CTS-pirater er klar til at kidnappe bygningsinstallationer

Hackere står på spring til at trænge ind i og overtage avancerede CTS-anlæg, der styrer bygningsinstallationer. Danmark har ifølge eksperter hundredvis af åbne systemer sårbare for et angreb.

I Danmark er der aktuelt hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, vurderer Gorm Mandsberg, adm. direktør i it-sikkerhedsfirmaet Dubex. .

Cyberpirater står klar til at overtage danske CTS-anlæg, der styrer bygningsautomatik. Kompleks software fra underleverandører og open source kombineret med sjusket installation har åbnet en vej ind til ondsindede hackere, der er klar til at afpresse bygningsejere for løsepenge.

Får styr på sikkerheden

Du bør ændre enhedens fabriksindstillede password, der alt for ofte får lov at være 0000 eller 1234 uden at installatøren eller kunden ændrer det. Dernæst hjælper to-faktor-validering til at højne sikkerheden, hvor teknikerne skal indtaste en ekstra kode, der sendes til en sikker mobiltelefon eller aflæses på et fysisk stykke papir.
Et af de bedste råd er at holde anlægget væk fra internettet. Især KNX og BEC-net er udsatte, fordi de kan tilsluttes et IP-netværk. Så snart et CTS-anlæg er tilgængeligt på internettet stiger risikoen for at ubudne gæster vil kigge ind, fjerne informationer eller overtage kontrollen med en enhed.

Kilde: Gorm Mandsberg og Jacob Frederiksen

Gorm Mandsberg, administrerende direktør i it-sikkerhedsfirmaet Dubex, vurderer, at der i Danmark aktuelt er hundredvis af CTS-anlæg til styring af varme, aircondition, låsesystemer og andet, der nemt kan hackes, og at Danmark vil se de første fjendtlige overtagelser af CTS-anlæg næste år eller i 2019.

Hackere kan blandt andet komme ind gennem det såkaldte Mirai-botnet, der er kendt for lynhurtigt at angribe overvågningskameraer.

”De fleste gider ikke høre om sikkerhed, før de får en idé om, hvilken risiko de står overfor. Lige om lidt kommer vi til at se ransomware ramme CTS-anlæg, hvor en ondsindet person slukker kølingen i serverrummet, indtil han får penge får at tænde den. Så har man halvanden time til at agere, inden serverne overopheder og slår fra, siger Gorm Mandsberg og fortsætter:

"I Mirai-botnettet går der typisk under 100 sekunder inden nogen forsøger at logge ind med standardbrugernavn og -password. Især de små kundeinstallationer er udsat, fordi de ikke har det samme sikkerhedsfokus som de store installationer”.

Læs også: Dansk firma sørger for bæredygtigt indeklima på Harvard University

Forskellige opfattelser skyld i sikkerhedsproblemer*
Ingen danske CTS-anlæg er så vidt vides blevet hacket, men i januar kom det frem, at østrigske Seehotel Jaegerwirt var offer for en cyberpirat, der låste hotelgæsterne ude af deres værelser efter at have overtaget låseanlægget.

Og i dagene op til Donald Trumps præsidentindsættelse var to tredjedele af politiets videooptagere i Washington DC låst af ransomware.

Ifølge Gorm Mandsberg opstår sikkerhedsproblemerne ofte på grund af de forskellige opfattelser hos el-installatører og it-folk, der er reelle forhindringer, der skal løses inden en brugbar installation kan fungere.

It-sikkerheden kan nemt fejle allerede i planlægningsfasen, fordi kundernes forståelse for bygningsdrift og it-sikkerhed grundlæggende er splittet mellem en prioritering af maksimal produktion og et mareridtsscenarie, der kun opstår i værst tænkelige tilfælde.

Gorm Mandsberg er administrerende direktør i it-sikkerhedsfirmaet Dubex. Han forventer, at den første fjendtlige overtagelse af et dansk CTS-anlæg vil ske inden for et par år. Pressefoto..

