hiervoor de juiste beveiligingsmaatregelen zijn getroffen.

We kunnen concluderen dat bedrijven en organisaties standaard gevaar lopen bij ontsluiting van installaties naar het internet. Cybercriminaliteit is dan ook een gratis optie bij toepassing van netwerkverbindingen.

Veiligheidsbewustzijn

Vergroten van security awareness of veiligheidsbewustzijn is van groot belang voor de gehele keten van personen/afdelingen/organisaties die betrokken zijn bij de levering en inrichting van brandmeldinstallaties tot en met digitale panelen, managementsystemen en meldkamers.

Veiligheidsbewustzijn is groot in de IT, maar de ICS (Industrial Control System) loopt hierop achter. Zie ook de tabel met de verschillen tussen IT- en ICS-afdelingen (https://www.exida.com).

	IT	ICS
Performance	Must be fast	Must be real time
Availibility	Occasional outages tolerated	Outages intolarable
Confidentiality	Data privacy is critical	Less critical
Technology Lifecycle	3-5 years	20+ years
Outsourcing	Common	Rare
Patching	Timely	Difficult/Slow
Anti-virus	Common	Difficult
Security Awareness	Good	Poor
Physical Security	Poor	Good
Changes	Easyly to implement	Difficult

Cybersecurity voor de aangesloten apparaten moet een punt van zorg zijn. In de snel veranderende wereld van steeds sneller veranderende technologie blijft het cyberdreigingslandschap op een alarmerend tempo evolueren.

Niets doen is geen optie

Leveranciers van installaties en managementsystemen hebben een zorgplicht om cybercriminaliteit  bespreekbaar te maken bij de eindgebruiker en/of bij hun IT-organisatie of service provider. Gezamenlijk kunnen passende maatregelen worden getroffen om verkeerde beïnvloeding van buitenaf te voorkomen. Voorkomen is immers beter dan genezen, áls het al ‘genezen’ kan worden. Want zodra we de techniek aansluiten met netwerkverbindingen, is cybercriminaliteit gratis meegeleverd. De communicatie moet end-to-end beschermd worden met de daarvoor beschikbare middelen. Dit zal in de gehele communicatieketen moeten plaatsvinden.

Leveranciers hebben een zorgplicht om cybercriminaliteit bespreekbaar te maken bij de eindgebruiker

Enkele voorbeelden die toegepast kunnen worden op netwerken en computerapparatuur met (management)systemen en in relatie tot brandmeldinstallaties:

• Netwerkbeveiliging en firewalls.
• Virus- en bedreigingsbeveiliging.
• Accountbeveiliging.
• Versleuteling gebruikerswachtwoorden.
• Update- en beveiligingspatches.
• Mogelijkheden voor two-factor authenticatie.
• Token- en sessievalidatie in iedere vorm van communicatie binnen het managementsysteem.
• Https gebruik bij communicatie, webpagina’s en mobiel gebruik.
• Auto uitlogfunctie als sessie verlopen is of de gebruiker een bepaalde tijd niets gedaan heeft.
• Encryptie van gevoelige data.
• Afscherming van mobiele devices, zodat misbruik kan worden voorkomen.
• ISO27001 toepassing, waarbij de eis gesteld wordt dat beveiliging en veiligheid in het gehele ontwikkelproces geïmplementeerd worden: privacy by design.
• End-to-end beveiliging voor communicatie met aangesloten brandmeldinstallaties.
• Enzovoorts.

Ondanks de mogelijkheden die de techniek ons biedt, en die uiteraard continu onderworpen zijn aan updates en patches, is bewustwording van cybercriminaliteit bij alle betrokken partijen noodzakelijk.

Johan Both is accountmanager bij Beveco