Połączenie automatyki budynku w kompletny centralnie zarządzany system stwarza nowe możliwości. Począwszy od podstawowej funkcji monitorowania i konfiguracji parametrów, do zupełnie nowych rozwiązań, jakie daje olbrzymia ilość danych zbieranych przez system. Ataki hackerskie na systemy zarządzania budynkami stały się w ostatnich latach coraz bardziej powszechne i wyspecjalizowane.
Sprawcy stosują zarówno automatyczne jak i ręczne narzędzia przeznaczone do wyszukiwania i atakowania podłączonych do sieci urządzeń. Motywy ataku mogą być różne, od czystej ciekawości, przez zdobycie danych w celu wymuszenia okupu, a w skrajnych przypadkach - nawet sabotaż.
Główne powody, które sprawiają, że ataki kończą się powodzeniem, to m.in. stosowanie standardowych lub słabych haseł, bezpośrednia ekspozycja urządzeń w Internecie lub brak ich aktualizacji.
Niezależnie od motywu i celu ataku, konsekwencje są takie same. Jesteśmy narażeni na ograniczenie funkcjonowania urządzeń lub ich całkowite wyłączenie, utratę danych lub ryzyko, że trafią w niepowołane ręce, a najmniej istotne urządzenie w instalacji może stać się furtką do całego systemu i kolejnych ataków.
Tworząc nową instalację z systemem zarządzania budynkiem, trzeba mieć na uwadze, że bezpieczeństwo IT stanowi jego nieodłączny element. Jednocześnie warto pamiętać o istniejących systemach, które mogą wymagać audytu i zadbania o ich lepszy poziom bezpieczeństwa.
Poniżej prezentujemy kilka pomysłów dotyczących różnych zabezpieczeń, jakie można wprowadzić w każdej firmie. Dzięki temu zwiększy się bezpieczeństwo od strony technicznej, jak i użytkowej różnych systemów zarządzania budynkiem, np. systemu Swegon do sterowania i monitoringu instalacji klimatyzacyjnej i wentylacji.
1. Zmień standardowe hasła urządzeń stosując złożone frazyJeśli w naszym systemie na urządzenia logują się zwykli użytkownicy, zaleca się już na etapie uruchomienia zmienić standardowe hasła na silne. W rzeczywistości o sile hasła nie decyduje tylko jego złożoność (np. zastosowanie wielu znaków specjalnych). Dochodzą do tego jeszcze dwa ważne aspekty - trudność odszyfrowania oraz długość hasła. Żeby utworzyć silne hasło, należy myśleć raczej o "frazie", a nie po prostu o "haśle". Nasze bezpieczne hasło powinno składać się z co najmniej 10 znaków. Lepszym zabezpieczeniem będzie np. fraza, czy zdanie składające się z kilku słów, np. "uderznozycestol", niż hasło składające się z różnych znaków typu "bn^T65#_", a dodatkowo taką frazę łatwiej zapamiętać.
2. Twórz indywidualne i niepowtarzalne konta użytkownikówSwegon nie zaleca tworzenia współdzielonych kont użytkowników. Sugerujemy, aby każdy użytkownik posiadał indywidualne konto i został powiadomiony o konieczności zmiany standardowego hasła podczas pierwszego logowania. Oprócz ograniczenia ryzyka udostępnienia hasła niepożądanym osobom, daje nam to również możliwość śledzenia kiedy, kto i jakie zmiany wprowadzał w poszczególnych urządzeniach.
3. Kieruj się zasadą minimalnych uprawnień dla użytkownikówKażde konto użytkownika powinno spełniać zasadę ograniczonych uprawnień. Rozumiemy przez to, że użytkownik ma dostęp tylko do niezbędnych przy wykonywaniu swoich obowiązków funkcji. Przykładowo w systemach Swegon minimalny poziom dostępu odpowiada przeważnie możliwości monitorowania parametrów i odczytu danych.
