Na otázku, jaká je pravděpodobnost napadení systémové instalace zvenčí, odpovídali:
Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Roman Steiger, Phoenix ContactZávisí na investorovi a jeho prioritách, kolik investuje do zabezpečení. Vnitřní síť lze vůči té vnější zabezpečit, existují k tomu vhodné produkty.
Další odborníci: Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Zdeněk Rajmont, RajmontSystémová instalace je průmyslová záležitost, běhají tam nějaké průmyslové protokoly. Co by s tím hacker dělal?
Další odborníci: Roman Steiger, Phoenix Contact Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Jaromír Pávek, EatonU bezdrátových systémů připadají v úvahu dvě možnosti, jak napadnout systém. Mohlo by to být přímo rádiovým signálem nebo přes internet, do kterého je zapojena chytrá jednotka pro vzdálené ovládání. U xComfortu se však nemusíme obávat nežádoucího přístupu do domu, protože systém využívá veškeré moderní bezpečnostní prostředky.
Prvky systému xComfort vzájemně komunikují uzavřeným digitálním protokolem na frekvenci 868 MHz. Díky obousměrnému přenosu dat se vzájemným potvrzováním informací, je bezdrátová komunikace velmi spolehlivá a byla vyvinuta na podobném standardu, jako komunikace v systémech KNX, ale bez potřeby jakékoliv „drátové“ sběrnice. A pokud svůj projekt při konfiguraci zabezpečíte navíc heslem, instalace se stane bezpečnou pro jakákoliv zneužití.
Komunikace chytré jednotky Smart Manager v rámci internetu je se zabezpečeným přístupem a pro komunikaci jsou používány bezpečnostní certifikáty (SSL, TLS). Data jsou při komunikaci šifrována stejně tak, jako když přes internet platíte účty a právě komunikujete se svoji bankou.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Jiří Olejníček, BOSSYSŘíká se, že kdo chce, ten vždycky může škodit, ale nevidím žádný relevantní důvod, proč by to měl někdo dělat. Nevím, jakou škodu by mohl někdo způsobit. Zablikat světlem?
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Richard Müller, ABBObecně platná doporučení týkající se zabezpečení systémové instalace jsou následující:
- Z hlediska hardwaru – nenechávat sběrnicové vedení volně přístupné na veřejně přístupných místech jak uvnitř, tak vně budovy; uzamykat rozvaděče; snímače zabezpečit proti neoprávněné demontáži, sběrnicové vedení dělit pouze v rozvaděčích nebo v instalační krabici pod snímači.
- Z hlediska softwaru – pokud je instalace připojena do internetu zabezpečit ji „silným“ heslem a dbát na všechna bezpečnostní opatření jako v případě ostatních zařízení připojených do veřejných internetových sítí.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Radim Hendl, Schneider ElectricNapadají mě dva možné způsoby napadení. V prvním případě se jedná o napadení přímým připojením na sběrnici celého systému - v případě systému KNX neznám adresaci přístrojů a bez projektu nejsem schopen do systému proniknout. Druhý způsob je přes internet a zde je to otázka zabezpečení samotné datové sítě.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Martin Formánek, ENIKA CZNapadení systémových instalací je téma, které se v poslední době hodně probírá - především z hlediska napadení či poškození objektu investora přes internet. Jedná se v podstatě o standardní počítačové zařízení, které je připojené do intranetu domu. Zabezpečení po této stránce by tedy měl zajistit správce sítě. Napadení je podle mého názoru úplně stejně pravděpodobné, jako že se vám někdo vybere data z mobilního telefonu. Pokud člověk používá základní stupně zabezpečení, tak si myslím, že není čeho se obávat. Navíc - jakým způsobem nám někdo při napadení může uškodit? Co se týče napojení hardwarového - napojení na sběrnici, tak zde je šance napadení minimální.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Ondřej Dolejš, WAGO ElektroUrčitě je třeba dodržet nějaká pravidla a chránit instalaci pomocí VPN či firewallu.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Radek Červený, ELEKTRIKABRNOJistá pravděpodobnost napadení zvenčí tady vždy je - jako u každého systému, který je připojený přes webové rozhraní. Napadnout systém ale může jen člověk s vysokou kvalifikací. Pokud bych to měl srovnat, tak dům je snazší napadnout mechanicky než přes webové rozhraní do systému.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Pavel Barvíř, Schrack TechnikMyslím si, že pravděpodobnost napadení je podobná jako u práce s počítačem. Pokud je přístup jednoduchý, tak je pravděpodobnost samozřejmě větší, než když se systém zabezpečí firewallem, antivirem nebo složitějším heslováním.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Boris Kamenický, ELKO EPNabourání se do systémové instalace má být pouze pro servisní účely (vašeho domu), respektive systémového partnera. Toto by mělo být ošetřeno smlouvou mezi vámi a systémovým partnerem. O každém takovém přístupu byste měli vědět a měl by být zaznamenán.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Josef Kunc, KNX národní skupina ČRNapadení systémové instalace po sběrnici vedoucí k venkovnímu přístroji lze považovat spíše za teoretické, protože zde musí dojít k neoprávněnému vniknutí na soukromý pozemek při účasti vysoce technicky nadaných kriminálních osob. Pokud se jedná o možnost (opět spíše teoretickou) napadení prostřednictvím internetu, závisí pouze na tom, co dovolí uživatel této instalace – např. ke kterým funkcím chce mít vzdálený přístup přes mobil či PC. Kromě toho, v současné době se připravuje kódovaný systém vzdálených přístupů ke KNX instalacím, který zajistí výrazné zvýšení bezpečnosti před napadením.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Radim Křůpala, IQ BudovyS napadením domácí automatizace a sabotováním funkcí jsme se ještě v praxi nesetkali, ale samozřejmě se na toto myslí. Pokud je sběrnice systému vedena do venkovního prostředí, zahradního domku nebo jiného místa mimo hlavní budovu, je ideálním řešením v případě systému KNX tuto oblast oddělit liniovou spojkou a znemožnit pokusy o napadení. Je to taky zároveň samozřejmě vhodné i pro další případy, kdy se může stát, že se venkovní sběrnicový kabel překopne při úpravách terénu, výkopech nebo jiných pracích, takže je to ochrana proti několika situacím najednou a ne jen napadení systému, které je účelové. Tím je vyřešeno vyvedení sběrnice mimo objekt.
