Tre av fyra av de VA-organisationer som Sveriges Radio identifierat säkerhetsbrister hos, har använt samma IT-lösning för uppringd kommunikation, Mobiflex från Addsecure. Säkerhetsexperten Leif Nixon efterlyser en IT-myndighet med samlat ansvar för att klara de kritiska IT-systemen.
Fyra VA-organisationer pekas ut med allvarliga säkerhetsbrister när Ekot i Sveriges Radio kontrollerat myndigheter och näringslivs IT-säkerhet. Granskningen gäller system som behövs för att vanliga samhällstjänster som VA, fjärrvärme och brandlarm ska fungera. VA-förvaltningarna i Älvdalen och på Öckerö samt VA-/energibolagen i Falkenberg och Eksjö finns bland de 1000-tals fall som har säkerhetsluckor i systemen.
Öckerö, Falkenberg och Eksjö har det gemensamt att de haft en lösning som de upplevt har marknadsförts som säker; Mobiflex från Addsecure. Det rör sig om en specialutformad internetuppkoppling.
Ib Andersen är chef för teknisk utveckling hos Addsecure:
– Mobiflextjänsten från Addsecuer går att beställa med en privat Ip-adress där man då har VPN-accesser, och så finns en möjlighet att beställa med en publik access om det finns behov av det. Vi erbjuder också tjänsten att filtrera accessen till adressen efter kundens krav så att man även kan spärra den publika internetaccessen så att den bara accepterar inkommande trafik från specifikt angivna adresser. Beroende på hur leveranskedjan av sim-korten ser ut så når inte alltid informationen fram till den som gör jobbet när det rör enskilda installationer, säger Ib Andersen.
Han förklarar att de accesser som Ekot hittat är publika och att utrustningen som sitter kopplad till sim-korten där, är levererade av andra parter i det han kallar ett ekosystem inom IT-lösningar. Företaget informerar kunderna generellt om funktionen i systemet men kommer nu att försöka förbättra kommunikationen till slutanvändarna.
– Den som gör upphandlingen har ju inte nödvändigtvis kontakt med den som gör installationerna och där får vi jobba på att förbättra kravet på att de är medvetna om rekommendationerna vid installationen. Interaktionen i säkerhetsaspekten är inte självklar på produktbladsnivå. Däremot är jag helt övertygad om att den är väldigt tydlig i säljprocessen men uppenbarligen så når den inte ända fram, avslutar Ib Andersen.
När Cirkulation kontrollerar med de ansvariga vid de utpekade VA-organisationerna meddelar de att problemen redan är åtgärdade.
– Vi fick information via Sveriges Radios undersökning. De ställde frågor om adresser till oss, som vi identifierade som ett antal mätstationer och pumpstationer. Det var några lösenord som inte var bytta men det är åtgärdat nu, säger Margareta Björksund Tuominen, vd för Vivab i Falkenberg.
På Öckerö är Lisette Larsson VA-chef.
– Det var två abonnemang via uppringda modem som vi hade i två av våra pumpstationer som de kom in i. De kunde komma in i själva pumpen och styra den men inte komma vidare till vår server och själva övervakningssystemen. Abonnemangen var sålda till oss som säkra abonnemang, säger Lisette Larsson.
De två pumpstationerna har i dagarna anslutits via fiber istället i ett program med fiberanslutning som pågår och de två abonnemangen är avslutade.
Problemet i Eksjö har rört en råvattenpumpstation (inte något VA-verk som Ekot angett).
– Vi har under några år haft ett Mobiflex-abonnemang som vi installerade i god tro, säger Jonny Jörnling, driftingenjör på Eksjö Energi.
Den enhet som legat öppen hanterar driftdata från pumparna i stationen.
– Nu har vi gjort ett snabbt byte och skapa en VPN-tunnel, berättar Jonny Jörnling.
I Älvdalen rörde sig problemet om ett GSM-modem som inte blivit uppdaterat som det skulle i samband med att fiber drogs till en pumpstation.
IT-säkerhetsexperten Leif Nixon vid Leif Nixon Security, är irriterad över att IT-säkerhet inte prioriteras mer i Sveriges myndighetsorganisation.
– Varför är det Sveriges Radio som ska behöva ringa upp och informera kommuner om att deras anläggningar ligger ute på internet?, frågar sig IT-säkerhetsexperten Leif Nixon i ett samtal med Cirkulation.
Leif Nixon efterlyser en myndighet med samlat ansvar för IT-säkerhet i samhällskritiska system, med ett tydligt uppdrag och med befogenheter att kontrollera och ingripa. Idag är ansvaret spritt på flera myndigheter och enligt Leif Nixon faller en hel del mellan stolarna. Han tycker inte att till exempel VA-branschen har kunnat visa att de klarar säkerhetsfrågorna tillfredsställande. Problem och risker har påpekats men det händer för lite över tid.
– Det händer lite saker men det samlade läget har bara blivit marginellt bättre under de senaste åren, säger Leif Nixon. (EW)