fbpx
Nieuws

Kwetsbaar door onbeveiligde domotica

2

Duizenden gebouwbeheersystemen van ‘slimme’ woningen en kantoren wereldwijd zijn eenvoudig toegankelijk voor hackers. Dit constateert een ethisch hacker van Computest op basis van een security-onderzoek naar de KNX-standaard voor woning- en gebouwautomatisering.

Veel van deze systemen zijn aan het internet gekoppeld. Doordat deze systemen geen enkele vorm van authenticatie bevatten, kunnen kwaadwillenden hiermee op afstand onder meer de beveiliging, verlichting, airconditioning en verwarming van huizen en kantoren bedienen. In totaal zijn er 17.444 gebouwen met systemen die zijn gebaseerd op de KNX-standaard, waarvan 1.322 in Nederland. Hiermee is Nederland na Spanje en Duitsland het land met de meeste locaties die kwetsbaar zijn voor hackers.

Amsterdam is in ons land de stad met de meeste gebouwen met een KNX-systeem. De security-scan van Keuper liet verder zien dat ook in China, Amerika en Rusland gebouwbeheersystemen gebaseerd op de KNX-standaard te vinden zijn.

Beheer op afstand

Zowel bedrijven als particulieren verbinden steeds meer systemen met het internet, bijvoorbeeld voor monitoring en bediening op afstand. Het onderling koppelen van deze IoT-toepassingen zorgt voor extra gemak, maar brengt ook serieuze risico’s met zich mee.

Computest vermoedt dat KNX-systemen doorgaans door installateurs aan het internet gekoppeld worden om netwerken op afstand te kunnen configureren. Daarnaast wordt het protocol door sommige mobiele apps gebruikt om op afstand domotica-oplossingen te bedienen.

Verantwoordelijkheid

De verantwoordelijkheid voor een goede beveiliging van de systemen ligt volgens Computest zowel bij de leverancier, de installateur als bij de consument. De consument moet de installateur kunnen aanspreken op de security van het product. Het idee is dat deze installateur hetzelfde doet richting de leverancier en/ of andere partijen in de keten. Daarmee worden de leverancier en de installateur zelf ook kritischer in welke producten zij selecteren en zijn ze eerder in de positie om eisen te stellen en te kiezen voor partijen voor wie die de beveiliging van hun toepassingen een prioriteit is.

‘Aanvullende maatregelen nodig’

Branchevereniging Techniek Nederland vindt deze berichten verontrustend en neemt ze zeer serieus, meldt voorzitter Doekle Terpstra in een reactie. “Wij vinden dat we erop moeten kunnen vertrouwen dat een standaard als KNX goed beveiligd is tegen hacken. Dat lijkt helaas niet het geval te zijn.” Techniek Nederland neemt daarom zo snel mogelijk contact op met KNX om te bespreken hoe we tot oplossingen kunnen komen. “Wat ons betreft zijn er zo snel mogelijk aanvullende maatregelen nodig om ervoor te zorgen dat we kunnen vertrouwen op veilige gebouwbeheersystemen.”

Terpstra benadrukt dat de technische branche verantwoordelijkheid draagt. “Maar we kunnen het niet alleen. Ook norminstituten en fabrikanten moeten hun verantwoordelijkheid nemen; de normen moeten strenger en fabrikanten moeten hun producten veiliger maken. Vervolgens zullen wij er als technische branche scherp op toezien dat de producten en de normen waar we mee werken voldoende garantie bieden voor een veilig gebouwbeheersysteem.

Techniek Nederland stelt drie verbeterpunten voor:

  1. Standaarden en systemen die voldoende veiligheid garanderen
  2. Normen die rekening houden met systemen die zijn gekoppeld aan internet.
  3. Installateurs die voldoende kennis hebben om veilige systemen te plaatsen.

Zelf controleren

Gebouwbeheerders en consumenten kunnen zelf controleren of KNX-installatie veilig is op www.knxscan.com. Om de installatiebranche niet alleen bewust maken van dit probleem, maar ook te helpen het op te lossen, organiseert Computest bovendien op 19 maart een gratis training. Hiermee krijgen installateurs inzicht in de security-risico’s en hoe zij deze kunnen minimaliseren.

2 reacties op “Kwetsbaar door onbeveiligde domotica

  1. Rob schreef:

    Zou mooi zijn als jullie voor de nuance c.q. hoor-wederhoor ook de reactie van KNX Nederland in de berichtgeving opnemen. Raar dat geen enkele journalist KNX heeft gebeld. Zie KNX statement: https://smartinside.nl/timeline/news/gebouwen-en-woningen-met-knx-systemen-zijn-prima-te-beveiligen

  2. Edwin schreef:

    Volgens mij zegt dit niet veel over KNX, maar aan dat ene component, waarmee KNX aan internet wordt verbonden. Veelal geen KNX gecertificeerd product!
    Dus een nueance zou mijn inziens op z’n plaats zijn.
    De installatie is zo veilig als de ICT is ingericht!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.