W świecie, gdzie wiele przedmiotów używany w gospodarstwie domowym jest w stanie gromadzić, przetwarzać a nawet wymieniać dane za pośrednictwem sieci komputerowej, tzw. inteligentne budynki wypełnione systemami za pomocą, których można np. sterować temperaturą, światłem, wentylacją, windą czy innymi elementami infrastruktury, stwarzają większe i bardziej bezpośrednie zagrożenie dla bezpieczeństwa niż technologie konsumenckie.

Koncentracja na wprowadzaniu rozwiązań zapewniających m.in. większą efektywność energetyczną budynków powoduje coraz częściej, że następuje nadmierne ich uzależnienie od technologii, których działanie zależy od internetu. Systemy do zarządzania budynkami są z reguły nie tylko ściśle zintegrowane, ale jednocześnie współpracują z systemami zewnętrznymi, czego dobrym przykładem jest inteligentna sieć elektroenergetyczna smart grid.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Ten incydent z „katolickim księdzem” pokazuje, jak niebezpieczna może być sztuczna inteligencja

Jak twierdzą niektórzy analitycy, zagrożenie jakie stwarzają takie systemy jest duże. Bo wiele inteligentnych urządzeń sieciowych wykorzystywanych w nowoczesnych budynkach, ma bardzo słabe lub żadne zabezpieczenia. Powoduje to, że są łatwymi celami potencjalnych ataków, które mogłyby zakłócić prawidłowe funkcjonowanie budynku a nawet stworzyć poważne zagrożenia dla znajdujących się w nim ludzi.

Istnieje również ryzyko, że podłączony do ogólnodostępnej sieci budynek, może ułatwić atak na systemy biznesowe przedsiębiorstw mających w nim swoje siedziby. Za przykład może posłużyć firma Target, z której wykradziono dużą ilość danych, tylko dzięki temu, że ktoś znalazł sposób dostania się do firmowej sieci przez użycie uwierzytelnień dostępu przydzielonych firmie, która na odległość nadzorowała i utrzymywała systemy prawidłowej temperatury, wentylacji i klimatyzacji. Jak się później okazało, przyczyną tego była niewłaściwa segmentacja danych sieciowych.

Jak twierdzi Hugh Boyes z Instytutu Inżynierii i Technologii, brytyjskiej organizacji zawodowej promującej naukę i inżynierię, takie problemy mogą stać się powszechne w budynkach wypełnionych urządzeniami, które są zarządzane przez sieć. „Dlatego osoby na stanowiskach kierowniczych muszą zdawać sobie sprawę, że w inteligentnym budynku mogą działać sieci, które mogą zostać uruchomione poza ich kontrolą i pamiętać o wprowadzeniu odpowiednich zabezpieczeń” mówi Hugh Boyes.

Jako jeden z przykładów Hugh Boyes wskazuje rosnące wykorzystanie kamer IP w systemach monitoringu i sterowania infrastrukturą w budynkach. W niektórych systemach zarządzania kamery sieciowe pełnią funkcję czujników ruchu, które wykrywają obecność osób w pomieszczeniach i odpowiednio sterują światłem lub temperaturą. W takiej sytuacji, kamery, oświetlenie i systemy grzewcze muszą być zintegrowane. Jednocześnie każdy z systemów może mieć łączność z internetem i zewnętrznymi serwerami wykorzystywanym przez firmy świadczące zdalne usługi wsparcia i serwisu tych systemów. Powoduje to, że sieć, która działa wewnątrz budynku staje się dostępna praktycznie z dowolnego miejsca na świecie, dodaje Hugh Boyes.

Jim Sinopli, główny dyrektor w Smart Buldings LLC, zauważa, że to nie tylko ogrzewanie, oświetlenie czy systemy bezpieczeństwa są w taki sposób zintegrowane. Producenci wind, mogą umieszczać w nich inteligentne czujniki, które wykrywają usterki i mogą zapobiec awariom lub przyspieszyć reakcję na nie zanim wywołają jakieś szkody. Natomiast zarządcy budynków mogą instalować systemy pozwalająca np. na monitorowanie zużycia wody w obiekcie. Zatem stwarzać to taką sytuację, że brak zabezpieczeń w jednym z takich systemów może wywołać efekt kaskadowy i zagrozić wielu innym urządzeniom automatyki budynków, zwraca uwagę Jim Sinopli.

Zagrożenie stwarza nie tylko ktoś penetrujący systemy danego budynku by je zaatakować. Istnieje potencjalny wpływ awarii na obszar IT, taki jak utrata łączności wywołana przez uszkodzenia systemów automatyki.

Przenikanie IT do systemów zarządzania budynkami jest problemem w coraz większej ilości firm. Z czasem, gdy budynki stają się coraz bardziej „inteligentne”, producenci urządzeń konsumenckich też zaczęli wchodzić w ten segment rynku.

„Dlatego należy obecnie zwrócić szczególną uwagę by firmowe działy IT były przygotowane do wprowadzenia odpowiednich procedur i mechanizmów zabezpieczeń, które pozwolą na ochronę budynków i ich systemów zarządzania przed zagrożeniami” zwraca uwagę Rolf von Roessing prezes niemieckiej firmy consultingowej Forta.

na temat bezpieczeństwa dotyczącego łączenia przedmiotów z funkcjonalnością w odniesieniu do Internetu

„Już obecnie wiele firm zna ten problem i podejmuje kroki by przeciwdziałać takim zagrożeniom” twierdzi John Pescatore, dyrektor firmy SANS. W ankiecie dotyczącej bezpieczeństwa w systemach IoT (Internet of Things) przeprowadzonej przez SANS, inteligentne budynki i przemysłowe systemy sterowania były drugimi najczęściej wymienianymi pod względem poziomu zagrożenia, za urządzeniami konsumenckimi.

Można tu zadać pytanie, jak szeroki jest to problem? John Pescatore podaje realny przykład. Na jednej z ostatnich konferencji SANS, wystąpił dyrektora ds. bezpieczeństwa z jednego z amerykańskich uniwersytetów, który prowadził kontrolę nowo wybudowanego obiektu na studenckim kampusie. Stwierdził on, że w tym sześciopiętrowym budynku jest blisko 1500 różnego rodzaju czujników zainstalowanych w windach, drzwiach, systemie kamer, oświetlenia, ogrzewania i innych miejscach.

Tradycyjnie, systemy zarządzania budynkiem nie są uznawane za systemy IT. Dlatego też z reguły nie są one kontrolowane przez dyrektorów ds. informatyki, a działają pod nadzorem i na warunkach określanych przez osoby zarządzające infrastrukturą. „Taka postawa będzie musiała się zmienić. Zarządca budynku i działy IT powinny współpracować by identyfikować i ograniczać potencjalne ryzyko” mówi Robert Stroud, prezes organizacji ISACA.

„Oprócz tego firmy będą musiały zwrócić większą uwagę na takie praktyki, jak segmentacja sieci, silne uwierzytelnianie oraz monitorowanie sieci” dodaje Robert Stroud.