Lätt att göra intrång i fastigheters styrsystem

I flera svenska fastigheter ligger styrsystem helt öppna för intrång. Trots att en säkerhetsexpert slagit larm har bristerna inte åtgärdats i ett stort antal statliga fastigheter.

Annons:

Annons:

Annons:


Det är Dagens Nyheter som berättar hur flera svenska fastigheters styrsystem under flera år legat vidöppna på internet. I mars 2016 skannade it-säkerhetsexperten Martin Jartelius på Outpost24 efter uppkopplade enheter i Europa. Han reagerade på att styrsystemen till ett flertal svenska fastigheter låg närmast vidöppna.

I DN-artikeln uppmärksammas hur sju fastigheter som ägs av Statens fastighetsverk hör till de som varit sårbara, bland annat landshövdingeresidensen i Malmö, Kristianstad, Växjö och Umeå.

Till Fastighetstidningen säger Martin Jartelius att problemet inte stannar där.

– Jag hittade exempelvis en bostadsrättsförening som ligger långt framme i energifrågorna. Där fanns ett par gallerior uppe i Stockholm. Så det är ett ganska utbrett problem, säger Martin Jartelius.

Det handlar alltså om att det i olika grad går att ta över styrsystemen som används för att manövrera värme, ventilation, brandlarm, belysning och så vidare. Hur mycket som går att manipulera varierar från fastighet till fastighet. Men Martin Jartelius betonar att problemet inte stannar där.

– Har man väl kommit in så går det att ta sig vidare in på det interna nätverket.

Och lyckas med intrånget behöver man inte besitta kunskaper som en it-expert som Martin Jartelius.

– Är man bara lite allmänt händig tekniskt så är det inga större problem.

Säkerhetsrekommendationen är att dessa inte ska vara nåbara på det öppna internet, vilket de alltså bevisligen är. Även om de skyddas av lösenord så finns det oftast en mer eller mindre vidöppen bakdörr – ett lösenord som fungerar på alla enheter.

Martin Jartelius menar att det är hyfsat enkelt att avhjälpa bristerna. Skaffa en brandvägg och ett riktigt program som skyddar mot intrång.

– Man ska absolut inte lita på det skydd som finns inbyggt i produkten, säger Martin Jartelius.

När det gäller de statliga fastigheterna berättar DN att Martin Jartelius slog larm till Myndigheten för samhällsskydd och beredskaps (MSB) särskilda it-säkerhetsenhet, Cert-se. Men trots att han påmint om bristerna vid två tillfällen finns sårbarheten och systemen.

Uppenbarligen har larmet inte gått vidare.

Statens fastighetsverk, SFV, fick reda på sårbarheterna först på torsdagen när DN kontaktade myndighetens it-chef, Pier Lundmark.

–?Mig veterligen har ingen på SFV tidigare nåtts av den här informationen. Om så skett hade vi omedelbart agerat, säger Statens fastighetsverks it-chef, Pier Lundmark till DN.

Nu har i alla fall de just de systemen plockats ned från internet.