Cyberbezpieczeństwo Smart Building - zagrożenia i ochrona systemów BMS
Cyberbezpieczeństwo inteligentnych budynków - protokoły BACnet, KNX, LONworks, ataki na BMS, segmentacja sieci budynkowej. Wymagania IEC 62443 i NIS2.
We wrześniu 2023 roku grupa Dark Angels zaatakowała ransomwarem firmę Johnson Controls - jednego z największych producentów systemów HVAC, kontroli dostępu i ochrony przeciwpożarowej na świecie. Strata netto: 27 milionów dolarów. W 2025 roku badanie Claroty wykazało, że 75% organizacji ma urządzenia BMS z publicznie znanymi exploitowanymi podatnościami, a 51% ma te urządzenia połączone z internetem w sposób umożliwiający atak ransomware.
Inteligentne budynki to nie tylko beton i szkło. To obiekty naszpikowane systemami automatyki - od kontroli klimatyzacji i oświetlenia po monitoring wizyjny, kontrolę dostępu i zarządzanie windami. Każdy z tych systemów jest potencjalną powierzchnią ataku. A w odróżnieniu od systemów IT, konsekwencje ataku na BMS to nie utrata danych - to ewakuacja budynku, awaria chłodzenia serwerowni, otwarcie kontroli dostępu lub wyłączenie oświetlenia.
organizacji z urządzeniami BMS dotkniętymi znanymi exploitowanymi podatnościami (KEV)
z KEV powiązanych z ransomware i podłączonych do internetu
urządzeń BMS przeanalizowanych w 529 organizacjach
urządzeń BACnet/KNX IP eksponowanych w internecie (Shodan)
Źródło: Claroty Team82, State of CPS Security 2025: Building Management System Exposures
Czym jest Smart Building i dlaczego jest podatny
Smart Building to obiekt, w którym systemy automatyki budynkowej (BMS - Building Management System) integrują zarządzanie HVAC, oświetleniem, kontrolą dostępu, monitoringiem, windami i systemami pożarowymi. Typowe obiekty to biurowce, galerie handlowe, szpitale, lotniska, centra danych i hotele.
Problem bezpieczeństwa wynika z historii. Protokoły automatyki budynkowej - BACnet, KNX, LONworks - powstały w latach 80. i 90., gdy liczyła się funkcjonalność, nie cyberbezpieczeństwo. Początkowo komunikowały się po dedykowanym okablowaniu (skrętka miedziana, magistrala). Dopiero później dodano Ethernet i łączność bezprzewodową - co otworzyło odizolowane wcześniej systemy na świat.
Protokoły BMS - stan bezpieczeństwa
| Protokół | Standard | Uwierzytelnianie | Szyfrowanie | Bezpieczna wersja | Status adopcji |
|---|---|---|---|---|---|
| BACnet | ASHRAE 135 | Brak (BACnet/IP) | Brak | BACnet/SC (2020) - TLS 1.3, X.509 | Niska - większość instalacji to legacy BACnet/IP |
| KNX | EN 50090 | Brak (KNX Classic) | Brak | KNX Secure (2019) - AES-128 CCM | Niska - certyfikacja istnieje, adopcja w instalacjach minimalna |
| LONworks | ANSI/CEA-709 | Brak | Brak | Brak | Brak - protokół uznawany za legacy |
| Modbus TCP | Modbus.org | Brak | Brak | Modbus/TCP Security (2018) - TLS | Bardzo niska |
Wzorzec jest ten sam dla wszystkich protokołów: standardy dodały zabezpieczenia na papierze, ale zainstalowana baza urządzeń ich nie obsługuje. Większość budynków korzysta z urządzeń zainstalowanych 10-20 lat temu, bez możliwości aktualizacji.
Jak atakujący wykorzystują BMS
Ekspozycja do internetu
Jednym z głównych wektorów ataku jest wystawienie systemów BMS do internetu - często nieświadomie. Narzędzia takie jak Tenable Attack Surface Management pozwalają zidentyfikować urządzenia BACnet (UDP 47808), KNX (UDP 3671) i Modbus (TCP 502) dostępne z internetu. Badanie Claroty Team82 (2025) wskazuje ponad 23 000 urządzeń BACnet i KNX IP eksponowanych w internecie (dane Shodan). Raport Claroty CPS Security 2025 wskazuje, że 40% organizacji z urządzeniami OT ma je podłączone do internetu w sposób niezabezpieczony - co w przypadku BMS jest szczególnie niepokojące.
