Cybersikkerhet i smarte bygg kan være utsatt på grunn av at byggeiere forsømmer systemoppdatering. Det bør stilles et minimum sikkerhetskrav, og en myndighet bør få ansvaret for å veilede og følge opp.
Av Nico Friedrich, hovedprosjektleder for systemdesign i Schneider Electric og leder av den nasjonale komiteen NEK 79. Innlegget er skrevet etter samtaler med Svein Roar Jonsmyr Svein Roar Jonsmyr, sjefingeniør, seksjon for nett og tjenester i Nkom og Sigmund, Eng Fagsjef ekom, alarmsystemer og IoT i NEK
Generativ KI og systemer for styring av bygg
Digital sikkerhet var nylig i fokus på KI forum, en serie møter mellom representanter for digitaliseringsdepartementet og næringslivet, arrangert av NHO. Norge bør utvikle et mer robust digitalforsvar, ble det understreket på KI-forum i februar, og sikkerhet i forbindelse med bruk av generativ KI bør betydelig forbedres. Offentlig-privat samarbeid er en forutsetning for å lykkes.
Seansen ledet til refleksjoner og samtaler med representanter for NEK og Nkom angående sikkerheten i drifts- og sikkerhetssystemer i bygg i lys av KIs raske utvikling. Vi snakker om systemer for adgangskontroll, brann- og sikkerhet og byggautomasjon. I større kritiske bygg, som for eksempel sykehus, kan mangel på kontroll av data eller nedetid få store konsekvenser.
Flere utfordringer – Hvor ligger ansvaret?
Det er flere sårbarhetsområder som trenger tiltak:
- Systemer for byggautomasjon og fysisk sikkerhet blir ofte satt i drift basert på produktstandardene som gjaldt på tidspunktet da prosjekteringen foregikk. Ingen krav i form av reguleringer krever at de oppdateres og vedlikeholdes etter innkjøp, bortsett fra for eksempel brannalarmsystemer, som har slike krav nedfelt i forskrifter.
For byggautomasjon og ventilasjon er oppdatering og vedlikehold valgfritt. Produsentene kommer med årlige programvareoppgraderinger som blant annet styrker cybersikkerheten i henhold til nye produktstandarder og -krav, men det er opp til eierne å dra nytte av dem.
- I ett og samme bygg blir ofte ulike systemer integrert i hverandre. Sikkerhetshull kan oppstå som følge av det, uten at det er noen myndighetskrav til tilsyn eller ettersyn.
- Mens datasikkerhet i alle ledd er i fokus i større datasentre gjennom Forskrift om datasenter, er sikkerheten av data som er plassert i komponenter og servere i ulike eiendommer, ikke i myndighetenes søkelys. Og systemintegrasjonen kan skape sikkerhetshull.
Bortkastet arbeid?
Systemlandskapet er i konstant endring. Mange produsenter er svært gode på kontinuerlig testing, videreutvikling og forbedring av cybersikkerhet i egne systemer. Men arbeidet deres er bortkastet dersom systemene som allerede er installert, ikke oppdateres jevnlig. Det stilles ingen krav, og ingen myndigheter har fått ansvar for å sjekke resultatene etter systemintegrasjonen.
Verken Nasjonal sikkerhetsmyndighet (NSM) eller Nasjonal kommunikasjonsmyndighet (Nkom) har fått noe mandat av Kommunal- og distriktsdepartementet og trenger i så fall å bygge opp kompetanse til å etterleve dette. Nkom forholder seg til EUs radioutstyrsdirektiv (RED, 2014/53/EU). Den stiller krav til cybersikkerhet i utstyr som omsettes fra og med 1. august 2024.
RED-direktivet tar ikke hensyn til utstyr plassert i en installasjon.
En annen regulering som gjelder dette feltet er Cyber-Resiliency Act (CRA), en foreslått EU-regulering som har som mål å styrke cybersikkerheten for produkter med digitale elementer. CRA krever at produsenter av produkter med digitale komponenter imøtekommer essensielle cybersikkerhetskrav. Dette inkluderer prosesser for håndtering av sårbarheter gjennom hele produktets livssyklus. Produsenter må ifølge denne foreslåtte reguleringen sørge for at systemene deres – både maskinvare og programvare, IoT-enheter inkludert – oppdateres regelmessig for å takle identifiserte sårbarheter og sikre kontinuerlig cybersikkerhet.
CRA stiller dog ingen krav til byggeiere når det gjelder oppdatering av drifts- og sikkerhetssystemer. Reguleringen nevner ikke byggeiere spesifikt, men bare understreker at det er viktig for alle som bruker produkter med digitale komponenter å sørge for at systemene deres holdes oppdatert for å opprettholde sikkerheten.
Faller mellom to stoler
Temaet faller antagelig regulatorisk mellom to stoler. Tradisjonelt har denne typen systemer vært frakoblet omverden, men det har endret seg. Situasjonen gir nye sårbarheter og angrepsflater. Derfor må sikkerhetstiltak oppgraderes i tråd med denne utviklingen. Oppdatering av programvare i henhold til produsentens anvisning er et naturlig første steg.
Det viktigste er naturligvis at bygningseiere får økt bevissthet omkring dette, men vi tror også at det ville ha stor verdi om en offentlig myndighet fikk ansvaret for å følge opp dette på en adekvat måte.
For å ivareta cybersikkerheten i forvaltning og sikring av bygg bør NSMs grunnprinsipper være en rettesnor for bygningseiere. Det finnes også tekniske standarder som kan bidra til å adressere disse utfordringene med tanke på generell cybersikkerhet; for OT-systemer gjelder spesielt NEK EN IEC 62443-serien, som er samlet i NEK 820. Denne standardserien utleder sikkerhetskrav for industrielle automatiserings- og kontrollsystemer.
Behov for oppfølging
Konklusjonen er: Et eksplisitt og spesifikt minimumskrav til systemoppdatering i bygg som dekker behovet for økt cybersikkerhet, bør innføres i samfunnskritiske bygg og -installasjoner. Dette bør kombineres med oppfølging fra Nkom/NSM i form av veiledning og dialog med eksperter.
Datasenterbransjen har kommet mye lenger på dette punktet. Vi må ta med oss mange av de gode elementene fra den sektoren og innføre en lignende ordning også for eiere av bygninger med leietagere som krever kritisk oppetid eller oppbevaring av kritiske data.
