Undvik direktuppkoppling av styr- och övervakningssystem till internet och skydda det som är uppkopplat idag!
Featured

Fastighetsägare, konsulter och styrentreprenörer: Undvik direktuppkoppling av styr- och övervakningssystem till internet och skydda det som är uppkopplat idag!

Igår eftermiddags kände jag att jag behövde lite avkoppling från det jag höll på med och sparkade igång en sökmotor för uppkopplade system. På ett par timmar hittade jag hundratals sårbarheter i svenska automationssystem för byggnader som är uppkopplade mot nätet. Bland de direktuppkopplade systemen fanns förskolor och skolor, kontorsbyggnader, lagerbyggnader, flerbostadshus, shoppingcenter m.m.

Enkla attacker som kan beställas online för ett par hundra kronor skulle slå ut funktionen i dessa system och göra så att de blir omöjliga att manövrera så länge nätverkssladden sitter i. Följden blir att system för ventilation, uppvärmning, passagekontroll, belysning m.m. kan slås ut. I vissa fall skulle tillgången till systemen kunna kapas mot betalning.

Vill ni vara de som ställs till svars från kunder eller beställare för slarv och underlåtenhet? Det är hög tid att uppmärksamma och åtgärda dessa brister. Man behöver inte kompromissa mellan tillgänglighet och säkerhet och det finns lösningar för att skapa kostnadseffektiva och krypterade nätverk över internet, med centraliserad övervakning av användare och behörigheter.

Jag tycker personligen (naturligtvis) att internet och webbtekniker erbjuder stora möjligheter till kostnadseffektiviseringar och verksamhetsförbättringar inom drift och övervakning. Vi arbetar själva med att utveckla lösningar inom området, men det jag ser skrämmer mig. Bristen på riskmedvetenhet inom området kan få stora konsekvenser.

Här är ett axplock från de brister som jag kunde konstatera igår:

  • Nätverksportar som används av vanliga protokoll, såsom BACnet och Modbus är exponerade mot internet, vilket gör det möjligt att läsa och skriva till datapunkter i anläggningarna, exempelvis för att abonnera på trendloggar och larmhändelser, läsa och ändra tidkanaler och börvärden, m.m.
  • Filöverföringstjänster som stöder anonym inloggning, som gör det möjligt för vem som helst att bläddra i system och/eller ladda ned hela applikationen till den egna datorn för att utforska och undersöka i lugn och ro
  • Gästinloggningar aktiverade i webbaserade system, med följden att alla som vill, kan få detaljerad information om anläggningen och dess inställningar
  • Uppgifter om system, såsom fastighetsnamn och/eller adress som är lättåtkomliga
  • Debuggfunktioner och loggfiler som kan läsas utan inloggning
  • Direktuppkopplade fjärrskrivbord
  • I princip all webbtrafik sker i okrypterad form, med följden att användarnamn och lösenord kan snappas upp på vägen
  • Sist men inte minst: många av de direktuppkopplade systemen är sårbara mot överbelastningsattacker, så kallad DDOS.

Jag har tagit upp ämnet 2015 och 2016, då jag höll presentationer om risker och sårbarheter i uppkopplade system. Om någon är intresserad, har jag lagt upp presentationerna här och här. Jag hoppas på en konstruktiv diskussion och på att de som är ansvariga uppmärksammas om det.