Cybersecurity voor OT en IoT in gebouwen
De digitalisering van gebouwen brengt cybersecurityrisico's met zich mee die facilitaire organisaties niet mogen negeren. IoT-sensoren en gebouwautomatiseringssystemen waren traditioneel geïsoleerde netwerken, maar de koppeling met IT-systemen en cloud-platforms maakt ze kwetsbaar voor cyberaanvallen. Een gehackt BMS kan de klimaatregeling verstoren; gecompromitteerde sensoren leveren onbetrouwbare data.
Nederlandse context
Het Nationaal Cyber Security Centrum (NCSC) publiceert richtlijnen voor OT-beveiliging die ook gelden voor gebouwautomatisering. De NEN-EN-IEC 62443-reeks biedt een raamwerk voor industriële cybersecurity, toepasbaar op gebouwsystemen. De Wet beveiliging netwerk- en informatiesystemen (Wbni) stelt eisen aan organisaties in vitale sectoren. Met de komst van NIS2 worden deze eisen breder.
Kernbegrippen
- OT-security
- Beveiliging van Operational Technology: de systemen die fysieke processen aansturen. Verschilt van IT-security in levensduur, updatefrequentie en impactrisico.
- Netwerksegmentatie
- Het scheiden van OT- en IoT-netwerken van het kantoornetwerk en internet. Voorkomt dat een inbraak op het kantoornetwerk de gebouwsystemen bereikt.
- Firmware-update
- Software-update van de sensor of controller. Essentieel voor het dichten van beveiligingslekken, maar complex door het grote aantal apparaten en de beperkte updatecapaciteit.
- Default credentials
- Standaard gebruikersnaam en wachtwoord waarmee apparaten worden geleverd. Het niet wijzigen hiervan is een van de meest voorkomende beveiligingsfouten bij IoT-installaties.
- NIS2-richtlijn
- Europese richtlijn voor netwerk- en informatiebeveiliging die de reikwijdte van verplichtingen uitbreidt naar meer sectoren en strengere eisen stelt aan risicomanagement.
Wat de wet vereist
De NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet wordt geïmplementeerd, stelt eisen aan risicomanagement voor netwerk- en informatiesystemen. Voor organisaties in aangewezen sectoren (energie, water, gezondheidszorg, overheidsdiensten) geldt dat gebouwautomatisering onder deze eisen kan vallen wanneer het onderdeel is van kritieke processen.
De NEN-EN-IEC 62443 biedt het technische raamwerk voor OT-beveiliging. Het beschrijft beveiligingszones, toegangsbeheer en monitoring specifiek voor industriële en gebouwsystemen. Steeds meer opdrachtgevers nemen deze norm op als eis in bestekken voor gebouwautomatisering.
Voor FM-professionals betekent dit concreet: zorg voor netwerksegmentatie tussen OT/IoT en het kantoornetwerk, wijzig altijd standaardwachtwoorden bij installatie, houd firmware actueel via een gestructureerd patchbeleid en beperk fysieke en logische toegang tot gebouwsystemen tot geautoriseerde personen. Neem cybersecurity op als vast onderdeel van de risicobeoordeling bij IoT-implementaties en betrek de IT-beveiligingsfunctionaris bij ontwerp en beheer van het sensornetwerk.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via IoT-gebouwsensoren op FM Radar →