CTS-pirater er klar til at kidnappe bygningsinstallationer
Hackere står på spring til at trænge ind i og overtage avancerede CTS-anlæg, der styrer bygningsinstallationer. Danmark har ifølge eksperter hundredvis af åbne systemer sårbare for et angreb.
I Danmark er der aktuelt hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, vurderer Gorm Mandsberg, adm. direktør i it-sikkerhedsfirmaet Dubex. .
Cyberpirater står klar til at overtage danske CTS-anlæg, der styrer bygningsautomatik. Kompleks software fra underleverandører og open source kombineret med sjusket installation har åbnet en vej ind til ondsindede hackere, der er klar til at afpresse bygningsejere for løsepenge.
Får styr på sikkerheden
Du bør ændre enhedens fabriksindstillede password, der alt for ofte får lov at være 0000 eller 1234 uden at installatøren eller kunden ændrer det. Dernæst hjælper to-faktor-validering til at højne sikkerheden, hvor teknikerne skal indtaste en ekstra kode, der sendes til en sikker mobiltelefon eller aflæses på et fysisk stykke papir.
Et af de bedste råd er at holde anlægget væk fra internettet. Især KNX og BEC-net er udsatte, fordi de kan tilsluttes et IP-netværk. Så snart et CTS-anlæg er tilgængeligt på internettet stiger risikoen for at ubudne gæster vil kigge ind, fjerne informationer eller overtage kontrollen med en enhed.
Kilde: Gorm Mandsberg og Jacob Frederiksen
Gorm Mandsberg, administrerende direktør i it-sikkerhedsfirmaet Dubex, vurderer, at der i Danmark aktuelt er hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, og at Danmark vil se de første fjendtlige overtagelser af CTS-anlæg næste år eller i 2019.
Hackere kan blandt andet komme ind gennem det såkaldte Mirai-botnet, der er kendt for lynhurtigt at angribe overvågningskameraer.
”De fleste gider ikke høre om sikkerhed, før de får en idé om, hvilken risiko de står overfor. Lige om lidt kommer vi til at se ransomware ramme CTS-anlæg, hvor en ondsindet person slukker kølingen i serverrummet, indtil han får penge får at tænde den. Så har man halvanden time til at agere, inden serverne overopheder og slår fra, siger Gorm Mandsberg og fortsætter:
"I Mirai-botnettet går der typisk under 100 sekunder inden nogen forsøger at logge ind med standardbrugernavn og -password. Især de små kundeinstallationer er udsat, fordi de ikke har det samme sikkerhedsfokus som de store installationer”.
Læs også: Dansk firma sørger for bæredygtigt indeklima på Harvard University
Forskellige opfattelser skyld i sikkerhedsproblemer*
Ingen danske CTS-anlæg er så vidt vides blevet hacket, men i januar kom det frem, at østrigske Seehotel Jaegerwirt var offer for en cyberpirat, der låste hotelgæsterne ude af deres værelser efter at have overtaget låseanlægget.
Og i dagene op til Donald Trumps præsidentindsættelse var to tredjedele af politiets videooptagere i Washington DC låst af ransomware.
Ifølge Gorm Mandsberg opstår sikkerhedsproblemerne ofte på grund af de forskellige opfattelser hos el-installatører og it-folk, der er reelle forhindringer, der skal løses inden en brugbar installation kan fungere.
It-sikkerheden kan nemt fejle allerede i planlægningsfasen, fordi kundernes forståelse for bygningsdrift og it-sikkerhed grundlæggende er splittet mellem en prioritering af maksimal produktion og et mareridtsscenarie, der kun opstår i værst tænkelige tilfælde.
Gorm Mandsberg er administrerende direktør i it-sikkerhedsfirmaet Dubex. Han forventer, at den første fjendtlige overtagelse af et dansk CTS-anlæg vil ske inden for et par år. Pressefoto..
”Det er to virkeligheder, der er svære at få til at tale sammen, fordi de har forskellige agendaer. Produktionsfolk ville aldrig blive færdige med en leverance, hvis de skulle lave review på flere millioner linjer kode, så man er nødt til at tage sikkerhedsproblemerne i opløbet, for et af de store problemer er samarbejdet mellem produktionsafdelingen og it-afdelingen. Produktionsafdelingens holdning er – groft sagt – at ’if it works, don’t fix it’, mens it-afdelingen altid starter med at installere nyeste softwareversion”, siger Gorm Mandsberg.
Læs også: Dansk Byggeri: Varmepumpernes succes kræver stabil støtte
Dårligt uddannet
Cybersikkerhed er lavt prioriteret i el-uddannelserne. Der er ikke meget it-sikkerhed i AMU-kurset udarbejdet af Efteruddannelsesudvalget for Tekniske Installationer og Energi om CTS-programmering.
Problemet er ikke nævnt i den meget lange kursusbeskrivelse, der i stedet fokuserer på programmering og de enkelte komponenter.
Gorm Mandsberg anbefaler, at installatørerne sætter sig på skolebænken fremfor at lære it-teknikerne at gå ud på gulvet og opstille og drive anlæg.
”Jeg tror ikke, at man kan flytte it-folk til at fokusere på drift, så det nemmeste er at give installatørerne sikkerhedskvalifikationer med en overbygning. Hacks er teknisk superspændende, men ekstremt dyre at sikre sig imod på fjerde decimal, hvorimod det er meget vigtigt at sikre sig med de basale sikkerhedsparametre, så man kan hæve sikkerheden fra 85 til 99 procent", siger Gorm Mandsberg og fortsætter:
"Det kan være en dårlig service at tillade kunden eller et servicecenter at logge på hjemmefra, for det giver en kæmpe sårbarhed. Med en times arbejde kommer man langt med at forbedre it-sikkerheden for et CTS-anlæg”.
Læs også: Ventilationsløsning rendte med Elforsk Prisen
Er man ikke selv fuldbefaren i it-sikkerhed, når man monterer eller servicerer et CTS-anlæg, anbefaler Jacob Frederiksen, projektleder for sikring hos Høyrup & Clemmesen, at man ringer til en fagperson, der med et par timers arbejde kan konfigurere netværk med VPN og kryptering.
Jacob Frederiksen er projektleder for sikring hos elinstallationsvirksomheden Høyrup & Clemmensen. Han advarer mod sårbare CTS-anlæg, som er nemme at overtage. Pressefoto..
”Den nuværende generation af montører får svært ved it-sikkerhed, mens den nye generation af lærlinge har nemt ved det”, siger Jacob Frederiksen.
Forsvarets Efterretningstjeneste advarer
Truslen fra cyberterror mod danske myndigheder og private virksomheder er stadig lav ifølge Forsvarets Center for Cybersikkerhed.
Kendte terrorgrupper har på nuværende tidspunkt ikke den fornødne kapacitet til at gennemføre egentlige terrorangreb via internettet med død eller voldsom ødelæggelse til følge. Centeret advarer i stedet om de forventede 26 milliarder enheder, der vil være online i 2020.
”Det er også muligt, at cyberkriminelle i fremtiden vil udnytte den øgede brug af smart-enheder til f.eks. afpresning af brugere, hvis enheder ikke virker som følge af et hack. Eller at hackere kan gå efter større enkeltmål, som f.eks. fremtidige smart-biler, smart-containerskibe eller smart-byer”, fremgår det af Forsvarets trusselsvurdering.
Læs også: Ledere skal indtænke intelligent energistyring
Svært at sælge it-sikkerhed
Det er stadig svært at sælge CTS-sikkerhed på det danske marked, hvor softwaren bliver stadig mere kompleks frit åben for hemmelige digitale bagdøre, elektroniske sladrehanke og tidsindstillede databomber, der ligger i dvale.
Også Jacob Frederiksen mener, at der skal en it-katastrofe til, inden brugerne bliver villige til at tænke og betale for CTS-sikkerhed. Han anbefaler CTS-leverandørerne at opsøge rådgiverne for at sælge it-sikkerhed.
”Vi ser tit installationer med standardpassword, særligt ældre videoinstallationer, og det kommer brugerne også til at opleve på deres CTS-anlæg, indtil de har fået nogle knubs, så de lærer af det. Dem, der arbejder med CTS-anlæg, har svært ved at rumme sikkerhed, så der er ikke nogen, der vil sætte penge i sikkerhed, medmindre det er regnet ind i projektet fra starten af. Du skal ud i rådgivningsfasen for at få indføjet sikkerhed i udbuddet”, siger Jacob Frederiksen.
