CTS-pirater er klar til at kidnappe bygningsinstallationer

Hackere står på spring til at trænge ind i og overtage avancerede CTS-anlæg, der styrer bygningsinstallationer. Danmark har ifølge eksperter hundredvis af åbne systemer sårbare for et angreb.

I Danmark er der aktuelt hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, vurderer Gorm Mandsberg, adm. direktør i it-sikkerhedsfirmaet Dubex. .

Cyberpirater står klar til at overtage danske CTS-anlæg, der styrer bygningsautomatik. Kompleks software fra underleverandører og open source kombineret med sjusket installation har åbnet en vej ind til ondsindede hackere, der er klar til at afpresse bygningsejere for løsepenge.

Får styr på sikkerheden

Du bør ændre enhedens fabriksindstillede password, der alt for ofte får lov at være 0000 eller 1234 uden at installatøren eller kunden ændrer det. Dernæst hjælper to-faktor-validering til at højne sikkerheden, hvor teknikerne skal indtaste en ekstra kode, der sendes til en sikker mobiltelefon eller aflæses på et fysisk stykke papir.
Et af de bedste råd er at holde anlægget væk fra internettet. Især KNX og BEC-net er udsatte, fordi de kan tilsluttes et IP-netværk. Så snart et CTS-anlæg er tilgængeligt på internettet stiger risikoen for at ubudne gæster vil kigge ind, fjerne informationer eller overtage kontrollen med en enhed.

Kilde: Gorm Mandsberg og Jacob Frederiksen

Gorm Mandsberg, administrerende direktør i it-sikkerhedsfirmaet Dubex, vurderer, at der i Danmark aktuelt er hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, og at Danmark vil se de første fjendtlige overtagelser af CTS-anlæg næste år eller i 2019.

Hackere kan blandt andet komme ind gennem det såkaldte Mirai-botnet, der er kendt for lynhurtigt at angribe overvågningskameraer.

”De fleste gider ikke høre om sikkerhed, før de får en idé om, hvilken risiko de står overfor. Lige om lidt kommer vi til at se ransomware ramme CTS-anlæg, hvor en ondsindet person slukker kølingen i serverrummet, indtil han får penge får at tænde den. Så har man halvanden time til at agere, inden serverne overopheder og slår fra, siger Gorm Mandsberg og fortsætter:

"I Mirai-botnettet går der typisk under 100 sekunder inden nogen forsøger at logge ind med standardbrugernavn og -password. Især de små kundeinstallationer er udsat, fordi de ikke har det samme sikkerhedsfokus som de store installationer”.

Læs også: Dansk firma sørger for bæredygtigt indeklima på Harvard University

Forskellige opfattelser skyld i sikkerhedsproblemer*
Ingen danske CTS-anlæg er så vidt vides blevet hacket, men i januar kom det frem, at østrigske Seehotel Jaegerwirt var offer for en cyberpirat, der låste hotelgæsterne ude af deres værelser efter at have overtaget låseanlægget.

Og i dagene op til Donald Trumps præsidentindsættelse var to tredjedele af politiets videooptagere i Washington DC låst af ransomware.

Ifølge Gorm Mandsberg opstår sikkerhedsproblemerne ofte på grund af de forskellige opfattelser hos el-installatører og it-folk, der er reelle forhindringer, der skal løses inden en brugbar installation kan fungere.

It-sikkerheden kan nemt fejle allerede i planlægningsfasen, fordi kundernes forståelse for bygningsdrift og it-sikkerhed grundlæggende er splittet mellem en prioritering af maksimal produktion og et mareridtsscenarie, der kun opstår i værst tænkelige tilfælde.

Gorm Mandsberg er administrerende direktør i it-sikkerhedsfirmaet Dubex. Han forventer, at den første fjendtlige overtagelse af et dansk CTS-anlæg vil ske inden for et par år. Pressefoto..

”Det er to virkeligheder, der er svære at få til at tale sammen, fordi de har forskellige agendaer. Produktionsfolk ville aldrig blive færdige med en leverance, hvis de skulle lave review på flere millioner linjer kode, så man er nødt til at tage sikkerhedsproblemerne i opløbet, for et af de store problemer er samarbejdet mellem produktionsafdelingen og it-afdelingen. Produktionsafdelingens holdning er – groft sagt – at ’if it works, don’t fix it’, mens it-afdelingen altid starter med at installere nyeste softwareversion”, siger Gorm Mandsberg.

