SÅRBARHET:. Vatneleiren utenfor Sandnes i Rogaland er ett av 290 steder hvor Dagbladet har funnet et konkret styringssystem for bygninger med kjente sårbarheter.  Foto: Jacques Hvistendahl / Dagbladet
SÅRBARHET:. Vatneleiren utenfor Sandnes i Rogaland er ett av 290 steder hvor Dagbladet har funnet et konkret styringssystem for bygninger med kjente sårbarheter. Foto: Jacques Hvistendahl / DagbladetVis mer

Slik kan hackere ta kontroll i norske banker, skoler, sykehjem - og en militærleir

Dagbladet fant sårbare kontrollsystemer i 290 norske bygninger.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Med enkle grep kan uvedkommende trenge inn i systemer som er utviklet for å kontrollere alt fra lys, varme og ventilasjon til låsemekanismer og brannalarmer. 

Dagbladet har funnet 290 slike kontrollsystemer i Norge, som både er av en sårbar versjon og ligger åpent mot Internett.

Stor ryddejobb Det gjør det enkelt for hackere og inntrengere med onde hensikter å ta seg inn.

- Disse systemene har et sikkerhetshull, og med en gang du har funnet dette er det veldig lett å trenge inn. Å finne sikkerhetshullet er heller ikke spesielt vanskelig, sier den amerikanske sikkerhetseksperten Terry McCorkle til Dagbladet.

I Norge finnes systemene i alt fra banker og skolebygninger til sykehjem og store kontorbygg.


- Det at såpass mange ligger ute med disse sikkerhetshullene, betyr at det er en stor jobb å gjøre, sier forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet (NSM).

FBI advarer For noen år siden oppdaget McCorkle og kollega Billy Rios i sikkerhetsselskapet Cylance den første sikkerhetsfeilen i de aktuelle systemene. Det førte til at FBI gikk ut med en offisiell advarsel i fjor høst.

For å bøte på problemet, har produsenten Tridium laget programvareoppdateringer.

- Tridium har tatt tak i alle innrapporterte sårbarheter i Niagara AX-rammeverket, med nedlastbare sikkerhetsoppdateringer som har vært tilgjengelige siden midten av 2012, skriver visepresident Jenny Graves i Tridiums kommunikasjonsavdeling i en e-post til Dagbladet.

Ifølge McCorkle, som samarbeider med Tridium om å kartlegge og forstå systemenes sårbarheter, er det imidlertid «veldig, veldig uvanlig» at disse oppdateringene blir installert.

STATOIL-KONTOR: Ett av systemene Dagbladet har funnet heter «Statoil Fornebu». Informasjonsdirektør Jannik Lindbæk jr henviser til IT Fornebu, som er ansvarlig for systemet. De ønsker ikke å kommentere saken, fordi de «ikke ønsker å fortelle utenforstående hvilke systemer vi bruker på våre bygg», opplyser kommunikasjonsdirektør Mona Jacobsen. Foto: Gorm Kallestad / NTB Scanpix
STATOIL-KONTOR: Ett av systemene Dagbladet har funnet heter «Statoil Fornebu». Informasjonsdirektør Jannik Lindbæk jr henviser til IT Fornebu, som er ansvarlig for systemet. De ønsker ikke å kommentere saken, fordi de «ikke ønsker å fortelle utenforstående hvilke systemer vi bruker på våre bygg», opplyser kommunikasjonsdirektør Mona Jacobsen. Foto: Gorm Kallestad / NTB Scanpix Vis mer

- Den typiske situasjonen er at et eksternt selskap installerer og kontrollerer disse systemene for en kunde, som eier bygningen. Kunden  har for eksempel tilgang til å endre temperaturen, mens den eksterne leverandøren installerer en ADSL-linje eller lignende for å ha tilgang til kontrollpanelet fra sitt kontor. Derfor vet ofte ikke bygningseieren at systemet i det hele tatt er tilkoblet Internett, sier McCorkle.

I serien «Null CTRL» har Dagbladet kartlagt norske systemer av sårbare versjoner. Vi fant 290 stykker, og McCorkle anslår at 95 prosent av disse er sårbare.

Militærleir i Sandnes Blant de vi fant, er den militære Vatneleiren ved Sandnes, hvor Forsvarsbygg er ansvarlig for driften.

- IP-adressen dere viser til går til en undersentral som styrer ett varme- og ventilasjonsanlegg i én bygning i Vatneleiren. Forsvarsbygg tar sikkerhet svært alvorlig, og har etter å ha blitt kjent med at en undersentral er koblet til nett med passordbeskyttelse, fysisk fjernet forbindelsen fra undersentralen. Man kan nå ikke kalle opp dette anlegget via IP-adressen, sier leder Atle Holten i eiendomsforvaltning ved Forsvarsbygg.

Han opplyser videre at de nå vil foreta en gjennomgang av sine systemer.

- Ikke kritisk Et annet system Dagbladet har funnet, tilhører en filial av Sparebank1 SR-bank i Haugesund. Informasjonssjef Frode Sandal opplyser at det er huseieren som forvalter systemet, men at de uansett ikke mener det er kritisk for bankens sikkerhet.

