Add to collection(s) Add to saved
  1. Engineering
  2. Webdesign

Alarm over IP, de zwakste schakel in uw beveiliging? - VEBON-NOVB

advertisement 
TECHNIEK
Beveiliging - DDoS-aanvallen - Alarmoverdracht
Alarm over IP, de zwakste
schakel in uw beveiliging?
DDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, vinden ook
in Nederland regelmatig plaats. De aanvallen vormen een zeer groot risico voor de
betrouwbaarheid van veel alarmtransmissie-oplossingen die via internet doormelden naar de Particuliere Alarm Centrale (PAC).
Tekst Bart Postelmans*
“Het bestellen ven een vliegreis is moeilijker
en particulieren – die zijn aangesloten op de
als enige alarmtransmissie-oplossing voor de
dan het uitvoeren van een DDoS-aanval.” Dit
circa 25 meldkamers of Particuliere Alarm
hogere AL2/DP3 en AL3/DP4-risico’s door
zegt Aiko Pras, hoogleraar network operations
Centrales (PAC’s) melden naar schatting
Kiwa end-to-end gecertificeerd conform de
and management van de Universiteit Twente.
inmiddels ruim 140.000 aansluitingen door op
Europese norm (NEN-EN 50136).
“Drie muisklikken en je creditcard, en je kunt
basis van het Internet Protocol (alarm over IP).
een aanval uitvoeren.” Dit door de opkomst van
Ruim 25.000 aansluitingen hiervan zijn
Beveiligingsbranche
speciale websites die deze aanvallen op
zogenoemde hogere risico’s die tot begin 2015
Veel bedrijven hebben de alarmoverdracht
commando uitvoeren. Het uitvoeren van een
vanaf de dienst DigiAccess Alarm van KPN zijn
naar de meldkamer, vanwege het einde van de
DDoS-aanval kan op dat soort websites voor
overgezet naar IP. Het betreffen hier de
DigiAccess Alarm dienstverlening van KPN,
enkele tientjes of voor honderden euro’s,
zogenoemde AL2/DP3 en AL3/DP4 -locaties,
laten overzetten op de al aanwezige internet-
afhankelijk van de aanvalscapaciteit. Betalen
zoals juweliers en bedrijven met aantrekkelijke
verbinding. Dit op advies van de betrokken
kan gewoon met een creditcard, maar ook
goederen. Verzekeraars vereisen hier een
alarminstallateur. Hierbij werd en wordt
anoniem, met behulp van bitcoins.
continue gecontroleerde verbinding met de
vandaag de dag vaak een zogenoemde
“De afgelopen drie jaar zijn die sites in opkomst
meldkamer.
VPN-tunnel over internet (VPN: Virtueel Private
en sinds een jaar gaat het echt heel snel”, zegt
DigiAccess Alarm was een speciaal alarm-
Netwerk) toegepast met een back-up traject
beveiligingsonderzoeker Rickey Gevers van
abonnement, waarbij een continu bewaakte,
via GPRS met een internet-SIM.
RedSocks. Een van die websites voert
besloten verbinding werd opgezet tussen
Wat menig installateur niet lijkt te begrijpen of
duizenden aanvallen per dag uit, blijkt uit
object en meldkamer. KPN heeft deze
niet te willen begrijpen is dat deze oplossing
statistieken die deze site zelf geeft.
alarmdienstverlening 12 januari 2015 definitief
gewoon doormelding over het publieke internet
“Dit soort websites schiet als paddenstoelen
uitgezet vanwege verouderde netwerktechno-
is, ook wat de ontvangst aan de PAC-zijde
uit de grond”, aldus een woordvoerder van de
logie. Als vervangende dienst had het bedrijf
betreft. Een hoog-risico locatie zoals bijvoor-
politie. Dat is terug te zien in het aantal
DDoS-aanvallen, dat volgens de politie in het
afgelopen jaar is gestegen.