Læs også: Dansk Byggeri: Varmepumpernes succes kræver stabil støtte

Dårligt uddannet
Cybersikkerhed er lavt prioriteret i el-uddannelserne. Der er ikke meget it-sikkerhed i AMU-kurset udarbejdet af Efteruddannelsesudvalget for Tekniske Installationer og Energi om CTS-programmering.

Problemet er ikke nævnt i den meget lange kursusbeskrivelse, der i stedet fokuserer på programmering og de enkelte komponenter.

Gorm Mandsberg anbefaler, at installatørerne sætter sig på skolebænken fremfor at lære it-teknikerne at gå ud på gulvet og opstille og drive anlæg.

”Jeg tror ikke, at man kan flytte it-folk til at fokusere på drift, så det nemmeste er at give installatørerne sikkerhedskvalifikationer med en overbygning. Hacks er teknisk superspændende, men ekstremt dyre at sikre sig imod på fjerde decimal, hvorimod det er meget vigtigt at sikre sig med de basale sikkerhedsparametre, så man kan hæve sikkerheden fra 85 til 99 procent", siger Gorm Mandsberg og fortsætter:

"Det kan være en dårlig service at tillade kunden eller et servicecenter at logge på hjemmefra, for det giver en kæmpe sårbarhed. Med en times arbejde kommer man langt med at forbedre it-sikkerheden for et CTS-anlæg”.

Læs også: Ventilationsløsning rendte med Elforsk Prisen

Er man ikke selv fuldbefaren i it-sikkerhed, når man monterer eller servicerer et CTS-anlæg, anbefaler Jacob Frederiksen, projektleder for sikring hos Høyrup & Clemmesen, at man ringer til en fagperson, der med et par timers arbejde kan konfigurere netværk med VPN og kryptering.

Jacob Frederiksen er projektleder for sikring hos elinstallationsvirksomheden Høyrup & Clemmensen. Han advarer mod sårbare CTS-anlæg, som er nemme at overtage. Pressefoto..

”Den nuværende generation af montører får svært ved it-sikkerhed, mens den nye generation af lærlinge har nemt ved det”, siger Jacob Frederiksen.

Forsvarets Efterretningstjeneste advarer
Truslen fra cyberterror mod danske myndigheder og private virksomheder er stadig lav ifølge Forsvarets Center for Cybersikkerhed.

Kendte terrorgrupper har på nuværende tidspunkt ikke den fornødne kapacitet til at gennemføre egentlige terrorangreb via internettet med død eller voldsom ødelæggelse til følge. Centeret advarer i stedet om de forventede 26 milliarder enheder, der vil være online i 2020.

”Det er også muligt, at cyberkriminelle i fremtiden vil udnytte den øgede brug af smart-enheder til f.eks. afpresning af brugere, hvis enheder ikke virker som følge af et hack. Eller at hackere kan gå efter større enkeltmål, som f.eks. fremtidige smart-biler, smart-containerskibe eller smart-byer”, fremgår det af Forsvarets trusselsvurdering.

Læs også: Ledere skal indtænke intelligent energistyring

Svært at sælge it-sikkerhed
Det er stadig svært at sælge CTS-sikkerhed på det danske marked, hvor softwaren bliver stadig mere kompleks frit åben for hemmelige digitale bagdøre, elektroniske sladrehanke og tidsindstillede databomber, der ligger i dvale.

Også Jacob Frederiksen mener, at der skal en it-katastrofe til, inden brugerne bliver villige til at tænke og betale for CTS-sikkerhed. Han anbefaler CTS-leverandørerne at opsøge rådgiverne for at sælge it-sikkerhed.

”Vi ser tit installationer med standardpassword, særligt ældre videoinstallationer, og det kommer brugerne også til at opleve på deres CTS-anlæg, indtil de har fået nogle knubs, så de lærer af det. Dem, der arbejder med CTS-anlæg, har svært ved at rumme sikkerhed, så der er ikke nogen, der vil sætte penge i sikkerhed, medmindre det er regnet ind i projektet fra starten af. Du skal ud i rådgivningsfasen for at få indføjet sikkerhed i udbuddet”, siger Jacob Frederiksen.

2ctrl ApS

Sponseret

Bæredygtighed ned til mindste detalje

Uponor

Sponseret

Fremtidens fjernvarmeløsning er lige her

Relateret indhold

18.06.2024Installator.dk

Borgere skal have andel af grøn gevinst

18.06.2024Installator.dk

Jobindex: Drop kravet om motiverede ansøgninger

17.06.2024Installator.dk

Høje danske lønstigninger kan presse konkurrenceevnen

17.06.2024RIB Software

Sponseret

NY RAPPORT: RIB Markedsundersøgelse 2024!

