Is het slimme gebouw ook veilig?
Cybersecurity in smart buildings
Moderne gebouwen worden op alle vlakken steeds slimmer. Maar is dat ook wel zo veilig? Cyberaanvallen zijn immers allang geen ver-van-mijn-bedshow meer en zullen alleen maar toenemen.

Digitale kwetsbaarheid
Smart buildings bestaan uit een netwerk van apparaten, sensoren, besturingssystemen en data-analysetools die met elkaar communiceren via internet en andere netwerken. Dat zorgt voor een efficiënt en flexibel systeem, maar betekent ook dat ze kwetsbaar zijn voor cyberdreigingen.
Gebouwsystemen maken doorgaans gebruik van zowel OT-technologie (Operational Technology) als IT-technologie. Binnen de OT-wereld zijn veel oudere protocollen in gebruik die op het vlak van cybersecurity achterlopen op recentere IT-protocollen.
In een smart building worden OT- en IT-systemen op verschillende niveaus met elkaar én met het internet verbonden. Naarmate het aantal systemen toeneemt, wordt de integratie complexer, zeker als er verschillende fabrikanten betrokken zijn.
Naast technische complexiteit spelen ook organisatorische factoren een rol. Tijdens een bouwproject zijn verschillende partijen op verschillende momenten betrokken, zowel in de bouwfase als tijdens de exploitatie (bijvoorbeeld onderhoudsbedrijven en IT-beheerders). Een goede samenwerking en afstemming op het vlak van cybersecurity is cruciaal, maar vormt vaak een uitdaging.
Meer weten over dit thema?
Schrijf u in voor BuildUp, het kennisevent over Smart Buildings
Externe cyberaanvallen
Welke gevaren zijn er als hackers toegang krijgen tot slimme gebouwen? Ze kunnen gegevens stelen, infrastructuur verstoren en zelfs losgeld eisen om de 'digitale gijzeling' ongedaan te maken. De meest voorkomende vormen van cyberaanvallen zijn ransomware, DDoS-aanvallen en aanvallen op infrastructuur zoals HVAC- of toegangscontrolesystemen. Enkele Belgische bedrijven werden zo de afgelopen jaren al het slachtoffer van 'digitale gijzeling'.
Geavanceerde hackers kunnen zelfs de controle over een gebouwbeheersysteem overnemen. De operationele continuïteit van het gebouw, de veiligheid van de bewoners en de privacy kunnen daardoor in het gedrang komen. Dergelijke aanvallen kunnen bovendien enorme financiële schade veroorzaken en mogelijkerwijs ook de reputatie schaden.
IoT-apparaten als doelwit
IoT-apparaten (Internet of Things) in smart buildings, zoals slimme thermostaten, verlichting, beveiligingscamera’s en sensoren, kunnen een zwakke schakel vormen. Veel van die apparaten draaien op verouderde software of hebben standaardwachtwoorden die eenvoudig te achterhalen zijn.
Onderzoekers hebben herhaaldelijk aangetoond dat sommige IoT-apparaten zonder voldoende beveiliging direct toegankelijk zijn via het internet
Onderzoekers hebben herhaaldelijk aangetoond dat sommige IoT-apparaten zonder voldoende beveiliging zelfs direct toegankelijk zijn via het internet. Als aanvallers toegang krijgen tot een IoT-apparaat, kunnen ze vaak doorverhuizen naar andere kritieke systemen in het gebouw, zoals de HVAC-systemen of het toegangssysteem.
De interactie tussen beveiligingssystemen zoals toegangspunten, beveiligingscamera’s, verlichting en digitale netwerken betekent dat een digitale aanval dus ook fysieke gevolgen kan hebben. De grens tussen fysieke en digitale beveiliging vervaagt immers in smart buildings. Een hacker die via een digitaal toegangssysteem kan inbreken kan op die manier zelfs deuren ontgrendelen, of bijvoorbeeld de werking van alarmen verstoren.