“Iedereen die met een computer om kan gaan,
beeld een juwelier, die eerder was aangesloten
Cybercrime is een onderwerp dat
binnen de beveiligingsbranche
onvoldoende aandacht heeft
kan een DDoS-aanval opzetten. En dat terwijl
op het veilige en besloten DigiAccess Alarmnetwerk, verstuurt de alarmberichten nu over
het publieke internet. Veel ‘beveiligingsexperts’
lijken geen boodschap te hebben aan het
de gevaren groot kunnen zijn”, waarschuwt
dagelijkse nieuws over cybercriminaliteit zoals
Pras. “Je kunt een school platleggen, of nog
eerder al DigiAlarm geïntroduceerd. Dit is een
DDoS-aanvallen en het hacken van computers
veel meer.” Daarom moet er steviger worden
besloten netwerk dat wel via IP werkt maar
en websites.
opgetreden, stelt hij.
geen gebruik maakt van het publieke internet.
DigiAlarm voldoet aan de voorschriften van
DDoS-aanval
Groei alarmoverdracht via IP
NPR 8136, de Nederlandse Praktijkrichtlijn
Ook in Nederland vinden DDoS-aanvallen op
Van de 500.000 objecten – kantoren, bedrijven
voor alarmtransmissie via IP-netwerken. Het is
centrale computers en sites regelmatig plaats.
24
Installatie Journaal
Januari-februari 2016
TECHNIEK
Recent getroffen bedrijven en organisaties zijn
onder andere de NOS/websites Publieke
Omroep, de Volkskrant, Ziggo en universiteiten
zoals die van Leiden en Twente. Toen in
augustus Ziggo werd aangevallen lagen circa 2
miljoen internetaansluitingen er bijna twee
dagen uit. Objecten die via deze Ziggo
internetaansluitingen doormelden naar hun
PAC hebben dus bijna 48 uur lang geen
Beeld: NOS, Lars Boogaard
primaire alarmdoormelding gehad, met alle
risico’s van dien.
Ook PAC’s kunnen worden getroffen door zo’n
DDoS-aanval, waardoor alarmmeldingen van
risicolocaties, die op basis van een enkele of
tweevoudige internetoplossing doormelden,
lange tijd niet bij die meldkamer aankomen.
Veel PAC’s zijn hier totaal niet op voorbereid.
Deze opkomende cybercrime is een onderwerp
dat binnen de beveiligingsbranche onvoldoende aandacht heeft.
Kennis installateur
Van alarminstallateurs mag je verwachten dat
zij klanten van risicolocaties indringend wijzen
op de risico’s die ontstaan bij alarmoverdracht
over publiek internet. Dat geldt ook voor
Van de 500.000 objecten die zijn aangesloten op de circa 25 meldkamers melden naar schatting inmiddels ruim
verzekeraars. Zij behoren bovendien meer
140.000 aansluitingen door op basis van alarm over IP.
zicht te houden op de alarmtransmissiewijzigingen die worden doorgevoerd op hun
risicolocaties. Zoals wijzigingen in het
risico’s (AL1/DP1/DP2) tenminste één
In het hoofdstuk Alarmering wordt onder
‘beveiligd gebied’ en het vervallen van de
besloten alarmtransmissieverbinding toe te
andere ingegaan op wat onder een Alarm
voorkeurschakeling omdat de alarminstallatie
passen en voor hogere risico’s twee besloten
Transmissie Systeem (ATS) wordt verstaan, de
gekoppeld moet worden met de router van de
verbindingen tussen object en meldkamer te
specificatie van de verschillende ATS-catego-
IP-aansluiting. Die router staat vaak op een
gebruiken. Met ‘besloten verbinding’ wordt
rieën en de prestatieniveaus waaraan moet
voor iedereen toegankelijke plaats. Wie kan of
bedoeld een verbinding over een netwerk dat
worden voldaan. Er is ook aandacht voor de
mag er in die router poorten open en dicht
geen gebruik maakt van het internet.
verificatie hiervan (VoP) en de beschikbaarheid
zetten, het IP-nummerplan wijzigen etcetera.
