Facility/Property management blog

Kiberbiztonság 

Kiberbiztonság és facility management


A mai világban, ahol a technológia kulcsfontosságú szerepet játszik a létesítmények irányításában és fenntartásában, a kiberbiztonság fontosságát nem lehet eléggé hangsúlyozni. A facility management és az épülettechnológia jelentősen fejlődött, a HVAC- és épületautomatizálási rendszerek a modern létesítmények szerves részévé váltak. Ezek a rendszerek számos előnyt kínálnak, az energiahatékonyságtól kezdve a jobb komfortérzetig és az üzemeltetés ellenőrzéséig. Ez a megnövekedett összekapcsolhatóság azonban olyan kiberfenyegetéseknek is kiteszi a szervezeteket, amelyek megzavarhatják a működést, veszélyeztethetik az érzékeny adatokat, és potenciálisan veszélyeztethetik a biztonságot is.

Múlt heti blogbejegyzésünkben a költségcsökkentés egyik kulcsfontosságú tényezőként azonosítottuk az innováció és a technológia alkalmazását. Rámutattunk, hogy az intelligens technológiák és a felhőalapú szoftverek alkalmazása a különböző műveletek távoli felügyeletére és irányítására lehetővé teszi a tevékenységek, az ütemezések és a berendezések karbantartásának valós idejű nyomon követését. Az okos épületmenedzsment rendszerek segítenek az energiafelhasználás optimalizálásában és az üzemeltetési költségek csökkentésében is. Mindez persze megnöveli a kiberbűnözéssel kapcsolatos veszélyeket, illetve az okozható kár mértékét is. A kiberbiztonságra fordított összegek komoly kiadást jelenthetnek, de már egyetlen támadás esetén is megtérülnek. Eheti bejegyzésünkben e témakört járjuk egy kicsit jobban. 

Annál is inkább időszerű ez, mert december 8-án jelent meg egy kiváló írás a Realista.ingatlan.com-on arról, hogy a kiber- és digitális technológiai kockázatok az üzleti vezetők rémálmát jelentik. Ebben hivatkoznak a PwC 2023-as Global Risk Survey c. felmérésére, amelyből kiderül, hogy az üzleti vezetők 37%-a szerint vállalatuk jelentősen kitett a kiberkockázatoknak – ez alig marad el az inflációs kockázatok mögött (39%) –, míg a kockázatkezelési vezetők a kiberfenyegetéseket még az inflációnál is magasabbra rangsorolják. Ennek ellenére a megkérdezettek mindössze 10%-a használ fejlett prediktív elemzéseket a kockázatkezelési folyamatok innovációjára. 

Márpedig a fenyegetés egyre nő. Az INTECH Automation-Intelligence szerint 2019-ben az IBM az operatív (ipari folyamatokat és rendszereket, például gyártási folyamatokat és energetikai infrastruktúrát érintő) technológia (OT) elleni kiberbiztonsági incidensek megdöbbentő, 2000%-os növekedéséről számolt be. A jövőre nézve minden évben 30%-os növekedést jósoltak akkor. Egy támadás bekövetkezésének valószínűsége tehát egyre nő. A létesítmények üzemeltetőinek tudniuk kell, hogy a fenyegető szereplők, a magányos hackerektől egészen akár külföldi kormányokig, az épületvezérlő rendszerek felé fordították figyelmüket, mert sokkal könnyebben behatolható célpontnak tekintik őket. Az okok változatosak, az épületrendszerek elleni támadás végeredménye az üzletmenet megzavarásához, emberi sérülésekhez, sőt akár halálhoz is vezethet. 

A Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations (Az amerikai kórházak, klinikák és más egészségügyi ellátó szervezetek elleni ransomware-támadások tendenciái) című jelentés szerint pedig 2016 és 2021 között csak az egészségügyi intézményekre irányuló zsarolóvírus-támadások száma megduplázódott az USA-ban. E támadások közül 32 több mint két hétig tartó működési zavarhoz vezetett. 

