Netco

Van kwajongensstreek tot gijzeling

gebouw gehackt hacken

 

 

 

 

 

 

Wat zeg je nu, Google gehackt? Toch niet Search, Android, YouTube of Maps? Nee, een kantoorgebouw van Google! Na een golf van autohacks zijn nu gebouwen aan de beurt. Maak je borst maar nat. Het hacken van websites of computersystemen is dagelijkse kost. Dat ook een gebouw slachtoffer kan worden van internetcriminelen, daar zullen velen toch verbaasd van opkijken. Hoe groot is het risico dat dit gebeurt? En wat kunnen avonturiers, grappenmakers en boeven uitrichten?

 

Een stunt was het wel van de twee digitale beveiligingsexperts, om juist Google te treffen. Ze zochten  eerst op Shodan naar apparatuur en gebouwen die verbonden zijn met het internet. Ze vonden er onder meer de naam en de kenmerken van het building management system (BMS) van Google Australia in Sydney. En wat is er nu een leuker doelwit voor hackers dan een kantoorgebouw van Google?

De rest bleek appeltje-eitje voor Billy Rios – die ook leuk blogt, bijvoorbeeld over leugens in beveiliging – en zijn maat. Ze gingen het managementsysteem van het Google-kantoor intensief bestuderen en vonden eenvoudig kwetsbaarheden. Volgens Rios is dat over het algemeen een fluitje van een cent. Van de 50.000 online systemen voor gebouwbeheer is 5 procent niet eens beveiligd met een wachtwoord. ‘Komt u toch fijn binnen’, luidt daar het gastvrije devies. Want ja, alles moet per se ‘smart’ worden, dus ook gebouwen. En daarmee begint de ellende.

 

Fysieke hacks in ‘smart cities’

Zo zullen er straks met ‘smart cities’ cruciale voorzieningen voor hele steden online staan en (dus) te hacken zijn. Fysieke hacks zijn veel leuker dan computerinbraken. Immers, de gevolgen zijn zichtbaar, of voelbaar. Zo werd het in 2013 ineens 40 graden in een cruciaal Amerikaans overheidsgebouw. Smiley van een hacker. Of denk aan de parkeergarages die opeens niet meer open konden. ‘Kwajongensgrappen’? Misschien wel, maar ze kunnen vervelend uitpakken en de gevolgen kunnen ernstig zijn.

Zeker als de hackers minder onschuldige bedoelingen hebben. Denk aan poorten en deuren die op afstand te openen zijn of aan een alarmsysteem dat op het netwerk is aangesloten. Vooral ziekenhuizen zijn extreem gevoelig voor hacks van gebouwen en apparatuur. Daar gaat het bovendien, met zaken als operatiekamers en klimaatsystemen, over mensenlevens. Maar denk ook aan gebouwen waarin energiecentrales zijn gehuisvest. Zo kwamen 80.000 klanten van een Oekraïense centrale zonder stroom te zitten na een kraak. Om nog maar niet te denken aan kerncentrales. Ook handig in tijden van oorlog, bommen gooien is niet meer nodig, je hoeft zelfs geen drone te sturen. Remember Stuxnet

Maar denk ook aan concurrentiesferen. In 2014 kreeg een beveiligingsexpert de volledige controle over licht-, temperatuur en videosysteem van het St. Regis hotel in het Chinese Shenzhen onder controle. Hij had er voor kunnen zorgen dat gasten de volgende keer liever een concurrerend tophotel kiezen. Ook de fysieke inbraak in gebouwen, met  vervolgens ontvreemding van computers en andere waardevolle bedrijfsspullen ligt als doel van inbraken voor de hand. Het beveiligingssysteem schakelen we even uit. Staat apart, zegt u? Maar de stroomvoorziening ervan ook?

 

Gijzelen data en bestanden en blokkeren van fysieke toegang

Nu het gijzelen van computers met ‘ransomware-aanvallen’ ineens zo’n opgang maakt, waarbij losgeld wordt geëist voor geblokkeerde data en bestanden, is het niet zo moeilijk te bedenken waarvoor systemen van gebouwen gehackt zullen worden. Laat 500 werknemers ’s morgens in de regen voor de deur staan wachten voor een deur die pas open gaat als er losgeld is betaald. Dan roep je niet eerst de directie bijeen om een uur te overleggen.

Deskundigen waarschuwen echter op de eerste plaats voor koppeling van gebouwmanagementsystemen aan de informatiesystemen. Daar is nog altijd de meeste schade aan te richten. Mooi voorbeeld: een expert kreeg controle over het systeem van een rugbystadion in Alabama en kon de wedstrijdcomputer en -klok manipuleren. Maar het kan nog erger: zo wisten digitale boeven via het (geheel digitale) verwarmings- en ventilatiesysteem van de Amerikaanse winkelketen Target in het creditcardsysteem te komen en miljoenen data te kopiëren.

Experts uiten grote zorgen over gebrekkige beveiliging van gekoppelde voorzieningen zónder adequate beveiliging. Het aansluiten van deze systemen op het bedrijfsnetwerk is niet altijd zo makkelijk als het lijkt en kan verregaande gevolgen hebben.

Volgens Gartner zijn al 200 miljoen apparaten van ‘slimme’ gebouwen online verbonden en over twee jaar zijn dat er 600. Veelal geïnstalleerd door leveranciers en installatiebedrijven, die digitale veiligheid doorgaans niet als kerncompetentie hebben. Ook gebouweigenaren zijn zich nog nauwelijks bewust van het risico dat lamentabele beveiliging van hun systemen met zich meebrengt.

 

Wij raden u aan om op de hoogte te blijven van de ontwikkelingen op het gebied van netwerkbeveiliging.

Schrijf u hier in voor nieuws over dit onderwerp:

Aanhef:
Naam:*
E-mail:*
Organisatie / bedrijf:*
Functie:*
Telefoonnummer zakelijk*
-