Du följer nu ämnet: STOCKHOLMS STAD (sparas i Mitt DN)
Sverige

Statliga fastigheter låg vidöppna för hackare

Länsresidenset i Umeå, en av fastigheterna som legat öppen för hackare.
Länsresidenset i Umeå, en av fastigheterna som legat öppen för hackare. Other: Dag Lindgren

I nästan två år har myndigheterna känt till att flera svenska fastigheters styrsystem legat vidöppna på internet.

En säkerhetsexpert slog larm om bristerna och påminde flera gånger. Ändå åtgärdades aldrig problemen. Flera statliga residens hör till de fastigheter vars styrsystem enkelt skulle kunna ha hackats.

I mars 2016 upptäckte it-säkerhetsexperten Martin Jartelius att flera svenska fastigheters styrsystem låg vidöppna på internet. Han hade skannat efter uppkopplade enheter i Europa och reagerade på att de aktuella systemen hade allvarliga sårbarheter.

Han slog larm till Myndigheten för samhällsskydd och beredskaps (MSB) särskilda it-säkerhetsenhet, Cert-se. Den har ett nationellt uppdrag att stödja samhället i arbetet med att hantera och förebygga it-incidenter.

Martin Jartelius beskrev hur bristen såg ut och bifogade en länk till en särskild sökmotor som listade sårbara system. I listan framgick att flera av enheterna tillhörde statliga fastigheter.

Han påminde MSB om bristerna vid två tillfällen. I dag – nästan två år senare – finns sårbarheten och systemen kvar i Sverige.

– Det finns självklart en grad av frustation i detta. Sårbarheten är allvarlig och skulle även kunna utgöra en väg in på det interna nätverket, säger Martin Jartelius, som är it-säkerhetsexpert på Outpost24.

Åtminstone sju fastigheter som ägs av Statens fastighetsverk hör till de som varit sårbara, bland annat landshövdingeresidensen i Malmö, Kristianstad, Växjö och Umeå.

Att stora fastigheter använder någon form av styrsystem är ganska vanligt, men säkerhetsrekommendationen är att dessa inte ska vara nåbara på det öppna internet. Styrsystemen brukar användas för att manövrera värme, ventilation, brandlarm, belysning eller öppna dörrar på distans. Exakt vad de aktuella styrsystemen på de statliga fastigheterna använder är oklart.

Under flera år har de gått att nå via en vanlig webbläsare. De skyddas förvisso av lösenord, men tillverkaren har medvetet lagt in en bakdörr – ett särskilt lösenord som fungerar på samtliga enheter. ”TODO: remove backdoor”, står det i källkoden som är öppen för utomstående. Det finns även ytterligare sårbarheter, men DN har valt att inte publicera dessa av säkerhetsskäl.

Statens fastighetsverk, SFV, fick reda på sårbarheterna först på torsdagen när DN kontaktade myndighetens it-chef, Pier Lundmark.

– Mig veterligen har ingen på SFV tidigare nåtts av den här informationen. Om så skett hade vi omedelbart agerat, säger han.

Systemen plockades ned från internet bara några timmar efter DN:s telefonsamtal. Pier Lundmark säger att de ser allvarligt på situationen.

– Det finns en risk att obehöriga kan ha påverkat dessa styrsystem vilket är olyckligt. Systemen är dock isolerade och ger inte möjlighet för en eventuell angripare att ta sig vidare in i SFV:s nät för att komma åt annan information, säger han.

– Vi kommer att stänga ner dessa enheter för att säkra upp att dessa inte exponeras oskyddat för obehöriga, säger han vidare.

Enheterna är löjeväckande sårbara.

Peter Jonegård, biträdande enhetschef vid MSB, säger att det är bekymmersamt att systemen har varit exponerade på internet under så lång tid. Han säger att MSB nöjde sig med att den aktuella leverantören sade sig ha informerat sina kunder att genomföra säkerhets­höjande åtgärder.

– Det är möjligt att vi lovade göra mer än vi faktiskt gjorde i det här fallet, men givet den mängd som kommer in till oss kan vi inte följa upp att lämnade åtgärdsförslag genomförs. Det skulle vara alldeles för tidskrävande och är utanför vårt uppdrag. Det vi gör är att stödja andra med den it-säkerhet de har ansvar och det gör vi dagligen, varje vecka, säger Peter Jonegård.

It-säkerhetsexperten Leif Nixon, med ett förflutet som säkerhets­koordinater vid Nationellt superdatorcentrum vid Linköpings universitet, tycker att det är allvarligt att it-hot av detta slag inte tas på större allvar.

– Jag förväntar mig mer av Cert-se på MSB. Jag är besviken på dem. Det är just sådan informationsspridning som jag tycker att de ska göra. Sedan tycker jag att det är dåligt av Statens fastighetsverk också. De verkar ha många enheter som är direkt kopplade till nätet och det måste de ha varit medvetna om. Enheterna är löjeväckande sårbara, säger Leif Nixon.

Fakta.MSB och it-säkerhet

Cert-se arbetar nationellt med att stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Verksamheten bedrivs vid Myndigheten för samhällsskydd och beredskap (MSB).

Enheten ansvarar bland annat för att agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.