Milyen módon történhetnek ezek a fenyegetések? A kiberkockázat a számítógépek, hálózatok és digitális rendszerek használatából eredő veszélyeket jelenti. Ez magában foglalhatja a kiberbűnözést, adatlopást, illetéktelen hozzáférést, rosszindulatú szoftverek telepítését és egyéb digitális fenyegetéseket. Az Executech 15 fajtáját sorolja fel:

– rosszindulatú szoftver (malware)
– jelszó lopás
– a forgalom „lehallgatása”
– adathalász támadás (phishing)
– túlterheléses támadás (DDoS)
– rosszindulatú kódok a weboldalra (XSS)
– szoftver vagy hardver sebezhetőségének kihasználása (Zero-Day Exploit)
– adatbázis elleni támadás (SQL Injection)
– az emberek közötti kapcsolatokra és társadalmi viselkedésre támaszkodó támadás (Social Engineering)
– két másik fél közötti adatkapcsolatba történő beavatkozás (MitM Attack)
– zsarolóvírus (ransomware)
– kriptobányászat engedély nélkül (cryptojacking)
– rosszindulatú kódok elrejtése sűrűn látogatott weboldalon (Watering Hole Attack)
– rosszindulatú kód vagy malware telepítése egy felhasználó számítógépére vagy eszközére, amikor az csak egy weboldalt látogat meg (Drive-By Attack)
– trójai vírus 

Az épületirányításban alkalmazott, IoT technológiát használó eszközök száma a mostani 1,7 milliárdról várhatóan 3 milliárdra nő 2025-re, amiben fontos szerepet játszik, hogy a tulajdonosok és üzemeltetők egyre több kereskedelmi ingatlan esetében nyúlnak a digitalizációhoz és használnak épületirányítási rendszereket a létesítmények korszerűsítésére. Így ezek a kereskedelmi épületek gyakorlatilag a jövő intelligens épületeivé alakulnak, csakhogy mindeközben fokozatosan nő a kiberbiztonsági kockázatuk. 

Milyen kiberbiztonsági kockázatok vannak a létesítménygazdálkodásban?

  1. Épületirányítási rendszerek (BMS) sebezhetőségei

Az okos épületirányítási rendszerek, amelyek a fűtés, szellőzés, légkondicionálás (HVAC), világítás és egyéb rendszerek automatizált vezérlését végzik, sebezhetőek lehetnek kiberbiztonsági támadásokra. Amennyiben ezek a rendszerek nincsenek megfelelően védve, akár távolról is manipulálhatók, ami veszélyeztetheti az épület biztonságát és energiahatékonyságát. 

  1. Épületi hálózatok sebezhetőségei

Az épületen belüli hálózatok, beleértve az internetes kapcsolatokat és az IoT eszközöket, olyan sebezhetőségeket hordoznak magukban, amelyeket a támadók kihasználhatnak. Az eszközök és rendszerek biztonságos beállítása és frissítése elengedhetetlen. 

  1. Adatvédelmi kockázatok

A facility management során nagy mennyiségű érzékeny adatot kezelnek, például biztonsági kamerák felvételeit, belépési rendszerek naplóit, energiafogyasztási adatokat stb. Ezeknek az adatoknak a védelme létfontosságú, mivel azoknak a kiszivárgása súlyos következményekkel járhat. 

  1. Személyzeti hozzáférési jogosultságok kezelése

Az épületi rendszerekhez és adatokhoz való hozzáférés korlátozása és az alkalmazottak jogosultságainak kezelése alapvető fontosságú. Ha a jogosultságok konfigurálása nem megfelelő, az növelheti a belső fenyegetéseket. 

  1. IoT eszközök biztonsága

A dolgok internete (IoT) eszközök egyre gyakrabban kerülnek be az épületekbe, például okos termosztátok, intelligens világítás vagy okos érzékelők. Ezek az eszközök gyakran sebezhetőek lehetnek, és ha nem frissítik rendszeresen a szoftverüket, könnyen célponttá válhatnak támadások során. 

  1. Szociális mérnöki támadások

Az alkalmazottak, a bérlők vagy a vendégek ellen irányuló úgynevezett szociális mérnöki (az embereket manipuláló, a felsorolásban szereplő social engineering) támadások (pl. a phishing) szintén jelentős kockázatot jelentenek. Az ilyen típusú támadások célja lehet a hozzáférési adatok megszerzése vagy más károkozó tevékenységek elindítása. 

