Bezpieczeństwo BMS w chmurze

Tradycyjne systemy BMS/SCADA a Proptech i Chmura

Systemy typu BMS, SCADA to tradycyjne rozwiązania informatyczne stosowane w nieruchomościach do obsługi systemów technicznych.
BMS-y i SCADA nadal pracują w sieci lokalnej, mimo że wiele branż przeniosło swoje tradycyjne usługi do chmury.

Przykładem są fintech, insurtech, medtech itd.

Pora na PropTech, czyli Property + Technology (Nieruchomości i Technologia). Proptech to próba rozwiązania tradycyjnych wyzwań, które występują w branży nieruchomości przez skorzystanie z nowoczesnych technologii informatycznych.
W przypadku obsługi systemów technicznych w budynku największym wyzwaniem do tej pory było bezpieczne przeniesienie danych i funkcjonalności do chmury.

Najczęstsze obiekcje dotyczące Cloud BMS - Bezpieczeństwo danych

Jedną z częstych obaw zarządców nieruchomości, lub zespołów obsługi technicznej jest bezpieczeństwo danych poza lokalem.

Fakt, że tradycyjne rozwiązanie - komputer z systemem operacyjnym i oprogramowaniem BMS/SCADA jest fizycznie zlokalizowany w obrębie nieruchomości kreuje poczucie bezpieczeństwa.

- Dlaczego to tylko pozorne poczucie bezpieczeństwa?

Czy systemy lokalne są bezpieczne, czy to jedynie założenie?

Polecamy prezentację Michała Kurka z organizacji OWASP, którą zamieszcamy poniżej.

Luki zabezpieczeń w lokalnym BMS

Lokalne systemy tylko z pozoru są bezpieczne. Zidentyfikowaliśmy kilka bardzo istotnych luk, które przedstawia schemat poniżej:

  • Urządzenia są obsługiwane przez lokalny BMS za pośrednictwem sterowników sprzętowych, które wymagają zaprogramowania w celu obsługi określonych funkcjonalności. Programowanie sterowników z reguły jest realizowane przez specjalizowany serwis techniczny (kosztowna wizyta w obiekcie), a oprogramowanie (tzw. firmware) jest wgrywany z nośnika pamięci na USB.

    Jest to poważne zagrożenie, gdyż brak właściwych procedur konserwacji i zabezpieczania danych na tych nośnikach oraz fakt, że takie aktualizacje są wykonywane na wielu urządzeniach (także u innych klientów) i stwarza to potencjał do propagacji uszkodzeń.

  • Fakt, że urządzenia są bezpośrednio połączone z systemem BMS w sieci lokalnej oznacza, że potencjalny ATAK na BMS może wywołać groźne skutki w całej infrastrukturze sprzętowej. Urządzenia nie posiadają z reguły żadnej dodatkowej warstwy zabezpieczeń.

  • Brak tokenów autoryzacyjnych oznacza, że każda osoba, która zdobędzie hasło do systemu może wprowadzić w nim zmiany!
bezpieczeństwo systemu BMS

Luki bezpieczeństwa lokalnego systemu BMS i miejsca występowania zagrożeń (na czerwono).

Skoro systemy lokalne też są podatne na ataki, a naruszenie bezpieczeństwa może mieć dużo bardziej rozległe skutki niż atak na chmurę, to powstaje pytanie:

- W jaki sposób zabezpieczyć systemy techniczne w budynku, a jednocześnie wykorzystać moc tkwiącą w ich danych i funkcjonalności?

Poniższe schematy przedstawiają rozwiązania zastosowane w ConnectorIO Cloud BMS.

6 warstw zabezpieczeń BMS w chmurze

ConnectorIO Cloud stosujemy kilka nowoczesnych poziomów zabezpieczeń:

  • Digital Twiny, czyli Cyfrowe Bliźniaki urządzeń, które są wirtualną kopią urządzeń i jednocześnie warstwą zabezpieczeń.
  • Tokeny autoryzacyjne dla urządzeń.
  • Tokeny autoryzacyjne dla użytkowników.
  • Zabezpieczenie portów I/O (wejść i wyjść) bramek sprzętowych oraz Jednostki Centralnej.
  • Ponadto... zabezpieczenia znane z tradycyjnych systemów, jak np. szyfrowanie VPN,
  • ... oraz tradycyjne hasła dostępu.

Poniższy schemat przedstawia ideę zabezpieczeń zastosowaną w ConnectorIO.

BMS w chmurze cyfrowy bliźniak

ConnectorIO Cloud BMS - bezpieczeństwo w chmurze, cyfrowe bliźniaki.

Czym jest i jaka jest rola Cyfrowego Bliźniaka?

Cyfrowy bliźniak lub tzw. digital-twin, to cyfrowa reprezentacja urządzenia fizycznego w systemie ConnectorIO Cloud.

Cyfrowe bliźniaki mogą odzwierciedlać pełną funkcjonalność fizycznych odpowiedników lub ograniczoną (o czym decyduje się na etapie procesu autoryzacji i konfiguracji w systemie).

