Kritisk infrastruktur helt utan skydd

2017-11-27   48 visningar

Bland annat brandskydd, vattenförsörjning och fjärrvärme ingår bland 7000 anläggningar över hela Sverige har allvarliga säkerhetsbrister. Det rör sig bland annat om sammhällskritisk infrastruktur som kopplats upp med tjänsten Mobiflex från AddSecure, enligt en granskning gjort av Sveriges Radio.
 


Kommuner, myndigheter och företag köpte vad man trodde var säkra IT-lösningar för att styra och övervaka sådant som fjärrvärme, brandskydd, vattenförsörjning, avloppssystem och annan infrastruktur. I många fall krävs inte ens lösenord för att kontrollera systemen.

Svergies Radio har identifierat över 7000 system med säkerhetsbrister. De 1000 värst drabbade kräver inte ens lösenord för att kontrollera systemen.

– Det värsta med det här är att systemen ligger där helt oskyddade och bara väntar på att någonting ska hända, säger IT-säkerhetsexperten Robert Malmgren.

Ekot har hittat allvarliga säkerhetsbrister som går att utnyttja för att exempelvis ta över och påverka systemen. Till exempel Vimmerby kommuns fjärrvärmepannor, en av Agas tankstationer för fordonsgas, vattenpumpar i avloppssystemet i Älvdalen, på Öckerö och i Falkenberg, ett brandlarmssystem i Sollentuna, kommunikationstjänster på Göteborg-Landvetter och Malmö airport flygplats samt ett vattenreningsverk i Eksjö.

IT-säkerhetsexperten Robert Malmgren säger att konsekvenserna kan bli allvarliga.

– Man kan förstöra systemet eller det som styrs av systemet. I många av de här fallen är det styrsystem som är kopplade till en fysisk sak. Beroende på vad den kör kan du förstöra de sakerna. Du kan förstöra motorn genom att övervarva den, du kan stänga av smörjningen till pumpen och då kan den kärva eller gå sönder.

I ett reklamblad från företaget Add secure säljs lösningen Mobiflex. Det står att den bland annat lämpar sig för att styra system på distans och att lösningen ”säkerställer att styrningen sker på ett säkert sätt.”

– Det är någon slags ironi i det. Att de säger att de levererar säker infrastrukturkommunikation, men att vi kan komma åt utrustning på det sättet. De har uppenbarligen ett stort glapp mellan sin marknadsföring och sin verklighet, säger IT-säkerhetsexperten Robert Malmgren.

Ib Andersen, utvecklingsansvarig på Add secure, försvarar sitt företags lösning. Han säger att de säljer en specialutformad internetuppkoppling och att just den är säker. Om den sedan används eller installeras osäkert är de, enligt honom, någon annans ansvar.

– I ett ekosystem där många aktörer tillsammans levererar en tjänst har man sina villkor i sina avtal. Och i de villkoren, så finns vårt ansvar inte i ett juridiskt perspektiv, skulle jag säga, säger Ib Andersen.

I slutänden ligger ansvaret på den som äger systemet, enligt Myndigheten för samhällsskydd och beredskap. Verksamhetschefen för MSB:s cybersäkerhet och skydd av samhällsviktig verksamhet, Richard Oehme är frustrerad över hur det ser ut. Han efterlyser ett tydligare mandat från regeringen.

– Vi har tappat säkerheten. Och vi har en stor säkerhetsskuld att betala. Den måste vi börja betala här och nu, säger Richard Oehme, verksamhetschef för cybersäkerhet och skydd av samhällsviktig verksamhet.

Krisinformation.se drivs av Myndigheten för samhällsskydd och beredskap (MSB) skriver att kommunerna driver många verksamheter som måste fungera även under kriser: äldreomsorg, vattenförsörjning, fjärrvärme, räddningstjänst och skola till exempel. Kommunerna är skyldiga att ha en plan för hur de ska hantera extraordinära händelser. Planen ska grunda sig på risk- och sårbarhetsanalyser av all verksamhet som måste fungera även vid en kris. Det innebär att alla kommuner ska planera och öva för hur de ska hantera till exempel större elavbrott, IT-haverier och översvämningar. Dessutom ska förtroendevalda och anställda utbildas och övas.

Läs mer hos Krisinformation.se:
https://www.krisinformation.se/detta-gor-samhallet/samhallets-ansvar/kommuner

Källor:
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6825512
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6825621
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6826493

Dela artikeln:

Senaste artiklarna