ConnectorIO Logo
English
  1. Strona główna
  2. Artykuły

Bezpieczeństwo Systemów Zarządzania Budynkiem / BMS

Ireneusz Krajewski, dnia 15 października 2019 Aktualizacja: 1 września 2023

Zarówno systemy BMS, jak i SCADA są tradycyjnymi rozwiązaniami stosowanymi w nieruchomościach/przemyśle do wspomagania systemów technicznych i produkcyjnych. Chociaż rola SCADA jest znacznie inna niż BMS, wiele z tych systemów ma wspólne korzenie i, co ważniejsze, zasady bezpieczeństwa oraz luki.

Tradycyjne systemy BMS/SCADA kontra rozwiązania Cloud i proptech

Główną różnicą pomiędzy systemami BMS i SCADA a bardziej nowoczesnym podejściem, wykorzystujące rozwiązania w chmurze lub proptech, jest łączność z Internetem. Oczekuje się, a nawet zaleca się, aby większość systemów BMS i SCADA pracowała w izolowanych sieciach. Przez izolowany oznacza, że nie ma dostępu do Internetu. Tak naprawdę, jak na to patrzymy, oba potrzebują jedynie dostępu do lokalnych zasobów, aby wykonywać swoją pracę.

W istocie rozwiązania proptech i chmurowe polegają na przenoszeniu danych i automatyzacji urządzeń do chmury. Musimy jasno powiedzieć, że operacji wrażliwych na czas nie można lub trudno jest przenieść poza sam budynek. Zatem to, jakie dane i procesy można przenieść, nadal zależy od faktycznego przypadku użycia.

Najczęstsze zastrzeżenia dotyczące Cloud BMS – Bezpieczeństwo danych

Jedną z częstych obaw menedżerów nieruchomości lub zespołów konserwacyjnych jest bezpieczeństwo danych poza budynkiem. Fakt, że tradycyjne rozwiązanie – komputer z systemem operacyjnym i oprogramowaniem BMS/SCADA, który fizycznie znajduje się na terenie nieruchomości, stwarza fałszywe poczucie bezpieczeństwa. Czy słyszałeś o oprogramowaniu ransomware, które szyfruje dane na komputerach i żąda okupu za ich odszyfrowanie? Zobaczmy, dlaczego izolacja sieci stwarza fałszywe poczucie bezpieczeństwa.

Are local systems secure or is it just an assumption

Polecamy prezentację Michała Kurka z organizacji OWASP, którą znajdziesz poniżej. Wskazuje, że izolowana sieć nie jest wystarczająca w dzisiejszych czasach. Dzieje się tak dlatego, że sieci są coraz częściej segmentowane i łączone.

Polecamy prezentację Michała Kurka z organizacji OWASP, którą zamieszcamy poniżej.

OWASP Poland Day 2018 - Michal Kurek - Application Security in IIoT World Materiał OWASP Polska.

Szybkie podsumowanie powyższego materiału – nigdy, przenigdy nie umieszczaj swojego BMS-a w sieci publicznej. Sieć, do której można dotrzeć z Internetu bez odpowiedniego firewalla, narażona jest na wiele zagrożeń. System BMS na pewno tego nie przetrwa.

Luki w zabezpieczeniach lokalnego BMS

Systemy i sieci lokalne są bezpieczne, tak długo jak ludzie odpowiedzialni za ich działanie, stosują zasady bezpiecznej eksploatacji. Niestety, nie wszystkie z nich są łatwe czy przyjemne do wprowadzenia. Najnowsze rekomendacje specjalistów ds. bezpieczeństwa zalecają migrację do polityk “zero trust” w miejsce segmentacji sieci oraz “zero trust architecture” na poziomie aplikacji.

Zidentyfikowaliśmy kilka bardzo istotnych luk, które przedstawiono poniżej:

  • Stacje robocze, na których uruchamiany jest BMS (workbench lub przeglądarka) bardzo często opierają się na systemie operacyjnym Windows. Chociaż może nie jest to najbardziej bezbronny system na rynku, z pewnością jest najpopularniejszy, co czyni go częstym celem ataków. Ze statystyk wynika, że nadal 70% komputerów stacjonarnych (w tym laptopów) opiera się na systemie Microsoft Windows.
  • Używane oprogramowanie inżynieryjne jest powszechnie oparte na systemie Windows, dlatego inżynierowie pracujący na laptopach i tak podłączą swoje maszyny do Twojej sieci. Trudno tego uniknąć, gdyż dostosowanie BMS-u i sterowników w większości przypadków wymaga użycia dedykowanego oprogramowania.
  • Najbardziej wydajne sterowniki mogą same obsługiwać podstawowe funkcje BMS. Wiele z nich, ze względu na złożoność systemu operacyjnego, będzie wymagało regularnej konserwacji oprogramowania i oprogramowania sprzętowego (firmware). Pozostawienie takiego kontrolera w spokoju, bez poprawek na okres kilku miesięcy, sprawi, że będzie on coraz bardziej podatny na szersze spektrum zagrożeń. Nawet urządzenia z systemem Linux, bez odpowiednich środków bezpieczeństwa, mogą zostać wykorzystane do przeprowadzenia ataku. Zobacz Złośliwe oprogramowanie Mirai.