Insider threats
Zoek het ook niet altijd te ver, want er zijn ook de zogenaamde ‘insider threats’: opzettelijke en onopzettelijke risico’s die door medewerkers of partners worden veroorzaakt. Een werknemer die toegang heeft tot gevoelige gegevens of systemen kan kwaadwillend handelen, bijvoorbeeld door informatie te lekken of systemen te saboteren.
Ook interne fouten, zoals onbewuste misconfiguraties of het niet naleven van beveiligingsprotocollen, kunnen kwalijke gevolgen hebben. 'Cyberwijsheid' is dus belangrijk voor alle partijen en gebouwgebruikers.
Wetgeving
Omdat er wordt voorspeld dat de cybercriminaliteit de komende jaren explosief zal toenemen, zijn er heel wat wetten, normen en kaders ingesteld om gebouwen en bedrijven voldoende te beschermen. Zo is er de ISO 27001-norm die richtlijnen biedt voor het opzetten en onderhouden van een Information Security Management System (ISMS).
Daarnaast zijn er nog het NIST Cybersecurity Framework (CSF), de IEC 62443-norm (behandelt cybersecurity voor industriële automatiserings- en controlesystemen (IACS), waaronder HVAC- en beveiligingssystemen) en de Cyber Resilience Act (CRA). Die treedt in augustus in werking en zal fabrikanten van IoT-apparaten en systemen onder meer verplichten om hun producten vanaf de ontwerpfase te voorzien van ingebouwde beveiliging.
België is de eerste Europese lidstaat die de nieuwe NIS2-wetgeving volledig uitvoert
NIS2
In de EU is de NIS2 (Network and Information Systems Directive) een belangrijke wet die organisaties verplicht om robuuste cybersecuritymaatregelen te implementeren en ernstige incidenten binnen strikte termijnen te melden.
België is de eerste Europese lidstaat die de nieuwe NIS2-wetgeving volledig uitvoert: sinds 18 oktober 2024 is de richtlijn van kracht. Bedrijven van een zekere grootte en die diensten verlenen in 'kritieke' sectoren (zoals energie, gezondheidszorg, bankwezen, digitale infrastructuur ...) moeten daaraan voldoen.
De verplichting houdt onder meer in dat bedrijven zich moeten registreren bij het Centrum voor Cybersecurity België (CCB) en een resem passende cyberveiligheidsmaatregelen moeten nemen, in lijn met algemeen aanvaarde beveiligingsprincipes en -standaarden. Bovendien moeten ze significante cyberincidenten melden binnen een bepaalde tijdspanne.
Dergelijke samenwerkingen en verplichtingen moeten ertoe leiden dat bedrijven beter gewapend zijn tegen cyberdreigingen.

Enkele basisprincipes
Een slim gebouw beveiligen is niet eenvoudig. Samenwerking met een gespecialiseerde cybersecurityorganisatie kan daarom helpen om zowel technische als organisatorische complexiteit onder controle te houden. Belangrijk is dat deze samenwerking idealiter al in de ontwerpfase van het gebouw ontstaat.
Om de cybersecuritykwaliteit te waarborgen, kan ook een audit worden uitgevoerd om kwetsbaarheden in kaart te brengen. Maar het is uiteraard nog beter dat elke partij die meewerkt aan het slim gebouw op de hoogte is van enkele basisveiligheidsprincipes.
Slimme gebouwen: cyberveiligheid is niet te koop. Het is ingebouwd!
Zero Trust-architectuur
Zo is er bijvoorbeeld de Zero Trust-architectuur als uitgangsprincipe. We hebben het hier uiteraard niet over de architectuur van gebouwen, maar wel over hoe het netwerk in een slim gebouw is ontworpen. Bij het ‘Zero Trust-model’ worden alle toegangspunten in het netwerk voortdurend geverifieerd en gecontroleerd.
In plaats van standaard toegang te verlenen aan alle apparaten binnen het netwerk, wordt elk apparaat en elke gebruiker voortdurend gecontroleerd op basis van zijn identiteit, apparaatstatus en andere factoren.
Netwerksegmentatie
Ook netwerksegmentatie is een belangrijke maatregel om de veiligheid van smart buildings te waarborgen. Het principe houdt in dat netwerken in verschillende segmenten of ‘VLAN’s (Virtual LAN)’ worden onderverdeeld.
Een systeem voor gebouwautomatisering en een klassiek computernetwerk kunnen daarmee bijvoorbeeld fysiek op hetzelfde netwerk zitten, maar toch 'virtueel' gescheiden zijn. Als een aanvaller toegang krijgt tot een minder kritisch segment van het netwerk, kan de schade dus worden beperkt doordat de rest van het netwerk beschermd blijft.