14.06.2024Installator.dk

Lemvigh-Müller køber 34.000 kvm. i Kolding

14.06.2024Installator.dk

Alt for få elvarebiler på vejene - målet er langt væk

13.06.2024Installator.dk

Trusselsniveauet hæves for gas- og elsektoren

12.06.2024RIB Software

Sponseret

Kender du til de 10 mest almindelige udfordringer inden for kvalitetssikring og Field Management?

Jobmarked

Se alle

Silhorko

Servicetekniker

Har du en håndværksmæssig baggrund? Er du skarp til fejlfinding og brænder for at udføre tekniske serviceopgaver? Kunne du tænke dig at bringe dine tekniske kompetencer i spil i en af Danmarks førende virksomheder indenfor vandbehandling? Så er det måske dig, vi søger som vores nye udekørende Servicetekniker til kunder på Sjælland ved Silhorko-Eurowater A/S

Område

Sjælland

Ansøgningsfrist

09.07.2024

Vølund Varmeteknik A/S

Teknisk salgskonsulent til VVS-branchen

Vi søger en teknisk salgskonsulent til vores stærke team, og du har nu muligheden for at blive en del af markedets førende leverandør af bæredygtige varmetekniske løsninger.

Område

Sjælland

Ansøgningsfrist

Snarest muligt

Vølund Varmeteknik A/S

Er du vores nye servicetekniker?

Vølund Varmeteknik A/S har i de senere år udviklet en professionel serviceorganisation med i øjeblikket 25 eksterne serviceteknikere, som alle kører ud hjemmefra og i tæt dialog med et professionelt serviceteam på kontoret.

Område

Sjælland

Ansøgningsfrist

Snarest muligt

ABB A/S

Produktchef til Installationsmateriel

Tag dit næste karriereskridt hos ABB sammen med et globalt team, der giver energi til transformationen af vores samfund og industri for at opnå en mere produktiv, bæredygtig fremtid.

Område

Hovedstaden

Ansøgningsfrist

27.06.2024

METRO THERM A/S

Financial controller søges til METRO THERM i Helsinge

Er du uddannet financial controller eller er du en erfaren regnskabsassistent, som motiveres af at arbejde med regnskab og tal? Så er det måske dig, som vi søger til stillingen financial controller hos METRO THERM i Helsinge.

Område

Sjælland

Ansøgningsfrist

Snarest muligt

Hold dig opdateret med Installator.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor tekniske installationer - el, VVS- og ventilationsbranchen.

Se flere temaer

Events

Se alle
Geovent
Kursus
Geovent inviterer til fagligt kursus - Tilmeld dig i dag!

Vi åbner dørene og inviterer til dybdegående kurser i procesventilation, hvor du kan udvide din faglige viden sammen med kollegaer fra branchen.

Dato

30.05.2024

Tid

09:00

Sted

Geovent, Hovedgaden 86, 8831 Løgstrup, fra kl. 09:00-13:00 - Vi sørger for frokost.

Geovent
Kursus
Geovent inviterer til fagligt kursus - Tilmeld dig i dag!

Vi åbner dørene og inviterer til dybdegående kurser i procesventilation, hvor du kan udvide din faglige viden sammen med kollegaer fra branchen.

Dato

11.06.2024

Tid

09:00

Elsikkerhed.dk
Kursus
Boligdimensionering - Herning/virtuelt

Få de bedste kort på hånden med vores nye dimensioneringsredskab, som dette kursus giver adgang til. Alle deltagere får udleveret vores ‘Gør det Kort’, som giver hurtigt overblik over de vigtigste ændringer inden for installationer i boliger og opfylder kravene til dimensionering efter standarden DS/HD 60364.

Dato

26.06.2024

Tid

09:30

Sted

Online / Innovatorium, Birk Centerpark 40, 7400 Herning

Elsikkerhed.dk
Kursus
L-AUS ajour - Greve

Hold din viden om L-AUS ajour - hvert år

Dato

27.06.2024

Tid

08:30

Sted

Greve Erhvervscenter, Korskildelund 6, 2670 Greve

Geovent
Kursus
Geovent inviterer til fagligt kursus - Tilmeld dig i dag!

Vi åbner dørene og inviterer til dybdegående kurser i procesventilation, hvor du kan udvide din faglige viden sammen med kollegaer fra branchen.

Dato

13.08.2024

Tid

09:00

Elsikkerhed.dk
Kursus
L-AUS ajour - Herning/virtuelt

Hold din viden om L-AUS ajour - hvert år

Dato

15.08.2024

Tid

13:30

Sted

Online / Innovatorium, Birk Centerpark 40, 7400 Herning