Pametan stan – siguran dom

Savršeno praktičan sistem za svakodnevnu upotrebu. Sistemi kućne automatike obezbeđuju maksimalan konfor. Pored klasičnog načina upravljanja rasvetom, roletnama i grejanjem putem prekidača, sistem je moguće kontrolisati putem računara, pametnog telefona ili tablet uređaja. Ovakvim proširenjem mogućnosti upravljanja, koji nije moguć u klasičnim sistmeima, otvorio se jedan potpuno novi način razmišljanja o stanu ili kući i njihovim funckionalnostima. Uz sve prednosti koje ovakvi sistemi pametnog stana ili pametne kuće donose, pojavljuju se i izazovi koje ne treba sakrivati i stavljati u stranu. Na prvom mestu, radi se o sigurnosti ovakvih sistema.

Pametan stan traži sigurnost

Inteligentni sistemi postaju polako, ali sigurno integralni delovi modernih stambenih i poslovnih objekata. Dobrim delom, promenili su našu percepciju stana i kuće kao životnog prostora omogućavajući nam da stan prilagodimo sebi i svojim potrebama i navikama. Mogućnosti koje imamo od IP kamera poveznanih na sistem, aplikacija za daljinsko upravljanje grejanjem i rasvetom ili kontrolom statusa nekog od povezanih uređaja daju nam odgređenu dozu konfora da stanom možemo da upravljamo daljinski, ali i da proverimo statuse uredjaja koji se nalaze u našem domu. Pametni stanovi sve više postaju “povezani stanovi” , i uređaji kućne automatike postaju svojevrsni HUB-ovi, povezujući na jedno mesto sve uređaje u kući. Od uređaja kontrole pristupa, bele tehnike, kamera, alarmnog sistema, sistema pametnog stana do televizora. Mnoštvo protokola i otvorenih portova izlažu naš dom bespuću interneta čime se ostavlja mogućnost da te komunikacione kanale koristi još neko osim nas.

Rana detekcija potencijalnih rizika, i sprečavanje takvih pojava i događaja

Većina uređaja koje danas kupimo imaju neku mogućnost povezivanja na internet, uz različite benefite koje takvo povezivanje omogućava. Pored mogućnosti daljinskog upravljanja, većina sistema obezbeđuje neki vid nadogradnje sistema, u nekim slučajevima kao način otklanjanja grešaka, u drugom kao napredovanje funkcionalnosti uređaja ili dodavanjem novih mogućnosti. Jedan trenutak pre povezivanja bilo kog uređaja na internet ili lokalnu računarsku mrežu, potrebno je razmisliti o nekoliko stvari koje su od vitalnog značaja za sigurnost komunikacije, sigurnost samog uređaja, i možda najbitnije sigurnosti Vašeg kompletnog doma. Koliko god Vam ovo zvučalo kao naučna fantastika, ovo su stvari koje su se dešavale i dešavaju se i dalje, a verovatno jedan od najpoznatijih je “hakovanje” hotela u Dubaiu 2016 godine, urađeno na zahtev menadžmenta hotela da bi ustanovili sigrunost sistema i potencijalne rizike. Pogledajte link https://www.youtube.com/watch?v=ZkZDhHUn9cQ sa objašnjenjem svih koraka, i ukupnim troškom koji je manji od 30 dolara ne računajući cenu zakupa hotelske sobe.

Potencijalni rizici

U zavisnosti od namene objekta u kojem se uređaji i sistemi instaliraju, i sami rizici su svakako različiti. Ne možemo napraviti tipsko rešenje koje će otkloniti ili značajno umanjiti rizik. Ako već moramo navesti jedno generalno pravilo, to je da svi uređaji koji se postavljaju u sistem ili povezuju na njega moraju biti postavljeni kao trajno rešenje. U stanovima jednostavno je zaštititi instalaciju, jer samoj kablovskoj instalaciji nije moguće prići bez fizičkog pristupa stanu, dok je kod hotelskih sistema i sistemima u poslovnim objektima ovakav vid zaštite praktično nemoguć. Ovo su nekoliko osnovnih pravila koja bi trebala da u mnogome otklone rizike pristupa instalaciji, i time omoguće neovlaštenoj osobi da uopšte i pokuša bilo koju dalju radnju.

HOTELSKI SISTEMI I POSLOVNI OBJEKTI

– fizičko onemogućavanje demontaže uređaja (korištenje specijalnih šrafova ili posebnih alata za montažu uređaja) 

– instalacija u objektu i van njega ne sme da ima vidljive komunikacione kablove ili im pristup mora biti onemogućen na drugi način (zatvaranjem u kablovske kanale na primer)

– uređaje koji su dostupni u javnim prostorima potrebno je odvojiti na posebnu liniju iza nekog od kaplera, i kroz filter tabelu umanjiti pristup kompletnom sistemu.

STANOVI, HOTELSKI SISTEMI I POSLOVNI OBJEKTI

– koristite lozinku na svakom uređaju na kojem je to moguće. Potrudite se da lozinka ne bude jednostavna. Generalno pravilo je da lozinka mora sadržati minimalno 10 karatera, da mora sadržati slova brojeve i specijalne znakove, kao i najmanje jedno malo i jedno veliko slovo

– Koristite odvojeni LAN ili WLAN za uređaje kućne automatike

– Obezbedite adekvatnu pokrivenost WLAN mreže koja se koristi za ove potrebe. Ne postoji potreba da se signal ove mreže može koristiti van objekta

– Koristite enkripciju kada god to uređaj i mreža dozvoljavaju

– Koristite firewall i MAC filter , ukoliko oprema to omogućava

– Kod KNX rutiranja obratite pažnju da protokol koji “putuje” po IP mreži nije enkriptovan, ap ga shodno tome koristite minimalno koliko je potrebno

Ideja nije da uplašimo bilo koga i sputamo ga u nameri da koristi ove sisteme, već naprotiv da svoj sistem zaštiti koliko god je moguće od neželjenih posetilaca. Konkretno, sistemi koje instaliramo koriste VPN tunel za komunikaciju između stana i uređaja koji se koristi za upravljanje (računar, tablet uređaj ili mobilni telefon), a sama komunikacija zaštićena je TLS-om. Dodatna prednost je što se komunikacija ne odvija direktno, već preko Cloud servera. Cloud servis koji koristimo se pored daljinskog upravljanja koristi i za povezivanje cloud2cloud sa drugim uređajima koji se povezuju na sistem pametnog stana. Time praktično, svi uređaji koje integrišemo u sistem koriste isti komunikacioni kanal i iste vidove zaštite. 

Sam sistem myABB-LivingSpace testiran je od strane VDE Instituta na sigurnost razmene informacija, i uspešno je prošao sve testove. Na ovaj način, naši korisnici imaju mogućnost korištenja daljinskog upravljanja bez straha od spoljnih upada u sistem.

Apsolutno sigurno nažalost ne postoji, ali mi smo na korak od te tačke 🙂

Fotografija preuzeta sa : https://www.forbes.com/sites/nicolefisher/2020/07/28/covid-crimes-espionage-hackers-and-why-america-is-vulnerable/?sh=290f99ae5873