Sterke wachtwoordbeveiliging en multifactorauthenticatie (MFA)
IoT-apparaten en netwerkverbindingen moeten worden beveiligd met sterke, unieke wachtwoorden. Standaardwachtwoorden of zwakke wachtwoorden gebruiken is een van de makkelijkste manieren waarmee aanvallers toegang kunnen krijgen.
Het gebruik van multifactorauthenticatie of MFA kan een extra beveiligingslaag toevoegen door meerdere vormen van verificatie te vereisen voordat een gebruiker toegang krijgt.
Regelmatige software- en firmware-updates
Omdat IoT-apparaten en systeemcomponenten vaak op verouderde software (blijven) draaien is het zaak om ze regelmatig te updaten.
Veel aanvallen maken immers gebruik van verouderde software om kwetsbaarheden uit te buiten. Alle apparaten, van slimme thermostaten tot beveiligingscamera’s, moeten dus regelmatig geüpdatet worden, al dan niet automatisch.
Technologieën inzetten
Er kunnen ook verschillende technologieën ingezet worden om de veiligheid te verhogen.
Firewalls en Intrusion Detection Systemen (IDS)
Firewalls spelen een belangrijke rol in het beschermen van het netwerk. Next-generation firewalls kunnen specifiek worden geconfigureerd om het verkeer van gebouwbeheersystemen, zoals HVAC- en verlichtingssystemen, te controleren en verdachte activiteit te blokkeren.
Intrusion Detection Systemen (IDS) monitoren het netwerkverkeer en de activiteiten van apparaten om verdachte of ongebruikelijke gedragingen te detecteren. Zo kan er snel en adequaat worden gereageerd.
Encryptie van gegevens
Ook end-to-end encryptie van gegevens is cruciaal. Dat zorgt ervoor dat zelfs als gegevens worden onderschept, ze niet kunnen worden gelezen door onbevoegden.

Privacy van gebouwgebruikers
In een slim gebouw worden heel wat persoonsgegevens verzameld. Denk aan vingerafdrukken die gebruikt worden als toegangsbadge, maar bijvoorbeeld ook aan persoonlijke voorkeuren voor verlichting en verwarming en het gebruik van bepaalde faciliteiten.
Bovendien is er niet altijd transparantie over welke gegevens precies verzameld worden, wie er toegang toe heeft en hoe (goed) ze precies versleuteld zijn. In 2018 trad daarom de General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), in werking, een Europese wet die bepaalt hoe organisaties persoonlijke gegevens mogen verzamelen, opslaan en verwerken.
Er wordt standaard uitgegaan van een minimale gegevensverwerking. Elke afwijking daarvan moet transparant zijn, goed beveiligd, en er moet expliciete toestemming zijn.
Ook in slimme gebouwen moeten dus passende maatregelen genomen worden om de privacy van gebruikers te beschermen en te waarborgen.
Meer weten over dit thema?
Schrijf u in voor BuildUp, het kennisevent over Smart Buildings