De tijd dat de lift een losstaande mechanische installatie was, is niet meer. Ook liften zijn tegenwoordig via systemen en software met de buitenwereld verbonden, bijvoorbeeld voor monitoringdoeleinden. Dat biedt kansen, maar zorgt tegelijkertijd ook risico’s. Tijmen Molema, productspecialist bij Liftinstituut op het gebied van cybersecurity, vertelt over de cybergevaren, de aankomende wetgeving en de support die Liftinstituut kan bieden.
Welke risico’s zijn er voor gebouwbeheerders en -eigenaren als het gaat om cybersecurity?
“Voor de kleine gebouwbeheerders en -eigenaren zoals VvE’s vallen de risico’s wel mee. Anders wordt het wanneer je een groot ziekenhuis, verschillende metrostations of vijf hoge kantoorgebouwen beheert. Dan ben je opeens afpersbaar. Je moet er niet aan denken wat er gebeurt als door een DDoS-aanval al je liften worden stilgelegd. (Dit is een cyberaanval waarbij vele computers een systeem met berichten bestoken, waardoor alles komt stil te liggen – red.) Patiënten die niet meer naar de operatiekamer kunnen, mindervaliden die de metro niet meer bereiken, en de productie die stilligt omdat tweehonderd kantoormedewerkers niet op de twaalfde etage komen.”
“En stilstand is nog maar één cyberrisico. Een ander gevaar is dat jouw liftsystemen deel gaan uitmaken van een DDoS-netwerk. Als jij vijftig gebouwen bezit of beheert met elk zo’n tien liften en die liften gaan allemaal tegelijkertijd berichten sturen naar een andere website, dan zit je opeens in het team van de hacker.”
“Nog ontwrichtender is de situatie waarbij jouw liften als ‘stepping stone’ dienen. Routers zijn vaak wel goed beschermd tegen ongewenst bezoek van buitenaf. Daarom zoeken hackers liever toegang via andere systemen die connectie hebben met de router. Eenmaal binnen kunnen ze alle tijd nemen om te kijken hoe ze bijvoorbeeld de router omver kunnen duwen. Voor je het weet, hebben ze toegang tot je betaalsystemen. Dat overkwam een Amerikaanse supermarktketen. Hackers namen de controle over de airco over en wisten meer dan 700 miljoen dollar achterover te drukken.”
Welke regelgeving geldt er momenteel op het gebied van cybersecurity?
“Sowieso hebben fabrikanten, gebouwbeheerders en -eigenaren nu al een zorgplicht. Zij moeten ervoor zorgen dat mensen veilig met de lift kunnen. Wat cybersecurity betreft wordt er eind 2024 een nieuwe Europese richtlijn bekrachtigd: de NIS2 (Network and Information Services Directive). Die zegt kortweg: zorg dat je systemen veilig en secure zijn, regel je processen in en meld tekortkomingen bij een landelijke autoriteit. En heb je je techniek en processen niet op orde, dan gelden er gigantische boetes. Die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.”
“Daarbovenop komt straks nog de Cyber Resilience Act (CRA) die alles aftimmert wat niet in de NIS2 is geregeld. In verband met alle internationale spanningen zal die niet lang meer op zich laten wachten.”
Wat doet Liftinstituut voor gebouweigenaren en -beheerders rondom cybersecurity?
“Sowieso willen we klanten bewuster maken van de gevaren. Je bent een target, ook al weet je het misschien zelf niet. Je liftproducent kan je nog zo’n veilige lift leveren – compleet met cybersecuritycertificaat – als je de updates niet installeert en je processen niet goed voor elkaar hebt, ben je nog kwetsbaar. Daarom is ons advies: wacht niet af tot het misgaat, maar repareer het dak als de zon schijnt. De Europese wetgeving komt er toch aan.”
“Met ons cybersecurity assessment, een nieuwe dienstverlening voor gebouweigenaren en -beheerders, kunnen we op drie terreinen ondersteunen. Zo helpen we met het opzetten van de processen. Wat doe je als het misgaat? Wie bel je? En hoe ga je bijvoorbeeld puinruimen? Zo’n draaiboek is ook verplicht vanuit de NIS2. Ander onderdeel van de dienstverlening is een technische controle: zijn de software-updates van de liftsystemen wel geïnstalleerd? Staat er apparatuur in de liftschacht of machinekamer die daar helemaal niet hoort? Verder voeren we ook penetration tests uit. Daarbij zetten we een hacker in om te kijken hoe ver hij komt. Kan hij bijvoorbeeld via de lift naar de printer en van de printer door naar de kassa van de kantine?”
Hoe blijven gebouweigenaren en gebouwbeheerders ‘cybersecure’?
“Er is een groot verschil tussen veiligheid en cybersecurity. Bij veiligheid zijn de natuurwetten je tegenstander. Heb je bijvoorbeeld één keer gecheckt hoe sterk iets moet zijn, dan is dat voor altijd goed. Met cybersecurity heb je met de menselijke factor te maken en de mens evolueert. Je moet je security dan ook up-to-date houden. Dat is een hele andere dynamiek. Ook daarin kunnen we assisteren.”
“Ik kan overigens niet vaak genoeg benadrukken hoe belangrijk het is om op korte termijn maatregelen rondom cybersecurity te nemen. Regel je niets en overkomt je bijvoorbeeld een cyberaanval, dan ben je eigenlijk altijd te laat.”
Meer informatie over onze cybersecurity-dienstverlening
Ja, ik wil graag meer weten over de cybersecurity assessment-dienstverlening van Liftinstituut: