CTS-pirater er klar til at kidnappe bygningsinstallationer

Hackere står på spring til at trænge ind i og overtage avancerede CTS-anlæg, der styrer bygningsinstallationer. Danmark har ifølge eksperter hundredvis af åbne systemer sårbare for et angreb.

I Danmark er der aktuelt hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, vurderer Gorm Mandsberg, adm. direktør i it-sikkerhedsfirmaet Dubex. .

Cyberpirater står klar til at overtage danske CTS-anlæg, der styrer bygningsautomatik. Kompleks software fra underleverandører og open source kombineret med sjusket installation har åbnet en vej ind til ondsindede hackere, der er klar til at afpresse bygningsejere for løsepenge.

Får styr på sikkerheden

Du bør ændre enhedens fabriksindstillede password, der alt for ofte får lov at være 0000 eller 1234 uden at installatøren eller kunden ændrer det. Dernæst hjælper to-faktor-validering til at højne sikkerheden, hvor teknikerne skal indtaste en ekstra kode, der sendes til en sikker mobiltelefon eller aflæses på et fysisk stykke papir.
Et af de bedste råd er at holde anlægget væk fra internettet. Især KNX og BEC-net er udsatte, fordi de kan tilsluttes et IP-netværk. Så snart et CTS-anlæg er tilgængeligt på internettet stiger risikoen for at ubudne gæster vil kigge ind, fjerne informationer eller overtage kontrollen med en enhed.

Kilde: Gorm Mandsberg og Jacob Frederiksen

Gorm Mandsberg, administrerende direktør i it-sikkerhedsfirmaet Dubex, vurderer, at der i Danmark aktuelt er hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, og at Danmark vil se de første fjendtlige overtagelser af CTS-anlæg næste år eller i 2019.

Hackere kan blandt andet komme ind gennem det såkaldte Mirai-botnet, der er kendt for lynhurtigt at angribe overvågningskameraer.

”De fleste gider ikke høre om sikkerhed, før de får en idé om, hvilken risiko de står overfor. Lige om lidt kommer vi til at se ransomware ramme CTS-anlæg, hvor en ondsindet person slukker kølingen i serverrummet, indtil han får penge får at tænde den. Så har man halvanden time til at agere, inden serverne overopheder og slår fra, siger Gorm Mandsberg og fortsætter:

"I Mirai-botnettet går der typisk under 100 sekunder inden nogen forsøger at logge ind med standardbrugernavn og -password. Især de små kundeinstallationer er udsat, fordi de ikke har det samme sikkerhedsfokus som de store installationer”.

Læs også: Dansk firma sørger for bæredygtigt indeklima på Harvard University

Forskellige opfattelser skyld i sikkerhedsproblemer*
Ingen danske CTS-anlæg er så vidt vides blevet hacket, men i januar kom det frem, at østrigske Seehotel Jaegerwirt var offer for en cyberpirat, der låste hotelgæsterne ude af deres værelser efter at have overtaget låseanlægget.

Og i dagene op til Donald Trumps præsidentindsættelse var to tredjedele af politiets videooptagere i Washington DC låst af ransomware.

Ifølge Gorm Mandsberg opstår sikkerhedsproblemerne ofte på grund af de forskellige opfattelser hos el-installatører og it-folk, der er reelle forhindringer, der skal løses inden en brugbar installation kan fungere.

It-sikkerheden kan nemt fejle allerede i planlægningsfasen, fordi kundernes forståelse for bygningsdrift og it-sikkerhed grundlæggende er splittet mellem en prioritering af maksimal produktion og et mareridtsscenarie, der kun opstår i værst tænkelige tilfælde.

Gorm Mandsberg er administrerende direktør i it-sikkerhedsfirmaet Dubex. Han forventer, at den første fjendtlige overtagelse af et dansk CTS-anlæg vil ske inden for et par år. Pressefoto..

”Det er to virkeligheder, der er svære at få til at tale sammen, fordi de har forskellige agendaer. Produktionsfolk ville aldrig blive færdige med en leverance, hvis de skulle lave review på flere millioner linjer kode, så man er nødt til at tage sikkerhedsproblemerne i opløbet, for et af de store problemer er samarbejdet mellem produktionsafdelingen og it-afdelingen. Produktionsafdelingens holdning er – groft sagt – at ’if it works, don’t fix it’, mens it-afdelingen altid starter med at installere nyeste softwareversion”, siger Gorm Mandsberg.

Læs også: Dansk Byggeri: Varmepumpernes succes kræver stabil støtte

Dårligt uddannet
Cybersikkerhed er lavt prioriteret i el-uddannelserne. Der er ikke meget it-sikkerhed i AMU-kurset udarbejdet af Efteruddannelsesudvalget for Tekniske Installationer og Energi om CTS-programmering.

Problemet er ikke nævnt i den meget lange kursusbeskrivelse, der i stedet fokuserer på programmering og de enkelte komponenter.

Gorm Mandsberg anbefaler, at installatørerne sætter sig på skolebænken fremfor at lære it-teknikerne at gå ud på gulvet og opstille og drive anlæg.

”Jeg tror ikke, at man kan flytte it-folk til at fokusere på drift, så det nemmeste er at give installatørerne sikkerhedskvalifikationer med en overbygning. Hacks er teknisk superspændende, men ekstremt dyre at sikre sig imod på fjerde decimal, hvorimod det er meget vigtigt at sikre sig med de basale sikkerhedsparametre, så man kan hæve sikkerheden fra 85 til 99 procent", siger Gorm Mandsberg og fortsætter:

"Det kan være en dårlig service at tillade kunden eller et servicecenter at logge på hjemmefra, for det giver en kæmpe sårbarhed. Med en times arbejde kommer man langt med at forbedre it-sikkerheden for et CTS-anlæg”.

Læs også: Ventilationsløsning rendte med Elforsk Prisen

Er man ikke selv fuldbefaren i it-sikkerhed, når man monterer eller servicerer et CTS-anlæg, anbefaler Jacob Frederiksen, projektleder for sikring hos Høyrup & Clemmesen, at man ringer til en fagperson, der med et par timers arbejde kan konfigurere netværk med VPN og kryptering.

Jacob Frederiksen er projektleder for sikring hos elinstallationsvirksomheden Høyrup & Clemmensen. Han advarer mod sårbare CTS-anlæg, som er nemme at overtage. Pressefoto..

”Den nuværende generation af montører får svært ved it-sikkerhed, mens den nye generation af lærlinge har nemt ved det”, siger Jacob Frederiksen.

Forsvarets Efterretningstjeneste advarer
Truslen fra cyberterror mod danske myndigheder og private virksomheder er stadig lav ifølge Forsvarets Center for Cybersikkerhed.

Kendte terrorgrupper har på nuværende tidspunkt ikke den fornødne kapacitet til at gennemføre egentlige terrorangreb via internettet med død eller voldsom ødelæggelse til følge. Centeret advarer i stedet om de forventede 26 milliarder enheder, der vil være online i 2020.

”Det er også muligt, at cyberkriminelle i fremtiden vil udnytte den øgede brug af smart-enheder til f.eks. afpresning af brugere, hvis enheder ikke virker som følge af et hack. Eller at hackere kan gå efter større enkeltmål, som f.eks. fremtidige smart-biler, smart-containerskibe eller smart-byer”, fremgår det af Forsvarets trusselsvurdering.

Læs også: Ledere skal indtænke intelligent energistyring

Svært at sælge it-sikkerhed
Det er stadig svært at sælge CTS-sikkerhed på det danske marked, hvor softwaren bliver stadig mere kompleks frit åben for hemmelige digitale bagdøre, elektroniske sladrehanke og tidsindstillede databomber, der ligger i dvale.

Også Jacob Frederiksen mener, at der skal en it-katastrofe til, inden brugerne bliver villige til at tænke og betale for CTS-sikkerhed. Han anbefaler CTS-leverandørerne at opsøge rådgiverne for at sælge it-sikkerhed.

