Safety of Systems Integrating Fire Protection Equipment – Risks, Gaps, Recommendations

Purpose: The purpose of this study is to identify cyber threats associated with systems integrating fire protection devices (SIUP). The analysis includes conducting a comprehensive assessment of potential attack sites (vulnerabilities) and recommendations for building designers and managers to minimise adverse actions. Project and methods: A detailed review of the literature and cybersecurity standards applicable to fire protection systems, such as NFPA 72, was conducted, from which key points that are vulnerable elements and represent attack surfaces were identified. The Cybersecurity for Fire Protection Systems report from a workshop held by the Research Foundation in 2021 was analysed. Results: Analysis of the collected research material showed that the key points of vulnerability are human factors, software, hardware, wired and wireless connections and system security. In addition, internal threats, i.e. lack of training, malicious action by employees, invasion by unknown software and too much access by security personnel to system components, are also important issues. It has been found that cybercriminals can use various techniques: denial-of- service (DoS) attacks, man-in-the-middle attacks, remote code execution and social engineering, to disrupt systems. To prevent this and minimise the risk of attacks, it is recommended that security configuration guides should be issued, that specialists should be employed and that strategies should be created to increase the resilience of systems integrating fire appliances to cyber attacks. Currently, Polish regulations are mainly based on the technical aspects of SIUP operation, i.e. the installation and operation of alarm systems. There is a lack of relevant legal regulations that directly address the issue of the network and cyber security of these systems. Conclusions: It is necessary to urgently develop and implement comprehensive legal regulations that would take into account the specificity of the cyber security of fire protection systems in Poland. Future research should also focus on the human factor aspects of SIUP systems security.

---

Cel: Celem niniejszego badania jest identyfikacja zagrożeń cybernetycznych związanych z systemami integrującymi urządzenia przeciwpożarowe. Analiza obejmuje przeprowadzenie kompleksowej oceny potencjalnych miejsc ataku (luk) oraz rekomendacje dla projektantów i zarządców budynku służące minimalizacji działań niepożądanych. Projekt i metody: Przeprowadzono szczegółowy przegląd literatury oraz standardów cyberbezpieczeństwa stosowanych w systemach ochrony przeciwpożarowej, np. NFPA 72. Na ich podstawie zidentyfikowano kluczowe punkty, które są elementami wrażliwymi i stanowią powierzchnię ataku. Przeanalizowano raport Cybersecurity for Fire Protection Systems z przeprowadzonych warsztatów zorganizowanych przez Research Foundation w 2021 roku. Wyniki: Analiza zebranego materiału badawczego wykazała, że kluczowymi punktami podatności są: czynnik ludzki, oprogramowanie, sprzęt, połączenia przewodowe i bezprzewodowe oraz bezpieczeństwo systemowe. Ponadto istotną kwestią są też zagrożenia wewnętrzne – brak szkoleń, złośliwe działanie zatrudnionych, inwazja nieznanego oprogramowania oraz zbyt duży dostęp pracowników ochrony do elementów systemu. Stwierdzono, iż w celu zakłócenia działania systemów cyberprzestępcy mogą wykorzystać różne techniki: ataki DoS, ataki typu man-in-the-middle, zdalne wykonanie kodu oraz inżynierię społeczną. Aby temu zapobiec i zminimalizować ryzyko wystąpienia ataków, rekomenduje się obowiązek wydania przewodników dotyczących konfiguracji zabezpieczeń, zatrudnienie specjalistów, utworzenie strategii mających na celu zwiększenie odporności systemów integrujących urządzenia przeciwpożarowe na cyberataki. Obecnie polskie przepisy opierają się głównie na aspektach technicznych działania SIUP, tj. montażu i eksploatacji systemów alarmowych. Brakuje odpowiednich regulacji prawnych, które bezpośrednio odnosiłyby się do kwestii zabezpieczeń sieciowych i cybernetycznych tych systemów. Wnioski: Konieczne jest pilne opracowanie i wdrożenie kompleksowych regulacji prawnych, które uwzględniałyby specyfikę cyberbezpieczeństwa systemów ochrony przeciwpożarowej w Polsce. Takie przepisy powinny obejmować nie tylko aspekty techniczne, ale także organizacyjne i proceduralne. Regulacje te muszą być na tyle elastyczne, aby mogły nadążać za szybko zmieniającym się krajobrazem zagrożeń cybernetycznych. W ramach przyszłych badań należy także skupić się na aspektach związanych z czynnikiem ludzkim w kontekście bezpieczeństwa systemów integrujących urządzenia przeciwpożarowe.