Schneider Electric geeft best practices voor beveiligen gebouwbeheersystemen

Hoofddorp, 4 februari 2015 – Volgens Schneider Electric hebben organisaties de beveiliging van gebouwbeheersystemen (GBS) niet altijd op orde. Doordat de systemen nauw zijn geïntegreerd met de gehele IT enterprise, communiceren ze via allerlei open protocollen onder meer met internet en mobiele apparaten. Hierdoor zijn gebouwbeheersystemen zeer kwetsbaar voor cybersecurity. Schneider Electric geeft daarom best practices om grote financiële schade te voorkomen.

De totale schade van cybercriminaliteit aan IT-systemen bedraagt volgens een onderzoek van McAfee zo’n 263 miljard dollar per jaar. Het GBS is daar inmiddels een volwaardig onderdeel van. Het resultaat is verloren productiviteit, technische support en gemiste omzet. Maar ook minder kwantificeerbaar verlies zoals imagoschade. Het is volgens Marcel Spijkers, Algemeen Directeur bij Schneider Electric in Nederland, dan ook merkwaardig dat veel van deze systemen nog geen adequate beveiligingsstrategie hebben.

“Daar moet verandering in komen”, aldus Spijkers. “Organisaties behoren onder meer het beherende personeel goed te trainen, zodat zij (nieuwe) bedreigingen leren herkennen en passende maatregelen kunnen toepassen.” Daarnaast zijn de best practices voor het beveiligen van IT in het algemeen ook zeer goed toepasbaar voor een GBS. Deze verminderen de kans op een digitale inbraak en de daarmee gepaarde schade aanzienlijk. De best practices zijn:

1. Wachtwoordmanagement
Bij de ingebruikname van apparaten wordt gemakshalve het standaardwachtwoord niet gewijzigd. Veel gemakkelijker kunnen bedrijven het een hacker niet maken. Het internet wemelt immers van de lijsten met apparaten en bijbehorende standaardwachtwoorden.

2. Netwerkmanagement
Een GBS is onderdeel van het IT-netwerk en beveiliging van laatstgenoemde is dan ook een goed startpunt. Beperk toegang tot niet IP-gerelateerde communicatiekanalen zoals USB-poorten en beveilig webinterfaces tegen SQL-injecties. Investeer in goede firewalls en vergeet ook de fysieke beveiliging niet.

3.Gebruikersmanagement
Verleen gebruikers slechts de minimaal benodigde toegangsrechten die zij nodig hebben om hun werk te doen. Op die manier voorkomen organisaties schade door bijvoorbeeld ongeautoriseerde medewerkers.

4. Softwaremanagement
Laat alleen geautoriseerde gebruikers software uitrollen. Installeer altijd de nieuwste updates. Hiermee blijven ondernemingen maximaal beschermd tegen lekken en bugs in de code.

5. Beheers kwetsbaarheden
Ontwikkel een risk management-plan dat alle typen risico’s afdekt. Zorg voor een formeel document voor iedere installatie.

Lees voor meer informatie de whitepaper “Five Best Practices to Improve Building Management Systems (BMS) Security” via de website van Schneider Electric.

Illustratie cost breakdown

Verantwoordelijkheid voor IT-security ligt ook bij de business

12 november 2013 – De recente ophef over de afluisterpraktijken van de Amerikaanse NSA en eerder de hack-aanvallen op banken en overheidsinstellingen, maken één ding heel duidelijk; veiligheid is in de digitale wereld niet vanzelfsprekend. Nergens. Desondanks is er binnen bedrijven en organisaties doorgaans weinig aandacht voor IT-security, weet Etienne van der Woude, Sales Manager van WatchGuard Benelux, en dat baart hem zorgen.

Van der Woude: “Mensen zijn heel alert op het afschermen van hun pincode, maar achter de pc waant iedereen zich onbespied. Men surft van site naar site en opent klakkeloos elke mail die binnenkomt.”

Bewustzijn moet groeien
Moet dat gedrag veranderen? Vanuit het perspectief van het bedrijfsleven is bewegingsvrijheid op het web juist een groot goed. Van der Woude “Klopt! Ik ben ook beslist geen voorstander van het ‘op slot gooien’ van de IT. Daar bewijs je niemand een dienst mee, maar ik pleit wel voor meer ‘security awareness’ onder gebruikers. Als men zou weten hoe gewiekst cybercriminelen zijn bij het infiltreren in IT-systemen, zouden gebruikers veel alerter zijn.” Van der Woude verwijst daarbij naar een recente studie van de Rabobank, waaruit blijkt dat de bank er van uitgaat dat meer dan negentig procent van de systemen van hun klanten geïnfecteerd is met malware. “Vraag een willekeurige gebruiker of zijn pc besmet is en men zal ontkennend antwoorden. Maar dat percentage bij de bank komt niet uit de lucht vallen.”
Maar willen eindgebruikers, en vooral de business, zich bezighouden met bedreigingen vanuit de cyber-wereld? IT-security is het domein van de IT-afdeling, waarom zou men daar het hoofd over breken? “Was het maar zo simpel. Voor elke proces, dus ook voor security, geldt: het draait om people, process en technology. Anders gezegd, IT-security is niet alleen met technologie op te lossen. De attitude van de gebruiker en het opstellen van procedures is minstens zo belangrijk. Veel gebruikers hebben geen benul van de digitale narigheid die door IT-security wordt afgevangen en daarmee een beslag legt op de systemen. Iets meer bewustzijn op dat punt zou al een hoop schelen.”

