Cybersecurity of wireless lighting control
Wireless lighting control is a cost-effective way to implement adaptable lighting in a wide variety of spaces. Thanks to it, light responds to usage needs. But what does cybersecurity of wireless lighting control look like? Designer and cybersecurity specialist Sami Orasaari explains how to implement wireless control that is safe to use.
Wireless lighting control is a cost-effective way to implement adaptable lighting in a wide variety of spaces. Thanks to it, light responds to usage needs. But what does cybersecurity of wireless lighting control look like? Designer and cybersecurity specialist Sami Orasaari explains how to implement wireless control that is safe to use.
The operating environment also sets the framework for cybersecurity
”Tieto siirtyy samalla tavalla fyysisessä kaapelissa kuin langattomasti, mutta langattomaan verkkoon voidaan päästä käsiksi eri tavalla. Ykkösvaatimus on, että langattoman tietoliikenteen täytyy olla salattua. Kun langaton valaistuksenohjaus suunnitellaan huolella, rakennetaan oikein ja pidetään ajan tasalla, ei tietoturvasta tarvitse huolestua” , kertoo Orasaari, joka toimii yrittäjänä sähkösuunnittelua ja konsultointipalveluita tarjoavassa SSVP Finlandissa.
Lighting and its control are always defined by the nature of the space and usage patterns. The same applies to cybersecurity: shopping centres, factories and residential buildings have different security needs, and these must be taken into account in planning.
”Erilaiset tilat käyttötarkoituksineen vaativat erilaista tietoturvan tasoa. Lisäksi eroja on esimerkiksi siinä, onko ulkopuolisilla pääsy tilaan. Tehdasympäristöön verkkojen ulottuville eivät sivulliset yleensä pääse, mutta kauppakeskuksissa ja lentoasemilla on paljon ihmisiä, joilla voi olla aikaa tutkia asioita. Eri ympäristöissä on siis tärkeää huomioida erilaiset uhat.”, pohtii Orasaari.
Everyone in the chain is responsible for cybersecurity
Cybersecurity of wireless lighting control is not the responsibility of a single party or person; it is a chain that continues from the device manufacturer all the way to the client and the user of the space.
When everyone has the professional skills or expertise needed to handle their part, surprises as well as unnecessary concern and work are avoided.
Manufacturer
The device manufacturer is responsible for ensuring that the starting points and technology used are secure. Secure protocols must be used for wireless data transmission, and encryption must be at a sufficiently strong level. The manufacturer is also responsible for lifecycle management: devices must be offered updates in the future as well.
”Luotettava laitetoimittaja edustaa vain laitteita, joiden toiminnallisuudet on tunnistettu turvallisiksi ja joihin on saatavilla säännölliset päivitykset. Airamilla on osaamista huolehtia edustamisensa laitteiden tietoturvasta ja vastata asiakkaan kysymyksiin. Yksi hyvä esimerkki on myös Cozify, jonka laitteilla on Traficomin myöntämä tietoturvamerkki. Se itsessään edellyttää päivityksiä ja elinkaaren hallintaa” , Orasaari sanoo.
Designer and contractor
Secure technology is important, but the cybersecurity chain must not break due to poor planning or implementation. Wireless lighting control should therefore be built on a network separated from the environment’s main operations. This way, the vulnerability of one network does not threaten other operations. In cybersecurity-critical sites, lighting control should also be distributed into separate networks by space.
”Itse valaisin ei ole hakkerille niinkään mielenkiintoinen kohde, mutta jos suunnittelussa hutiloidaan ja valaisimen kautta on pääsy vaikkapa yrityksen verkkoon, on siinä isommat riskit.”
When a new system is commissioned, it must also be ensured that the manufacturer’s default settings and passwords are not accepted as they are. The designer should guide the client to change passwords and define the network security key. During commissioning, it should also be reviewed how the system will be maintained.
Client and user
The client has final responsibility for maintaining the lighting control system. Regularity is key: clear processes are needed to check the system’s status, repair needs and currency, for example annually.
”Samalla tavalla kuin huoltoyhtiö puhdistaa säännöllisesti rännit, tulisi tietoturvankin ylläpidossa huolehtia tasaisin väliajoin siitä, että kaikki on kunnossa ja ajan tasalla. Se vain on helppo unohtaa ja vaikea perustella, sillä tietoturva on vuosihuollon kohteena näkymätön” , Orasaari naurahtaa.
At the end of the chain there may be, for example, a tenant who adjusts lighting daily. Orasaari sees that the end user can be made the strongest link in cybersecurity.
”Ajattelen, että usein käyttäjää torutaan turhaan. Tietoturvakoulutuksella voidaan tuoda kaikille tarvittavaa osaamista ja ymmärrystä siitä, miten on hyvä toimia. Ennen kaikkea on tärkeää luoda kulttuuri, jossa vahingoista tai epänormaalista toiminnasta on helppo ilmoittaa eteenpäin ja poikkeamat saadaan tutkittua nopeasti” , Orasaari päättää.