19.11.2021 Interview: Joost Demarest over KNX Secure
De dreiging van hacking is altijd aanwezig. Daarom heeft KNX de KNX Secure ontwikkeld: een krachtige beveiligingsoplossing voor bekabelde, draadloze en IP-gebaseerde installaties. Wat is de strategie achter deze oplossing en hoe pas je ze in de praktijk toe? In dit exclusieve interview met KNXtoday geeft Joost Demarest, de CFO en CTO van KNX Association, tekst en uitleg.
Waarom is beveiliging een prioriteit voor KNX Association?
JD: In het verleden was de kennis van beveiliging in de KNX-gemeenschap beperkt. Om te beginnen zijn heel wat KNX-installaties gebaseerd op getwiste kabels. Dus als de installatie fysiek afgesloten is, bijvoorbeeld als de apparaten zich in een gesloten schakelkast bevinden, is het risico van hacking beperkt. En zoals KNX Association uitvoerig verklaart in de Secure Checklist, die te vinden is op de KNX-website, kun je heel wat maatregelen nemen om KNX Classic installaties te beschermen tegen ongewenste toegang en sabotage. De laatste tijd is er steeds meer aandacht voor beveiliging. KNX wordt nu ook meer en meer gebruikt bij draadloze systemen, waardoor KNX Secure is uitgegroeid tot een onmisbare aanvulling.
In welke specifieke situaties zal KNX Secure worden ingezet, denk je?
JD: KNX verwacht dat KNX Secure in drie gevallen gebruikt zal worden. Ten eerste bij KNX-installaties met radiofrequentiecommunicatie. Ten tweede in gebouwen waar het lastig is om te voorkomen dat iemand bij de installatie kan (bv. in publieke ruimtes van openbare gebouwen). En tot slot om een installatie te beschermen tegen ongewenste toegang via IP.
Een krachtige en werkbare oplossing zoals deze ontwikkelen, is duidelijk een mijlpaal voor KNX. Wat was er nodig om fabrikant-leden mee te krijgen?
JD: KNX is een open protocol. Daarom moesten we de uitwerking van de oplossing door de fabrikanten grondig coördineren en de overeenkomstige uitbreiding in ETS tijdig ter beschikking te stellen. Een versleutelingsalgoritme kiezen is één ding. Een oplossing creëren die steunt op dat algoritme én waterdicht en beheersbaar is voor alle partijen, dat is andere koek. In 2019 waren de specificaties helemaal klaar. Daarna volgden ook de eerste certificeringen op basis van de uniforme testspecificaties en met een update van de EITT testtool. ETS5 ondersteunde al KNX Data Secure (voor getwiste kabels en radiofrequentiecommunicatie) en KNX IP Secure (voor IP). Heel wat KNX-fabrikanten hebben toepassingen met KNX Secure op de markt gebracht. Zo is KNX Data Secure uitgegroeid tot een internationale norm volgens EN 50090-3-4, KNX IP Secure werd dat volgens EN ISO 22510.
Wat heeft KNX zoal ondernomen om de bedoeling van KNX Secure duidelijk te maken?
JD: KNX heeft de KNX Security Checklist opgesteld, de KNX Secure Position Paper geschreven en de opleidingsdocumentatie uitgebreid. In het Help Center zijn heel wat tips en tricks over het gebruik van KNX Secure te vinden. KNX heeft verder heel wat presentaties gegeven op conferenties en beurzen. Sommige daarvan zijn ook online te vinden. De gemeenschap beschikt op die manier dus over alle vereiste tools (inclusief de apparaten) om KNX Secure te gebruiken.
Een ander actueel thema voor KNX is het IoT. Welke rol speelt KNX Secure daarin?
JD: KNX Secure is duidelijk een beveiligingsoplossing voor KNX Classic installaties. Daarom hebben we met KNX IoT een volledig IP-gebaseerde communicatie-uitbreiding voor KNX Classic ontwikkeld. Voor KNX IoT worden uiteraard ook beveiligingsmechanismen gekozen, maar die zullen grotendeels steunen op mechanismen bepaald door de Internet Engineering Task Force voor IP-apparaten.
Hoe zou je de beschikbaarheid van KNX Secure tot nu toe samenvatten?
JD: KNX beschouwt KNX Secure als een mijlpaal in gebouwenautomatisering. Als eerste biedt KNX namelijk een beveiligingsconcept voor zijn apparaten op veldniveau aan dat openstaat voor alle verkopers. Dat creëert heel wat mogelijkheden voor KNX en KNX-fabrikanten. We zijn ervan overtuigd dat dankzij KNX Secure nog meer eigenaars van gebouwen voor KNX zullen kiezen.
Wel is het uitermate belangrijk dat elektriciens waakzaam blijven voor mogelijke cyberaanvallen op installaties die ze uitrusten met KNX. De KNX Secure Checklist gebruiken blijft essentieel. Het is namelijk makkelijk om achterpoortjes te maken (bv. als een KNX-installatie rechtstreeks wordt aangesloten op het internet, zonder VPN-verbinding). De checklist voorkomt dergelijke vermijdbare fouten.
