Obecna sytuacja związana ze stanem pandemii COVID-19 drastycznie zmieniła sposób w jaki prowadzimy swój biznes oraz ograniczyła dostęp pracowników do biura i zasobów firmowych. Większość biurowców wydaje się być opuszczona. Oprócz jednego miejsca, które w tych czasach bardziej niż zwykle tętni życiem, co przejawia się szumem powietrza, wydzielaniem ciepła i miłą dla oka grą migających diod. Jest nim biurowa serwerownia – miejsce, bez którego praca zdalna większości organizacji nie byłaby możliwa.
Właśnie teraz warto zwrócić uwagę na bezpieczeństwo kluczowego zasobu organizacji jakim jest miejsce przechowywania danych i obecnie całkowicie przeniesionej do sieci działalności operacyjnej firmy. Dlatego też obserwujemy znaczne ożywienie na rynku dostawców usług kolokacyjnych nie tylko w Polsce ale i na świecie. Światowi giganci technologiczni tacy jak Microsoft, zadeklarował inwestycję w wysokości 1 mld dolarów w obiekt typu Data Center w Polsce.
Na rynku dostępna jest szeroką gama usług w chmurze obliczeniowej oferujących produkty w formule IaaS, Paas lub SaaS(ang. Infrastructure/Platform/Software as a Service), które pozwalają elastycznie dopasować zakres outsourcowanych usług IT. Jednak usługi te wymagają wysokich nakładów inwestycyjnych, a będąc w biurze i tak do połączenia z nimi musimy użyć własnej infrastruktury.
Jak donosi firma doradcza SEQRED1 w 2018 roku 61% firm doświadczyło ataków sieciowych. W 2015 r. w wyniku cyberataku 7 linii energetycznych wysokiego napięcia na Ukrainie zostało odłączonych co spowodowało przerwy w dostawie prądu dla ok. 230 tys. mieszkańców2 . Straty wywołane czterodniowym blackoutem w 2003 r. w USA sięgnęły 6 mld dolarów i miały wpływ na 55 mln osób. Jak widać zagrożenie jest realne i niesie ryzyko ogromnych strat. Mieliśmy okazję przekonać się o tym w Polsce w 2015 r., kiedy po wprowadzeniu 20-tego stopnia zasilania wiele przedsiębiorstw musiało ograniczyć swoją działalność i w szybki sposób zaopatrzyć się w alternatywne źródła zasilania takie jak dodatkowe agregaty prądotwórcze. Jedno i drugie rozwiązanie pociągnęło za sobą wysokie koszty.
Blackout na dolnym Manhattanie – tylko jeden budynek (Goldman Sachs) był przygotowany na zagrożenie tego typu, Nowy Jork, 30.10.2012 r.
Równie ważne dla ciągłości biznesu jest bezpieczeństwo pracy całego budynku, w którym znajduje się biuro i serwerownia. Systemy zarządzania budynkiem BMS w nowoczesnych biurowcach odpowiedzialne są za monitoring, a często w dużym stopniu sterowanie wieloma instalacjami i urządzeniami. Niepowołana osoba mająca do niego dostęp mogłaby wyłączyć lub zmienić ustawienia instalacji takich jak oświetlenie, wentylacja czy klimatyzacja. Dłuższy niż kilkanaście minut brak oświetlenia, wentylacji czy klimatyzacji sprawi, że odczujemy dyskomfort uniemożliwiający efektywną pracę, nie wspominając o braku spełnienia podstawowych wymagań dotyczących środowiska pracy. W przypadku przejęcia przez hackera kontroli nad ww. systemami grozić nam może nie tylko dyskomfort, ale również uszkodzenie agregatów wody lodowej lub całej instalacji. Może to skutkować wysokimi stratami dla właściciela obiektu ale również dla Najemcy w przypadku wycieków, które mogą zalać powierzchnię biura i wyrządzić szkody w mieniu Najemcy.
By odpowiednio zadbać o bezpieczeństwo infrastruktury musimy o nim pamiętać już we wczesnych fazach życia obiektu. Przede wszystkim w fazie projektowej oraz równie ważnej fazie eksploatacji. Obszary działań w tym zakresie możemy podzielić na zapewnienie ciągłości działania (zapewnienie ciągłości dostaw mediów) oraz bezpieczeństwo fizyczne infrastruktury ( uniemożliwienie dostępu osób niepowołanych, które mogą przerwać ciągłość działania). Obszary te obejmują infrastrukturę ogólnobudynkową (kompetencje Właściciela) jak i aranżowaną powierzchnię Najmu (kompetencje Najemcy).