System w chmurze "widzi" jedynie cyfrowe odpowiedniki urządzeń i z nimi się komunikuje. Urządzenia, które znajdują się za cyfrowymi bliźniakami są zawsze bezpieczne z punktu widzenia komunikacji.

Komunikacja z BMS w chmurze w ConnectorIO

Wybór rozwiązania BMS w chmurze ConnectorIO umożliwia wykorzystanie przewag, które oferują rozwiązania cloud computing:

  • Automatyczne aktualizacje - system dostępny w chmurze jest zawsze aktualny.
  • Jednolita wersja systemu na wszystkich urządzeniach, we wszystkich nieruchomościach.
  • Łatwe skalowanie rozwiązania w przypadku zwiększonego zapotrzebowania.
    (skalowanie oznacza możliwość płynnego zwiększenia mocy obliczeniowej i przestrzeni na dane serwerów utrzymywanych w chmurze).
  • Wysoka niezawodność i dostępność systemów w chmurze.
  • Niski koszt serwisu - krak konieczności ponoszenia kosztów wizyt zespołów technicznych w obiekcie, co przekłada się na wyższą reaktywność i dostępność takiej usługi, która w całości może zostać zrealizowana zdalnie.
BMS w chmurze bezpieczeństwo komunikacja danych

ConnectorIO Cloud BMS - bezpieczeństwo w chmurze i komunikacja danych.

Komunikacja danych do serwisu w chmurze

MQTT jest niezwykle prostym i lekkim protokołem transmisji danych

Jednostka Centralna systemu ConnectorIO służy wyłącznie do obsługi lokalnej transmisji danych w przypadku braku dostępu do chmury i buforowania danych. W przypadku, gdy serwis w chmurze jest dostępny, dane są przesyłane bezpośrednio z bramek do chmury.

W przypadku zawieszenia połączenia z chmurą Jednostka Centralna jest w stanie obsłużyć reguły automatyzacji urządzeń, które przechowuje w swoim oprogramowaniu opartym na systemie operacyjnym Linux ze specjalizowanym zestawem zabezpieczeń

Odbywa się to poprzez komunikację z digital-twinami urządzeń przez MQTT.

Proces instalacji i integracji urządzeń w ConnectorIO

W przypadku ConnectorIO najistotniejszym elementem procesu instalacji jest autoryzacja urządzenia w systemie, podczas której generowany jest token oraz cyfrowy bliźniak.

BMS w chmurze integracja urządzeń zabezpieczenia

ConnectorIO Cloud BMS - integracja urządzeń z chmurą i zabezpieczenia.

Czym jest token i do czego służy?

Token to unikalny "bilet", które zostaje przydzielony w systemie w chwili autoryzacji.

Istnieją dwie grupy tokenów:

  • token dla urządzeń,
  • token dla użytkowników.

Komunikacja w obrębie systemu jest możliwa tylko z identyfikatorem, hasłem i tokenem (3 poziomy).

Spośród tych trzech elementów tylko hasło może się zmieniać, token pozostaje ten sam (jest unikalny).

Unieważnienie tokena

Unieważnienie tokena oznacza, że dany użytkownik lub urządzenie traci dostęp do systemu - "znika" z bazy autoryzowanych obiektów.

Kto może unieważnić token?

- Wyłącznie SuperAdmin, czyli osoba o najwyższym możliwym uprawnieniu, która jest odpowiedzialna za właściwą obsługę, konserwację i nadzór nad systemem w chmurze może unieważnić token.

Podsumowanie

System typu ConnectorIO Cloud oparty na chmurze posiada cztery dodatkowe warstwy zabezpieczeń, których nie posiadają tradycyjne systemy typu SCADA, czy BMS.

  1. Największym czynnikiem ryzyka w przypadku tradycyjnych systemów jest łatwy dostęp do systemu za pośrednictwem haseł, która rzadko się zmieniają i często w organizacjach brakuje właściwych procedur ich przechowywania.
  2. Drugim czynnikiem ryzyka jest skala zagrożenia, które przedstawia bezpośredni atak na BMS, który można wykonać za pośrednictwem portów rozszerzeń komputera. Wprawdzie te urządzenia znajdują się w lokalach, do których dostęp jest ograniczony, ale skala szkód w przypadku ataku jest dużo większa, niż w przypadku ataku za pośrednictwem chmury.
  3. Tokeny autoryzujące użytkowników i urządzenia pozwalają wyeliminować ryzyko dostępu do systemu przez osoby niepowołane oraz umożliwiają centralne zarządzanie dostępami do usług i systemów budynku.
  4. Cyfrowe Bliźniaki są nie tylko reprezentacją wirtualną urządzeń fizycznych, ale również warstwą zabezpieczeń, gdyż usługa w chmurze nie ma dostępu do urządzenia.

Zapraszamy do dyskusji

Jeśli masz pytania, lub uwagi dotyczące prezentowanych rozwiązań, zapraszamy do skomentowania go poniżej.

Dziękujemy!

Aktualności ConnectorIO






Dodaj komentarz