Dostęp do wielu z tych systemów jest możliwy z wykorzystaniem domyślnych haseł lub bez logowania. Incydent z 2019 roku (Safety Detective) ujawnił niezabezpieczony dostęp przeglądarkowy do systemów BMS firmy RDM w 319 obiektach globalnie, w tym dziesięciu szpitalach w Wielkiej Brytanii.
Integracja BMS z siecią korporacyjną - nowe wektory ataku
Od 2019 roku kluczową zmianą jest przejście na BMS zarządzane z chmury. Operatorzy budynków chcą dashboardów energetycznych, zdalnej diagnostyki i predykcyjnego utrzymania - co wymaga łączności z internetem. W praktyce powstają trzy niebezpieczne topologie:
- Kontroler BMS z bezpośrednim dostępem do internetu - płaska sieć, brak segmentacji
- BMS podłączony do sieci korporacyjnej do raportowania energetycznego - ryzyko ruchu lateralnego do IT
- BMS zarządzany z chmury (Siemens Desigo CC, Honeywell Forge, Johnson Controls OpenBlue) - chmura dostawcy jako powierzchnia ataku
Systemy budynkowe rzadko mają dedykowane zespoły bezpieczeństwa. W odróżnieniu od systemów sterowania procesem przemysłowym, BMS jest często administrowany przez firmy facility management, dla których cyberbezpieczeństwo nie jest podstawową kompetencją. Ta luka jest widoczna w danych o incydentach.
WARNING
Ataki na systemy BMS coraz częściej przechodzą przez wektor socjotechniczny - phishing wymierzony w personel zarządzający budynkiem. W przypadku kompromitacji kontrolera BMS przywrócenie pełnej funkcjonalności może trwać tygodnie lub miesiące, wymagając wymiany firmware, rekonfiguracji systemu i w skrajnych przypadkach relokacji najemców (Claroty, 2025).
Przykłady ataków
| Incydent | Rok | Cel | Wpływ |
|---|---|---|---|
| Google Australia | 2013 | System BMS NiagaraAX - podatność pozwalająca na odczyt hasła administratora | Kompromitacja siedziby Google w Sydney |
| Target (USA) | 2013 | Wektor wejścia przez system HVAC podwykonawcy | Kradzież danych 40 mln kart płatniczych |
| Szpitale USA/UK (WannaCry) | 2017 | Systemy IT szpitali (NHS) | Zamknięcie oddziałów, przenoszenie pacjentów |
| Johnson Controls | 2023 | Ransomware Dark Angels na infrastrukturę IT producenta BMS | 27 mln USD strat, naruszenie danych |
| Omni Hotels | 2024 | Systemy kart pokojowych, check-in, płatności | Wielodniowa przerwa w obsłudze gości |
Kto odpowiada za bezpieczeństwo Smart Building
Odpowiedzialność za bezpieczeństwo BMS jest rozmyta przez strukturę cyklu życia budynku. W projekt angażuje się wielu interesariuszy: inwestor, generalny wykonawca, podwykonawcy (instalatorzy BMS, integrator systemów bezpieczeństwa), a następnie administracja, firmy serwisowe, dział IT najemców i podmioty zewnętrzne.
Kluczowe pytania, które powinny paść na każdym etapie:
- Czy cyberbezpieczeństwo zostało uwzględnione na etapie projektowania systemów BMS?
- Czy przy wyborze urządzeń i producentów brano pod uwagę aspekt bezpieczeństwa?
- Czy w ramach odbioru budynku wykonano testy bezpieczeństwa całego systemu?
- Kto weryfikuje stan bezpieczeństwa w fazie użytkowania?
Ochrona systemów Smart Building
Segmentacja - pierwsza linia obrony
Model stref i korytarzy IEC 62443 stosuje się do budynków tak samo jak do zakładów przemysłowych. BMS powinien znajdować się we własnej strefie OT, oddzielonej od sieci korporacyjnej firewallami. Zdalny dostęp do BMS - tylko przez jump server w DMZ, nigdy bezpośrednio z internetu.
TIP
Minimalny zestaw reguł segmentacyjnych dla Smart Building: (1) BMS w oddzielnej sieci VLAN z dedykowanym firewallem, (2) brak routingu z BMS do internetu, (3) dostęp zdalny do BMS tylko przez VPN + MFA + jump server, (4) monitoring ruchu BACnet/Modbus narzędziem IDS (np. Nozomi Guardian), (5) izolacja systemów safety (ppoż, DSO) od BMS.
