Sverige

IT-expert: Bristerna ett hot mot rikets säkerhet

01:48. DN:s reporter Kristoffer Örstadius hackar sig, på laglig väg, in i kyrkans datorsystem. Se vad han lyckas göra med ett enkelt knapptryck.

Åtskilliga samhällsviktiga fastigheters styrsystem i Sverige ligger helt öppna mot internet, bland dem polishus, tågstationer, datorhallar och rymdstationen i Kiruna.

Med bara några musklick skulle DN kunna manipulera värme, belysning, ventilation, larm och andra känsliga system i hundratals fastigheter. I vissa fall går det till och med att öppna dörrar.

De allvarliga säkerhetsbristerna är ett hot mot rikets ­säkerhet, enligt experter.

DN har granskat IT-företaget Kabona som säljer fastighetssystem till en rad svenska myndigheter och bolag. Med deras storsäljare – Webbdatorcentral – kan fastig­hetsägare på distans ta kontroll över olika styrsystem i en byggnad, till exempel värme och ventilation.

Inloggningen är lösenordsskyddad, men DN kan i dag avslöja att säkerheten i systemen är mycket svag. Bristerna är så allvarliga att det går att hacka sig in på mindre än tio sekunder.

Med bara några klick skulle det gå att manipulera bland annat värme, ventilation, brandlarm, belysning och öppna dörrar på många känsliga byggnader i Sverige. Vi har hittat minst 733 fastighetssystem som är uppkopplade mot Kabonas Webbdatorcentral – och som ligger helt öppna mot internet.

Bland dem finns polishus, tågstationer, vårdcentraler och stora kontorsbyggnader.

I ett fastighetssystem kan det ingå flera byggnader och i vissa fall till och med flera kvarter.

Vi har inte tittat på exakt vilka inställningar som går att ändra på i respektive byggnad. Det kan vara så att vissa fastigheter exempelvis endast har sitt värmesystem reglerat i systemet.

– Att man kan få kontroll över hundratals fastigheters styrsystem är riktigt otäckt. Det kan potentiellt få mycket allvarliga konsekvenser, säger Leif Nixon, säkerhetskoordinator på Nationellt superdatorcentrum vid Linköpings universitet som har hjälpt till med granskningen.

Läs också: Vanliga modem lätta att kapa

DN har av juridiska skäl inte gjort intrång i fastighetssystemen. Vi har bekräftat den allvarliga sårbarheten på lagligt sätt genom olika datakörningar. DN har dessutom fått tillstånd att testa att hacka oss in i systemen i tre fastigheter.

– Säkerheten är väldigt dålig. ­Koden håller låg säkerhetsmässig kvalitet, säger Leif Nixon.

Han anser att detta, i kombination med att det är så många fastigheter som berörs, gör att de sårbara systemen är ett hot mot rikets säkerhet. Även Anne-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur, anser att det är ett allvarligt hot.

– Det beror lite på vad man kan åstadkomma i de olika anläggningarna. Men om det är så pass viktiga funktioner som det verkar vara – spridda över hela landet – så bedömer jag det ändå som att det kan vara ett allvarligt hot mot samhället. Om en angripare skulle genomföra en systematisk attack mot ett stort antal mål samtidigt skulle det kunna skapa stora problem. Jag tror inte det finns tillräckliga resurser i Sverige att hantera en sådan samlad attack, säger hon.

Minst fyra polishus är anslutna till systemet – i Kalmar, Västervik, Eksjö och Ulricehamn.

Av säkerhetsskäl kan DN inte gå in på de tekniska detaljerna i bristerna, men systemet strider på punkt efter punkt mot grund­läggande säkerhetspraxis när man programmerar.

– Det är allvarligt när system ­exponeras på internet. Jag kan inte uttala mig om det här specifika fallet, men kan man påverka och på ett enkelt sätt styra till exempel ventilation i byggnader är det klart allvarligt, säger Lars-Göran ­Emanuelson, enhetschef på Myndigheten för samhällsskydd och beredskap.

En attack mot fastighetssystemen skulle sannolikt vara ett intressant mål för terrorister eller i cyberkrigföring. DN:s bedömning är att det på bara några minuter skulle gå att orsaka stor oreda och eventuellt även materiella skador – samtidigt i hundratals fastigheter. Det går till exempel att ändra på tryck i värme­system, men förmodligen finns det något mekaniskt skydd som slår till om trycket blir för högt. Det skulle även gå att nollställa servrarna som styr fastighetssystemen.

– Det finns ett helt spektrum av tänkbara aktörer som skulle kunna göra sådana här attacker – alltifrån uttråkade 16-åringar till andra nationer som skulle ha ett intresse av att ställa till kaos i Sverige, säger Leif Nixon.