Co se týká napadení systému skrze internet a veřejnou IP adresu objektu příp. bezdrátově, zde je to již spíše IT záležitost, routování portů a firewall. V případě čisté KNX sběrnice a IP rozhraní pro vzdálenou správu je pro uživatele nejjednodušší vypínat port pro obsluhu v případě nevyužívání. Pokud se majitel o síť stará sám, nezajímá ho bezpečnost, má na routeru povolen přístup z WAN - internetu bez omezení, má nastaveno defaultní heslo routeru admin/admin nebo podobné, pak může nastat problém, ale na toto každého zákazníka upozorníme, pokud tato situace nastane. V případě centralizovaného systému s PLC se poté jedná o zabezpečení výrobcem kdy je zapotřebí hesla k PLC pro úpravu programu a ovládání prvků za ním. Zde v mnoha případech do výrobního procesu a síly ochrany před napadením montážník nevidí a je to spíše na straně výrobce, ale i tak může montér přispět ochranou na straně domu a vnitřní domácí sítě a jeho zabezpečení. Sám jsem již několikrát nad tímto uvažoval a bavil se s kolegy z oboru, a když si představím objekt po realizaci, který je hotov, sám bych opravdu nevěděl, kde ho napadnout a čím začít, pokud ve finále svěříme přístupy zákazníkovi. A to ani v případech, kdy jsme sami realizátory a máme o mnoho více informací o objektu, vnitřní síti, postavení systému a technologií než někdo, kdo systém může napadnout a nezná vůbec nic. Pokud by někdo měl zájem o umělé napadení automatizace domu, můžeme poskytnout na vyžádání detailnější informace o našem ukázkovém objektu konkrétním zájemcům. Budu jen rád, pokud by něco takového proběhlo z nezávislé strany.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Viktor Strouhal, ABB Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Viktor Strouhal, ABBPřístup do instalace z internetu nám chrání přihlašovací údaje – jméno a heslo. I když je to nešifrovaná komunikace, měla by pro ochranu rodinného domu stačit, protože nepředpokládáme, že se dům stane cílem útoku hackerů.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Jakub Horna, Siemens Jaromír Klaban, Teco |
|
Jakub Horna, SiemensPokud budeme brát v úvahu napadení z internetu, tak je třeba mít dobré nastavení jednak KNX routeru, ale i routeru, přes který přistupujeme do internetu. Správným nastavením lze napadení docela dobře zabránit. Pokud uvažujeme napadení zvenčí budovy, lze mu do jisté míry zabránit tím, že budu mít separátní konexovou linii a budu tu mít liniové spojky a přes tyto spojky nepropustím komunikaci do další konexové sítě právě z těchto míst, které jsou na vnějším plášti budovy. Co se týká konexové sběrnice, tak zde není šifrovaná komunikace, takže se KNX nedá označit jako zabezpečená komunikace.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jaromír Klaban, Teco |
|
Jaromír Klaban, TecoPokud systém nepřipojíte do internetu, což je možné, tak se nedá z venku napadnout. Pokud se chci se systémem sám zvenčí spojit přes internet, pak je tu jméno a heslo. A pak je to úplně stejné, jako když se napadne pošta premiéra, protože má dohledatelné heslo.
Další odborníci: Roman Steiger, Phoenix Contact Zdeněk Rajmont, Rajmont Jaromír Pávek, Eaton Jiří Olejníček, BOSSYS Richard Müller, ABB Radim Hendl, Schneider Electric Martin Formánek, ENIKA CZ Ondřej Dolejš, WAGO Elektro Radek Červený, ELEKTRIKABRNO Pavel Barvíř, Schrack Technik Boris Kamenický, ELKO EP Josef Kunc, KNX národní skupina ČR Radim Křůpala, IQ Budovy Viktor Strouhal, ABB Jakub Horna, Siemens |
|
Zkrácená verze zde.
Co si myslíte o riziku napadení
systémové instalace vy?
Dejte nám vědět v níže uvedené diskusi!