Seniorrådgiver Arne Røed-Simonsen i Næringslivets Sikkerhetsråd.

Sikkerhetsrådgiver om hacking av heisekraner: - Det er en mulighet her

Bygg- og anleggsbransjen, i likhet med resten av det norske næringslivet, er et mulig mål for datakriminalitet. Men bygg og anlegg ligger etter når det kommer til å sikre seg.

Når bygg- og anleggsnæringen blir mer teknologisk avansert, mer digital og mer automatisert, vil flere områder av næringen bli sårbare for digitale trusler. Seniorrådgiver Arne Røed-Simonsen i Næringslivets Sikkerhetsråd vedgår at det er vanskelig å vurdere den faktiske risikoen for at heisekraner og annet radiostyrt utstyr på norske byggeplasser vil hackes, men mener det er en trussel man bør vurdere.

– Poenget er at dette er mulig. At noen vil kunne tenke seg å teste det ut, er virkelig til stede.

Hybride trusler

Røed-Simonsen forteller at man i dagens trusselvurderinger blant annet ser på såkalte hybride trusler, hvor flere tilsynelatende usammenhengende angrep på forskjellige områder tilhører en større helhet. Hacking av radiofrekvenskontroller kan da inngå i hybridangrepene.

– Hvis noen ønsker å skape et dårlig inntrykk, kan de nærmest forårsake en ulykke, advarer Røed-Simonsen.

– Det viktige er at det er en sårbarhet her. Det er en mulighet. Bransjen må da se hva de tåler av negative konsekvenser hvis noen skulle gjøre det, summerer han.

Overstyring av radiofrekvenskontroller, som Marco Balduzzi og Frederico Maggi har demonstrert i Italia, er en mulig trussel også i Norge, men den er slett ikke den eneste.

– Hacking av radiostyrte maskiner er én ting, men vi har andre interessante systemer innenfor byggebransjen, som for eksempel BIM. Her vil det fort være skjermingsverdige objekter, med detaljer, patenter og lignende. Her kan det være verdier å beskytte, påpeker Røed-Simonsen.

Har ikke kontroll

Ifølge sikkerhetsrådets årlige mørketallundersøkelse, svarer kun én av tre bedrifter i bygg- og anleggsnæringen at de har et styringssystem eller rammeverk for informasjonssikkerhet, mot et gjennomsnitt på 61 prosent for hele det norske næringslivet. Én av fire bygg- og anleggsaktører svarer at virksomheten deres ikke vet hvor dataen deres lagres eller behandles, mot et landsgjennomsnitt på tolv prosent.

– Har bygg- og anleggsnæringen dårligere datasikkerhetsforståelse enn næringslivet forøvrig?

– Det kan se slik ut, sier Røed-Simonsen.

Samtidig som de innrømmer dårlig kontroll, hevder 99 prosent av bygg- og anleggsaktørene som Næringslivets Sikkerhetsråd har snakket med, at de ikke har tapt noe data.

– For meg fremstår dette som en logisk brist. Hvis de ikke har styringssystemer eller noen monitorering av systemene sine, hvordan kan de da vite at de ikke mister informasjon? spør Røed-Simonsen.

– Informasjonssikkerhet angår alle, uavhengig av bransje, men byggenæringen har altså viktige informasjonssystemer. Næringslivet generelt har ikke nok kompetanse eller ressurser til å detektere og avdekke disse hendelsene, konkluderer han.