Wszystko to stwarza poważne zagrożenie, gdyż brak odpowiednich procedur utrzymania i zabezpieczania danych i systemów będzie prowadził do kumulacji ryzyk. Biorąc pod uwagę to, że większość instalacji BMS i systemów SCADA jest połączona w sieć, infekcja jednego urządzenia może szybko rozprzestrzenić się, prowadząc do propagacji uszkodzeń.

Chociaż wiele ataków sieciowych może wykorzystywać najczęstsze luki w zabezpieczeniach, pierwsza infekcja może prowadzić do zainstalowania niebezpiecznych exploitów i dalszych ataków. Znane są przypadki infekcji, które przez długi czas pozostawały niewidoczne, aby przygotować grunt pod atak na pożądany system. Takie przygotowanie może doprowadzić do ATAKU NA BMS, który przyniesie niebezpieczne skutki dla całej infrastruktury sprzętowej. Wiele urządzeń automatyki zwykle nie ma żadnej dodatkowej warstwy zabezpieczeń, a nawet jeśli, to często będzie słuchać zepsutego BMS-a.

W przypadku zainfekowania BMS bardzo często konieczne będzie wykonanie jego instalacji od nowa, wraz z inwentaryzacją, aktualizacją bądź wymianą części urządzeń.

Bezpieczeństwo urządzeń IoT i IIoT

Odpowiednio wykonane urządzenia IoT i IIoT powinny być zgodne ze standardami branżowymi i praktykami w zakresie bezpieczeństwa.

Poniżej przedstawiamy główne cele dla sprzętu IoT/IIoT, zgodnie z rekomendacjami IoXT Alliance. Poniższe rekomendacje warto uwzględnić również w przypadku zwykłych instalacji BMS:

  1. Brak wspólnych i uniwersalnych haseł: jednym z pierwszych ataków na urządzenia sieciowe są tzw. ataki słownikowe (dictionary attacks), które są w pełni zautomatyzowane.
  2. Zabezpieczenie interfejsów: upewnij się, że zapory sieciowe (network firewalls) są włączone i uruchomione oraz że oprogramowanie, które łączy się do sieci, faktycznie jej potrzebuje.
  3. Sprawdzona kryptografia: polegaj na standardach branżowych, jeśli chodzi o kryptografię; śledź porady dotyczące tego, które algorytmy są niepewne.
  4. Domyślne bezpieczeństwo: produkty muszą być odpowiednio zabezpieczone przez producenta i być bezpieczne od razu po “wyjęciu z pudełka” lub instalacji.
  5. Zweryfikowane źródła oprogramowania: oprogramowanie, pakiety i instalatory podpisane cyfrowo ograniczają wykorzystanie nieautoryzowanego oprogramowania.
  6. Aktualizacje automatyczne: zarówno system operacyjny, jak i samo oprogramowanie powinny zostać automatycznie zaktualizowane w przypadku pojawienia się nowych podatności.
  7. Zgłaszanie luk w zabezpieczeniach: upewnij się, że zgłoszone zagrożenia są oceniane i łatane w odpowiednim czasie.
  8. Wygaśnięcie ważności zabezpieczeń: jasno określ, jak długo będą dostarczane aktualizacje zabezpieczeń.

Możesz spojrzeć na powyższe jak na kartę oceny i sprawdzić jak bezpieczny już teraz jest Twój BMS.

Ekstrakcja danych BMS do chmury za pomocą ConnectorIO

Dane operacyjne budynku można wyodrębnić z BMS lub systemów automatyki. W ConnectorIO w większości przypadków opieramy się na systemach automatyki, ponieważ wiele z nich posiada interfejsy zgodne ze standardami. Możemy zapewnić funkcjonalność, która będzie współpracować z instalacją BMS, jeśli taki system będzie posiadał przejrzysty interfejs komunikacyjny (API).

Wybierając rozwiązanie ConnectorIO, możesz skorzystać z zalet, jakie oferują rozwiązania w chmurze:

  • Aktualizacje automatyczne - jeśli zdecydujesz się na korzystanie z ConnectorIO® Gateway, możemy zająć się aktualizacjami systemu operacyjnego i oprogramowania.
  • Jednolita wersja - nasz Agent ConnectorIO® jest modułowy, dlatego nie wymaga głębokich dostosowań, co ułatwia jego konserwację.
  • Wysoka niezawodność i dostępność - wszystkie dane Twojego systemu mogą być przechowywane w chmurze.
  • Niższe koszty utrzymania - nasz system w dużym stopniu opiera się na automatyzacji i zarządzaniu konfiguracją, można go wdrożyć bez wizyt na miejscu.
Our solutions work with openHAB

ConnectorIO

Ⓒ ConnectorIO sp. z o.o.
Connectorio Sp. z o.o.
Nieszawska 4b
03-382 Warszawa, Polska
NIP: PL5242877034
KRS: 0000758107

ConnectorIO jest znakiem towarowym należącym do i licencjonowanym przez firmę Code-House, Łukasz Dywicki.
Znak ® obok logo lub nazwy oznacza, że wymieniona marka lub logo jest zarejestrowanym znakiem towarowym należącym do odpowiedniego właściciela.
Ilustracje do technologii autorstwa Storyset