Coraz więcej firm – czerpiąc inspiracje ze świata technologii dla inteligentnych domów - jest zainteresowanych przekształceniem swoich biur w „przestrzeń inteligentną”. Co to może oznaczać z punktu widzenia firmowej polityki bezpieczeństwa?

Inteligentne technologie nie są już zarezerwowane wyłącznie dla przestrzeni prywatnej. Według Gartnera, w biurach coraz częściej wykorzystuje się Internet of Things (IoT). Firma przewiduje jednocześnie, że do końca tego roku w inteligentnej przestrzeni miejskiej będzie używanych ponad 1,7 mld podłączonych do sieci urządzeń.

Włączenie biura w IoT wiąże się jednak z nowymi zagrożeniami. Kilka miesięcy temu specjalistom zajmującym się bezpieczeństwem udało się włamać do biur zlokalizowanych w Wharf7 w australijskim Sydney, wykorzystując system zarządzania budynkiem BMS (Building Management System) opracowany przez Google.

Billy Rios, jeden ze specjalistów, którzy dokonali “włamania”, wyjaśniał wówczas, że jest ok. 50 tys. budynków podłączonych do internetu w celu kontrolowania ogrzewania, chłodzenia i systemów bezpieczeństwa. Najbardziej szokujące jest jednak to, że 2 tys. spośród tych biur nie ma nawet ustanowionego hasła, które utrudniałoby hakerom dostęp do systemów.

Pomijając kwestię ustanawiania haseł oraz zapewnienia, że mają one odpowiednią siłę, jak organizacje mogą zabezpieczyć swoje inteligentne biura przed cyberprzestępcami?

Ustanowienie uprawnień

Możliwość kontrolowania systemów biurowych, takich jak oświetlenie, ogrzewanie, zabezpieczenie fizycznego dostępu czy innych systemów bezpieczeństwa, powinna być ograniczona wyłącznie do jak najmniejszej grupy osób, którym takie uprawnienia są absolutnie niezbędne. Przyznanie dostępu niewłaściwym osobom może oznaczać, że firma zostanie fizycznie lub wirtualnie zaatakowana – na szali znajdują się nie tylko dane, ale także ludzkie życie.

Uwierzytelnianie

Kiedy ustanowione zostaną uprawnienia, każda osoba, która chce mieć dostęp do systemów biurowych i wprowadzić w nich jakiekolwiek istotne zmiany, powinna być zobowiązana do dwuelementowego uwierzytelnienia. Takie podejście zapewnia, że nawet jeśli hakerom uda się przejść przez jedną warstwę zabezpieczeń, będą musieli zmierzyć się z kolejnymi warstwami ochrony.

Implementacja kontroli dostępu do sieci

Zastosowanie narzędzi umożliwiających kontrolę dostępu do sieci uniemożliwi osobom spoza organizacji atakowanie wewnętrznych sieci, takich jak systemy BMS. Oznacza to, że jakiekolwiek urządzenia, które nie mają zdefiniowanych reguł bezpieczeństwa, nie uzyskają dostępu do systemu. Wymaga to oczywiście aktualizowania reguł na firmowych urządzeniach.

Segmentacja sieci

Systemy pozwalające na zarządzanie budynkiem powinny korzystać z innej sieci niż pozostałe systemy w firmie. Jeśli firmowe sieci są zbyt blisko powiązane, hakerzy mogą wykorzystać to do wejścia do BMS. Chociaż posiadanie dwóch sieci może wiązać się z nieco wyższymi kosztami, to jednak warto się na to zdecydować, ponieważ pozwala na zwiększenie bezpieczeństwa budynku i firmowych danych.

Ograniczenie dostępu administracyjnego

Wszędzie gdzie jest to możliwe, opcje zdalnego dostępu do sieci powinny zostać zablokowane. Na miejscu zawsze powinna znajdować się osoba, która będzie kontrolować BMS i uniemożliwi hakerom włamanie do biura – może to być menedżer budynku czy starszy specjalista IT, którzy przejmą kontrolę w sytuacji krytycznej.

System SIEM

W sytuacji kiedy niezidentyfikowana osoba próbuje uzyskać dostęp do BMS, jest niezwykle istotne, żeby dowiedzieć się o tym najszybciej jak to możliwe. Wdrożenie systemu SIEM (Security Incident and Event Management) pozwoli na ciągłe monitorowanie sieci pod kątem podejrzanej aktywności oraz zaalarmowanie odpowiednich osób w przypadku wykrycia „dziwnych” zachowań, zanim będzie za późno.

Firmowy BMS, który jest wykorzystywany do kontrolowania wielu inteligentnych technologii w biurach przyszłości, powinien być odpowiednio chroniony. Odpowiednio, czyli dokładnie tak samo jak każdy inny system sieciowy w organizacji. Ponadto, warto poświęcić mu nawet nieco więcej uwagi i wysiłku, żeby mieć pewność, że jest dobrze chroniony. Poza tym zagrożenie dla życia pracowników z pewnością stanowi znacznie większe ryzyko niż utrata danych.