Cybersikkerhet i SD-anlegg: NIS2 og OT-sikkerhet for næringsbygg

Trussellandskapet for bygningsautomasjon

Moderne byggautomasjon er IP-basert og ofte tilkoblet bedriftsnettverk og internett. Det som gir effektiv fjerndrift og smarte løsninger, åpner også for cyberangrep:

• Ransomware: Låsing av SD-anlegg kan stoppe bygningsdrift — ventilasjon, varme og kjøling slutter å fungere.
• Lateral movement: Angriper bruker usikret SD-nettverk som springbrett inn i bedriftens IT-nettverk.
• Dataeksfiltrering: Tilgang til bygningsdata (tilstedeværelse, adgangsmønstre) kan utnyttes for spionasje.
• Fysisk sabotasje: Manipulering av ventilasjon eller kjøling i kritisk infrastruktur (sykehus, datasentre).

NIS2-direktivet og norsk lovgivning

EUs NIS2-direktiv stiller nye krav til cybersikkerhet for «vesentlige og viktige enheter» — inkludert bygningseiere og -forvaltere i visse sektorer. I Norge implementeres dette gjennom ny nasjonal lovgivning. Kravene inkluderer:

• Risikovurdering av OT-systemer inkludert SD-anlegg
• Hendelsesrapportering ved cyberangrep
• Tilgangskontroll og autentisering
• Nettverkssegmentering mellom IT og OT
• Patch management og sårbarhetsovervåking

Praktiske tiltak for sikring av SD-anlegg

1. Nettverkssegmentering

Det viktigste enkelttiltaket er å skille OT-nettverket (SD-anlegg, BACnet-enheter, undersentraler) fra IT-nettverket med en brannmur og DMZ. BACnet-trafikk bør aldri eksponeres direkte mot internett.

2. Tilgangskontroll

Alle brukere av Desigo CC eller andre toppsystemer bør ha personlige kontoer med rollebasert tilgang. Standard-passord på undersentraler og regulatorer må endres ved installasjon.

3. Kryptert fjerntilgang

Fjerntilgang til SD-anlegg bør kun skje via VPN med flerfaktorautentisering. Åpne porter for BACnet/IP (port 47808) er en av de vanligste sårbarhetene i norske næringsbygg.

4. Patch management

Hold toppsystem, undersentraler og nettverksutstyr oppdatert. Opprett en rutine for sikkerhetsoppdateringer — også for OT-utstyr som tradisjonelt sjelden oppdateres.

5. Overvåking og logging

Implementer logging av pålogginger, konfigurasjonsendringer og nettverkstrafikk i OT-nettverket. Sett opp varsler for uventet aktivitet.

BMS Service sine cybersikkerhetstjenester

Vi tilbyr sårbarhetsvurdering, nettverkssegmentering og NIS2-rådgivning for SD-anlegg og byggautomasjon. Tjenestene ledes av vår CTO, Job Bahner, som kombinerer ekspertise innen informasjonssikkerhet og bygningsautomasjon. Les mer om teamet.

Kom i gang med OT-sikkerhet

Bestill en konsultasjon for en uforpliktende gjennomgang av cybersikkerhet i ditt SD-anlegg.