Az épületfelügyeleti rendszerek biztonsági kockázatai

Az épületfelügyeleti rendszerek biztonsági kockázatai

Az épületfelügyeleti rendszer kialakítása során hagyományos és felhőalapú struktúra közül választhatnak a létesítmények működtetéséről döntést hozók. A megbízhatóság és a költségoptimalizálás, a gazdaságos, környezettudatos energiafelhasználás mellett fontos szempont az is, hogy a nem megfelelő struktúra sérülékennyé és támadhatóvá teheti nemcsak az épületfelügyeleti központot, hanem a teljes informatikai hálózatot, ezen belül például az adattároló, számlázási, levelezési rendszert is.
A különböző rendszerek vélt és valós biztonsági kockázatairól Molnár József igazságügyi műszaki szakértőt kérdeztük, aki 20 éves szakmai tapasztalattal rendelkezik és 14 szakmai díjat, a többi között az idei Business SuperBrands díjat is megkapta.
Fenyvesi Judit interjúja

A különböző létesítményekbe általában hagyományos struktúrájú épületfelügyeleti rendszert telepítenek. Mitől tartanak általában a vezetők és milyen valós biztonsági kockázatai vannak ennek a rendszernek?
A hagyományos rendszereket választó döntéshozók úgy gondolják, hogy ha a felügyeleti központot létesítményen belül helyezik el, akkor az azonnal biztonságos is. Ez a feltevés abban az esetben igaz, ha az adott létesítmény vagy a létesítményen belüli felügyeleti központ mindentől elszeparáltan önmagában, ún. „szigetüzemben” működik. A valóságban azonban ez az állapot csak ritkán fordul elő.

A felügyeleti központok, szerverek és kliensek általában a belső informatikai hálózatra felcsatlakoztatva üzemelnek, „kijutásuk” van az internetre, ráadásul ezeket a központokat a szabad internet irányából is elérhetővé teszik, hogy biztosítsák a távfelügyeletet, a távoli elérés lehetőségét. Ebben az esetben megszűnik a korábban még fennálló ún. „biztonságos státusz”. Ilyenkor a biztonság az alkalmazott eszközök minőségén, a biztonságra fordított összeg nagyságán, valamint az üzemeltető apparátus, informatikusok felkészültségén múlik. Az informatikai rendszerbe különböző megoldásokkal − TeamViewer, RDP (távoli asztal – a szerk.), stb. −, távolról beengedett személyek szándékuk szerint akár máshoz is megkísérelhetik a hozzáférést. Az pedig, hogy sikerül-e nekik, csak a szándékon, a ráfordított időn és a felkészültségen múlik. Hiába védjük pl. magát a kommunikációs csatornát azzal, hogy VPN csatornán engedjük be az embereket. Ha egyszer valakit beengedtünk, akkor további óvintézkedéseket kell tennünk, hogy az illetéktelen hozzáférést megakadályozzuk.

Fotó: Molnár József
Fotó: Molnár József

Leggyakrabban a következő távelérési formákat alkalmazzák, mely biztonsági kockázatot hordoz magában:
1. A hálózat nyitása meghatározott portokon az internet felé, ahonnan az adott portokon behívás kezdeményezhető. Ilyen esetekben csak az informatikus felkészültségén, és a biztonsági rendszer profizmusán, műszaki naprakészségén és állapotán múlik, hogy akit beengedtek, vajon megelégszik-e azokkal a jogokkal, amiket kapott, vagy akar-e és képes-e többet szerezni magának. Ha pedig akar és képes is, akkor nagy baj van.
2. Egy munkaállomásra TeamViewer vagy RDP hozzáférést adnak mások számára, melyen esetleg más irodai munkát is végez, vagy ahol vállalatirányítási rendszer is üzemel. Ilyenkor természetesen a távolról az adott gépre bejelentkező személy a teljes gép fölött kap rendelkezési jogot, az adott gép vagy felhasználó minden adatával, hozzáféréseivel együtt.
3. Az internetről VPN csatornán engednek be felhasználókat. Sokan elfelejtik, hogy habár egy-egy VPN csatorna az internet felőli feltörés tekintetében biztonságot nyújt, mégis, ha valaki ezen a csatornán lép be az informatikai rendszerbe, akár illetéktelen hozzáférést is tud kezdeményezni.

