Stora säkerhetshål i fastigheters styrsystem

Polishus, tågstationer och datorhallar i riskzonen

Det går att ta över 700 fastigheters styrsystem helt och hållet på bara några minuster.

Hackare får då tillgång till känsliga system som värme och larm, enligt en granskning av Dagens Nyheter.

– Det är jätteotäckt att det är ett vanligt system, som är så pass spritt och osäkert, säger Leif Nixon, säkerhetskoordinator på Nationellt superdatorcentrum vid Linköpings universitet.

Enligt DN:s granskning finns det stora säkerhetsproblem i 700 fastigheter i Sverige, som använder sig av IT-företaget Karbonas fastighetssystem, Webbdatorcentral.

– Man kan ta över fastighetssystemen helt och hållet, saker som ventilation, värme, varmvatten, fjärrvärme, belysning, inpasseringssystem och brandlarm, säger Leif Nixon, säkerhetskoordinator på Nationellt superdatorcentrum vid Linköpings universitet som hjälpt till med granskningen.

”En schweizerost”

Säkerhetshålen kan få stora konsekvenser. Fastigheterna består bland annat av polishus, tågstationer, datorhallar, skolor och rymdstationen i Kiruna.

– I datahallarna kan vi stänga av kylan så att datorer går sönder. Hos järnvägsstationer kan vi stänga av nödkraften och kylan. Det skulle bli kaos.

Enligt Nixon har tillverkaren till det här systemet missat de mest grundläggande säkerhetsfunktionerna i systemet.

– Det är en schweizerost, säger han.

DN har fått godkänt av tre fastighetsägare att testa och hacka sig in i deras fastigheter. Av juridiska skäl har man inte gjort intrång i fastighetssystemet utan bara bekräftat sårbarheten genom olika datakörningar.

Inloggningen är lösenordsskyddad men det går trots det, enligt DN, att ta sig in i systemet på bara några minuter.

– Det tog tio minuter sedan hade jag full kontroll över det från min soffa.

DN kunde även öppna en fastighetsdörr och ringa i kyrkklockorna i Hedemora kyrka.

– Det är jätteotäckt. Det är helt uteslutet att det bara är jag som har hittat de här sakerna. Det är så uppenbart när man tittar på systemen hur trasiga de är. Man behöver inte vara någon elithackare för att göra det här, säger Nixon.

Vanliga system

Enligt Leif Nixon finns det bara en sak att göra.

– Ett sådant här system måste man koppla bort från internet omedelbart. Den här typen av system ska inte vara exponerat mot internet överhuvudtaget och det här specifika systemet har så dålig säkerhet att det är en kritisk risk att ha det kopplat till internet.

Det har blivit allt vanligare för fastighetsägare att använda sig av ett säkerhetssystem som går att justera över internet. I stället för att åka ut till den fysiska fastigheten och justera i rattarna i vartenda hus.

– Systemen är vanliga. Tyvärr har man inte tänkt på säkerheten när man byggt systemen.

Karbonas vid, Kjell Carlberg, fick reda på det här i går – då DN ringde upp.

– Vi tar självklart det här på allvar men har inte haft några problem. Vi har över 3000 anläggningar och har inte haft någon som helst problem med att någon har gjort någonting förrän DN gör det här. Vi tittar på vad kunden vill att vi ska göra med det här. Vi kommer att hjälpa alla kunder att täta den här läckan, säger han.

Men ni känner inte till att det har varit dålig säkerhet i ert system?

– Ja, jo, man kan säga så här. På några ställen är det kunderna själva som väljer vilken säkerhetsnivå som de vill ha. Kan man säga. Det är så det har varit.