Så skyddar ni er brf mot cyberbrottslighet
Digitaliseringen av fastigheter ger många nya möjligheter. Uppkopplade värmepumpar, batterilager, passersystem och belysning gör driften smartare och mer energieffektiv. Men samtidigt ökar också risken för cyberangrepp. Bostadsrättsföreningar måste idag ta cybersäkerheten på lika stort allvar som det fysiska fastighetsskyddet. Utan skydd är man ett lätt byte för hackare. Ofta räcker det med ett vanligt phishingmail, s.k. ”nätfiske”.
Cyberhoten mot fastigheter är inte längre teoretiska. Allt fler attacker riktas mot sårbara IoT-enheter (Internet of Things), och ett intrång kan få allvarliga konsekvenser – från avstängda värmesystem till läckta personuppgifter och höga kostnader för återställning. Därför är det avgörande att se till att all uppkopplad utrustning som installeras i fastigheten uppfyller grundläggande krav på IT- och informationssäkerhet.
Enligt vår senaste styrelseenkät har merparten av de svarande liten eller egentligen ingen koll på IT-säkerheten när det gäller exempelvis värmesystem. Är systemet inte uppkopplat mot nätet finns förstås inget behov men allt fler har system med fjärrstyrning, överföring av data och då är man sårbar. Står man inför en uppgradering med anslutning till Internet bör man tänka på att ställa krav på leverantören. Här är några grundläggande krav. Fler finns på MSB:s hemsida.
Lösenord och autentisering – enheter får inte levereras med aktiva standardlösenord och det ska finnas stöd för starka lösenord. Tvåfaktorsautentisering bör vara möjligt vid fjärråtkomst. Leverantören måste tillhandahålla säkerhetsuppdateringar under hela produktens livslängd, minst fem år. Information om hur och när enheten uppdateras ska bifogas vid leverans.
Kryptering och dataskydd – all kommunikation ska vara krypterad och om enheten lagrar data ska denna skyddas enligt GDPR och annan relevant lagstiftning. Produkten ska stödja nätverkssegmentering och inte kräva öppna portar mot internet.
Intrångsdetektering och loggning – Enheten ska kunna logga säkerhetshändelser och exportera loggdata till föreningens övervakningssystem.
Certifieringar – enheter bör följa erkända säkerhetsstandarder, till exempel ETSI EN 303 645 för konsument-IoT eller IEC 62443 för industriella system.
Support och incidenthantering – leverantören ska erbjuda säkerhetssupport och ange tydliga kontaktvägar för incidentrapportering.
I takt med att hotbilden ökar är det viktigare än någonsin att skydda sin förening även mot digitala risker. Genom att ställa rätt krav vid installation av ny teknik kan föreningen minska risken för intrång, driftstörningar och informationsläckor. Informationssäkerhet är en grundförutsättning för en trygg och fungerande bostadsrättsförening.
