Lass Stølen Kvalheim, fagspesialist for Bygg, industri og eiendom hos Sweco. Foto: Per Henriksen

– Altfor lite bevissthet om sikkerhet av digitaliserte bygg

Hacking av bygg har globalt fordoblet seg på 12 måneder

0

Tar byggherrer datasikkerhet alvorlig nok? Hvilke spørsmål stiller de til sine rådgivere og konsulenter når bygningsautomatiseringen skal planlegges? – I stor grad stiller de ikke spørsmål om datasikkerhet i det hele tatt, svarer Lasse Stølen Kvalheim, fagspesialist for Bygg, industri og eiendom hos Sweco.

– Hackes bygget, så kan det stå der tomt for vann eller strøm, det spiller ingen rolle. Men de som jobber der er avhengig av funksjonene til bygget. Om noen hacker norsk UD, er det ikke heldig. Mennesker med viktige funksjoner for landet får ikke gjort jobben. Om noen hacker en skole, så er det foreldre til flere hundre elever som ikke får gått på jobb den dagen, med de samfunnsmessige kostnadene det får. Hacking av bygg kan også legge til rette for terrorisme, for eksempel at utgangsdører blir stengt.

Den 9. januar i år publiserte NRK en artikkel om datainnbruddet hos Nordic Choice. Kravet var løsepenger, 5 millioner USD, ca 440 millioner kroner. – Vi mener det er viktig å bidra til at folk forstår at datakriminalitet handler om deg og meg og hvordan vi kan beskytte oss, sa teknologidirektør ved kjeden, Kari Anna Fiskvik, til NRK med bakgrunn i at hotellkjeden brukte mediene til å fortelle historien. Mange andre norske selskaper hadde innbrudd i sine datasystemer rundt årsskiftet, blant annet Telenor.

– Nødvendigvis er det ikke kun store bygninger hvor det skal tenkes sikkerhet. Rundt i landet står mange mindre forretningsbygg som lett kan bli hacket og stengt. Kriminelle vil da kunne kreve 10 000 på kontoen, så kan bygget åpnes igjen, bemerker Stølen Kvalheim.

Nær dobling av cyberangrep mot bygg

Infosecurity Magazine skrev i en artikkel 8. september i fjor at fremveksten av cyberangrep kaster en skygge over suksessen til smarte bygninger på grunn av en betydelig økning i angrep. Slike angrep har nesten doblet seg over en tolvmånedersperiode. I løpet av de siste seks månedene av 2020, ble rundt 639 millioner nettangrep oppdaget. I de første seks månedene av 2021 hadde dette tallet steget til over 1,5 milliarder.

I et bygningsstyringssystem kan hackere fjernstyre ethvert usikkert område. Med smarte bygninger som er sammenkoblet, utgjør dette en betydelig risiko. Ikke bare kompromitterer det sikkerheten til sensitiv bedriftsinformasjon som er lagret i databaser og datamaskiner, men det kan vise seg å være farlig for helsen og sikkerheten til brukerne. Blant annet å låse dem inne i et rom, eller stenger tilgangen til viktige rom.  Manipulering av ventilasjons- og varmesystemene, deaktivering av brannsikringsanlegg kan ha livstruende konsekvenser.

Trusselnivået er ikke kun hypotetisk. Hackere har klart å infiltrere administrasjonssystemer i sykehus, med påfølgende forsinkede operasjoner og omfattende forstyrrelser.

Smarte bygninger viser seg å være et attraktivt mål på grunn av IoT-enheter (Internet of Things). Ved å bruke usikre IoT-enheter som tilgangspunkter, kan nettangripere få tilgang til mange systemer i bygningen, skriver Infosecurity Magazine.

Hva er hacking?

