Duizenden gebouwbeheersystemen van ‘slimme’ woningen en kantoren wereldwijd zijn eenvoudig toegankelijk voor hackers. Dit constateert een ethisch hacker van Computest op basis van een security-onderzoek naar de KNX-standaard voor woning- en gebouwautomatisering. Uit het onderzoek blijkt dat de systemen die zijn gebaseerd op deze standaard, veelvoudig aan het internet gekoppeld worden. Doordat deze systemen echter geen enkele vorm van authenticatie bevatten, kunnen kwaadwillenden hiermee op afstand onder meer de beveiliging, verlichting, airconditioning en verwarming van huizen en kantoren bedienen.
In totaal zijn er 17.444 gebouwen met systemen die zijn gebaseerd op de KNX-standaard waarvan er zich 1.322 in Nederland bevinden. Hiermee is Nederland na Spanje en Duitsland, het land met de meeste locaties die kwetsbaar zijn voor hackers.
Doorgaans door installateurs aan internet gekoppeld
Computest vermoedt dat KNX-systemen doorgaans door installateurs aan het internet gekoppeld worden om netwerken op afstand te kunnen configureren. Daarnaast wordt het protocol door sommige mobiele apps gebruikt om op afstand domotica-oplossingen te bedienen.
Techniek Nederland zegt in een reactie deze berichten verontrustend te vinden. Woordvoerder Dick Reijman: “Wij vinden dat we erop moeten kunnen vertrouwen dat een standaard als KNX goed beveiligd is tegen hacken. Dat lijkt helaas niet het geval te zijn. Techniek Nederland neemt daarom zo snel mogelijk contact op met KNX om te bespreken hoe we tot oplossingen kunnen komen. Wat ons betreft zijn er zo snel mogelijk aanvullende maatregelen nodig om ervoor te zorgen dat we kunnen vertrouwen op veilige gebouwbeheersystemen.”
“Technische branche heeft een verantwoordelijkheid”
“Digitale beveiliging staat prominent op de agenda van Techniek Nederland”, vervolgt Reijman. “De technische branche heeft daarin een verantwoordelijkheid, maar we kunnen het niet alleen. Ook norminstituten en fabrikanten moeten hun verantwoordelijkheid nemen; de normen moeten strenger en fabrikanten moeten hun producten veiliger maken. Vervolgens zullen wij er als technische branche scherp op toezien dat de producten en de normen waar we mee werken voldoende garantie bieden voor een veilig gebouwbeheersysteem.”
Techniek Nederland vindt dat we op drie punten tot verbetering moeten komen:
1) Standaarden en systemen die voldoende veiligheid garanderen
2) Normen die rekening houden met systemen die zijn gekoppeld aan internet
3) Installateurs die voldoende kennis hebben om veilige systemen te plaatsen.
“Consument moet installateur kunnen aanspreken”
“Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit”, zegt Keuper die de securityscan uitvoerde. “Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is.” De verantwoordelijkheid voor een goede beveiliging van de systemen ligt volgens Computest zowel bij de leverancier, de installateur als bij de consument. De consument moet de installateur kunnen aanspreken op de security van hetgeen wordt geïnstalleerd. Het idee is dat deze installateur hetzelfde doet richting de leverancier en/ of andere partijen in de keten. Daarmee worden de leverancier en de installateur zelf ook kritischer in welke producten zij selecteren en zijn ze eerder in de positie om eisen te stellen en te kiezen voor partijen voor wie die de beveiliging van hun toepassingen een prioriteit is.
In gesprek met vertegenwoordigers van de installatiebranche
“Er is nog veel werk te verrichten in het bewust maken van de installatiebranche van de risico’s die deze slimme systemen met zich meebrengen”, vindt Petra Oldengarm, Directeur van Cyberveilig Nederland. “Daarnaast is het belangrijk dat men weet hoe deze risico’s moeten worden geminimaliseerd. Daarom zijn we in gesprek met vertegenwoordigers van de installatiebranche om initiatieven te ontplooien die bijdragen aan het ontwikkelen van het bewustzijn en het kennisniveau, zodat gebruikers kunnen vertrouwen op KNX-producten die in hun kantoor of huis worden geïnstalleerd.”
Zelf controleren of KNX-installatie veilig is
Om gebouwbeheerders en consumenten in staat te stellen te controleren of hun KNX-installatie veilig is, heeft Computest de site www.knxscan.com in het leven geroepen. Om de installatiebranche niet alleen bewust maken van dit probleem, maar ook te helpen het op te lossen, organiseert Computest bovendien op 19 maart een gratis training. Hiermee krijgen installateurs inzicht in de security-risico’s en hoe zij deze kunnen minimaliseren.