Så arbetar Gate för att skydda din fastighet mot cyberattacker

När fastighetssystem kopplas upp ökar också risken för intrång. Därför arbetar Gate strukturerat med säker inloggning, uppdateringar och riskanalyser.

Cybersäkerhet har blivit en strategisk fråga för alla som ansvarar för moderna fastigheter. I den här intervjun berättar Patrick Pettersson på Gate om de vanligaste riskerna, vad ett angrepp kan leda till och hur de kan hjälpa fastighetsägare att skydda sina anläggningar mot cyberattacker.

Fastighetsautomation blir allt vanligare i moderna byggnader och våra möjligheter att koppla fastighetssystem till nätverk för fjärrstyrning. Samtidigt ökar IT-hoten. Vilka risker ser du som mest akuta idag?

Jag ser risker på flera sätt, vissa är ganska enkla att åtgärda medan andra är mer krävande och komplexa. Här är några av de största riskerna:

Lösenord 
Många behåller standardlösenordet på utrustningar för fastighetsautomation, vilka enkelt kan hittas på internet och ge tillträde till anläggningen.

Inloggning i fastighetsautomation
Delade och generiska inloggningar som används av flera drifttekniker, leverantörer och anläggningar gör det svårt att spåra vem som gjort vad och ökar risken för obehörig åtkomst.

Fjärrinloggning
Fjärrinloggning utan skydd som VPN eller multifaktorautentisering (MFA) innebär att en angripare kan ta sig in i anläggningen enbart med ett användarnamn och lösenord.

Nätverk
När fastighetsautomation ligger på samma nätverk som kontor, bostäder eller öppna Wi-Fi-nät räcker ett intrång där för att nå styrsystemen.

Intern kommunikation
Kommunikationen mellan automationssystemens komponenter sker ofta i okrypterade och icke-autentiserade protokoll vilket gör det möjligt att avlyssna eller manipulera trafiken.

Övervakning
Bristande loggning och övervakning gör att ett intrång kan förbli oupptäckt under lång tid och i praktiken få ett permanent fotfäste i systemet.

Många system är byggda vid olika tidpunkter och av olika leverantörer. Hur påverkar det säkerheten och vad gör Gate för att upprätthålla en hög nivå av cybersäkerhet?

Om det saknas IT-säkerhet i en befintlig anläggning förklarar vi riskerna för fastighetsägaren och att konsekvenserna kan bli stora om de får ett angrepp. I många fall är det okunskap som gör att de inte har vidtagit några åtgärder.

Vid en modernisering av utrustningen för fastighetsautomation föreslår vi alltid lösningar som höjer säkerheten. I de fall kunden har en egen IT-avdelning tar vi en dialog med dem. I extrema fall finns det kunder som inte tillåter att anläggningen ansluts till Internet vilket påminner oss om hur viktigt det är med IT-säkerhet. Vi får också regelbunden information från våra leverantörer kring hot och uppdateringar av utrustningar. 

MFC (f.d MSB) lyfter vikten av grundläggande IT-säkerhetsutbildning. Hur arbetar Gate med att höja kunskapen hos kunder och medarbetare?

Information
Vi informerar löpande om förbättringar som vi ser behov av och förklarar vad bristerna kan ge för effekt. Konsekvenser kan vara att utomstående tar kontroll över värme, kyla, ventilation, varmvatten, orsakar driftstopp och frysskador samt förhindrar att larm skickas.

Åtgärder
Vi hjälper kunden med att lägga upp en plan för åtgärderna, i många fall även med IT-ansvarig då dessa åtgärder ger förändringar i nätverk och inloggningsfunktioner.

Programuppdateringar och backup
Löpande uppdateringar och säkerhetskopiering av installerad utrustning är en viktig del av säkerhetsarbetet. När tillverkaren släpper nya versioner höjs säkerheten och genom att installera de senaste uppdateringarna får anläggningen ett så gott skydd som möjligt.

Den programmering av funktioner som är unik för fastigheten är också viktig att spara på en backup som förvaras separat, om det sker ett angrepp mot utrustningen eller ett haveri. På så sätt kan vi snabbt återställa programmet och dess funktioner.

Hur viktigt är det att inkludera säkerhetskrav redan vid planering och upphandling av fastighetsautomation och vilken roll spelar regelbundna riskanalyser i projekten?

Det är viktigt att i ett tidigt skede inkludera säkerhetskraven, att lägga till dem i efterhand är svårare och framför allt dyrare. De krav som behöver uppfyllas kan komma både från EU-nivå, nationell lagstiftning och fastighetsägarens egna interna IT-policys. Om projektfasen är lång rekommenderas att riskbedömningen ses över och uppdateras löpande. 

Hur tror du att arbetet med cybersäkerhet inom fastighetsautomation kommer att utvecklas de närmaste åren?

Sedan 2022 och kriget i Ukraina har cybersäkerheten förändrats påtagligt och fastighetsautomation kan indirekt påverkas. Både EU och Sverige har skärpt sina krav på cybersäkerhet, bland annat genom NIS2-direktivet som ställer högre krav på skydd av kritisk infrastruktur, ett område där fastighetsautomationssystem ingår.

Om du skulle ge tre råd till fastighetsägare och förvaltare som vill stärka sin cybersäkerhet, vilka skulle det vara?
1. Inventera anläggningarna för fastighetsautomation gällande cybersäkerhet i fastighetsbeståndet.

2. Ta fram en plan på åtgärder där säkerheten är låg.

3. Följ utvecklingen av cybersäkerheten för att möta nya hot och revidera riskbedömningen årligen för kommande projekt.

Kontakta oss så berättar vi mer om hur vi kan hjälpa dig.