Hardening protokołów
Dla nowych instalacji warto wymagać BACnet/SC (TLS 1.3) i KNX Secure (AES-128). Dla istniejących instalacji - kompensujące kontrole: segmentacja, monitoring, kontrola dostępu do paneli konfiguracyjnych.
Inwentaryzacja zasobów
Większość operatorów BMS nie jest w stanie wymienić wszystkich podłączonych urządzeń. Inwentaryzacja jest punktem wyjścia - pasywne narzędzia (Nozomi, Claroty) obsługują teraz protokół BACnet i mogą wykrywać urządzenia budynkowe bez wpływu na ich działanie.
Wymagania regulacyjne
NIS2 / KSC
Dyrektywa NIS2 obejmuje podmioty kluczowe z sektorów energetyki, zdrowia, wodociągów i infrastruktury cyfrowej - sektorów, które operują duże obiekty budynkowe. Systemy BMS w szpitalach, centrach danych i budynkach infrastruktury krytycznej wchodzą w zakres jako część powierzchni ataku OT. Incydent w BMS szpitala (np. awaria klimatyzacji w sali operacyjnej) podlega raportowaniu w ciągu 24 godzin.
EU Cyber Resilience Act
CRA (przyjęty 2024, wejście w życie wymagań technicznych grudzień 2027) obejmuje urządzenia z elementami cyfrowymi sprzedawane w UE - w tym komponenty BMS. Producenci będą musieli wbudować bezpieczeństwo od etapu projektowania (security by design) i dostarczać SBOM (Software Bill of Materials).
IEC 62443
Norma jest coraz częściej stosowana w kontekście budynkowym. Producenci tacy jak SAUTER i Siemens Building Technologies publikują oceny bezpieczeństwa BMS na bazie IEC 62443. Najistotniejsze części dla budynków: 62443-2-1 (program bezpieczeństwa) i 62443-3-3 (wymagania systemowe, strefy i korytarze). Audyt IEC 62443 pozwala ocenić zgodność systemu BMS z wymaganiami normy.
Checklist bezpieczeństwa Smart Building
| Obszar | Element | Opis |
|---|---|---|
| Inwentaryzacja | Rejestr urządzeń BMS | Lista wszystkich kontrolerów, czujników, aktuatorów z firmware i adresami |
| Mapa sieci BMS | Topologia sieci z identyfikacją połączeń z IT i internetem | |
| Segmentacja | Oddzielna sieć BMS | VLAN + firewall oddzielający BMS od IT |
| Izolacja systemów safety | Systemy ppoż, DSO, ESD w oddzielnym segmencie | |
| Brak dostępu z internetu | Żadne urządzenie BMS nie jest bezpośrednio osiągalne z internetu | |
| Dostęp | Zmiana domyślnych haseł | Hasła administracyjne zmienione na każdym urządzeniu |
| MFA dla zdalnego dostępu | Wieloskładnikowe uwierzytelnianie na VPN/portalu zarządzania | |
| Indywidualne konta serwisowe | Brak współdzielonych kont dla firm serwisowych | |
| Monitoring | IDS na sieci BMS | Monitoring protokołów BACnet/KNX/Modbus (np. Nozomi, Claroty) |
| Logi dostępu | Logowanie wszystkich sesji zdalnych i zmian konfiguracji | |
| Aktualizacje | Firmware kontrolerów | Regularna weryfikacja dostępności aktualizacji |
| SBOM | Wiedza o komponentach software w urządzeniach BMS | |
| Procedury | Plan reagowania | Procedura na wypadek ataku na systemy BMS |
| Zarządzanie zmianami | Procedura MOC dla zmian w konfiguracji BMS |
Bezpieczeństwo Smart Building zaczyna się od inwentaryzacji i segmentacji - realizuje podejście defense in depth i nie wymaga wymiany całej instalacji. Jeśli chcesz ocenić stan bezpieczeństwa systemów BMS w swoim obiekcie, możemy przeprowadzić audyt zgodności z IEC 62443 lub testy penetracyjne sieci OT budynku.
Źródła
- Claroty Team82 - State of CPS Security 2025: Building Management System Exposures
- Claroty - Widespread cyber risks in BMS including ransomware-linked KEVs (2025)
- ASHRAE 135 - BACnet/SC (Secure Connect)
- IEC 62443 - BMS Compliance and NIS-2
- NIST SP 800-82 Rev. 3
- EU Cyber Resilience Act (2024)
- Forescout - ICS Cybersecurity in 2026: Vulnerabilities and Path Forward
- Nautilus OT - BMS Cybersecurity in 2026