Oplossingen die uitgaan van een tunnel (VPN)
van het ATS. Dit is inclusief het alarmtransmis-
Wat gebeurt er bij een stroomstoring als de
over internet worden niet als veilig en besloten
sienetwerk. Daarbij wordt opgemerkt dat ‘ieder
router uitvalt, is er sprake van een draadloze
gekwalificeerd. Dat er vandaag de dag
beschikbaar netwerk kan worden gebruikt om
back-up, is die open over internet of misschien
nauwelijks Alarm-over-IP-oplossingen worden
de meldingen naar de meldkamer te sturen’.
toch besloten en veilig? Nu worden dit soort
aangeboden die NPR-conform zijn, zoals de
Feitelijk is dit juist. Maar, afhankelijk van de
zaken pas vastgesteld tijdens controles, die
eerder genoemde DigiAlarm-dienstverlening,
risico’s zowel op locatie als de sterk groeiende
zeer beperkt plaatsvinden, of komen ze aan het
is teleurstellend en risicovol. De NPR doet ook
cybercriminaliteit, zou het toch zo moeten zijn
licht als er een forse schade is.
aanbevelingen voor de ontvangst-zijde (PAC)
dat een netwerk wordt toegepast dat ‘voldoen-
zodat bij een DDoS-aanval wordt voorkomen
de betrouwbaar, veilig en DDoS-ongevoelig’ is.
NPR 8136
dat dit grootschalige uitval van alarmverbindin-
Het voor iedereen toegankelijke internet
De beveiligingsbranche publiceerde in juli 2012
gen tot gevolg heeft.
voldoet niet aan deze kwalificatie. Vaak loopt
zo’n internetaansluiting met de meldkamer via
vanuit NEN (Normcommissie Alarmsystemen
- Taakgroep Alarmtransmissie) de Nederlandse
VRKI
buitenlandse servers en bedrijven, zonder dat
praktijkrichtlijn NPR 8136 ‘Alarmtransmissie
Het CCV (Centrum voor Criminaliteitspreventie
de klant dit weet. De betrouwbaarheid is
over IP-netwerken’. Dit is een leidraad voor het
en Veiligheid) is verantwoordelijk voor de
hierdoor onvoldoende. Bij de VRKI ontbreekt
ontwerp, de installatie, de inspectie en het
uitgifte en het beheer van de Verbeterde Risico
de aandacht voor de opkomende cybercrime.
onderhoud, gebaseerd op de Europese norm
Klasse Indeling (VRKI); dit is ‘een instrument
Hier is het nodige werk aan de winkel. De klant
NEN-EN 50136-1. Zo adviseert men bij lage
om het risico op diefstal te bepalen’.
moet immers kunnen vertrouwen op de
Installatie Journaal
Januari-februari 2016
25
RUBRIEK
TECHNIEK
Tags - Hier - Invullen
aangeboden beveiliging en toegepaste veilige
bevelingen voor het ontwerp van het systeem
ratuur van het Verbond van Beveiligingsorgani-
alarmtransmissie. Zo ook dat er geen sprake is
zoals de aard en omvang van de detectie en de
saties (VvBO, een enkele jaren geleden reeds
van schijnbaar goedkope internetoplossingen
wijze van installatie van het systeem. Ook de
opgeheven organisatie) is door NEN 8131
maar dat direct alle kosten inzichtelijk zijn.
eisen voor inbedrijfstelling, de documentatie
overbodig geworden.
Verzekeraars zouden één lijn moeten trekken
en het onderhoud van een I&OAS staan
Belangrijk gegeven uit de NEN 8131 is dat deze
door vast te houden aan de richtlijnen en
beschreven in de norm. De eisen en aanbeve-
voor wat betreft de alarmtransmissie tussen
adviezen uit de NPR 8136. Uiteindelijk zijn het
lingen van NEN 8131 zijn gebaseerd op
object en PAC ondubbelzinnig verwijst naar de
hun risico’s waar een betrouwbare beveiliging
relevante normen zoals:
NPR 8136. Het is hoog tijd dat de NPR 8136
wordt vereist, inclusief veilige (besloten)
- NEN-EN 50131, de Europese normreeks voor
alsook deze NEN 8131 door de beveiligingsbranche als kans op robuustere en betrouw-
alarmsystemen;
alarmtransmissie-verbindingen met de PAC/
baardere beveiliging en alarmtransmissie
- NEN-EN 50136, de normreeks voor alarm-
alarmcentrale.
worden gezien. Het negeren hiervan zou, gelet
transmissiesystemen.