Podstawowym elementem, który umożliwi podniesienie bezpieczeństwa w obszarze utrzymania ciągłości dostaw mediów jest redundancja, zarówno na poziomie ogólnobudynkowym jak i powierzchni najmu. Oto kilka sposobów jak zadbać o odpowiedni poziom ciągłości działania na poziomie budynku:
- Dwie niezależne linie zasilania – często zdarza się, że dwie linie zasilania prowadzą do tego samego punktu rozdzielczego (GPZ lub RPZ), wtedy mimo tego, że mamy dwa źródła zasilania często ulegają one awarii w tym samym czasie. Zatem nie są one niezależne i dają nam tylko pozorną redundancję.
- Agregat prądotwórczy – zwiększy bezpieczeństwo w przypadku awarii podstawowych źródeł zasilania. W większości biurowców jeśli pracuje on na potrzeby ogólnobudynkowe to zasila jedynie podstawowe odbiory budynku, takie jak systemy pożarowe i bezpieczeństwa. Rozwiązanie to nie zapewnia podstawowych warunków do kontynuowania pracy, a co za tym idzie dla naszych pracowników będzie równoznaczne z całkowitym brakiem zasilania. W zdecydowanej większości są one montowane jako dodatkowe wymaganie Najemcy w ramach aranżacji biura.
- zasilacz UPS – z racji wysokich kosztów inwestycyjnych i utrzymania urządzenia te w biurowcach są wykorzystywane jedynie w celu podtrzymania zasilania budynku na czas przełączenia obciążenia na źródło rezerwowe (drugą linię zasilania lub agregat prądotwórczy). Warto jednak by zasilacz na ten czas podtrzymywał nie tylko systemy pożarowe i bezpieczeństwa ale również serwerownie i stanowiska pracy. W tym przypadku chwilowy brak klimatyzacji i wentylacji będzie odczuwalny w niewielkim stopniu.
Wiedząc w jaki sposób zabezpieczona jest ciągłość dostarczania mediów ze strony budynku możemy skupić się na tym co zrobić w ramach prac fit-out, by tę sytuację jeszcze poprawić. Oto kilka rad jak to możemy ten cel osiagnąć:
- Jeśli budynek oferuje dwa niezależne źródła zasilania należy zadbać o to, by nasza infrastruktura miała np. dwa zasilacze, które będą mogły bezprzerwowo przejmować wzajemnie obciążenie.
- Agregat prądotwórczy – Będzie zabezpieczeniem w razie większej awarii sieci dostawcy energii. By dobrze spełniał swoje zadanie należy tak dobrać jego moc by mógł przejąć obciążenie nie tylko systemów bezpieczeństwa, ale również serwerowni, stacji roboczych pracowników oraz oświetlenia, wentylacji i klimatyzacji. Tylko wtedy pozwoli on na zabezpieczenie naszego biznesu w trakcie awarii.
- Prawdziwie dwustronne zasilanie. Często zdarza się, że mimo, że w budynku dostępne są dwa tory zasilania, rozdzielnice zasilające infrastrukturę na powierzchni najmu zasilane są tylko z jednego z nich.
- Podtrzymanie wszystkich kluczowych odbiorów. Aby urządzenia w serwerowni mogły działać prawidłowo również klimatyzacja, która odbiera od nich ciepło powinna być w pełni rezerwowana i zasilana w czasie zaniku napięcia z podstawowego źródła. Tak by w razie awarii urządzenia IT były nie tylko zasilane ale i również chłodzone.
- Lokalizacja z dala od niebezpieczeństwa. Urządzenia, które mogą być źródłem wycieku lokalizujemy poza pomieszczeniem, w którym znajdują się szafy rack z urządzeniami IT. Umożliwia to ograniczenie dostępu do kluczowej infrastruktury dla firm zewnętrznych takich jak ochrona czy serwis w celu przeprowadzenia okresowych prac konserwacyjnych i reakcji na awarie.
- Monitoring parametrów zasilania, temperatury, wilgotności czy detekcja wycieku pozwalają uzyskać wiedzę o pracy serwerowni bez konieczności fizycznego dostępu. Jest to kolejny sposób na ograniczenie czynnika ludzkiego, który jest najczęstszą przyczyną pogorszenia bezpieczeństwa.
