Tisknete článek: SI#3 (FULL) Jak velká je pravděpodobnost napadení systémové instalace zvenčí? (klik pro návrat)
Stránka byla vytvořena: 8.03.2016
Všechna práva vyhrazena (c)1998-2024 Elektrika.cz
Doslovné ani částečné přebírání tohoto materálu není povoleno bez předchozího písemného (e-mailového) svolení redakce portálu Elektrika.cz.
SI#3 (FULL) Jak velká je pravděpodobnost napadení systémové instalace zvenčí?
Je pravda, že s narůstajícím komfortem klesá bezpečnost? Pokud investujete do systémové (chytré, inteligentní) elektroinstalace, která nám umožní myslet i na jiné věci, lze předpokládat možnost vzdáleného přístupu po internetu prakticky odkudkoliv. Jak je ovšem taková služba bezpečná? Systémů automatizovaných elektroinstalací je více. Podívejte se, co k této problematice říkají odborníci renomovaných značek.
Tým portálu Elektrika,
ze dne:
8.03.2016
Na otázku, jaká je pravděpodobnost napadení systémové instalace zvenčí, odpovídali:
Roman Steiger, Phoenix Contact
Závisí na investorovi a jeho prioritách, kolik investuje do zabezpečení. Vnitřní síť lze vůči té vnější zabezpečit, existují k tomu vhodné produkty.
Zdeněk Rajmont, Rajmont
Systémová instalace je průmyslová záležitost, běhají tam nějaké průmyslové protokoly. Co by s tím hacker dělal?
Jaromír Pávek, Eaton
U bezdrátových systémů připadají v úvahu dvě možnosti, jak napadnout systém. Mohlo by to být přímo rádiovým signálem nebo přes internet, do kterého je zapojena chytrá jednotka pro vzdálené ovládání. U xComfortu se však nemusíme obávat nežádoucího přístupu do domu, protože systém využívá veškeré moderní bezpečnostní prostředky.
Prvky systému xComfort vzájemně komunikují uzavřeným digitálním protokolem na frekvenci 868 MHz. Díky obousměrnému přenosu dat se vzájemným potvrzováním informací, je bezdrátová komunikace velmi spolehlivá a byla vyvinuta na podobném standardu, jako komunikace v systémech KNX, ale bez potřeby jakékoliv „drátové“ sběrnice. A pokud svůj projekt při konfiguraci zabezpečíte navíc heslem, instalace se stane bezpečnou pro jakákoliv zneužití.
Komunikace chytré jednotky Smart Manager v rámci internetu je se zabezpečeným přístupem a pro komunikaci jsou používány bezpečnostní certifikáty (SSL, TLS). Data jsou při komunikaci šifrována stejně tak, jako když přes internet platíte účty a právě komunikujete se svoji bankou.
Jiří Olejníček, BOSSYS
Říká se, že kdo chce, ten vždycky může škodit, ale nevidím žádný relevantní důvod, proč by to měl někdo dělat. Nevím, jakou škodu by mohl někdo způsobit. Zablikat světlem?
Richard Müller, ABB
Obecně platná doporučení týkající se zabezpečení systémové instalace jsou následující:
- Z hlediska hardwaru – nenechávat sběrnicové vedení volně přístupné na veřejně přístupných místech jak uvnitř, tak vně budovy; uzamykat rozvaděče; snímače zabezpečit proti neoprávněné demontáži, sběrnicové vedení dělit pouze v rozvaděčích nebo v instalační krabici pod snímači.
- Z hlediska softwaru – pokud je instalace připojena do internetu zabezpečit ji „silným“ heslem a dbát na všechna bezpečnostní opatření jako v případě ostatních zařízení připojených do veřejných internetových sítí.
Radim Hendl, Schneider Electric
Napadají mě dva možné způsoby napadení. V prvním případě se jedná o napadení přímým připojením na sběrnici celého systému - v případě systému KNX neznám adresaci přístrojů a bez projektu nejsem schopen do systému proniknout. Druhý způsob je přes internet a zde je to otázka zabezpečení samotné datové sítě.
Martin Formánek, ENIKA CZ
Napadení systémových instalací je téma, které se v poslední době hodně probírá - především z hlediska napadení či poškození objektu investora přes internet. Jedná se v podstatě o standardní počítačové zařízení, které je připojené do intranetu domu. Zabezpečení po této stránce by tedy měl zajistit správce sítě. Napadení je podle mého názoru úplně stejně pravděpodobné, jako že se vám někdo vybere data z mobilního telefonu. Pokud člověk používá základní stupně zabezpečení, tak si myslím, že není čeho se obávat. Navíc - jakým způsobem nám někdo při napadení může uškodit? Co se týče napojení hardwarového - napojení na sběrnici, tak zde je šance napadení minimální.
Ondřej Dolejš, WAGO Elektro
Určitě je třeba dodržet nějaká pravidla a chránit instalaci pomocí VPN či firewallu.
Radek Červený, ELEKTRIKABRNO
Jistá pravděpodobnost napadení zvenčí tady vždy je - jako u každého systému, který je připojený přes webové rozhraní. Napadnout systém ale může jen člověk s vysokou kvalifikací. Pokud bych to měl srovnat, tak dům je snazší napadnout mechanicky než přes webové rozhraní do systému.