”Det er to virkeligheder, der er svære at få til at tale sammen, fordi de har forskellige agendaer. Produktionsfolk ville aldrig blive færdige med en leverance, hvis de skulle lave review på flere millioner linjer kode, så man er nødt til at tage sikkerhedsproblemerne i opløbet, for et af de store problemer er samarbejdet mellem produktionsafdelingen og it-afdelingen. Produktionsafdelingens holdning er – groft sagt – at ’if it works, don’t fix it’, mens it-afdelingen altid starter med at installere nyeste softwareversion”, siger Gorm Mandsberg.

Læs også: Dansk Byggeri: Varmepumpernes succes kræver stabil støtte

Dårligt uddannet
Cybersikkerhed er lavt prioriteret i el-uddannelserne. Der er ikke meget it-sikkerhed i AMU-kurset udarbejdet af Efteruddannelsesudvalget for Tekniske Installationer og Energi om CTS-programmering.

Problemet er ikke nævnt i den meget lange kursusbeskrivelse, der i stedet fokuserer på programmering og de enkelte komponenter.

Gorm Mandsberg anbefaler, at installatørerne sætter sig på skolebænken fremfor at lære it-teknikerne at gå ud på gulvet og opstille og drive anlæg.

”Jeg tror ikke, at man kan flytte it-folk til at fokusere på drift, så det nemmeste er at give installatørerne sikkerhedskvalifikationer med en overbygning. Hacks er teknisk superspændende, men ekstremt dyre at sikre sig imod på fjerde decimal, hvorimod det er meget vigtigt at sikre sig med de basale sikkerhedsparametre, så man kan hæve sikkerheden fra 85 til 99 procent", siger Gorm Mandsberg og fortsætter:

"Det kan være en dårlig service at tillade kunden eller et servicecenter at logge på hjemmefra, for det giver en kæmpe sårbarhed. Med en times arbejde kommer man langt med at forbedre it-sikkerheden for et CTS-anlæg”.

Læs også: Ventilationsløsning rendte med Elforsk Prisen

Er man ikke selv fuldbefaren i it-sikkerhed, når man monterer eller servicerer et CTS-anlæg, anbefaler Jacob Frederiksen, projektleder for sikring hos Høyrup & Clemmesen, at man ringer til en fagperson, der med et par timers arbejde kan konfigurere netværk med VPN og kryptering.

Jacob Frederiksen er projektleder for sikring hos elinstallationsvirksomheden Høyrup & Clemmensen. Han advarer mod sårbare CTS-anlæg, som er nemme at overtage. Pressefoto..

”Den nuværende generation af montører får svært ved it-sikkerhed, mens den nye generation af lærlinge har nemt ved det”, siger Jacob Frederiksen.

Forsvarets Efterretningstjeneste advarer
Truslen fra cyberterror mod danske myndigheder og private virksomheder er stadig lav ifølge Forsvarets Center for Cybersikkerhed.

Kendte terrorgrupper har på nuværende tidspunkt ikke den fornødne kapacitet til at gennemføre egentlige terrorangreb via internettet med død eller voldsom ødelæggelse til følge. Centeret advarer i stedet om de forventede 26 milliarder enheder, der vil være online i 2020.

”Det er også muligt, at cyberkriminelle i fremtiden vil udnytte den øgede brug af smart-enheder til f.eks. afpresning af brugere, hvis enheder ikke virker som følge af et hack. Eller at hackere kan gå efter større enkeltmål, som f.eks. fremtidige smart-biler, smart-containerskibe eller smart-byer”, fremgår det af Forsvarets trusselsvurdering.

Læs også: Ledere skal indtænke intelligent energistyring

Svært at sælge it-sikkerhed
Det er stadig svært at sælge CTS-sikkerhed på det danske marked, hvor softwaren bliver stadig mere kompleks frit åben for hemmelige digitale bagdøre, elektroniske sladrehanke og tidsindstillede databomber, der ligger i dvale.

Også Jacob Frederiksen mener, at der skal en it-katastrofe til, inden brugerne bliver villige til at tænke og betale for CTS-sikkerhed. Han anbefaler CTS-leverandørerne at opsøge rådgiverne for at sælge it-sikkerhed.