Poznaliśmy już uniwersalne sposoby poprawy bezpieczeństwa infrastruktury w obszarze utrzymania ciągłości dostawy mediów w zakresie części wspólnych i fit-out. Obecnie, w erze powszechnego dostępu do sieci, pracy zdalnej oraz internetu rzeczy zabezpieczenie dostępu fizycznego i zdalnego nie tylko do infrastruktury IT ale i budynkowej jest niezmiernie ważne w zapewnieniu bezpieczeństwa biznesu.
Największe pole do poprawy sytuacji mamy w kwestii zabezpieczenia całego budynku. Aspekt zabezpieczenia dostępu fizycznego do budynku znacząco się poprawił w ostatnich latach jednak nadal pozostawia wiele do życzenia. W wielu biurowcach wiedząc “czego i gdzie szukać” łatwo jest się dostać do części budynku, w których możemy dokonać ogromnych szkód, które mogą go wyłączyć z użytkowania na wiele tygodni.
Niestety w tej materii również najsłabszym ogniwem jest czynnik ludzki. Nazbyt często proste zabiegi takie jak zgubiona karta dostępu czy podanie się za pracownika firmy wykonującej przegląd pozwalają na dostęp do urządzeń krytycznych z punktu widzenia prawidłowego funkcjonowania obiektu.
Obecnie jednym z najszybciej rosnących zagrożeń jest Building hacking. Większość używanych urządzeń automatyki budynkowej nie jest gotowa na wdrożenie protokołów zabezpieczeń sieciowych jakie chronią wszystkie pozostałe używane przez nas urządzenia korzystające z internetu. Biurowce w Polsce z racji dużego popytu budowane są w szybkim tempie, co w zdecydowanej większości skutkuje tym, że instalacja BMS wymaga ustanowienia połączenia zdalnego w celu dokończenia koniecznych prac programistycznych. Niestety połączenia te często są słabo lub w ogóle niezabezpieczone. W dodatku Dokumentacja Powykonawcza tych połączeń nie zawiera, ponieważ nie były one przewidywane na etapie projektowania. Efektem tego obsługa budynku nie jest świadoma istnienia takich połączeń, nie wspominając o ich dokumentacji czy zabezpieczeniu. Obecnie nadal istnieje możliwość znalezienia publicznych, niezabezpieczonych adresów IP do BMS, urządzeń chłodniczych i grzewczych w Polsce. Niepowołana osoba uzbrojona tylko w dostęp do internetu może wyłączyć, dokonać zmian ustawień i parametrów, a w efekcie wielu szkód w tych budynkach. W 2019 r. blisko 40% inteligentnych budynków było celem cyberataków3. Na szczęście polskie budynki cieszą się nieco mniejszą popularnością wśród hakerów.
Na podstawie doświadczeń z polskich biurowców mogę powiedzieć, że wiele z nich jest bardzo łatwym celem nawet dla laika w dziedzinie zabezpieczeń sieciowych. Dzieje się tak ponieważ większość sieci nie została zaprojektowana z myślą o zagrożeniach tego typu. Aby móc zapobiec niebezpieczeństwom czyhającym na kluczową infrastrukturę naszych budynków, musimy mieć ich świadomość i przeciwdziałać im na każdym etapie życia budynku. Na szczęście użytkowane budynki można skutecznie zabezpieczyć po uprzednim audycie bezpieczeństwa infrastruktury. Większość luk w bezpieczeństwie można załatać poprzez wdrożenie rozwiązań, które nie obciążą uszczuplonego obecną recesją budżetu.
Podsumowując, nigdy wcześniej bezpieczeństwo infrastruktury danych nie było tak istotne jak teraz w czasie pandemii. Mimo, że właściciele części nieruchomości nadal nie do końca są świadomi zagrożeń cyberataków na systemu budynkowe, istnieje coraz więcej sposobów poprawy ich bezpieczeństwa. Warto przy rozważaniu ekspansji, przenosin do nowego biura czy budowy nowej nieruchomości skorzystać z wiedzy i doświadczenia facility managerów by zapewnić bezpieczeństwo swojej infrastruktury.
Przypisy:
1– https://seqred.pl/infrastruktura-krytyczna/
2 – https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
3 – https://ics-cert.kaspersky.com/reports/2019/09/19/threat-landscape-for-smart-buildings-h1-2019-in-brief