Verantwoordelijkheid
Dat roept de vraag op waar de verantwoordelijkheid voor IT-security ligt. Bij de IT-afdeling of bij de business? “Dat is voor mij geen zwart/wit plaatje,” meent Van der Woude. “Natuurlijk, bij verreweg de meeste organisaties ligt de primaire verantwoordelijkheid voor de bedrijfsvoering bij de business en heb je een aantal ondersteunende diensten, waarvan IT er één is. Maar in de praktijk zie ik dat het vrijwel altijd om gedeelde verantwoordelijkheid gaat. Een organisatie kan stellen dat de IT veilig moet zijn, maar het is aan de IT-afdeling om daar invulling aan te geven. Ofwel de business neemt het initiatief, maar vervolgens bekijkt de IT-afdeling wat wel en niet kan en voert dat uit.”
In het verlengde daarvan komt Van der Woude toch weer bij de ‘awareness’ onder eindgebruikers. “Als u als verantwoordelijke voor de IT-security, kunt laten zien wat zich afspeelt op het web en hoe u daar vanuit IT-security mee omgaat, dan kweekt u begrip bij de eindgebruikers. En dat zal tot gedragsverandering leiden.”

Investeringen versus budget
Moeten bedrijven met het oog op de permanente bedreiging meer in IT-security investeren? Van der Woude: “Het is niet realistisch daar ‘ja’ op te zeggen, want IT-budgetten staan overal onder druk. Er komt niet meer geld voor IT-security beschikbaar. Men zal dus meer moeten doen met minder geld. Dat geldt voor IT in z’n algemeenheid en dus ook voor IT-security. Mijn advies is daarom; ga slim om met de middelen die u hebt en besef dat een garantie van 100 procent niet bestaat.”
Betekent dit dat er achterdeurtjes van IT-systemen open blijven staan? Van der Woude “Nee beslist niet. Ook met een beperkt budget is een adequate IT-security realiseerbaar. Mijn insteek is meestal om in overleg met een klant vast te stellen wat de cruciale delen van het bedrijfsproces zijn. Vervolgens ga je op basis van prioriteit de IT-security inrichten. Maar de ‘andere kant’ zit uiteraard ook niet stil. Cybercriminaliteit wordt steeds geavanceerder en daarom kun je nooit stellen dat uw IT absoluut veilig is, want er komen elke dag nieuwe bedreigingen bij.”

Schneider Electric introduceert nieuwe DCIM-oplossing

3 mei 2012 – Schneider Electric introduceert StruxureWare Data Center Operation Suite 7.1. IT-managers zijn er met deze oplossing van verzekerd dat wijzigingen in het datacenter op procesmatige wijze worden doorgevoerd. Daarbij kunnen ze zelf bepalen op welke manier zij deze wijzigings- en onderhoudsprocessen inrichten.
 
Schneider Electric’s StruxureWare Data Center Operation Suite is Data Center Infrastructure Management (DCIM) software. Organisaties kunnen DCIM inzetten voor het monitoren van vermogen, koeling, beveiliging en energieverbruik, zowel van het gebouw als de daarin ondergebrachte IT-systemen. Het geeft volledig inzicht in en grip op de dagelijkse gang van zaken in het datacenter.
 
De nieuwe features zijn:
•    Aanpasbare workflow templates. De sjablonen maken het mogelijk om individuele werkopdrachten flexibel aan te passen. Gebruikers kunnen organisatorische beleidsregels eenvoudig toepassen op het moment dat er veranderingen in het datacenter plaatsvinden. Denk hierbij aan het verplaatsen of aanvullen van IT-apparatuur.
•    Onderhoudsplanning. Hiermee kunnen IT-managers onderhoudstijden inplannen, krijgen zij inzage in alle onderhoudsplannen en voorkomen zij conflicten in de planning.
•    Live dashboard, waarmee IT-managers een goed inzicht krijgen in de KPI’s van het datacenter. De dashboards zijn eenvoudig te configureren en aan te passen en zijn beschikbaar via internet.
Release 7.1 integreert met BMC Remedy Change Management – onderdeel van de BMC Remedy IT Service Management Suite – waardoor de twee systemen zonder problemen informatie kunnen uitwisselen.  

 
Over Schneider Electric
Als wereldwijd specialist in energiemanagement, met vestigingen in meer dan honderd landen, biedt Schneider Electric geïntegreerde oplossingen voor meerdere marktsegmenten. Schneider Electric heeft leidende posities in energie & infra, industrie & machinebouw, niet-residentiële gebouwen, datacenters & netwerken alsmede in de residentiële sector. De focus van Schneider Electric ligt op het veilig, betrouwbaar, efficiënt, productief en duurzaam maken van energie. In 2011 hebben ruim 130.000 medewerkers een omzet gerealiseerd van 22,4 miljard euro. Onder het motto ‘make the most of your energy’ helpt Schneider Electric mensen en bedrijven het maximale uit hun energie te halen.
http://www.schneider-electric.nl

Contact
Schneider Electric
Debbie van Beek

Tel: +31 (0)6 27 01 80 05

debbie.vanbeek@schneider-electric.com

Co-Workx

Hans Lamboo

Tel: +31 (0)6-16 64 86 70
hans@co-workx.nl