”Vi ser tit installationer med standardpassword, særligt ældre videoinstallationer, og det kommer brugerne også til at opleve på deres CTS-anlæg, indtil de har fået nogle knubs, så de lærer af det. Dem, der arbejder med CTS-anlæg, har svært ved at rumme sikkerhed, så der er ikke nogen, der vil sætte penge i sikkerhed, medmindre det er regnet ind i projektet fra starten af. Du skal ud i rådgivningsfasen for at få indføjet sikkerhed i udbuddet”, siger Jacob Frederiksen.

Solar Danmark

Sponseret

Mød dine kollegaer i branchen til en gratis netværksdag

Installator.dk

Presset branche samler tunge profiler på Varmepumpedagen 2024

Relateret indhold

21.11.2024Installator.dk

Politisk tøven koster virksomheder og Europa dyrt

21.11.2024Installator.dk

Ankenævn slår fast: Det var i strid med konkurrenceloven

20.11.2024Denteks A/S

Sponseret

Vejen til grønnere arbejdstøj

20.11.2024Avidenz A/S

Sponseret

Sikker kørsel i vintervejr

20.11.2024Installator.dk

Arbejdsgivere: Unge iværksættere skal slippe for selskabsskat

20.11.2024Brødrene A & O Johansen A/S

Sponseret

Nordania sætter fokus på AO som hverdagens grønne partner

19.11.2024Installator.dk

Badeværelsestrends: En fusion af individualitet, natur og spa-følelse

19.11.2024Inspectly ApS

Sponseret

Dokumentkaos i byggeriet? Der findes en løsning!

Jobmarked

Se alle

Hold dig opdateret med Installator.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor tekniske installationer - el, VVS- og ventilationsbranchen.

Se flere temaer

Events

Se alle
Avidenz A/S
Kursus
Den lovpligtige arbejdsmiljøuddannelse (Ejby - FYN)

Tag den lovpligtige arbejdsmiljøuddannelse hos Avidenz - autoriseret arbejdsmiljørådgiver.

Dato

12.11.2024

Tid

08:00

Sted

Fjelsted Skov, Store Landevej 92, 5592 Ejby (FYN)

Danvak
Kursus
DS 447:2021 Ventilation i bygninger

Få en gennemgang af DS 447:2021, så du er opdateret på normen for ventilation og ventilationssystemer i alle typer bygninger beregnet til ophold af mennesker.

Dato

21.11.2024

Tid

08:00

Sted

Horisont Hotel & Konference, Agro Food Park 10, 8200 Aarhus N

Avidenz A/S
Kursus
Den lovpligtige arbejdsmiljøuddannelse (Aarhus)

Tag den lovpligtige arbejdsmiljøuddannelse hos Avidenz - autoriseret arbejdsmiljørådgiver.

Dato

26.11.2024

Tid

08:00

Sted

Scandic Aarhus Vest, Rytoften 3, 8210 Aarhus V

ARO ENERGY SOLUTIONS A/S
Seminar
Seminar om afkøling i fjernvarmeinstallationer

ARO ENERGY SOLUTIONS deltager i et vigtigt seminar om afkøling i fjernvarmeinstallationer, der afholdes af Fjernvarme Fyn den 26. november 2024.

Dato

26.11.2024

Tid

14:00

Sted

Fjernvarme Fyn Havnegade 120, 5000 Odense C

Solar Danmark
Messe
Blue Install Network for elinstallatører - Aarhus

Kom til et spændende netværksmøde med fire aktuelle temaer, besøg minimessen og slut dagen af med lidt god mad.

Dato

26.11.2024

Tid

14:00

Sted

Aarhus

Scankab Cables A/S
Messe
Ajour i Odense

Vi er stolte over igen i år at være en del af Ajour - Maskinmesterforeningens erhvervskonference, hvor maskinmestre og eksperter fra forskellige industrier samles for at dele viden, erfaringer og fremtidens løsninger. Scankab Cables er klar til at byde dig velkommen på stand 4101.

Dato

28.11.2024

Tid

08:30

Sted

Odense Congress Center, Ørbækvej 350, 5220 Odense