החניון המודרני הופך בהדרגה למרחב דיגיטלי מבוסס טכנולוגיית IoT (Internet of Things). משערים חשמליים הנפתחים אוטומטית באמצעות זיהוי לוחיות רישוי (LPR), דרך עמדות טעינה חכמות לרכבים חשמליים, ועד גלאי עשן ומערכות ניהול בניין (BMS) – הכל מחובר לרשת האינטרנט.
חיבור מאסיבי זה של מכשירים חכמים מייצר אתגרי אבטחת מידע משמעותיים שיש לתת עליהם את הדעת כבר בשלב תכנון התשתיות.
הסכנות ברשת חניון לא מאובטחת
מכשירי IoT רבים, דוגמת בקרים של שערים חשמליים או עמדות טעינה, אינם כוללים מערכות הפעלה מורכבות או מנגנוני הגנה מתקדמים. לעיתים קרובות הם מהווים "חוליה חלשה" דרכה האקרים יכולים לחדור לרשת המקומית של הבניין.
אם כל המכשירים בחניון מחוברים לרשת אחת פתוחה:
- חדירה לרשת המצלמות והאזעקה: תוקף שמשיג גישה פיזית לבקר השער בחניון עלול לחדור למערכת הבקרה המרכזית של הבניין. כפי שתיארנו במאמרנו על אינטגרציה של מערכת אזעקה ומצלמות אבטחה, שילוב המערכות מבוסס על חיבור רשת הדדי; פגיעה באבטחת הרשת עלולה להשבית את האזעקה או לנטרל את שידור המצלמות.
- גניבת רוחב פס: התחברות פיראטית לרשת האינטרנט של החניון המאטה את קצב פעולת המערכות.
הפתרון: הפרדת רשתות (Network Segmentation) באמצעות VLAN
הכלי היעיל ביותר למניעת איומים אלו הוא יישום הגדרות VLAN (Virtual LAN) במתגי הרשת.
באמצעות הגדרות VLAN אנו מחלקים את הרשת הפיזית למספר רשתות וירטואליות נפרדות:
1. VLAN 20 (מצלמות אבטחה): רשת סגורה ומבודדת לטלוויזיה במעגל סגור.
2. VLAN 30 (בקרת כניסה ושערים): רשת ייעודית למערכות ה-LPR והאינטרקום.
3. VLAN 40 (עמדות טעינה לרכבים): רשת מבודדת עבור מערכת ניהול עמדות הטעינה.
4. VLAN 50 (אורחים ודיירים): רשת Wi-Fi ציבורית לגלישה וביצוע שיחות.
מתג הרשת (Switch) והנתב (Router) מתוכנתים כך שלא תהיה כל העברת נתונים או גישה הדדית בין ה-VLANs השונים ללא הגדרת כללי חומת אש (Firewall) קפדניים. כך, גם אם בקר השער החכם נפרץ – התוקף נשאר כלוא בתוך ה-VLAN הספציפי שלו ללא כל יכולת לגשת למערכות האזעקה, המצלמות או מחשבי הדיירים.
תכנון והקמה של תשתית כזו דורשים מקצועיות וניסיון רב. אם ברצונכם לבצע התקנה בטוחה ויציבה, מומלץ לעבוד עם חברות מתמחות כדוגמת א.ש מערכות אבטחה שמספקות פתרונות מלאים של הגדרות VLAN ואבטחת מידע ברשתות תקשורת לחניונים תת-קרקעיים ועיליים ברחבי המרכז.
אודות המחבר
