Wat bij het in Amsterdam gevestigde Applied Risk begon als nieuwsgierigheid naar hoe op afstand deuren zijn te ontgrendelen en te openen, groeide uit tot een onderzoeksproject dat het proces van het manipuleren van complete gebouwen evalueerde. De uitkomsten zijn schokkend. Op meer dan honderd manieren is gebouwtechnologie door derden over te nemen.

Applied Risk is gespecialiseerd in beveiligingsonderzoeksprojecten. Het bedrijf onderzoekt onder andere kritische componenten in het hart van industriële systemen. In het verleden zijn zo kritieke kwetsbaarheden ontdekt in veelgebruikte industriële componenten en protocollen zoals WirelessHART en Safety PLC’s. Daarbij wordt geprobeerd om samen met de leveranciers de kwetsbaarheden te repareren.

Ongeautoriseerd
Recent deed het bedrijf onderzoek naar mogelijkheden om ongeautoriseerd op afstand deuren te ontgrendelen en te openen. Dat onderzoek werd steeds breder getrokken en omvatte uiteindelijk ook toegangscontrolesystemen, brandmeldsystemen, beveiligingscamera’s, verwarming, ventilatie en airconditioning (HVAC), liftbesturing, stroom- en lichtregelsystemen, systemen voor weersbewaking en meer. Het beïnvloeden van elk van deze systemen kan storingen, schade en veiligheidsrisico’s voor de betreffende organisatie veroorzaken, aldus de onderzoekers.

Zero day kwetsbaarheden
Dit onderzoek besloeg een tijdlijn van een jaar en resulteerde in de ontdekking van meer dan honderd zogenoemde zero day kwetsbaarheden die van invloed zijn op verschillende componenten van de gebouwautomatisering. Het bedrijf publiceerde hierover een rapport, dat gratis gedownload kan worden via deze link. Het rapport gaat in op de veel voorkomende uitdaging van cybersecurity voor gebouwbeheersystemen en de onderliggende componenten. Belangrijke kennis, aldus de onderzoekers, want de ontdekte veiligheidsrisico’s betreffen meer dan 10 miljoen mensen, die werken in de met kwetsbare componenten geautomatiseerde gebouwen. Het rapport helpt bij het ontdekken en verhelpen van de kwetsbaarheden.