NEN 8131
De systeemeisen en eisen aan apparatuur zijn
op de cybercrime-risico’s, nog wel eens
NEN 8131 betreft systeem- en kwaliteitseisen
hieruit overgenomen. Door verwijzing naar
verstrekkende gevolgen kunnen hebben.
plus toepassingsrichtlijnen voor inbraak- en
deze nieuwe norm kan verouderde regelgeving
overvalalarmsystemen. De norm geeft regels
worden afgeschaft, voor zover deze betrekking
voor het ontwerp, de uitvoering, de bediening,
heeft op de elektronische beveiligingsmaatre-
waar hij verantwoordelijk was voor de
de inbedrijfstelling, het onderhoud en de
gelen. Hierbij valt te denken aan bepaalde
introductie van DigiAccess Alarm. Ook was hij
kwaliteit van inbraak- en overvalalarmsyste-
onderdelen van de eerder genoemde VRKI van
betrokken bij de ontwikkeling van Alarm over
men (afgekort I&OAS). NEN 8131 stelt eisen
het CCV. Ook de verwijzing naar verouderde
IP. Van 2007 tot augustus 2015 werkte
aan de prestaties van een I&OAS en de
voorschriften (gedateerd juli 2000) voor
Postelmans als senior business consultant bij
kwaliteit van de toegepaste componenten.
installatie van alarmapparatuur en voorschrif-
ASB Security in Eindhoven. Eind 2013 droeg
Daarnaast bevat de norm voorschriften en aan-
ten voor beheer en onderhoud van alarmappa-
KPN de exploitatie van DigiAlarm over aan ASB.
*Bart Postelmans werkte ruim 33 jaar bij KPN,
Evenementenhal Hardenberg
8, 9 en 10 december 2015
Openingstijden
14.00 - 22.00 uur
Vraag uw gratis e-tickets aan!
NIEUW!
Meer weten?
T +31 (0)523 289 898
E [email protected]
I www.evenementenhal.nl/elektro
26
Installatie Journaal
Januari-februari 2016
Ga naar: www.evenementenhal.nl/elektro-hb
Loop doormiddel van een tour letterlijk door het gehele productieproces:
van idee tot recyclen. De tour biedt persoonlijk contact, inspiratiesessies en
productbeleving rondom het thema SMART Industry.
Related documents
Informatieblad van een besloten alarmtransmissie verbinding (AL2)
Informatieblad van een besloten alarmtransmissie verbinding (AL2)
Het Nederlands Normalisatie-instituut, NEN, is het
Het Nederlands Normalisatie-instituut, NEN, is het
Holter hiccups
Holter hiccups
Kwaliteitsmanagementprincipes
Kwaliteitsmanagementprincipes
CML2275 Mobeye ThermoGuard TwinLog
CML2275 Mobeye ThermoGuard TwinLog
HoorbaarMinder - NZKGNZKG
HoorbaarMinder - NZKGNZKG
De Tandon PAC 286 ™ personal advanced computer combineert
De Tandon PAC 286 ™ personal advanced computer combineert
besloten ruimte
besloten ruimte
Intelligent Sensor Therapy - Van der Mark Anti Decubitus Systemen
Intelligent Sensor Therapy - Van der Mark Anti Decubitus Systemen
Notulen vergadering Database opzet, een eerste stap naar de
Notulen vergadering Database opzet, een eerste stap naar de
Witte versie Nederlandse Praktijkrichtlijn over
Witte versie Nederlandse Praktijkrichtlijn over
Download
advertisement