A felhőalapú rendszer mennyire széleskörű lehetőséget nyújthat a beruházóknak és felhasználóknak a hagyományos struktúrához képest? Milyen új távlatokat nyitnak meg a manapság már elérhető megoldások?
A felhőalapú rendszerek a hagyományosakkal szemben mindenben elszeparáltak a felhasználó saját informatikai rendszerétől. A felhasználó irányába kapcsolat kezdeményezése nem történik. Ezáltal a létesítmény belső informatikai rendszerébe senkit sem kell beengedni és ebből adódóan lehetősége sem lesz semmilyen illetéktelen hozzáférést megkísérelni. A felhasználó így csak a felhőben kerül kapcsolatba a rendszerével.
A rendszer előnye továbbá, hogy a funkciók egy központi, nagy teljesítményű szerveren érhetőek el, az erőforrás-megosztás (hardver és szoftver funkciók) szolgáltatta előnyök miatt nagyságrendekkel alacsonyabb költséggel üzemeltethető egy-egy épületfelügyeleti rendszer. Amennyiben pedig a felhasználó új funkciókat akar használni a felügyeleti rendszerében, az nem feltétlenül igényel további beruházást, csupán az előfizetői csomag módosítását vagy bővítését. Pl.: alapesetben a felügyeleti funkciókat ellátó rendszer így válhat beruházás nélkül energiagazdálkodást ellátó vagy üzemeltetési feladatokat menedzselő rendszerré. Manapság tehát már olyan komplett megoldás is elérhető, amivel az épületfelügyeleti rendszer automatizálási és energetikai alkalmazásokkal való összekapcsolásával jelentős mértékű költségcsökkentés biztosítható. Ennek köszönhetően nagyobb cégek esetében éves, akár havi szinten is milliós nagyságrendű összeg megtakarítható. Ezáltal egy megfelelő, felhőalapú beruházással akár azonnal három területre is szerezhetünk megfelelő rendszert magunknak, és mindezt alacsonyabb beruházási költségekkel tehetjük meg. Továbbá a későbbiekben egy ilyen rendszert használó szervezet automatikusan hozzáfér a rendszer fejlődése során beépülő pluszszolgáltatásokhoz is.

A felhőrendszerek időráfordításban, beruházási költségben és gazdaságosságban rengeteg előnyt szolgáltatnak a felhasználók részére. A nagyfokú adat- és információbiztonság megléte azonban az egyik legfontosabb tényező minden cégvezető számára egy döntés során. Milyen biztonsági kockázatok, kérdések merülnek fel egy felhőalapú rendszer esetében? Hogyan készíthetőek fel ezek az épületfelügyeleti rendszerek egy esetleges, „informatikai” feltörésre? Milyen biztonsági lépések lehetségesek, illetve milyeneket alkalmaznak?
A feltörhetőség kockázata itt is hasonlóképpen fennáll, mint minden infrormatikai rendszer esetében, de a felhőalapú rendszerek üzemeltetői a felhasználók igényeinek folyamatos kielégítése érdekében, a minél profibb kiszolgálás és minél magasabb biztonsági környezet biztosítása miatt folyamatosan fejlesztik a rendszert. Ezáltal egyre nagyobb biztonságot is produkálnak az üzemeltetők a megrendelőiknek. Ugyanez a fejlesztési ütem és mérték nem tud megvalósulni egy lokális rendszer esetében, mert ha a hagyományos struktúrájú rendszert kialakították, évekig nem költenek rá, habár egy-két év alatt az elavulttá válik, és az idő múlásával minduntalan nőnek a rendszer biztonsági kockázatai.

A felhőrendszerek többlépcsős biztonsági rendszert alkalmaznak és a HTTPS protokoll egyedi hitelesítés, ezen belül egyedileg kódolt információáramlás, valamint mindennek a végén egy, a létesítményen belül működő ún. „adathitelesítő” folyamat az, ami megakadályozza a szándékos károkozást. Minden létesítmény esetén az egyedi kódolási rendszer tudja nagymértékben meggátolni a feltörhetőséget. Abban az esetben, ha mégis illetéktelen hozzáférés történik, akkor az csak abban mutatkozik meg, hogy az épületfelügyeleti rendszer működésében kellemetlenséget okozhatnak, de más rendszerekhez a létesítményen belül teljesen kizárt a hozzáférésük, semmit sem tudnak tönkretenni. Ez pedig valójában annyit jelent, hogy például egy kicsit melegebb vagy hidegebb lesz az objektumban, tehát a komfort némileg csökken egy időre, de ez gyorsan, akár néhány perc vagy óra alatt helyreállítható és kár nem származik belőle. Továbbá, ha valakinek sikerül a rendszer feltörésével belelátni az adatfolyamba, akkor csak önmagában értelmetlen, sok-sok számot talál, aminek a jelentése rejtve marad. Az adatok ugyanis csak az azokat kifejtő, egyedi struktúrában értelmezhetők.

