Help! Mijn gebouw is gehackt

In 2013 werd Google, een van de meest vooraanstaande technologiebedrijven ter wereld, gehackt. Daarbij ging het niet om de zoekmachine, of sociaal netwerk Google+, maar om een gebouw. Twee veiligheidsexperts wisten in te breken in het Wharf 7 kantoor in het Australische Sydney, via Google’s eigen gebouwbeheersysteem (GBS).

Volgens een van de hackers, Billy Rios, was de hack niet eens zo’n bijzondere prestatie.

Rios stuitte op het kwetsbare systeem via Shodan, een speciale zoekmachine die op het internet aangesloten apparaten indexeert, en liet er vervolgens zijn eigen software op los om te achterhalen wie de eigenaar was. Met de hack die ze vervolgens uitvoerden hadden de twee geen snode plannen, noch zorgden ze voor enige schade. Wel brachten ze Google op de hoogte van de aangetroffen kwetsbaarheden.

Volgens Rios staat het kantoor van Google niet op zich. Inmiddels zouden zo’n 50 duizend gebouwen volledig zijn aangesloten op het internet, inclusief laboratoria, kerken en ziekenhuizen. Daarvan hebben er zeker tweeduizend niet eens een wachtwoordbeveiliging.

Dat ontdekte in 2013 ook het Amerikaanse ministerie van binnenlandse veiligheid. Hackers verschaften zichzelf toegang tot een van de faciliteiten en maakten het daar ‘ongebruikelijk warm’.

In 2014 bekende veiligheidsconsultant Jesus Molina tijdens de Amerikaanse cybersecurityconferentie Black Hat dat hij tijdens zijn verblijf in het Chinese St. Regis hotel, het entertainmentsysteem in alle tweehonderd kamers onder volledige controle had weten te krijgen.

Dat niet iedereen goede bedoelingen heeft met de hacks ondervond de Amerikaanse winkelketen Target. Ook daar kwamen hackers binnen via het volledig gedigitaliseerde verwarmings- en ventilatiesysteem. Zij wisten er vervolgens wel met miljoenen creditcardgegevens vandoor te gaan.

Aan het begin van dit jaar werd een Oekraïense kerncentrale slachtoffer van hackers. Officieel luidt de verklaring dat de daders middels phishing waren binnengekomen, het resultaat is even verontrustend: bij zo’n 80 duizend mensen werd de stroom afgesloten.

Veiligheidsconsultant Andrew Kelly maakt zich grote zorgen om het toenemende aantal faciliteiten dat online gaat, zonder dat aandacht wordt besteed aan een goede beveiliging.

Uit eigen onderzoek van Kelly bleek dat veruit de meest kwetsbare systemen die voor gebouwmanagement zijn. ‘In vrijwel alle gevallen bleken deze systemen aangekocht zonder ook maar enig plan hoe ze te beveiligen. Bij systemen die wel een wachtwoord hadden, stond die vaak nog gewoon op het standaard wachtwoord’. Daarnaast bleken veel gebouwbeheersystemen te zijn aangesloten op het bedrijfsnetwerk, ‘zonder na te denken over de mogelijke gevolgen’.

Steeds vaker besluiten bedrijven hun gebouwmanagement op het netwerk aan te sluiten. Door gebruikers direct controle te geven over het gebouwbeheer, kunnen kapitalen worden bespaard op licht en verwarming, zo is de achterliggende gedachte. Maar zoals een loodgieter niet mag meedenken over binnenlandse veiligheid, zo mag een installateur niet beslissen over systeembeveiliging, vindt Kelly. ‘Vrijwel iedereen kan die software installeren, maar dat is alsof je je auto laat repareren in een garage zonder gekwalificeerde monteurs.’

Volgens Kelly is hoe dan ook de beste beslissing om het GBS op geen enkele manier te verbinden met het bedrijfsnetwerk, aangezien het praktisch onmogelijk is om een systeem 100 procent te beveiligen.

Dat laatste bewezen Billy Rios en zijn collega. Als zelfs een technologiereus als Google steken laat vallen op het gebied van beveiliging, hoeven we van andere instellingen weinig beters te verwachten.

Bron: BBC cc-beeld: Defence Images