STYRINGSSYSTEM: Slik kan ett av disse styringssystemene se ut. Panelet (innfelt) tilhører et system for luftbehandling i GKs hovedkontor, og lå ikke åpent på Internett. Bildene er tatt med selskapets tillatelse. Foto: Linn K. Hillestad / Dagbladet
STYRINGSSYSTEM: Slik kan ett av disse styringssystemene se ut. Panelet (innfelt) tilhører et system for luftbehandling i GKs hovedkontor, og lå ikke åpent på Internett. Bildene er tatt med selskapets tillatelse. Foto: Linn K. Hillestad / Dagbladet Vis mer

- Det verste som kan skje hvis noen hacker seg inn her, er at de kan skru av ventilasjonen. Den fysiske sikringen av bygget ligger hos en annen leverandør, sier Sandal til Dagbladet.

Luster Sparebank opplyser til Dagbladet at også deres system styrer ventilasjonen i banken.

- Kunne vært bedre GK Norge er den største leverandøren av disse systemene her i landet. De medgir at bransjens fokus på datasikkerhet kunne vært bedre.
 
- Fokuset har vært web, web, web, åpenhet og tilgjengelighet, og dette har kanskje gått utover sikkerheten, sier direktør for byggautomasjon Roar Johannesen til Dagbladet.
 
- Vi ønsker å fokusere mer på datasikkerhet sammen med våre kunder. Dette dreier seg like mye om å få kundene til å ha fokus på å sikre brukernavn og passord som å forsikre oss om at de sikkerhetsoppdaterer systemene, sier han.
 
Johannesen forteller at sikkerhet er en del av dialogen med kundene de har løpende kontakt med.
 
- Vi mener vi stort sett har klart å nå ut til de fleste kundene, men det vi kjenner at vi kan bli bedre på, er å sende tydeligere beskjeder om eventuelle sikkerhetshull til de kundene vi ikke har kontakt med, sier han.
 
- Vi er sikre på at vi og hele bransjen kan bli bedre på datasikkerhet, og vi mener dere hjelper både oss og kundene våre å bli bedre på dette, supplerer systemingeniør Jan Ingar Wollebek.

Nye svakheter Terry McCorkle opplyser til Dagbladet at det også finnes nyere versjoner som er usikre.

- Vi har ikke oppdatert alle svakhetene ennå, og har derfor ikke offentliggjort disse, men flere av de nyere versjonene har lignende svakheter som den versjonen FBI advarte mot, sier han.

At hackere tar seg inn i kontrollsystemet, er bare én risiko. En annen er ifølge McCorkle at den åpne tilgangen kan være en inngang til andre områder av selskapets nettverk, fordi systemene ofte er koblet til det lokale nettverket.

- Vi har oppfordret våre leverandører og kunder verden over om å forsikre seg om at alle de Internett-tilkoblede systemene deres har installert alle sikkerhetsoppdateringer og anbefalt at de bør legge systemene bak en brannmur eller på et virtuelt privat nettverk (VPN), i tillegg til å bruke sterk passordbeskyttelse. Vi er trygge på at produktene våre er sikre hvis disse retningslinjene blir fulgt, skriver Jenny Graves i Tridium.

Uvitenhet Niklas Vilhelm ved NSM mener det er svært viktig at disse oppfordringene etterfølges.

- Det kan være risikabelt å la situasjonen vedvare, sier han.

- Å la disse systemene ligge ute med sikkerhetshull betyr at hvem som helst kan styre dem. Derfor er det viktig at de sikres.

Vilhelm tror det store antallet sårbare systemer skyldes uvitenhet.

RISIKABELT: Forsker Niklas Vilhelm ved Nasjonal Sikkerhetsmyndighet (NSM) mener sikkerhetshullene i systemene Dagbladet har oppdaget, bør tettes. Foto: Øistein Norum Monsen / Dagbladet
RISIKABELT: Forsker Niklas Vilhelm ved Nasjonal Sikkerhetsmyndighet (NSM) mener sikkerhetshullene i systemene Dagbladet har oppdaget, bør tettes. Foto: Øistein Norum Monsen / Dagbladet Vis mer

- Folk er ikke klar over hvor risikabelt dette er. Det er ikke før man får tilstrekkelig antall hendelser hvor det går galt og folk får se at dette faktisk også gjelder meg, at man vil ta det alvorlig.

Hacket Google Tidligere i år tok McCorkle og Rios seg inn i styringssystemet til en av Googles kontorbygninger i Australia. McCorkle understreker imidlertid at de ikke ønsker at uvedkommende skal angripe disse systemene.

- Grunnen til at vi tok oss inn i Googles kontrollsystem, er at selskapet selv har oppfordret til å teste sikkerheten deres. Vi ønsker å vekke oppmerksomhet rundt dette og sikre at folk beskytter seg, sier McCorkle.

Han mener det kan være et stort samfunnsproblem at disse systemene er koblet til nettet.

- Systemene kontrollerer mye forskjellig. Ofte er det bare temperatur i bygninger, men de kan også kontrollere for eksempel fyrrom i fabrikker. I tillegg er det sikkert mange som vil mene at det ikke er noe problem om uvedkommende tar kontroll over airconditionen i en bygning, men hvis dette er inne i et datasenter som er avhengig av en viss temperatur, kan det få store konsekvenser. Det samme gjelder sykehus.

UTSATT: Michelin-restauranten Maaemo ligger i Schweigaardsgt 15, hvor det aktuelle styringssystemet brukes. Foto: Melisa Fajkovic / Dagbladet
UTSATT: Michelin-restauranten Maaemo ligger i Schweigaardsgt 15, hvor det aktuelle styringssystemet brukes. Foto: Melisa Fajkovic / Dagbladet Vis mer
Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer