V letošním červnovém čísle časopisu Elektroprůmysl jsme popisovali, jakým způsobem lze současně projektované a dodávané KNX systémové instalace zabezpečit proti nežádoucím přístupům, a tedy proti nesprávnému ovládání funkcí nebo přeprogramování jejich činnosti.
Pokud je instalace zhotovena v souladu s uvedenými pravidly, je v převážné většině případů skutečně ochráněna před hackerskými zásahy.
Ovšemže i takto může někdo hledat možnosti průniku do KNX instalace předem neočekávanými cestami. Co třeba povětrnostní stanice na střeše objektu? Často se jedná o stanici umístěnou v nepřístupném rozvaděči a s kombinovaným snímačem povětrnostních údajů, namontovaným na střeše, se vzájemným propojením napájecím a komunikačním vedením (např. čtyřžilovým – jeden pár vodičů pro napájení snímače, druhý pár vodičů pro předávání dat od snímače ke stanici v rozvaděči). Jediné nebezpečí, které teoreticky připadá do úvahy je odpojení snímače (obr.1). To je ovšem svázáno s nutností fyzicky se dostat na střechu a zde snímač odpojit.
Co bude důsledkem tohoto zásahu? Povětrnostní stanice přestává na sběrnici odesílat naměřené hodnoty. Správně naprogramovaná KNX instalace musí na tuto situaci správně reagovat. Chybí aktuální cyklicky zasílané informace o rychlosti větru, proto venkovní žaluzie budou zablokovány ve svinuté poloze. Žaluzie přestanou spolupracovat s řízením osvětlení, vytápění či klimatizace. Na sběrnici nebudou předávány také informace o intenzitě venkovního osvětlení, což ale nemusí mít zásadní dopad na řízení na stálou osvětlenost v kancelářích či učebnách, protože je použita regulace s uzavřenou smyčkou využívající snímače intenzity osvětlení na stropech místností. Jelikož žaluzie budou plně svinuty, do místností naopak bude přicházet maximální možné množství přirozeného světla, proto dojde k mírné přídavné úspoře energie na osvětlování. Pokud činnosti některých funkcí budou záviset navíc na dešti či venkovní teplotě (např. střešní okna s motorickými pohony), jejich stav bude nastaven tak, aby nemohlo dojít ke škodám na majetku a vybavení. Všechny funkce budou nadále fungovat, nedojde k zásadním změnám v jejich funkcionalitě. Poněkud se změní energetická efektivita, ovšem jen do doby odstranění úmyslně způsobené závady. V tomto případě lze konstatovat, že principiálně nedošlo k narušení kybernetické bezpečnosti systému.
Jiná situace ale může nastat, když nedostatečně polohou chráněný venkovní snímač pohybu (obr. 2), navíc i s jeho nedokonalým mechanickým upevněním lze demontovat běžným nástrojem, jakým je např. šroubovák. Potom je možný relativně snadný nežádoucí přístup ke sběrnici. Takže vzniká možnost neoprávněného sledování telegramového provozu a případně i odesílání falešných telegramů. Ovšem v dobře vytvořené KNX instalaci může takovýto případ nastat pouze ve velmi omezené míře, jak bylo uvedeno v již citovaném článku.
Popularita budov se systémovou (inteligentní) instalací samozřejmě budí zájem hackerů. Často je tomu tak proto, že „chytré“ domácí systémy se často objevují na trhu v relativně levných variantách, u nichž však ne vždy je dbáno na zajištění bezpečnosti přenosu dat.
Ovšem u KNX je tomu jinak. KNX instalují odborníci. Ochranná opatření proti neoprávněnému přístupu do sítě budov jsou součástí předpisů pro vytváření instalace. Také během provozu jsou systémy KNX odborně udržovány. Hackeři mají tedy velmi malé šance s průnikem do KNX. Pouze při použití bezdrátového přenosu telegramů v KNX RF instalacích není běžným způsobem možné zabránit nedovoleným přístupům. Avšak tento bezdrátový přenos bývá využíván jen při rozšiřování stávajících KNX instalací a jejich doplňování o nové funkce.
Profesionálně zhotovené instalace KNX jsou tedy v podstatě bezpečné. Je ale také skutečností, že aplikace KNX ve velkých budovách jsou stále všestrannějšími. Mohou být tedy i citlivějšími na útoky.
Pro plné odstranění potenciálních hrozeb jsou nyní k dispozici přístroje KNX Secure, čímž je zajištěno výrazné zvýšení bezpečnosti KNX. Jedná se o dva typy ochrany.
KNX IP Secure chrání IP komunikaci, KNX Data Secure chrání komunikaci při přenosu informací všemi médii mezi přístroji. Oba bezpečnostní mechanismy lze vzájemně kombinovat a používat souběžně.
Uveďme si příklad. V kritické oblasti (tedy v prostoru s nekontrolovaným přístupem osob) je potřebné umístit ovládací přístroj např. podle obr. 3.
V jiné části instalace musí být další KNX Secure přístroj, který komunikuje s tímto dotykovým snímačem. Výměna informací probíhá formou telegramů, které však mají příkazovou část zakódovánu, jak je znázorněno na obr. 4.
Nové přístroje KNX Secure jsou přísnou implementací dřívějšího rozvoje přídavných ochranných opatření. Bezpečnostní koncepce systému KNX Secure byla dokončena v roce 2015, proto verze ETS5.5 z roku 2016 již s ní může plně pracovat.
Použité ochranné mechanismy vychází z mezinárodních bezpečnostních algoritmů normalizovaných podle ISO 18033-3 a používají ověřovací šifrování AES 128 CCM. Dosahuje se tak nejvyšší úrovně ochrany dat ověřováním a šifrováním přenášených dat. Telegramy jsou vždy ověřeny tak, aby je oprávnění příjemci mohli rozpoznat jako pravdivé nebo nepravdivé. Šifrováním se telegramy stávají nečitelnými pro třetí strany. Použité routingové číslo zabraňuje nežádoucímu opakování telegramů. To znamená, že hackerem nahraný a znovu odeslaný telegram je již neplatný – žádný příjemce na něj nebude reagovat.
Nebezpečné situace a rizika v nechráněných instalacích
Odborníci zabývající se bezpečností informačních technologií, a tedy i možnostmi útoků na sítě budov, upozorňují na takováto nebezpečí. Ať už se jedná o chytrý byt nebo chytrou budovu, úroveň ohrožení je různá, v závislosti na typu objektu a na jeho funkční vybavenosti.
Inteligentní aplikace v budovách jsou stále univerzálnější. Systémy KNX stále častěji pracují s funkcemi souvisejícími se zabezpečením objektů. Z toho vychází i potencionální nebezpečí napadení funkcí, jakými je řízení přístupu do budovy či jejích jednotlivých částí, nebo poplašné funkce. Zjistí-li nějaká neoprávněná osoba možnost narušení bezpečnosti, může kopírovat telegramy, vzdáleně otevřít dveře nebo dokonce deaktivovat poplašný systém. Hackeři by si mohli zobrazit nechráněné údaje ze snímačů přítomnosti, energetických spotřebičů a administrativních programů a využívat je pro svoje úmysly. Neoprávněná manipulace se systémy řízení osvětlení, řízení vytápění a dalších procesů využívaných ve stavbách je také rizikem. A nejen to: sítě v budovách jsou stále snadnějšími cíli vzhledem k používání internetových routerů, WLAN, IP protokolu, serverů, tabletů, smartphonů a dalších komponentů IoT.
KNX Secure – nejvyšší ochranný standard
Aby se systém KNX přizpůsobil nejen současnému, ale i budoucímu vývoji v automatizaci budov, pokud jde o bezpečnost dat, bylo nutné zvýšit také bezpečnostní požadavky na techniku KNX. Proto byla vyvinuta architektura KNX Secure.
Již první krok, který je nutné učinit pro ochranu před nežádoucími přístupy, znamená, že IP páteřní linie je samostatnou Ethernetovou linií, z níž není možný přímý přístup k internetu (obr. 6).
Jelikož telegramy používané k přenosu zpráv mají rozšířené rámce, pro běžné liniové nebo IP spojky by byly nečitelnými a nemohly by být přenášeny. Proto musí být použity takové spojky, které podporují přenos telegramů s rozšířenými rámci, jak je naznačeno na obr. 7.
Telegramy takto mohou být ověřeny, přičemž jejich obsah je viditelný např. pro vizualizační software. Nicméně, nelze s nimi následně manipulovat ani je opětovně odesílat. Způsob komunikace mezi přístroji je zajištěn během projektování a uvádění do provozu softwarem ETS. KNX Secure tedy sestává ze dvou typů zabezpečení:
- KNX IP Secure pro ochranu komunikace KNX IP.
- KNX Data Secure pro ochranu běžné komunikace skupinovými telegramy.
Oba bezpečnostní mechanismy lze kombinovat a používat souběžně. S KNX Secure mohou být instalace KNX zajištěny např. jen podle zvolených aplikací nebo jako celky.
KNX IP Secure je přizpůsobivý
Vedle nových instalací bude trh automatizace budov v budoucnu vyžadovat vylepšení stávajících systémů. Zákazníci požadují dodržování předpisů a norem. KNX Secure tento požadavek splňuje, což je také uvedeno v normě EN 50090-4-3. Existují dvě možnosti, jak účinně zabránit útokům hackerů:
- S protokolem KNX IP Secure lze IP komunikaci instalace KNX zajistit jednoduchým a nákladově efektivním způsobem. Stačí nahradit obvyklé routery KNX IP novými routery KNX IP Secure. Tyto routery rozšiřují protokol KNX IP o další ověřování a šifrování. Tímto procesem je IP komunikace zajištěna na úrovni telegramu.
- KNX Data Secure šifruje a ověřuje telegramy mezi koncovými přístroji prostřednictvím všech přenosových cest. Všechny zúčastněné komponenty musí být přístroji KNX Data Secure. Vedle úplné ochrany celé oblasti KNX a linií KNX je také možné chránit jednotlivé aplikace KNX, které jsou zvláště ohroženy. Zabezpečené i nezabezpečené funkce jsou možné souběžně – také v přístrojích KNX Data Secure.
Přístroje KNX Secure mohou být provozovány jak zabezpečeně, tak i nezabezpečeně. Proto je možné zůstat flexibilní s možnostmi změn a rozšiřování stávajících KNX instalací, pokud např. v budoucnu nebudou k dispozici všechny přístroje KNX jako KNX Secure nebo pokud bude potřebné vyměnit staré přístroje.
Klíčová role ETS
Při implementaci rozšířeného zabezpečení má klíčovou roli KNX software ETS, používaný pro návrh projektu. Tento programovací nástroj pro odborné instalace KNX byl již ve verzi 5.5 připraven pro využití s KNX Secure. Inteligentní funkce podporují zpracování projektu a uvedení přístrojů KNX Secure do provozu. Během konfigurace ETS ochraňuje před nesprávnými nastaveními. ETS zajišťuje, aby v zabezpečeném režimu bylo aktivováno heslo projektu a aby byl vložen certifikát přístroje. V dialogovém okně se automaticky přiřadí klíče zabezpečení KNX Secure přístrojů a klíče runtime pro skupinové objekty. Bezpečnostní klíče se ukládají do projektu.
KNX Secure chrání instalace KNX lépe než obvyklým bezpečnostním standardem automatizace budov. Je správnou volbou projektantů, instalatérů, systémových integrátorů a uživatelů budov, když využívají příslušná bezpečnostní opatření a případná rozšíření s KNX Secure. Měřítkem pro implementaci jsou možné hrozby a rizika, stejně jako zohlednění dodatečných nákladů ve vztahu k výhodám. Předpokladem je profesionální návrh a instalace systému KNX. Všechny zúčastněné strany nesou odpovědnost za to, že projekt KNX s aplikacemi KNX Secure bude maximálně chráněn před hackerskými útoky při předání projektu uživatelům budovy, servisním technikům a domácím technikům. Je velmi důležité, aby byla zachována další údržba projektu, ochrana bezpečnostních klíčů a odpovědnost za klíče.
Kde všude je potřebné využívat instalace s KNX Secure
- V hotelích pro bezpečné oddělení funkcí mezi jednotlivými pokoji.
- Pro předávání údajů o spotřebě energie, kdy šifrování dat KNX chrání soukromí.
- V rezervačních systémech, kdy šifrování telegramů na úrovni IP brání externímu přístupu.
- Ve správě přístupů pro autentizaci a šifrování.
- V docházkových systémech, kdy nepřichází do úvahy žádné sledování v reálném čase umožňující zjištění přítomnosti osob.
- V poplašných systémech pro prevenci před úmyslnými falešnými poplachy.
