Riskerna med allt mer digitaliserade fastigheter ökar. Ett talande exempel är den överbelastningsattack som i höstas slog ut flera finska fastighetssystem.
Nicklas Keijser, automations- och systemingenjör på Rejlers, anser att det finns all anledning att dra lärdom av attacken. Och att ifrågasätta behovet av att ha sina system uppkopplade på nätet.
Det var en så kallad Denial of service (DoS)-attack som drabbade flera fastighetssystem i Finland i oktober 2016 och som ledde till att fjärrvärmesystem slogs ut.
Nicklas beskriver attacken som en tänkbar del i det stora svep av cyberturbulens som ägde rum under samma period, där även flera myndigheter och nyhetssajter i Sverige drabbades av sabotage. En Distributed Denial of Service (DDoS)-attack där ett stort antal datorer var involverade.
Vill åt datakraften
– I sammanhanget är det är viktigt att förstå att det i princip aldrig är fastighetens anläggning som är intressant, hur unik den än är, utan det är datakraften som sabotörerna vill åt, där har de sin agenda, förklarar Nicklas.
Datakraften hos fjärrvärmepumparnas styrsystems blir ett digitalt bränsle som exempelvis kan användas vid utpressning av banker eller som hämnd vid elektronisk krigföring.
Nicklas beskriver hur hackare söker på internet efter uppkopplade enheter där stora datamängder ”streamas”. Ofta är användarnamn och lösenord på dessa enheter dessutom samma som de var när de lämnade leverantören.
Det är lätt att skanna av internet och välja en produkt som har just samma lösenord som tillverkaren skickat med produkten. Antalet sådana produkter ökar också med internet of things.
692 enheter i Sverige
– När vi efter attacken i Finland gjorde en sökning i Shodan, en sökmotor för att hitta specifika typer av enheter anslutna till internet, kunde vi se att det just då fanns inte mindre än 692 uppkopplade enheter i Sverige av samma fabrikat som det som drabbades i Finland. Så visst hade det lika gärna kunnat slagit ut fjärrvärmesystem här hemma, resonerar Nicklas.
Han nämner attacken mot den amerikanska butikskedjan Target som en av de mer kända incidenterna där en del av ett fastighetssystem kom att spela en nyckelroll.
Ett internetuppkopplat ventilationssystem låg på samma nät som kedjans intranät, där även databasen för kassaapparaterna fanns, och ventilationssystemet blev ingången för sabotörerna. De kom denna väg åt miljontals av Targets kunders kreditkortsuppgifter.
Stort risktagande
Webbaserade system för fastighetsautomation innebär per automatik ett stort risktagande och frågan är, enligt Nicklas, om systemen ens behöver finnas på nätet.
– Programmable Logic Controller, PLC, är effektivt eftersom enheter blir åtkomliga för fjärrservice, men här finns en uppsjö av system där man kopplar upp sig på ett icke säkert sätt. Brandväggar och VPN-tunnlar som krypterar datatrafiken är en bra början i säkerhetsarbetet. Sen behövs mer omfattande autentisering. Du ska kunna verifiera dig utöver lösenord, till exempel genom sms.
Sex minuter för att scanna nätet
Många har en skev bild av hur stort internet är och hur obetydlig en IP-adress är i det myllret. Men på ungefär sex minuter kan alla IP-adresser på internet skannas av.
– Det tar inte så lång tid att bli hittad i det här ”bruset” som inte är så omfattande som många tror. Och är din enhet uppsnappad kan den också utsättas för risk.
Nicklas berättar att en del av den generella problematiken med datasäkerhet är att så mycket döljs i dunkel. Finns det eller har det funnits brister eller skett incidenter är det inget man pratar offentligt om. Därför är det ett område som är svårt att överblicka.
– Sen stannar också en hel del utredningar vid att det rört sig om ett ”tekniskt fel”, utan att man hittat grundorsaken, vilket mycket väl kan ha handlat om intrång.
Från brand till brandvägg
Vad gäller just fastighetsbranschen ligger även utmaningen i att det inte sällan är byggherren som köper in exempelvis styrsystem och andra tekniska lösningar för att sen lämna över till slutkund. En situation som kan innebära att man på stående fot väljer den billigaste lösningen.
– Det finns heller ingen kick-back att tala om i de här sammanhangen, inga val som minskar utsläpp eller energieffektiviserar. Att investera i bra digitala system är dyrt initialt, säger Nicklas.
En annan faktor som påverkar är att digitaliseringens risker är så nya för oss.
– Brunnit har det ju gjort länge så den typen av risk vet fastighetsbolagen hur de ska hantera. Att tänka risker med det digitala och hantera kris vad gäller bristande IT-säkerhet är ett relativt nytt koncept att få in i bilden. En försvårande omständighet kan också vara att de här skilda delarna hanteras av olika avdelningar i bolagen, säger Nicklas och tillägger;
– Och ska jag vara riktigt ärlig så ligger fastighetsbranschen generellt sett snäppet sämre till jämfört med många andra branscher när det gäller den digitala säkerheten. Det finns mycket att hämta upp.
Text: Sophie Sölveborn
redaktionen@forvaltarforum.se
Ordlista datasäkerhet
DoS-attack (Denial-of-service attack) är en cyberattack mot ett datasystem där syftet är att hindra normal användning av systemet.
DDoS-attack (Distributed Denial of Service attack) utgörs av en cyberattack där ett stort antal datorer deltar i attacken. Då är det svårare att avvärja problemen eftersom många IP-adresser är involverade.
IP-adress eller ett IP-nummer (Internet Protocol address) är en sifferkombination som fungerar som en sorts adress på internet. IP-adressen identifierar normalt en viss dator. Adressens första del visar till vilket nätverk datorn är kopplad.
PLC (Programmable Logic Controller) är ett programmerbart styrsystem, en slags dator som främst används inom automation, det vill säga i sammanhang där system används som inte kräver mänsklig övervakning på plats.
Shodan är en sökmotor för att hitta specifika typer av enheter anslutna till internet. Shodan kan användas för att hitta enheter som vanligtvis inte länkas från andra ställen på internet såsom privata webbkameror.
VPN (Virtual Private Network) används för att skapa en säker förbindelse, en ”tunnel” mellan två punkter på exempelvis internet, i ett icke-säkert datanätverk.
Nicklas Keijser
Titel: Automations- och systemingenjör
Arbetat på Rejlers sedan: 2011
Bästa med yrket: ”det är rätt fränt att få arbeta med IT-säkerhet”
Råd till fastighetsbranschen: ”ställ krav på den som levererar IT-systemen i tidigt skede, viktigt att vara delaktig redan i upphandlingen”