Vagy Giller Tamásnak a kiberbiztonság és ingatlanüzemeltetés kapcsolódási pontjaival foglalkozó tavalyi cikkének felosztása szerint:

– infrastruktúrabiztonság (az épület és az abban élők védelme)
– alkalmazásbiztonság (különböző informatikai szoftverekben és alkalmazásokban lévő adatok és információk védelme)
– hálózatbiztonság (általánosságban a hálózatok védelme)
– felhőbiztonság (felhőben lévő adatok, információk védelme)
– IoT-biztonság (okoseszközök, hardvervédelem)

Mit lehet tenni a kiberbiztonsági kockázatok csökkentésére a facility managementben?

  1. Hálózati biztonság erősítése

Telepítsen tűzfalakat és biztonsági rendszereket a hálózatokon, hogy megvédje azokat a külső támadásoktól! Használjon erős jelszavakat és kétlépcsős azonosítást a rendszerekhez való hozzáféréshez! Rendszeresen frissítse a biztonsági protokollokat és szoftvereket a sebezhetőségek minimalizálása érdekében! 

  1. Épületirányítási rendszerek biztonságának növelése

Végezzen rendszeres biztonsági ellenőrzéseket az épületirányítási rendszereken (BMS) és az IoT eszközökön! Konfigurálja az eszközöket úgy, hogy csak szükséges funkciókat engedélyezzenek, és tiltson le minden felesleges szolgáltatást! Rendszeresen frissítse a BMS szoftvereket és firmware-eket! 

  1. Adatvédelem és adatkezelés

Rendszeresen mentse az érzékeny adatokat és tárolja azokat biztonságos helyeken! Korlátozza az adathozzáférést és vezessen be szigorú jogosultságkezelési gyakorlatot! Képezze ki a személyzetet az adatvédelmi eljárásokra és a biztonságos adatkezelésre vonatkozóan! 

  1. Szociális mérnöki támadások elleni védelem

Oktassa és tájékoztassa a személyzetet a szociális mérnöki támadásokról, és hangsúlyozza a figyelmet az adatbiztonságra! Hozzon létre és hajtson végre egy szigorú hozzáférés-ellenőrzési politikát, hogy megakadályozza a nem jogosultakat az érzékeny területekhez való hozzáférésben! 

  1. Rendszeres biztonsági oktatás és a tudatosság növelése

Rendszeresen szervezzen kiberbiztonsági oktatásokat a munkavállalók számára, és hangsúlyozza az aktuális fenyegetéseket és védelmi intézkedéseket! Biztosítsa, hogy minden alkalmazott ismerje az épületbiztonsági és informatikai rendszerekkel kapcsolatos legjobb gyakorlatokat! 

  1. Vészhelyzeti tervek kidolgozása

Készítsen elő vészhelyzeti terveket a kiberbiztonsági incidensekre való gyors reagáláshoz! Gyakorolja az ilyen típusú vészhelyzeti helyzeteket, hogy a személyzet felkészült legyen a kiberbiztonsági események kezelésére! 

  1. Szolgáltatók és beszállítók értékelése

Értékelje a facility management rendszerekhez és szolgáltatásokhoz kapcsolódó külső szolgáltatók és beszállítók kiberbiztonsági intézkedéseit, és követeljen megfelelőséget a biztonsági standardokkal!

Időközönként meg lehet változtatnia a jelszavakat, lehet gyanakvó a linkekkel vagy a csatolmányokkal szemben, meg kell ejtenie a (heti) biztonsági mentéseket és ellenőrizni a távoli hozzáférést, de semmi sem fog sikerre vezetni a hozzáállás megváltoztatása nélkül. A Buildings.com szerint kiberbiztonság mindennél inkább a gondolkodásmódnál kezdődik: 

  1. Szerver protokollok végrehajtása

Minden számítógépet, amelyen épületvezérlést futtatunk, kezeljen szerverként! Ne használja ezeket az eszközöket közvetlen internet-hozzáférésre sem! 

  1. Ellenőrizze, hogy mi van veszélynek kitéve!

Milyen messzire terjed ki a Wi-Fi az épületén kívül? Vannak olyan kihasználatlan Ethernet-csatlakozói, amelyek még aktívak? Kinek van belépése az informatikusok helyiségébe? 

  1. Frissítse az eszközleltárt!

Tudnia kell, hogy milyen eszközei vannak, hogyan vannak csatlakoztatva, és kinek, kiknek van hozzáférése hozzájuk. Ha nincs pontos hálózati diagramja, nem tudja védeni a határokat. 

