Systemet som används för att styra polishuset i Ulricehamn har legat öppet på nätet i minst fyra månader. Trots att samma brist pekades ut redan 2014.

Ett system som fastighetsägaren använder för att fjärrstyra saker som värme och ventilation i polishuset i Ulricehamn är öppet tillgängligt för vem som helst på nätet.

Upptäckten gjordes i april av säkerhetsanalytikern Leif Nixon. Han gjorde en sökning på uppkopplade styrsystem i Sverige från tillverkaren Kabona och hittade ett drygt hundratals på nätet. Däribland polishuset i Ulricehamn.

Det här är polishuset i Ulricehamn. Live, på nätet. Verksamhetsskyddet svarar inte på mail. pic.twitter.com/M2FPNFzjw4 — Leif Nixon (@leifnixon) 11 augusti 2018

– Det är så klart ett misslyckande, säger Leif Nixon till Ny Teknik.

För att styra systemet krävs en inloggning med användarnamn och lösenord, men även de öppna sidorna visar en del information om fastigheten. Det går bland annat att få ut en planlösning och information om driftstatus på värme, kyla och ventilation.

Den här typen av styrsystem kan också användas för att styra exempelvis inpasseringssystem, lås och larm. Exakt vilka funktioner som var inkopplade hos polisen i Ulricehamn vet vi inte. Ny Teknik har sökt Polisens nationella it-avdelning som inte vill kommentera händelsen utan hänvisar till fastighetsägaren. Ny Teknik har sökt det företaget utan framgång.

Leif Nixon kontaktade Polisen redan i april för att rapportera händelsen, men fick ingen respons förrän han skrev om sin upptäckt på Twitter i slutet av förra veckan.

– I april försökte jag göra på rätt sätt och tog reda på kontaktuppgifter till polisens verksamhetsskydd, men jag fick inte tag på dem på telefon eller mejl. Så till slut tröttnade jag, och Twitter fungerade, säger Leif Nixon.

Redan 2014 hjälpte Leif Nixon till när Dagens Nyheter gjorde en granskning av svenska fastigheter som kopplat upp sina styrsystem med hjälp av Kabona. Då hittade de över 700 stycken, men efter den mediala uppmärksamheten såg många fastighetsägare över sina system.

– Men de poppar upp igen lite då och då, och de är ohyggligt osäkra, säger Leif Nixon.

Polishuset i Ulricehamn blir ett speciellt exempel. Redan i granskningen 2014 uppdagades att systemen låg öppna mot nätet. Då togs de ned, men de har sedan lagts upp igen. Hur länge de funnits där är oklart.

I regel är det fastighetsägaren eller företaget som underhåller fastigheten som sätter upp systemet. System som Kabona är inte ett problem i sig, om de används på rätt sätt kan bara behörig personal komma åt inloggningssidorna. Men när de ligger öppet på nätet är de enkla för hackare och börja angripa.

Hyresgästen, som i det här fallet är Polisen, kanske inte ens vet om att de är uppkopplade mot nätet.

Leif Nixon menar ändå att det är problematiskt att just Polisens fastigheter finns öppet tillgängliga på det här sättet.

Vad tänker du om att en polisstations styrsystem ligger tillgängliga på det här sättet?

– Det här är ingen katastrof. Ritningarna över polisstationen ska väl inte komma ut hur som helst, men det är inget som kan få huset att sprängas i luften, säger han.

– Men det är dåligt. Det är en svag länk, och oftast räcker det med att hitta en svag länk hos en organisation för att ta sig in i deras system och sedan ta sig vidare. Och när det gäller samhällsviktiga funktioner som Polisen behöver man ha koll på hela kedjan och göra rätt överallt.

Tycker du att fastighetsägare blivit bättre på att uppmärksamma det är problemet sedan granskningen 2014?

– Det har blivit bättre men det har inte blivit bra. Det finns färre sårbara enheter på nätet nu, men det finns fortfarande gott om dem. Det är rätt långt kvar kan man säga.