Fotó: Molnár József
Fotó: Molnár József

Ha egy objektumba már hagyományos struktúrájú épületfelügyeleti rendszert helyeztek el, de szívesen áttérnének a felhőalapúra, hogyan kivitelezhető mindez?
Létesítményenként kell megvizsgálni, hogyan valósítható meg a rendszerek közötti váltás. Az alkalmazott, már működő rendszerektől, s annak szabványos felületeken a felhőrendszerrel való összekötésén, homogenizálhatóságán múlik, milyen műszaki megoldással és mekkora költséggel valósítható meg mindez. Általánosságban elmondható, hogy akkor a legoptimálisabb a biztonság, az üzemeltetési mutatók, a hatékonyság és a költségek vonatkozásában is a rendszer, ha már az épületfelügyeleti rendszer megtervezésétől a felhőirányú használat a cél.
Alapesetben egy, a rendszert a felhőbe csatoló eszköz szükséges ahhoz, hogy a hagyományos struktúráról a felhőalapú rendszerre térjünk át. Amennyiben pedig az átalakítandó rendszer önmagában nem alkalmas a csatlakozásra vagy új vezérlőkkel gazdaságosabban üzemeltethetővé tehető a létesítmény, akkor a vezérlő egységek cseréje is szükségessé válhat. Az egyik rendszerről a másik rendszerre való áttérés költsége néhány százezertől több millió forintig is alakulhat, amihez egy-két hónaptól egy-másfél évig terjedő megtérülési időszak társul.
Magyarországon mennyire elterjedt a felhőalapú rendszerek alkalmazása az épületfelügyeletek területén Nyugat-Európához képest?

A Microsoft 2014-es és 2015-ös felméréseiszerint Magyarországon habár folyamatosan bővülő (alkalmazásoktól függően 25-54%) a felhőalapú irodai alkalmazások felhasználási aránya, ugyanez Nyugat-Európában − a hazait jóval meghaladó − 60%-70% fölötti arányt tesz ki. Tapasztalataim szerint hazánkban a felhőalapú rendszerek elterjedését gátolja a tájékozatlanság, a biztonsági megítélés pontatlansága, melyet korábban elemeztünk.

Továbbá gátolja az is, hogy mi, magyarok szeretjük birtokolni a dolgokat még akkor is, ha ezzel a döntésünkkel a saját költségkereteink korlátozottsága miatt nem tudjuk a legprofibb, legjobb megoldást megfinanszírozni. Ez a szemlélet leginkább a 40−50 év közötti vagy idősebb döntéshozókra igaz. Ennek köszönhetően a hatékonyságban szenvedünk hátrányt, és adott esetben nem értjük, hogyan képesek mások alacsonyabb költséggel hatékonyabb működést realizálni. Azoknál a vállalkozásoknál azonban, ahol nem a költségeiben elérhető technika tulajdonjogának a megszerzése, hanem a legprofibb technológia lehetőségeinek folyamatos alkalmazása és az általa szolgáltatott többlet profit, hatékonyság kiaknázása a cél, ott másként hoznak döntéseket. Ha az a fontos, hogy az alkalmazott technológia szolgáltatja-e számunkra a maximális eredményt minden tekintetben és milyen lehetőségeket kínál ennek fokozására, akkor a felhőalapú épületfelügyeleti, valamint az energiagazdálkodó és üzemeltetést támogató rendszerek a megfelelő választás. Ezek ugyanis nagyobb eredményeket, biztonságot és komfortot nyújtanak a hagyományos struktúrájú rendszerekhez képest, valamint a rendszer üzemeltetői folyamatosan ennek elemezhetőségét és javítását is szolgáltatják felhasználóik számára. A felhőalapú rendszerek mellett döntött pl. a Sárvári Gyógyfürdő, az Országos Onkológiai Intézet, a Gyulai Várfürdő és az Eiffel Palace is, de nemrég a Zsóry Fürdő intézményvezetője is a komplex, integrált energiagazdálkodási lehetőségek miatt a felhőrendszer kialakítását kérte. Mindenkinek csak ajánlani tudom a felhőalapú rendszer választását, mert manapság már akár társasházi lakások is napi felhasználójává válhatnak a legprofesszionálisabb épületfelügyeleti rendszereknek, s mindezt megfizethető, mindenki által elérhető áron tehetik meg.

Kapcsolódó cikkek