Onderzoek van Computest, lid van Cyberveilig Nederland, laat zien dan duizenden gebouwbeheersystemen van ‘slimme’ woningen en kantoren wereldwijd eenvoudig toegankelijk blijken voor hackers. Ethisch hackers van Computest concluderen dit op basis van een security-onderzoek naar de KNX-standaard voor woning- en gebouwautomatisering. Uit het onderzoek blijkt dat de systemen die zijn gebaseerd op deze standaard, veelvoudig aan het internet gekoppeld worden. Doordat deze systemen echter geen enkele vorm van authenticatie bevatten, kunnen kwaadwillenden hiermee op afstand onder meer de beveiliging, verlichting, airconditioning en verwarming van huizen en kantoren bedienen. Wereldwijd zijn er bijna 18.000 gebouwen met systemen die zijn gebaseerd op de KNX-standaard waarvan er zich 1.322 in Nederland bevinden. Hiermee is Nederland na Spanje en Duitsland, het land met de meeste locaties die kwetsbaar zijn voor hackers. Op de interactieve kaart zie je waar kwetsbare gebouwen staan: https://knxscan.com/static/map/index.html
“Er is nog veel werk te verrichten in het bewust maken van de installatiebranche van de risico’s die deze slimme systemen met zich meebrengen”, vindt Petra Oldengarm, directeur van Cyberveilig Nederland. “Daarnaast is het belangrijk dat men weet hoe deze risico’s moeten worden geminimaliseerd. Daarom zijn we in gesprek met vertegenwoordigers van de installatiebranche om initiatieven te ontplooien die bijdragen aan het ontwikkelen van het bewustzijn en het kennisniveau, zodat gebruikers kunnen vertrouwen op KNX-producten die in hun kantoor of huis worden geïnstalleerd.”
De verantwoordelijkheid voor een goede beveiliging van de systemen ligt zowel bij de leverancier, de installateur als bij de consument. De consument moet de installateur kunnen aanspreken op de security van hetgeen wordt geïnstalleerd. Het idee is dat deze installateur hetzelfde doet richting de leverancier en/ of andere partijen in de keten. Daarmee worden de leverancier en de installateur zelf ook kritischer in welke producten zij selecteren en zijn ze eerder in de positie om eisen te stellen en te kiezen voor partijen voor wie die de beveiliging van hun toepassingen een prioriteit is.
Het persbericht van Computest lees je hier.