Geen fysieke beveiliging zonder goede cybersecurity
Door digitalisering van beveiligingstechnologie is cybersecurity voor een gebouw net zo belangrijk geworden als fysieke beveiliging. Dat benadrukt Tomáš Vystavěl, chief product officer bij 2N. Zijn bedrijf ontwikkelt toegangssystemen en intercoms op basis van IP. Vystavěl legt uit waarom cybersecurity voor dergelijke apparatuur een absolute voorwaarde is geworden.
Dat computers en bedrijfsnetwerken beveiligd moeten worden tegen cyberaanvallen vindt iedereen vanzelfsprekend. Hetzelfde geldt voor andere apparaten die online met elkaar in verbinding staan, maar daar wordt minder vaak aan gedacht. “Je hebt te maken met een groot aantal dreigingen”, waarschuwt Vystavěl. “Zeker waar het apparatuur voor de fysieke beveiliging van gebouwen betreft. Niet voor niets voeren wij meerdere beveiligingslagen door in al onze producten. Al in het ontwerp kijken wij uitvoerig naar hoe onze apparatuur aangevallen zou kunnen worden, hoe men zo de fysieke beveiliging zou kunnen omzeilen en hoe inbreuk gemaakt zou kunnen worden op de privacywetgeving.”
Niet zonder risico
Zouden criminelen dan werkelijk een cyberaanval uitvoeren om een gebouw binnen te komen? “IP-technologie heeft veel voordelen. De apparaten zijn eenvoudig te installeren en kunnen op afstand worden beheerd of worden aangesloten op systemen van derden”, legt Vystavěl uit. “Maar gebruik maken van internettechnologie is niet zonder risico’s. Het biedt de mogelijkheid van cyberaanvallen van buitenaf. In die zin is cyberweerbaarheid van een gebouw net zo belangrijk geworden als de fysieke beveiliging ervan. Wij passen bijvoorbeeld het 802.1x-protocol toe om te voorkomen dat criminelen via de bekabeling van een buitenintercom toegang krijgen tot het netwerk. Maar ook de intercom zelf vraagt om goede bescherming. Om te voorkomen dat iemand ongeautoriseerd het gebouw binnen komt, maar ook om de persoonsgegevens te beschermen waar de intercom mee werkt. Dat geldt voor de intercom, maar ook voor andere componenten van een toegangssysteem. Wie deze hackt, heeft vrij toegang tot het gebouw.”
Hackers en AVG
Om het hacken van het toegangssysteem te voorkomen, werkt 2N onder andere met versleutelde communicatie en vijf verschillende niveaus voor toegang tot het systeem. Ook is het mogelijk om het toegangssysteem geheel gesloten uit te voeren. Verder worden gebruikers gedwongen om een sterk wachtwoord in te stellen en zijn de systemen beveiligd tegen ‘brute force attacks’, waarbij in korte tijd complete woordenboeken op het systeem worden afgevuurd om het wachtwoord te raden.
Om het lekken van persoonsgegevens te voorkomen zijn de systemen van 2N ontworpen op basis van de richtlijnen van de privacy-autoriteiten. Zo wordt bijvoorbeeld voorkomen dat externen toegang krijgen tot camerabeelden in woningen of dat buren elkaar kunnen bespioneren. Toch gaat volgens Vystavěl ook weer niet alles automatisch. Zowel de gebruiker als de installateur dienen goed op de hoogte te zijn van wat de AVG voorschrijft, omdat dit per situatie en per land verschilt.
Effectieve verdediging
“Alle componenten van een systeem zijn relevant voor een effectieve verdediging”, vervolgt Vystavěl. “Een zwakte in één enkel product kan het hele systeem in gevaar brengen. Daarom is het cruciaal dat wij ons concentreren op de beveiliging van elk niveau en elke toepassing. Onze IP-gebaseerde apparaten zijn belangrijke componenten binnen toegangsoplossingen, waardoor de cybersecurity gewaarborgd dient te zijn. Dat begint met de fysieke beveiliging van de producten. Daarom passen we versterkte materialen toe en een ingebouwd mechanische of een optische sabotageschakelaar om onbevoegde toegang tot het apparaat te signaleren. Daarnaast vormt veilige communicatie de ruggengraat van de beveiliging. Vooral waar gevoelige gegevens worden opgeslagen. De daarvoor benodigde functies en protocollen worden daarom standaard in onze apparaten geïntegreerd. Het gaat hierbij onder andere om HTTPS-gegevensversleuteling, versleuteling van het SIP-protocol van intercoms en het 802.1X-protocol tegen het ‘kapen’ van poorten.”
