VARMESTYRING: Ett av de sårbare kontrollsystemene Dagbladet har funnet på Internett, tilhører Rørvik sykestue. Dette brukes til å styre varme, lys og ventilasjon, opplyser kommunen. Foto: Tom Lysø / Namdalsavisa
VARMESTYRING: Ett av de sårbare kontrollsystemene Dagbladet har funnet på Internett, tilhører Rørvik sykestue. Dette brukes til å styre varme, lys og ventilasjon, opplyser kommunen. Foto: Tom Lysø / NamdalsavisaVis mer

- Dette vil være spesielt uheldig for vårt sykehjem

Sårbart kontrollsystem brukes til å styre lys og varme.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): I forbindelse med artikkelserien «Null CTRL» har Dagbladet funnet flere hundre norske, sårbare kontrollsystemer for bygninger, utviklet for å kontrollere alt fra lys, varme og ventilasjon til låsemekanismer og brannalarmer. 

Alle disse systemene er koblet mot Internett uten brannmurbeskyttelse, og er av en versjon med et kjent sikkerhetshull som gjør dem ekstra utsatt for hackere.

Advarer Sju av systemene Dagbladet har funnet, brukes i bygg tilhørende Vikna kommune i Nord-Trøndelag, deriblant flere skoler og en sykestue. Disse systemene styrer varme, ventilasjon og lys, opplyser kommunen.

De kjente ikke til sikkerhetshullet Dagbladet omtaler i dag, og som både amerikanske sikkerhetsmyndigheter og FBI advarte mot i fjor.

- Med en gang du har funnet dette sikkerhetshullet er det veldig lett å trenge inn. Å finne det er heller ikke spesielt vanskelig, sier den amerikanske sikkerhetseksperten Terry McCorkle.

- Uheldig - Hvis det er mulig, er det uheldig for oss, skriver avdelingsleder for Bygg & Eiendom Erik Jakobsen ved Vikna kommune i en e-post til Dagbladet.

Han ønsker kun å besvare spørsmål skriftlig, men utdyper videre:


- Som jeg ser det, er det uheldig blant annet for forutsetningene for inneklima, økt strømforbruk, lys av/på i bygg utenom åpningstid/brukstid.

- Nedstengning av varmeanlegg utenom arbeidstid/helg vil være uheldig spesielt for vårt sykehjem. En risikovurdering vil eventuelt avdekke flere forhold.

Artikkelen fortsetter under annonsen

I etterkant av Dagbladets henvendelse, har Vikna kommune kontaktet sin eksterne leverandør av systemene. Leverandøren opplyser til Dagbladet at de mener de har fulgt alle anbefalinger fra produsenten for å sikre disse, men vil undersøke saken nærmere.

- Risikabelt Forsker Niklas Vilhelm i Nasjonal sikkerhetsmyndighet (NSM) ser med bekymring på de 290 sårbare systemene Dagbladet har funnet.

- Det kan være risikabelt å la situasjonen vedvare, sier han.

RISIKABELT: Forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet mener det kan være risikabelt med alle de sårbare systemene som ligger tilgjengelig på Internett, uten beskyttelse av brannmur. Foto: Øistein Norum Monsen / Dagbladet
RISIKABELT: Forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet mener det kan være risikabelt med alle de sårbare systemene som ligger tilgjengelig på Internett, uten beskyttelse av brannmur. Foto: Øistein Norum Monsen / Dagbladet Vis mer

- Å la disse systemene ligge ute med sikkerhetshull betyr at hvem som helst kan styre dem. Derfor er det viktig at de sikres.

Den amerikanske sikkerhetseksperten Terry McCorkle mener det kan være et stort samfunnsproblem at disse systemene er koblet til nettet.

- Systemene kontrollerer mye forskjellig. Ofte er det bare temperatur i bygninger, men de kan også kontrollere for eksempel fyrrom i fabrikker. I tillegg er det sikkert mange som vil mene at det ikke er noe problem om uvedkommende tar kontroll over airconditionen i en bygning, men hvis dette er inne i et datasenter som er avhengig av en viss temperatur, kan det få store konsekvenser. Det samme gjelder sykehus, sier han til Dagbladet.

Sikkerhetsoppdateringer For å bøte på problemet, har produsenten Tridium laget programvareoppdateringer.

- Vi har oppfordret våre leverandører og kunder verden over om å forsikre seg om at alle de Internett-tilkoblede systemene deres har installert alle sikkerhetsoppdateringer og anbefalt at de bør legge systemene bak en brannmur eller på et virtuelt privat nettverk (VPN), i tillegg til å bruke sterk passordbeskyttelse. Vi er trygge på at produktene våre er sikre hvis disse retningslinjene blir fulgt, skriver visepresident Jenny Graves i Tridiums kommunikasjonsavdeling i en e-post til Dagbladet.

BAKDØR: Den versjonen som brukes av Rørvik sykestue, har en kjent bakdør som gjør det mulig for uvedkommende å trenge inn i systemet. Foto: Skjermdump
BAKDØR: Den versjonen som brukes av Rørvik sykestue, har en kjent bakdør som gjør det mulig for uvedkommende å trenge inn i systemet. Foto: Skjermdump Vis mer

Alle de sårbare systemene Dagbladet har funnet, ligger imidlertid tilgjengelig på åpent nett, uten beskyttelse av en brannmur.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer