Samla greppet om era uppkopplade system!

Farhad Basiri uppmanar förvaltare att sluta sticka huvudet i sanden och istället ta ett samlat grepp om bolagets alla uppkopplade system.

För ett tag sedan kände jag att jag behövde lite avkoppling från det jag höll på med och sparkade igång en sökmotor för uppkopplade system. På ett par timmar hittade jag hundratals sårbarheter i svenska automationssystem för byggnader som är uppkopplade mot nätet. Bland dessa fanns förskolor och skolor, kontorsbyggnader, lagerbyggnader, flerbostadshus, shoppingcenter med mera.

Svåra följder av enkla attacker
Enkla attacker som kan beställas online för ett par hundra kronor skulle slå ut funktionen i dessa system och göra så att de blir omöjliga att manövrera.

Följden blir att system för ventilation, uppvärmning, passagekontroll, belysning kan slås ut. I vissa fall skulle tillgången till systemen kunna kapas mot betalning.

Hög tid åtgärda brister
Vill ni vara de som ställs till svars från kunder och beställare för slarv och underlåtenhet? Det är hög tid att uppmärksamma och åtgärda dessa brister.

Man behöver inte längre kompromissa mellan tillgänglighet och säkerhet och det finns lösningar för att skapa kostnadseffektiva och krypterade nätverk över internet, med centraliserad övervakning av användare och behörigheter, flerfaktorsautentisering med mera.

Riskmedvetenhet saknas
Jag tycker personligen (naturligtvis) att internet och webbtekniker erbjuder stora möjligheter till verksamhetsförbättringar och kostnadseffektiviseringar inom fastighetsverksamheter. Vi arbetar själva med utveckling av lösningar inom området, men det jag ser skrämmer mig.

Bristen på riskmedvetenhet kan få stora konsekvenser. Inom de flesta bestånd förekommer spretigheter med avseende på uppkopplingar, operatörer, utrustning och leverantörer, vilket i sig inte är någon konstighet.

Stick inte huvudet i sanden
Alltför många förvaltare sticker dock hellre huvudet i sanden än samlar greppet. Bristen på en grundplattform i kombination med en tydlig strategi med tillhörande riktlinjer leder då till ännu fler avarter och nödlösningar på grund av det påtagliga behovet av fjärråtkomst till systemens användargränssnitt och data.

Här är ett axplock från de brister som jag kunde konstatera vid min senaste genomgång:

  • Nätverksportar som används av automationsprotokoll är exponerade mot internet, vilket gör det möjligt att läsa och skriva till datapunkter i anläggningarna, exempelvis för att abonnera på trendloggar och larmhändelser, läsa och ändra tidkanaler och börsvärden.
  • Filöverföringstjänster och terminaltjänster som stöder anonym/standardiserad inloggning som gör det möjligt för vem som helst att bläddra i system och/eller ladda ned hela applikationer till den egna datorn för att utforska och undersöka i lugn och ro
  • Gästinloggningar och standardlösenord aktiverade i webbaserade system och uppkopplingsutrustningar
  • Uppgifter om system, såsom fastighetsnamn och/eller adress som är lättåtkomliga
  • Debuggfunktioner och loggfiler som kan läsas utan inloggning
  • Direktuppkopplade fjärrskrivbord
  • E-postservrar som är öppna att kapas för utskick av spam
  • I princip all webbtrafik sker i okrypterad form, med följden att användarnamn och lösenord kan snappas upp på vägen
  • Sist men inte minst: många av de direktuppkopplade systemen är sårbara mot överbelastningsattacker, så kallad DDOS.

Om ni har några som helst ambitioner att digitalisera era verksamheter är mitt främsta tips att börja gräva där ni står, i stället för att sticka huvudet i sanden.

Farhad Basiri
redaktionen@forvaltarforum.se

Farhad Basiri är vd för Iquest som tillhandahåller konsulttjänster inom utveckling och digitalisering av fastighetsverksamheter och utvecklar plattformslösningen Orbiq jämte systemstöd för hållbarhetscertifieringar.