4. Sprawdzaj czy zainstalowane są najnowsze aktualizacje oprogramowaniaSwegon zaleca stosowanie zawsze najnowszej wersji oprogramowania w poszczególnych urządzeniach. Dzięki aktualizacjom uzyskujemy dostęp do dodatkowych funkcji, a także zwiększamy bezpieczeństwo pracy urządzeń. Niektóre z produktów mogą aktualizować się automatycznie, inne wymagają ręcznej aktualizacji z poziomu uprawnień administratora lub użycia zewnętrznej karty pamięci. Jeżeli potrzebujesz pomocy, skontaktuj się z Serwisem lub Działem technicznym Swegon.
5. Zabezpieczenia mechaniczne i funkcjonalne
Swegon zaleca lokalizowanie urządzeń w miejscach, które ograniczają do minimum możliwość dostępu do nich osobom postronnym, np. montaż w zamykanych pomieszczeniach maszynowni, w szafach serwerowych czy obudowach teletechnicznych. Należy także pamiętać o zabezpieczeniu przewodów zasilających i komunikacyjnych, jak również o ich oddzielnym prowadzeniu w celu minimalizacji ryzyka zakłóceń.
6. Używaj szyfrowaniaWiększość produktów Swegon obsługuje szyfrowanie z wykorzystaniem protokołu SSL/TSL podczas transmisji danych przez sieć i powiadomienia e-mail. Swegon zaleca uruchomienie funkcji szyfrowania i korzystanie z zabezpieczonego protokołu HTTPS (nie HTTP) w trakcie łączenia się z witrynami WWW, w celu zabezpieczenia danych przed nieuprawnionym dostępem.
7. Wyłącz niepotrzebne usługi i ogranicz dostęp zaporą sieciową firewall za pomocą regułUrządzenia Swegon posiadają kilka kanałów, usług i protokołów komunikacji, które stosowane są w zależności od wdrożonych rozwiązań. Przede wszystkim zalecamy wyłączenie usług, które w danej instalacji są nieużywane. Ponadto należy ograniczyć dostęp do wykorzystywanych usług przez zdefiniowanie reguł połączeń w ustawieniach zapory sieciowej. Maksymalny poziom bezpieczeństwa przewiduje umieszczenie wszystkich urządzeń Swegon za wewnętrzną zaporą sieciową firmy.
8. Utwórz dla instalacji automatyki sterującej odrębną sieć komputerowąElementy sterowania i zarządzania budynkiem powinny być połączone w oddzielną sieć, niezależną od sieci komputerowej firmy, ogólnodostępnej dla gości i tym podobnych. Dzięki temu już na początku znacząco ograniczamy ryzyko zakłóceń pracy urządzeń czy nieuprawnionego, przypadkowego wycieku danych. Można to zrobić wydzielając dodatkową podsieć dla urządzeń automatyki w ustawieniach zapory sieciowej, czy też wykonując oddzielną przewodową lub bezprzewodową sieć komputerową.
9. Unikaj ekspozycji urządzeń systemu zarządzania budynkiem w InterneciePrzez udostępnienie zdalnego połączenia przez Internet z urządzeniami, dajemy każdej osobie mającej dostęp do Internetu możliwość dostępu do funkcji urządzenia. Stwarza to wysokie ryzyko zagrożenia atakami hackerskimi i naraża cały system na próby włamania. W tym miejscu Swegon sugeruje, aby nie udostępniać zdalnego dostępu do urządzeń systemu zarządzania budynkiem. Natomiast jeśli taki dostęp jest niezbędny, należy korzystać z połączeń VPN, lub ograniczyć w ustawieniach firewall możliwość zdalnego połączenia tylko z konkretnych adresów IP.
10. Wykonaj kopię zapasową po uruchomieniu systemuSwegon zaleca tworzenie kopii zapasowej danych i ustawień po każdym uruchomieniu nowego systemu lub po dodaniu nowego urządzenia w instalacji. Dzięki temu ograniczamy ryzyko utraty danych i zwiększamy niezawodność pracy. Dodatkowo mamy możliwość szybkiego przywrócenia funkcjonowania systemu po awarii lub wymianie uszkodzonego produktu.
Jeżeli są Państwo zainteresowani dodatkowymi zaleceniami Swegon dotyczącymi bezpieczeństwa w systemach automatyki i sterowania prosimy o kontakt z nami.