– Spørsmålet er hva du legger i hacking. Er det om du kommer inn i IT-systemet gjennom et angrep? Da må du være høyt spesialisert for å kunne gå inn på et busbasert system. Eller om du ringer på inngangsdøra og sier at du skal til noen i 4. etasje, men går ned i teknisk rom, da har du jo hacket deg inn fordi sikkerheten inn til bygget ikke er god nok. Du gjør det samme i IKT-sammenheng, du «ringer» på døra, og du får tilgang, sier Stølen Kvalheim.

– Hvis vi snakker om byggherrer som ikke har bygg av samfunnskritisk betydning, er det få som har et forhold til dette. Jeg må selv ta opp spørsmålet om sikkerhet.

Generelt er bevissthet rundt passordsikkerhet fraværende, ofte gjør en standard hovednøkkel levert av leverandøren det enkelt å komme inn i teknisk rom.

– Har du kommet inn døra og inn i et teknisk rom, så kan du på samme måte være på innsiden av IKT-sikkerheten også. Du kan programmere om et anlegg, omprogrammere til å bryte sammen 10 dager senere. Da har du hacket det. Om du står i teknisk rom, og laster inn skadevare i en undersentral og går derfra, så er det ingen som vet om det. Da har du hacket bygget. Du er bare kommet inn en annen vei enn via passordet til IKT-organisasjonen.

Sikkerhet må være i en samlet pakke

– Sikkerhet rundt automasjonsanlegg i bygg må behandles som én hel pakke. Det nytter ikke å ta bare delpakke og sikkerheten du får med den. Det blir på samme måte som om du har 10 låser på ytterdøra di, men har hengsler som kan skrues av utenfra. Da er jo ingen av de 10 låsene til nytte.

– Kan krigen i Ukraina bevisstgjøre bygg- og eiendomsbransjen mer, fordi man ikke vet hva fremmede makter kan finne på, for å skade land som bistår Ukraina?

– Dette vet vi ingenting om. Vi vet ikke hva de eventuelt har gjort her allerede. Ingen vet om noen har hackede anlegg liggende hos seg. På Fornebu for noen år siden så var det noen som brøyt seg inn i vannforsyningen. Men dette ble oppdaget. Hvem vet om det ligger noe skadepotensial et eller annet sted.

Hacking er to elementer av samme sak. Om du hacker for bevisst å skade, eller bare hacker for å se om du kan komme deg inn. Et tredje element er om du legger inn noe som gjør at det går galt, uten at det var intensjonen.

– I byggautomasjonssammenheng så hender det jo at noen laster opp noe i en undersentral, laster opp programvare og gjør det bare på en del av bygget, eller en del av et system. Og ikke ser sammenhengen, og dermed skader systemet. Hvis du bytter en del som ikke passer med systemet, så kan det få konsekvenser for hele systemet.

Mangler helhetstenkning

– Hva er svakeste ledd med sikkerhet i bygningsautomasjon?

– Helhetstenkning. Det er mange flinke aktører som gjør sitt beste på sitt fagområde, men de ser ikke helheten fordi bygningsautomasjon er komplisert. Svakheten er at man ofte ikke tester grensesnittet mellom fagene. Den som har lavest bevissthet, er også det svakeste leddet.

– De fleste har begynt å få et sterkt forhold til brann, men det er et annet nivå. Om noen tar strømmen på kjøleanlegget ved et sykehus, vil det få store konsekvenser. Jeg har aldri sett gode risikoanalyser rundt dette. De forsøkene som er gjort, er ofte mangelfulle.

– Og dette mener du at byggeiere ikke har nok bevissthet rundt?

– I Norge har dette, så vidt meg bekjent, til nå ikke vært et stort problem, og så er vi litt godtroende. Det er et større problem at byggebransjen kan ha kvalitetsutfordringer i leveransene som gjør at deres installasjoner feiler på eget initiativ. Det er heller feil og mangler i leveransene som gjør at ting går dårlig, enn at noen faktisk går inn og hacker, sier Lasse Stølen Kvalheim til slutt.

Få siste nytt, meld deg på ITBaktuelts nyhetsbrev her