Кибербезопасность систем автоматизации зданий
Быстрое внедрение систем на основе IoT с обещанием значительно сократить эксплуатационные расходы способствует быстрому росту рынка автоматизации зданий и сооружений. Назначение этих систем - повысить комфорт, снизить энергопотребление и общую стоимость владения, эффективно эксплуатировать строительные системы и увеличить жизненный цикл инженерных сетей.
Эта цифровая трансформация сектора автоматизации зданий включает в себя отход от старых проприетарных систем и внедрение современных компьютерных архитектур. Существует механизм развертывания недорогих датчиков, как проводных, так и беспроводных, для сбора как можно большего количества данных.
В то же время в отрасли имеется значительная база устаревших систем автоматизации зданий, приложений, устройств и сетей, которые необходимо администрировать, обслуживать и постепенно модернизировать.
Как и в традиционных секторах ICS-систем, таких как производство и электроснабжение, управление киберрисками для интеллектуальных зданий является сложной задачей. Владельцы-операторы современных интеллектуальных зданий сталкиваются с сокращением ресурсов, дефицитом талантов в области кибербезопасности и конвергенцией IT/OT.
Давайте посмотрим как на перспективу умных зданий, так и на реалии управления их рисками кибербезопасности.
1. Цифровизация систем управления зданием может снизить стоимость жизненного цикла
Оцифровка систем автоматизации зданий охватывает разнообразные и сложные области применения. Эти приложения включают, но не ограничиваются:
- HVAC
- Системы энергоменеджмента
- Системы управления освещением
- Системы видеонаблюдения
- Системы контроля доступа
- Системы управления лифтом
- плюс их подключенные датчики и устройства (камеры, термостаты, датчики света)
Каждая система и устройство, включая несколько версий и итераций, имеют свой уровень риска кибербезопасности.
Цифровизация этих систем предоставляет огромную возможность снизить энергозатраты и эксплуатационные расходы для владельцев зданий и управляющих компаний. Многие здания используют устаревшие технологии и могут значительно выиграть от модернизации инфраструктуры управления зданием, снизить общую стоимость владения и повысить безопасность и сохранность.
Новые интеллектуальные цифровые технологии для мониторинга и управления зданием могут помочь повысить комфорт сотрудников и посетителей и предоставить информацию, которую можно использовать для управления зданием настолько эффективно, насколько позволяют физическая структура и оборудование.
2. Цифровизация увеличивает кибер-риск
Растущая цифровизация всех зданий увеличивает кибер-риск. Многие владельцы зданий осознают важность разумной стратегии кибербезопасности благодаря возможностям, предоставляемым путем оцифровки. Активы все больше связаны между собой, что обусловливает необходимость безопасного удаленного мониторинга и управления зданием.
Владельцы также должны лучше понять виды потенциальных уязвимостей, которые существуют среди их установленной базы оборудования и систем управления. Потоки данных должны планироваться и контролироваться, возможно, поэтому необходимо использовать односторонние диоды данных.
Другие сложные аспекты кибербезопасности для интеллектуальных зданий включают в себя:
Конвергенция IT/OT - Многие управленцы в секторе автоматизации зданий по-прежнему рассматривают IT и OT кибербезопасность как отдельные проблемы. Однако злоумышленники уже используют разрывы между защитой IT и OT. Например, спам-фишинг обычно используется для получения привилегий и входа в системы ОТ. Хакеры используют HVAC и другие плохо защищенные системы OT в качестве точек входа в центры обработки данных и корпоративные IT-сети.
OT системы включают в себя все больше IT - Развитие Интернета вещей, Industry 4.0 и другие масштабные технологические инициативы создают огромную волну внедрения IT на всех уровнях архитектуры системы зданий. Пограничные вычислительные устройства уже заменяют проприетарные контроллеры в различных приложениях.
Помимо функций, выполняемых системами, и их уникальных требований к распознаванию будет все труднее проводить различие между системами автоматизации зданий и системами уровня предприятия с точки зрения вычислений.
Рост числа кибератак на уровне ОТ - кибератаки на интеллектуальные здания, а также связанные с ними атаки на интеллектуальные города и инфраструктуру могут оказывать широкомасштабное воздействие и могут представлять угрозу для безопасности человека. Атака в большом общественном здании или сооружении (особенно в густонаселенном районе) может вызвать панику.
Киберфизические активы в интеллектуальных зданиях, городах и инфраструктуре становятся все более распространенными, особенно когда вы смотрите на новую тенденцию к мониторингу целых парков зданий из централизованного местоположения.
Увеличенная площадь атаки - современные интеллектуальные здания имеют множество систем и взаимосвязей. Это расширяет ландшафт угроз для атаки. В некоторых случаях взлома доступ к системе HVAC используется для доступа к финансовым системам организаций.
Небезопасные протоколы. Использование небезопасных промышленных протоколов - это еще один способ, с помощью которого злоумышленники могут нарушать работу. Это особенно касается систем автоматизации зданий. Популярные протоколы, такие как BACnet и LonWorks, по своей природе не являются безопасными и, как и протоколы, используемые в производственном секторе, имеют свои собственные уязвимости. Опытные злоумышленники знают об этих уязвимостях и имеют легкий доступ к документации, необходимой для создания команд, предназначенных для нарушения работы контроллеров и других устройств.
Обеспечение кибербезопасности для систем автоматизации зданий
Комплексная программа кибербезопасности для интеллектуальных зданий включает три основы безопасности для любой системы: люди, процессы и технологии.
Владельцы зданий и управляющие компании будут сталкиваться с трудностями при создании команд, культуры и процессов, необходимых для правильного решения проблем киберрисков интеллектуальных зданий.
С технологической точки зрения, хорошая новость заключается в том, что доступны инновационные и проверенные решения. Поставщики кибербезопасности на уровне OT предлагают продукты, которые обеспечивают:
- Обзор и ситуационная осведомленность для устройств и сетей OT и IoT
- Постоянный мониторинг уязвимостей, угроз и аномалий
- Централизованный доступ OT/IoT и кибербезопасность для удаленных операционных центров
Хотя цифровое преобразование систем автоматизации зданий может принести огромные выгоды в плане экономии энергии и эксплуатации, комфорта и безопасности посетителей и снижения общей стоимости владения, связанные с этим кибер-риски должны активно отслеживаться и управляться. В быстро меняющемся мире я призываю владельцев/управляющих интеллектуальных зданий активно разрабатывать комплексную программу кибербезопасности.