Pavel Barvíř, Schrack Technik
Myslím si, že pravděpodobnost napadení je podobná jako u práce s počítačem. Pokud je přístup jednoduchý, tak je pravděpodobnost samozřejmě větší, než když se systém zabezpečí firewallem, antivirem nebo složitějším heslováním.
Boris Kamenický, ELKO EP
Nabourání se do systémové instalace má být pouze pro servisní účely (vašeho domu), respektive systémového partnera. Toto by mělo být ošetřeno smlouvou mezi vámi a systémovým partnerem. O každém takovém přístupu byste měli vědět a měl by být zaznamenán.
Josef Kunc, KNX národní skupina ČR
Napadení systémové instalace po sběrnici vedoucí k venkovnímu přístroji lze považovat spíše za teoretické, protože zde musí dojít k neoprávněnému vniknutí na soukromý pozemek při účasti vysoce technicky nadaných kriminálních osob. Pokud se jedná o možnost (opět spíše teoretickou) napadení prostřednictvím internetu, závisí pouze na tom, co dovolí uživatel této instalace – např. ke kterým funkcím chce mít vzdálený přístup přes mobil či PC. Kromě toho, v současné době se připravuje kódovaný systém vzdálených přístupů ke KNX instalacím, který zajistí výrazné zvýšení bezpečnosti před napadením.
Radim Křůpala, IQ Budovy
S napadením domácí automatizace a sabotováním funkcí jsme se ještě v praxi nesetkali, ale samozřejmě se na toto myslí. Pokud je sběrnice systému vedena do venkovního prostředí, zahradního domku nebo jiného místa mimo hlavní budovu, je ideálním řešením v případě systému KNX tuto oblast oddělit liniovou spojkou a znemožnit pokusy o napadení. Je to taky zároveň samozřejmě vhodné i pro další případy, kdy se může stát, že se venkovní sběrnicový kabel překopne při úpravách terénu, výkopech nebo jiných pracích, takže je to ochrana proti několika situacím najednou a ne jen napadení systému, které je účelové. Tím je vyřešeno vyvedení sběrnice mimo objekt.
Co se týká napadení systému skrze internet a veřejnou IP adresu objektu příp. bezdrátově, zde je to již spíše IT záležitost, routování portů a firewall. V případě čisté KNX sběrnice a IP rozhraní pro vzdálenou správu je pro uživatele nejjednodušší vypínat port pro obsluhu v případě nevyužívání. Pokud se majitel o síť stará sám, nezajímá ho bezpečnost, má na routeru povolen přístup z WAN - internetu bez omezení, má nastaveno defaultní heslo routeru admin/admin nebo podobné, pak může nastat problém, ale na toto každého zákazníka upozorníme, pokud tato situace nastane. V případě centralizovaného systému s PLC se poté jedná o zabezpečení výrobcem kdy je zapotřebí hesla k PLC pro úpravu programu a ovládání prvků za ním. Zde v mnoha případech do výrobního procesu a síly ochrany před napadením montážník nevidí a je to spíše na straně výrobce, ale i tak může montér přispět ochranou na straně domu a vnitřní domácí sítě a jeho zabezpečení. Sám jsem již několikrát nad tímto uvažoval a bavil se s kolegy z oboru, a když si představím objekt po realizaci, který je hotov, sám bych opravdu nevěděl, kde ho napadnout a čím začít, pokud ve finále svěříme přístupy zákazníkovi. A to ani v případech, kdy jsme sami realizátory a máme o mnoho více informací o objektu, vnitřní síti, postavení systému a technologií než někdo, kdo systém může napadnout a nezná vůbec nic. Pokud by někdo měl zájem o umělé napadení automatizace domu, můžeme poskytnout na vyžádání detailnější informace o našem ukázkovém objektu konkrétním zájemcům. Budu jen rád, pokud by něco takového proběhlo z nezávislé strany.
Viktor Strouhal, ABB
Přístup do instalace z internetu nám chrání přihlašovací údaje – jméno a heslo. I když je to nešifrovaná komunikace, měla by pro ochranu rodinného domu stačit, protože nepředpokládáme, že se dům stane cílem útoku hackerů.
Jakub Horna, Siemens
Pokud budeme brát v úvahu napadení z internetu, tak je třeba mít dobré nastavení jednak KNX routeru, ale i routeru, přes který přistupujeme do internetu. Správným nastavením lze napadení docela dobře zabránit. Pokud uvažujeme napadení zvenčí budovy, lze mu do jisté míry zabránit tím, že budu mít separátní konexovou linii a budu tu mít liniové spojky a přes tyto spojky nepropustím komunikaci do další konexové sítě právě z těchto míst, které jsou na vnějším plášti budovy. Co se týká konexové sběrnice, tak zde není šifrovaná komunikace, takže se KNX nedá označit jako zabezpečená komunikace.
Jaromír Klaban, Teco
Pokud systém nepřipojíte do internetu, což je možné, tak se nedá z venku napadnout. Pokud se chci se systémem sám zvenčí spojit přes internet, pak je tu jméno a heslo. A pak je to úplně stejné, jako když se napadne pošta premiéra, protože má dohledatelné heslo.
Zkrácená verze zde.
Co si myslíte o riziku napadení
systémové instalace vy?
systémové instalace vy?
Dejte nám vědět v níže uvedené diskusi!
TEXT Z OBLASTÍ
- Systémy BUS
Konec tisknuté stránky z portálu Elektrika.cz.