Samla greppet om era uppkopplade system!

Farhad Basiri uppmanar förvaltare att sluta sticka huvudet i sanden och istället ta ett samlat grepp om bolagets alla uppkopplade system.

För ett tag sedan kände jag att jag behövde lite avkoppling från det jag höll på med och sparkade igång en sökmotor för uppkopplade system. På ett par timmar hittade jag hundratals sårbarheter i svenska automationssystem för byggnader som är uppkopplade mot nätet. Bland dessa fanns förskolor och skolor, kontorsbyggnader, lagerbyggnader, flerbostadshus, shoppingcenter med mera.

Svåra följder av enkla attacker
Enkla attacker som kan beställas online för ett par hundra kronor skulle slå ut funktionen i dessa system och göra så att de blir omöjliga att manövrera.

Följden blir att system för ventilation, uppvärmning, passagekontroll, belysning kan slås ut. I vissa fall skulle tillgången till systemen kunna kapas mot betalning.

Hög tid åtgärda brister
Vill ni vara de som ställs till svars från kunder och beställare för slarv och underlåtenhet? Det är hög tid att uppmärksamma och åtgärda dessa brister.

Man behöver inte längre kompromissa mellan tillgänglighet och säkerhet och det finns lösningar för att skapa kostnadseffektiva och krypterade nätverk över internet, med centraliserad övervakning av användare och behörigheter, flerfaktorsautentisering med mera.

Riskmedvetenhet saknas
Jag tycker personligen (naturligtvis) att internet och webbtekniker erbjuder stora möjligheter till verksamhetsförbättringar och kostnadseffektiviseringar inom fastighetsverksamheter. Vi arbetar själva med utveckling av lösningar inom området, men det jag ser skrämmer mig.

Bristen på riskmedvetenhet kan få stora konsekvenser. Inom de flesta bestånd förekommer spretigheter med avseende på uppkopplingar, operatörer, utrustning och leverantörer, vilket i sig inte är någon konstighet.

Stick inte huvudet i sanden
Alltför många förvaltare sticker dock hellre huvudet i sanden än samlar greppet. Bristen på en grundplattform i kombination med en tydlig strategi med tillhörande riktlinjer leder då till ännu fler avarter och nödlösningar på grund av det påtagliga behovet av fjärråtkomst till systemens användargränssnitt och data.

Här är ett axplock från de brister som jag kunde konstatera vid min senaste genomgång:

  • Nätverksportar som används av automationsprotokoll är exponerade mot internet, vilket gör det möjligt att läsa och skriva till datapunkter i anläggningarna, exempelvis för att abonnera pÃ¥ trendloggar och larmhändelser, läsa och ändra tidkanaler och börsvärden.
  • Filöverföringstjänster och terminaltjänster som stöder anonym/standardiserad inloggning som gör det möjligt för vem som helst att bläddra i system och/eller ladda ned hela applikationer till den egna datorn för att utforska och undersöka i lugn och ro
  • Gästinloggningar och standardlösenord aktiverade i webbaserade system och uppkopplingsutrustningar
  • Uppgifter om system, sÃ¥som fastighetsnamn och/eller adress som är lättÃ¥tkomliga
  • Debuggfunktioner och loggfiler som kan läsas utan inloggning
  • Direktuppkopplade fjärrskrivbord
  • E-postservrar som är öppna att kapas för utskick av spam
  • I princip all webbtrafik sker i okrypterad form, med följden att användarnamn och lösenord kan snappas upp pÃ¥ vägen
  • Sist men inte minst: mÃ¥nga av de direktuppkopplade systemen är sÃ¥rbara mot överbelastningsattacker, sÃ¥ kallad DDOS.

Om ni har några som helst ambitioner att digitalisera era verksamheter är mitt främsta tips att börja gräva där ni står, i stället för att sticka huvudet i sanden.

Farhad Basiri
redaktionen@forvaltarforum.se

Farhad Basiri är vd för Iquest som tillhandahåller konsulttjänster inom utveckling och digitalisering av fastighetsverksamheter och utvecklar plattformslösningen Orbiq jämte systemstöd för hållbarhetscertifieringar.

Dela artikeln: LinkedIn
Inköpsportal - tipsa oss

Inköpsportal - ansökan
Logotyp, minst 200 pixlar bred *

Maximum file size: 209.72MB

Bild, minst 540 pixlar bred *

Maximum file size: 209.72MB

Kontaktspersonsbild, minst 200 pixlar bred *

Maximum file size: 209.72MB

Inköpsportal - tipsa en kollega