”Vi ser tit installationer med standardpassword, særligt ældre videoinstallationer, og det kommer brugerne også til at opleve på deres CTS-anlæg, indtil de har fået nogle knubs, så de lærer af det. Dem, der arbejder med CTS-anlæg, har svært ved at rumme sikkerhed, så der er ikke nogen, der vil sætte penge i sikkerhed, medmindre det er regnet ind i projektet fra starten af. Du skal ud i rådgivningsfasen for at få indføjet sikkerhed i udbuddet”, siger Jacob Frederiksen.

Niko-Servodan A/S

Sponseret

Har du en forældet smart home installation? Konverter nemt til Niko Home Control

Guldager A/S

Sponseret

Guldager overtager Servicebilen ApS / Vision Watercare

Relateret indhold

27.03.2024Installator.dk

Ahlsell vil være størst - tester døgnåbne butikker

27.03.2024Installator.dk

Kemp & Lauritzen glæder sig i nye farver

27.03.2024Installator.dk

Ahlsell vil være størst - tester døgnåbne butikker

27.03.2024Installator.dk

Kemp & Lauritzen glæder sig i nye farver

26.03.2024Installator.dk

Niras leverer rekordindtjening i solidt 2023-regnskab

26.03.2024Installator.dk

Erhvervsorganisation: Danmark er langt fra mål om grøn energi på land

25.03.2024RIB Software

Sponseret

Whitepaper: De 10 mest almindelige udfordringer inden for kvalitetssikring og Field Management

25.03.2024Installator.dk

Nye ladeoperatører er fundet til ladeparker ved Lillebælt

Jobmarked

Se alle

METRO THERM A/S

Vi søger en teknisk salgssupporter

Har du VVS-baggrund og erfaring med varmeanlæg? Så er det måske dig, vi søger til stillingen som teknisk salgssupporter hos METRO THERM.

Område

Hovedstaden

Ansøgningsfrist

Snarest muligt

Mercantec

Undervisere søges til ventilation og damp

Leder du efter nye udfordringer og fantastiske kolleger – og har du lyst til at blive en del af Mercantecs nye, samlede VVS-, klima- og damp-team?

Område

Midtjylland

Ansøgningsfrist

16.04.2024

ELTRONIC A/S

Project Delivery Manager til montage og idriftsættelse af Automationsprojekter

I Eltronic A/S er vi i front inden for udviklingsprojekter med komplekse automationsløsninger til vores kunder inden for fødevare-, life science og fremstillingsindustrien. Til vores team, søger vi nu en erfaren Project Delivery Manager, som vil stå i spidsen for effektivt at bringe vores automationsprojekter i mål.

Område

Midtjylland

Ansøgningsfrist

18.04.2024

METRO THERM A/S

Vi søger en tekniker med interesse for automation

Er du teknisk dygtig og motiveres af en alsidig hverdag? Har du erfaring med PLC, robotteknologi eller interesse for automation? Og vil du være med til at sikre den daglige drift og optimere vores automatiske produktionslinjer. Så søger vi lige nu en engageret tekniker til METRO THERM.

Område

Hovedstaden

Ansøgningsfrist

Snarest muligt

GEMINA TERMIX A/S

Intern salgstekniker

Vil du være del af den grønne omstilling og arbejde i en branche i vækst? Vi søger en ny kollega til vores velfungerende salgsteam på 16 personer.

Område

Midtjylland

Ansøgningsfrist

Snarest muligt

METRO THERM A/S

Vi søger en teknisk fjernvarmesælger

Brænder du for relationssalg? Har du evnerne til at udbygge et stærkt samarbejde med dine kunder? Og har du styr på fjernvarme? Så er det måske dig, vi søger som vores nye tekniske fjernvarmesælger til METRO THERMs fjernvarmeteam.

Område

Syddanmark

Ansøgningsfrist

Snarest muligt

GEMINA TERMIX A/S

QHS-koordinator søges

Kunne du tænke dig at udfolde dig fagligt inden for kvalitet og arbejdsmiljø på et konkurrencedygtigt fjernvarmemarked som vores QHS-koordinator?