Bland de styrsystem som ligger på internet finns även Kiruna ESA Satellitstation, Landvetter flygplats driftbyggnad och Chalmers tekniska högskola.

I listan över berörda fastigheter finns även minst 18 datorhallar, bland annat anläggningar som används av Göteborgs universitet och Trafikverket. Sannolikt hanteras fläktar och annan kylanordning genom fastighetssystemet. DN kan inte se vad som finns på servrarna i datorhallarna, men om en sådan anläggning blir för varm kan det leda till allvarliga driftstopp.

I listan finns även flera stora bostadshus, kommunkontor, äldre­boenden och skolor. DN fick tillstånd att hacka fastighetssystemet till en skola i Linköping. På några sekunder kunde vi öppna skolans entré som var låst med portkod.

I Hedemora kyrka ingår – förutom värme och ventilation – även kyrkklockorna i styrsystemet. DN testade tillsammans med kyrkoherden Pontus Gunnarsson – och kunde utan problem hacka oss in och sätta i gång klockorna.

– Det där borde inte du ha kunnat göra, säger han.

Kjell Carlberg, vd på Kabona, säger till DN att företaget nu ska undersöka säkerheten i sina system. Han pekar på att det finns betydligt fler anordningar som har produkten Webbdatorcentral än de som DN har hittat – och att dessa inte är ­exponerade mot internet.

– Vi kommer informera våra kunder om detta och föreslå dem – om de vill – att fixa så att det inte går att göra detta som ni har gjort. Det är inget problem att lägga detta bakom brandväggar, säger Kjell Carlberg.

Hans bedömning är dock att det inte går att orsaka vare sig kaos ­eller materiella skador eftersom det finns andra skyddsmekanismer som säger ifrån om värdena ändras för mycket.

– Det låter som att ni kan spränga ett polishus i luften, men det enda man kan göra där är att ställa om en temperatur. Om man ställer den på noll så kommer ett annat system ta över. Vårt undersystem tar hand om styrningen om vår webbserver inte fungerar, säger Kjell Carlberg.

Leif Nixon som har granskat systemen tillsammans med DN är dock av en annan uppfattning. Han tror att det, trots skyddsmekanismerna, skulle gå att orsaka oreda.

– Jag är övertygad om att jag kan ställa till kaos även om det finns skydd mot de mest extrema felvärdena. De spärrar som finns är till för att skydda mot felfunktioner, inte att skydda mot en intelligent angripare. Sårbarheterna i Webbdatorcentral är så allvarliga att jag helt kan ta över fastighetens interna nätverk, och det ger en mycket stor frihet att ställa till ofog.

Detta har hänt.

29 oktober: DN avslöjar att Bredbandsbolaget har allvarliga säkerhetsbrister i sina modem. Minst 100 000 svenskars internetuppkopplingar är vidöppna för utomstående.

30 oktober: Många skrivare, webbkameror och andra elektronikprylar i våra hem är åtkomliga för vem som helst.

31 oktober: I 14 månader har Comhem känt till att företaget har allvarliga säkerhetsbrister i sina kunders modem.

1 november: DN avslöjar att tusentals hemsidor i Sverige, bloggar, e-handelssajter och företagshemsidor är så sårbara att utomstående kan redigera innehållet.

Några av byggnaderna som är lätta att ta över utifrån
Västerviks polishus

1. Västerviks polishus

2. Göteborgs stadsbibliotek

3. ESA satellitstation, Kiruna

4. Hedemora kyrka

5. Ambulanscentralen Borås

6. Malmö centralstation

7. Kalmar polishus

8. Höglandets polishus, Eksjö

9. Ryggkirurgiska kliniken/Löts sjukhus, Strängnäs

10. Chalmers tekniska högskola

11. Tändstickspalatset, Stockholm

12. Kristianstad central

13. Landvetter flygplats driftbyggnad

14. Vasaparken datahall

15. Bollebygdgårdens äldreboende

16. Malmö krematorium

17. Jönköping krematoriet

18. Vänersborgs arena

19. Astrid Lindgrens värld, Vimmerby

20. Elgiganten, Norrköping

21. Ikea Helsingborg

22. Myresjöhus arena, Växjö

Om artikelserien
Granskningen

I serien ”Det sårbara digitala samhället” granskar DN bristande IT-säkerhet hos företag och myndigheter.

Internet får allt större be­tydelse i samhället och i hemmet. Samtidigt flyttar brottsligheten ut på internet – och cyberkrigföring från andra stater blir allt vanligare.

Reportern

Kristoffer Örstadius är reporter på DN och programmerare. Han fick i våras journalistpriset Guldspaden för sin granskning av krisen i den svenska skolan.