Wachtwoorden en firmware
Veel IoT-producten zijn makkelijk te hacken doordat het fabriekswachtwoord niet is veranderd of omdat men 12345 als wachtwoord heeft gekozen. Met de producten van 2N is dat niet mogelijk. Wachtwoorden worden versleuteld opgeslagen en gekoppeld aan een bepaald autorisatieniveau, zodat niemand onnodige bevoegdheden hoeft te krijgen.
Een ander cyberrisico vormt verouderde firmware in veel apparaten. 2N gaat dit tegen door zoveel mogelijk te werken met eigen firmware (2N OS) en beheerders direct te waarschuwen als er nieuwe versies beschikbaar zijn. Aanvankelijk wilde 2N automatisch updates doorvoeren, maar dat vindt niet iedere gebruiker een goed idee. Elke vier maanden brengt de fabrikant een grote update uit, die klanten gratis kunnen implementeren. “Niet iedere gebruiker wil hiermee bezig zijn”, beseft Vystavěl. “Maar het ‘patchen’ van software is nu eenmaal noodzakelijk voor producten die met internet zijn verbonden. We proberen het in ieder geval zo eenvoudig mogelijk te houden.”
Gebruikersgemak en veiligheid
Gaat veiligheid ten koste van gebruikersgemak of andersom? Vystavěl: “Steeds meer gebruikers vinden het handig om hun telefoon als sleutel te gebruiken. Dat kan met onze 2N® Mobile Key-app en Bluetooth-lezers. Ook dan heb je te maken met cyberrisico’s. Daarom wordt versleuteling van de communicatie tussen telefoon en lezer uitgevoerd op het hoogste niveau dat met Bluetooth mogelijk is en werken we met een eigen kanaal voor de sleuteluitwisseling en de daaropvolgende communicatie. De beheerder kan bovendien instellen hoe lang de virtuele sleutel gebruikt mag worden. Ook is het maximale afstandsbereik voor Bluetooth-communicatie in te stellen. Via multi-factor authenticatie kan gebruikers worden gevraagd om hun Bluetooth-inloggegevens te combineren met andere typen, zoals een RFID-chip of een pincode via een in-app-toetsenbord. Als een smartphone verdwijnt kan de beheerder snel de toegangsrechten verwijderen via de webinterface van de lezer of via de 2N® Access Commander.”
Cloud
De apparatuur van 2N werkt ook via de cloud. De fabrikant heeft met My2N een vertrouwd platform hiervoor. Dit stelt beheerders in staat om installaties, 2N-producten en -diensten op afstand te beheren, waardoor op kosten voor onderhoud en reizen naar de locatie wordt bespaard. 2N® Mobile Video is de belangrijkste service die wordt aangeboden via het My2N-platform.
Biometrie
Een gevoelig onderwerp binnen de AVG is het gebruik van biometrische gegevens als ‘sleutels’ tot gebouwen. Wat doet 2N om daar inbreuk of AVG-boetes mee te voorkomen? Vystavěl: “We slaan geen vingerafdrukken op, maar gecodeerde biometrische sleutels. Die zijn niet naar de originele vingerafdruk terug te herleiden. De vingerafdruklezer gebruikt dus alleen een reeks cijfers in de vorm van een binaire code. Het is ook belangrijk om te weten dat er geen andere soorten persoonlijke gegevens worden gebruikt of verwerkt wanneer het product in gebruik is.” De lezers zijn uiteraard ook beveiligd tegen misleiding. Ze reageren volgens Vystavěl niet op nepvingerafdrukken van papier, latex, siliconen, rubber of gelatine. De apparatuur van 2N wordt in veel sectoren gebruikt, waaronder banken, onderwijs en overheid. Nauwkeurigheid en veiligheid zijn essentieel bij deze toepassingen. “Daarom concentreren wij ons sterk op uitgebreide beveiligingsmaatregelen met betrekking tot toegangsbeheer, gegevensbeveiliging en zeker ook de fysieke beveiliging van onze producten”, besluit Vystavěl.