Område

Midtjylland

Ansøgningsfrist

Snarest muligt

ELTRONIC A/S

Automation Engineer til spændende udviklingsprojekter inden for Life Science og F&B

Eltronic A/S fortsætter den spændende udviklingsrejser og søger flere nye kolleger til vores automationsteam, der brænder for at arbejde med programmering og udvikling af unikke automationsløsninger til vores kunder.

Område

Sjælland

Ansøgningsfrist

31.03.2024

DFDS

Skibselektriker

Ohøj! Vil du være en vigtig del af den kritiske infrastruktur, der ad vandvejen betjener kunder og samfund i og uden for Europa? Er du på udkig efter et udfordrende job til søs, hvor du vil spille en vigtig rolle på et højt specialiseret team? Så søg jobbet som Skibselektriker.

Område

Hovedstaden

Ansøgningsfrist

30.03.2024

Fagerhult AS

Belysningsrådgiver - Vest

Vi søger dig som har lyst til at sælge de bedste belysningsløsninger

Område

Midtjylland

Ansøgningsfrist

Snarest muligt

Hold dig opdateret med Installator.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor tekniske installationer - el, VVS- og ventilationsbranchen.

Se flere temaer

Events

Se alle
KEA - KØBENHAVNS ERHVERVSAKADEMI
Kursus
Materialeforståelse og komponenter til mindre byggerier

Få kompetencerne til at håndtere det korrekte valg af materialer ifm. forskellige typer af konstruktioner.

Dato

08.02.2024

Sted

Hellerup

Danvak
Kursus
Ventilation fra A til Z

Vi tilbringer størstedelen af vores tid indendørs, og derved indånder vi primært luft, der har været i bygningen i længere tid, eller luft der har været forbi et ventilationsanlæg. Det kan have sundhedsmæssige konsekvenser, hvis denne luft ikke er tilpas ren, derfor har alle bygninger brug for et velfungerende og energieffektivt ventilationssystem.

Dato

27.02.2024

Tid

08:00

Sted

Trinity Hotel & Konference Center, Gl. Færgevej 30, 7000 Fredericia

Danvak
Kursus
Ventilation fra A til Z

Vi tilbringer størstedelen af vores tid indendørs, og derved indånder vi primært luft, der har været i bygningen i længere tid, eller luft der har været forbi et ventilationsanlæg. Det kan have sundhedsmæssige konsekvenser, hvis denne luft ikke er tilpas ren, derfor har alle bygninger brug for et velfungerende og energieffektivt ventilationssystem.

Dato

27.02.2024

Tid

08:00

Sted

Trinity Hotel & Konference Center, Gl. Færgevej 30, 7000 Fredericia

Danvak
Kursus
Varmeanlæg fra A til Z

9 ud af 10 varmeanlæg i Danmark fungerer ikke, som de er tiltænkt. Det er bare sjældent, der er nogen, der opdager det!

Dato

13.03.2024

Tid

08:30

Sted

Glostrup Park Hotel, Hovedvejen 41, 2600 Glostrup

Vølund Varmeteknik A/S
Kursus
KOMPETENCEGIVENDE - Servicekursus

Kurset giver dig et dybere kendskab til udførsel af et serviceeftersyn og gør dig i stand til at foretage et lovpligtigt serviceeftersyn samt indregulering af Vølunds varmepumper.

Dato

04.04.2024

Tid

08:00

Sted

Vølund Varmeteknik Industrivej Nord 7B 7400 Herning

Danvak
Kursus
Lydforhold og støj fra VVS-anlæg – krav i BR18, DGNB og SBi-anvisninger

Akustik-grundkursus, kravene og beregningsmetoder – hvad skal man være opmærksom på som projekterende, udførende eller som leverandør

Dato

09.04.2024

Tid

08:00

Sted

Symbion, Fruebjergvej 3, 2100 København Ø