Onderzoek door IT-bedrijf Computest toont aan dat wereldwijd meer dan 17.000 gebouwbeheerssystemen eenvoudig toegankelijk zijn voor hackers. In Nederland gaat het om zo’n 1300 gebouwen. De systemen gebruiken de KNX-standaard.
KNX gebruikt standaard geen authenticatie. Daardoor kunnen kwaadwillenden eenvoudig op afstand toegang krijgen tot onder meer beveiliging, verlichting, airconditioning en verwarming. Nederland is na Spanje en Duitsland het land met de meeste locaties die kwetsbaar zijn voor hackers. Op deze kaart is te zien waar de kwetsbare locaties zijn te vinden.
Het onderzoek werd uitgevoerd door ethisch hacker Daan Keuper. “Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit”, zegt Keuper. “Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is.”
De verantwoordelijkheid voor een goede beveiliging van de systemen ligt volgens Computest zowel bij de leverancier, de installateur als bij de consument. De consument moet de installateur kunnen aanspreken op de beveiliging.
“Er is nog veel werk te verrichten in het bewust maken van de installatiebranche van de risico’s die deze slimme systemen met zich meebrengen”, zegt Petra Oldengarm, Directeur van Cyberveilig Nederland. “Daarnaast is het belangrijk dat men weet hoe deze risico’s moeten worden geminimaliseerd. Daarom zijn we in gesprek met vertegenwoordigers van de installatiebranche om initiatieven te ontplooien die bijdragen aan het ontwikkelen van het bewustzijn en het kennisniveau, zodat gebruikers kunnen vertrouwen op KNX-producten die in hun kantoor of huis worden geïnstalleerd.”
Om gebouwbeheerders en consumenten in staat te stellen te controleren of hun KNX-installatie veilig is, heeft Computest de site www.knxscan.com in het leven geroepen. Om de installatiebranche niet alleen bewust maken van dit probleem, maar ook te helpen het op te lossen, organiseert het bedrijf op 19 maart een gratis training. Hiermee krijgen installateurs inzicht in de security-risico’s en hoe zij deze kunnen minimaliseren.