Digitaliseringen av fastigheter skapar möjligheter för effektivisering och automatisering. Men framstegen betyder också säkerhetsrisker. Säkerhetsexperten tipsar här om åtgärder som krävs för att skydda både information och drift.
Digitalisering innebär i praktiken en uppkopplad värld där fastighetens styrsystem – till exempel system för el, kyla och ventilation – är internetanslutna. Det här medför att systemen blir sårbara för cyberattacker.
– En angripare kan via systemen plantera programvara som gör att de kan fjärrstyra funktioner i fastigheten eller samla in känslig information om de boende. Sådana attacker kan leda till skador i fastigheten, till exempel om de stänger av värmen under vintern, berättar Jan-Olof Andersson, Säkerhetsexpert som nyligen höll ett fängslande föredrag på Förvaltarforums seminarium Framtidens digitala Förvaltning.
Vem är angriparen?
Cyberhot kommer från en bred skara aktörer. Det kan vara allt från enskilda hackare och organiserade kriminella grupper, som gör business av det, till främmande staters underrättelsetjänster som vill testa ett lands sårbarhet. De kriminella grupperna ser ofta digitala attacker som en affärsmodell, och de trålar efter svagheter i företag och samhällsinfrastruktur.
– Sverige är en av världens mest digitaliserade nationer, vilket gör oss särskilt sårbara. Här har vi gått över till digitala betalningssystem och digitaliserat många samhällstjänster. Vi utnyttjar tekniken men är också väldigt naiva, konstaterar Jan-Olof Andersson.
Cyberangrepp kan få långtgående konsekvenser. Ett exempel är incidenten där Coop drabbades av en ransomware-attack, en tydlig bild på hur sårbart vårt samhälle är för organiserade angrepp.
Trefaldiga risker
Förutom riskerna med driftstörningar finns det även hot mot informationssäkerheten. En vanlig metod är just ransomware, där angripare får tillgång till en organisations data, extraherar den och hotar med att publicera informationen om inte en lösensumma betalas.
– En tredje risk är att de kan kryptera IT-miljön och göra en dubbelutpressning; betala för att vi ska återställa data, gör ni inte det så avslöjar vi er information om er själva och era kunder!
Detta blir en risk inte bara för organisationens verksamhet utan också för kundernas och personalens integritet. Som företag måste man följa GDPR och regelverk och det måste man skydda, menar Jan-Olof Andersson.
Vi gör själva misstag
Men det är inte alltid en utomstående angripare som ställer till det. Information kan också läcka genom en olyckshantering, som Jan-Olof Andersson kallar det.
– I hälften av fallen är det den mänskliga faktorn som har orsakat att information har kommit ut på nätet. Till exempel vid en driftsättning av ett system. Vi glömde ”låsa” ytterdörren när vi gjorde installationen.
Måste finnas kompetens och kunskap
Digitalisering har potentialen att skapa en positiv förändring, men det går inte att bortse från de utmaningar som medföljer. Säkerhet måste vara en grundläggande del av digitaliseringsstrategin.
Jan-Olof Andersson rekommenderar de organisationer som inte har säkerhetskompetens inhouse att ta hjälp av externa konsulter. Det är också viktigt att säkerhetsåtgärder införs i alla delar av verksamheten som har digital närvaro, för att minska risken för angrepp.
Säkerhetsåtgärder för fastighetsägare
För fastighetsägare är det avgörande att börja med att identifiera vad som är skyddsvärt i verksamheten. Här är några nyckelstegen.
- Identifiera skyddsvärde: Fastighetsägare måste först identifiera vad som är skyddsvärt i verksamheten – det kan vara personuppgifter, finansiella uppgifter eller driftsinformation för samhällsviktig infrastruktur.
- Följ lagar och regelverk: Regler som GDPR och NIS2 ställer krav på hur data och system måste skyddas. I fastighetsbolag kan det finnas känsliga personuppgifter om personer med skyddat boende eller personal med skyddat identitet. Regelverken hjälper till att definiera vilka skyddsåtgärder som är nödvändiga.
- Implementera säkerhetsåtgärder: Man bör följa säkerhetsstandarder som ISO 27001 och ISO 27002, som beskriver 93 säkerhetsåtgärder. En väl implementerad säkerhetsstandard hjälper till att skapa en robust säkerhetsgrund.
- Utbilda personalen: Alla som arbetar med IT och digitalisering måste förstå och kunna informationssäkerhet. Det är inte tillräckligt att ha teknisk kunskap – säkerhetsmedvetande och kunskap om risker och säkerhetsbehov är avgörande.
- Tänk långsiktigt och strategiskt: Att genomföra digitalisering utan ett säkerhetsperspektiv kan vara en farlig väg. Konsekvenserna av att negligera säkerhetsfrågor kan bli betydande på sikt. Hackare kan ha legat gömda i systemet i månader eller år innan de aktiverar sina angrepp.
Tänk till före, inte efter
För företag och organisationer som står inför digitaliseringens möjligheter och risker är rådet tydligt: Säkerhetsfrågan måste tas på allvar från början. Genom att utbilda personal, följa etablerade standarder och kontinuerligt utvärdera sina system kan fastighetsägare skapa en tryggare digital miljö för både sina fastigheter och sina kunder.
– Man pratar om smarta fastigheter, men man kan inte göra det om man inte tänker på konsekvenserna. Det måste man ta i beaktan, annars kan man faktiskt avstå, vill jag påstå. Men bästa rådet är: Lär dig mer om risker och säkerhet, avslutar Jan-Olof Andersson.
Text: Marit Engstedt
marit.engstedt@forvaltarforum.se