Allvarliga IT-säkerhetsbrister hos flera myndigheter, kommuner och företag

Tusentals system som bland annat används till att styra avloppssystem, fjärrvärme och brandlarm innehåller sårbarheter som går att utnyttja. Det avslöjar Ekot som gjort en kartläggning över oskyddade IT-system bland svenska organisationer.

Ekot har lyckats identifiera säkerhetsbrister i över 7000 svenska IT-system, däribland samhällskritisk infrastruktur. Av dessa 7000 system saknar 1000 krav på lösenord för att kontrollera eller påverka bland annat avlopp, fastigheter och infrastruktur som används av både kommuner, myndigheter och stora företag.

Bland de sårbara systemen återfinns bland annat ett bevakningssystem på Tullverket, Agas tankstationer för fordonsgas, vattenpumpar i avloppssystemet i Älvdalen, på Öckerö och i Falkenberg, ett brandlarmsystem i Sollentuna, kommunikationstjänster på Landvetter och Malmö Airport samt ett vattenreningsverk i Eksjö, anger Ekot.

Sårbarheter öppnar dörren för angripare

Dessa sårbarheter kan innebära en direkt ingång för den som vill ta över eller manipulera systemen, som ofta är kopplade till maskiner och fysiska anläggningar. Till exempel innehåller Vimmerby kommuns fjärrvärmepannor sårbarheter som gör det möjligt att utnyttja systemet för att bland annat reglera fjärrvärmen hos 450 kunder.

Mats-Lennart Karlsson, Vimmerby kommuns värmechef, kände sedan tidigare inte till sårbarheterna och är förvånad över upptäckten:

– Jag blev förvånad för det är ingenting man tänkt så mycket på, det har man ju inte, säger han till Ekot.

NIS-direktivet ställer ökade krav på IT-säkerhet

När NIS-direktivet träder i kraft i maj nästa år kan sårbarheter likt dessa leda till ökade konsekvenser för organisationer som bedöms vara en del av vår kritiska infrastruktur. Direktivet syftar till att öka säkerhetsnivån i samhällskritiska nätverk och informationssystem och kommer gälla i hela EU.

Krister Hedfors, affärsområdesansvarig för teknisk säkerhet på Sentor, menar att fler organisationer måste börja ta ansvar för sin IT-säkerhet för att kunna efterleva direktivet:

– Berörda organisationer behöver ge IT-säkerhet en prioriterad plats i sitt arbete. Mitt tips är att inleda med en översiktlig analys för att få en lägesbild av vad som behöver åtgärdas för att efterleva direktivet. Därefter kan adekvata säkerhetsåtgärder vidtas för att etablera och upprätthålla den säkerhetsstandard direktivet kräver.