Februari 2025
‘Cybersecurity moet verweven zijn in werkwijze installateur’
Technische infrastructuur
De tijd van standalone installaties, zonder verbinding met andere apparaten of met de buitenwereld, is voorbij. Allerlei systemen zijn tegenwoordig met elkaar en met het internet verbonden. Dit helpt onze gebouwen duurzamer en comfortabeler te maken. Maar het brengt ook nieuwe risico’s met zich mee. Want hoe zorg je als installateur dat deze verbindingen veilig zijn en blijven?
De installateur kan anno 2025 niet meer om cybersecurity heen. Wanneer installaties met elkaar in verbinding staan, moeten ze wel de veiligheid kunnen waarborgen. Fabrikanten spelen hierin een rol, evenals de eindgebruiker. Maar in dit geheel is de installateur de ‘spin in het web’, zo schetst John van Vugt. Als Vakspecialist Elektrotechniek bij Techniek Nederland signaleert hij dat installateurs zich langzaam maar zeker bewust beginnen te worden van deze verantwoordelijkheid. Toch zijn ze nog lang niet altijd voldoende op de hoogte van de risico’s en de benodigde maatregelen.
Bekabeld of draadloos?
Duidelijk is dat een draadloze verbinding over het algemeen meer veiligheidsrisico’s met zich meebrengt dan een draadgebonden verbinding. ‘Elke draadloze verbinding betekent een verhoging van het risico om gehackt te worden’, vertelt Van Vugt. ‘Maar er zijn genoeg situaties waarin het niet handig of zelfs niet mogelijk is om kabels te leggen. In bestaande bouw kan dit een stuk lastiger zijn dan bij nieuwbouw, al helemaal als je bijvoorbeeld met een monumentaal pand te maken hebt. Soms kun je ergens met een kabel niet komen of zijn er meer kabels nodig dan je kwijt kunt. En natuurlijk zijn er steeds meer apparaten die in verbinding staan met een app.’
Kortom: draadloze verbindingen komen steeds vaker voor. ‘In de praktijk kom je dus van alles tegen; verschillende systemen, draadloos of bekabeld, centraal of decentraal. Voor draadloze verbindingen bestaan weer verschillende communicatieprotocollen. En sommige verbindingen blijven binnen het gebouw, terwijl andere worden gekoppeld aan het internet of een extern communicatiesysteem. Dit alles bij elkaar zet veel deuren open, ook voor hackers. Dit kan op IT-gebied: het hacken van software en platleggen van een systeem, maar minder bekend zijn de gevaren op het gebied van OT (operationele technologie). Zo kunnen hackers technische installaties op afstand bedienen en bijvoorbeeld aan- of uitschakelen.’
Verantwoordelijkheid
Op nationaal en Europees niveau wordt hard gewerkt aan wet- en regelgeving in het kader van cybersecurity. Zo moeten fabrikanten en leveranciers van digitale producten voldoen aan de recent goedgekeurde Cyber Resiliance Act. En de nieuwe NIS2 stelt cyberveiligheidseisen aan ‘essentiële en belangrijke infrastructuur’. Deze wet heeft impact op uiteenlopende potentiële opdrachtgevers van installatiebedrijven, en daarmee ook op de installateurs zelf.
Maar waar ligt dan precies de verantwoordelijkheid van de installateur? Van Vugt: ‘De rol van de installateur ligt ’m vooral in de afstemming met fabrikant en eindgebruiker. Ten eerste wil je van de gebruiker weten: wat wil hij of zij precies? Wat is de functie van het gebouw, hoe wordt de techniek daarin gebruikt en wie moeten er wel en geen toegang krijgen? Ten tweede is er de vraag aan de fabrikant: welke beveiligingsmaatregelen moet ik nemen om te zorgen dat onbevoegde personen geen toegang tot jullie product of systeem kunnen krijgen? Fabrikanten zijn verplicht om deze vraag in documentatie en handleidingen te beantwoorden. Als installateur ben je vervolgens verantwoordelijk voor het juist en veilig toepassen van deze producten. Ga er dus nooit zomaar vanuit dat de fabrikant alles op orde heeft, maar toets zelf of het product ook daadwerkelijk aan de wetgeving voldoet.’
Vooral aan OT-kant kennen installateurs potentiële gevaren niet
Verweven in werkwijze
Van Vugt stelde al dat installateurs zich nog niet altijd voldoende bewust zijn van de cyberveiligheidsrisico’s. ‘Slechte wachtwoorden, ontbrekende tweestap-verificatie, geen goede afspraken; dat kom je in de praktijk nog vaak tegen. Zoals ik zei weten vooral aan de OT-kant veel installateurs niet wat de potentiële gevaren zijn. Er is lang niet altijd het besef dat elke ‘deur’ die open staat, toegang kan geven tot het hele systeem. En dat je dus moet zorgen dat al deze deuren alleen voor de juiste mensen toegankelijk zijn.’
Dit bewustzijn neemt weliswaar langzaam toe, maar is nog lang niet op het niveau waar het moet zijn. ‘Cybersecurity moet verweven zijn in de werkwijze van de installateur. Zorg ten eerste dat je goed geïnformeerd bent en maak cybersecurity een apart onderdeel van je offerte. Ga met je klanten het gesprek aan over de potentiële risico’s. Leg ze uit dat elke installatie of applicatie die je koppelt een deur is die goed op slot moet staan. En dat dat dus ook geldt voor bijvoorbeeld Sonos-speakers of Hue-verlichting die ze zelf in de winkel kunnen kopen. Ook de klant goed informeren is een belangrijke taak van de installateur.’
Cyberveilig installeren
Om installaties zo cyberveilig mogelijk te kunnen opleveren, is het natuurlijk van belang dat je jezelf als installateur goed informeert. Techniek Nederland helpt hierbij. Zo ontwikkelde de branchevereniging in het project ‘Cyberveilig installeren’ een reeks richtlijnen en stappen waarmee installateurs hun installaties kunnen beveiligen.
Het stappenplan – en meer informatie over cybersecurity – is te vinden op www.technieknederland.nl/cyberveilig-installeren/.
Tekst: Lars van Mil
Fotografie: iStock
Lees meer artikelen in het dossier Software