  1. Szigetelje el az épületrendszereket!

Hozzon létre egy DMZ-hálózatot (demilitarizált zónát, más néven demarkációs zónát vagy határhálózatot) az operatív technológia elszigetelésére, ami egy olyan szegmentáció, amely csak bizonyos forgalmat engedélyez bizonyos jogosultságokkal. 

  1. Mindenkit ellenőrizzen le!

Folytasson zéró bizalmi politikát, vagyis soha ne bízzon senkiben, mindig ellenőrizzen mindenkit! Ez kritikus fontosságú a saját eszközzel érkező látogatók és szállítók esetében (is). Kezdjen el mindenkit átvizsgálni, mintha a létesítménye olyan fontos lenne, mint egy erőmű. 

Nem kell kifinomult támadás ahhoz, hogy egy rosszindulatú hacker egy kereskedelmi épületben káoszt okozzon: 

Kórházak

Képzeljen el egy 10 emeletes kórházat, amelynek minden emeletén csak 100 IoT-eszköz található – ez 1.000 potenciális behatolási pontot jelent! Már a világítás lekapcsolása vagy a túlnyomás megszüntetése is katasztrofális lehet. 

Sport- és szórakozóhelyek

Mi történne, ha valaki feltörné az óriáskivetítő vezérlőjét, és sürgős épületkiürítési üzenetet tenne közzé? Néhány billentyűleütés elég lenne ahhoz, hogy tömegpánikot idézzen elő. 

Gyártás

Egy gyártósor leállításának költségei azonnal jelentkeznek. Ez valódi pénzveszteség másodpercek, nemhogy órák alatt. 

Ipari létesítmények és laboratóriumok

Mindenféle gázt használnak és tárolnak az épületekben, különösen azokban, ahol tudományos vizsgálatokat végeznek. A nitrogén-, hidrogén-, halon- vagy gáz szelep egyszerű kinyitása is végzetes következményekkel járhat. 

„Az intelligens épületek kiberbiztonsági stratégiájának újraindításához az első lépés az egyértelmű felelősségi körök meghatározása és a kibermenedzsment beágyazása a létesítmények működésébe a beszerzés, a technológiairányítás és a személyzet képzése terén. A létesítménygazdáknak nem szabad önállóan egy silózott kiberprogramot kidolgozniuk, hanem inkább az informatikai és biztonsági kollégáikkal kell együttműködniük, hogy a kiberbiztonságot integrálják a különböző épületirányítási folyamatokba.”

véli Rodolphe D’Arjuzon, a Verdantix globális kutatási vezetője.

Miközben a legtöbb vállalkozás védi az alkalmazottak és a pénzügyi adatokat, figyelmen kívül hagy egy egyszerű tényt: minden, az internetre csatlakozó épületrendszer ki van téve a hackerek veszélyének. Ez hatalmas lehetőséget jelent a rosszakaratúak számára, hogy ne csak megzavarják a működést, hanem akár életeket is veszélybe sodorjanak. E fenyegetés elleni, már a tervezés szakaszában történő védekezés az egyik első számú prioritássá vált mind a tulajdonosok, mind a property managerek, mind a létesítménygazdálkodók számára.

A címlapkép forrása: Freepik.com
Közzététel: 2023. december 19.

Cybersecurity and facility management

In today’s world, where technology plays a key role in managing and maintaining facilities, the importance of cybersecurity cannot be overstated. Facility management and building technology has evolved significantly, with HVAC and building automation systems becoming an integral part of modern facilities. These systems offer many benefits, from energy efficiency to improved comfort and operational control. However, this increased connectivity also exposes organisations to cyber threats that can disrupt operations, compromise sensitive data and potentially compromise security.

BIG-HAUSE Kft.

A SIKERES MUNKAHELYEK GONDOS GAZDÁJA

A hét idézete: „Minél sterilebb egy háztartás, annál inkább szenvednek a lakói az allergiától és egyéb autoimmun betegségektől.” (Giulia Enders)

A hét blogbejegyzése: A beszerzés jövője

Az ÉKM-rendelet szerint az építőipari rezsióradíj min. 5856 Ft. A MATISZ ajánlása alapján az irodai takarításé 2024-ben min. 3629 Ft. Mi ehhez tartjuk magunkat...

Kérje ingyenes árajánlatunkat!

24 órán belül visszajelzünk Önnek!