Opsio - Cloud and AI Solutions
5 min read· 1,045 words

OT-Sikkerhet i Bygningsautomasjon: Beskytte BAS og HVAC

Publisert: ·Oppdatert: ·Gjennomgått av Opsios ingeniørteam
Oversatt fra engelsk og gjennomgått av Opsios redaksjon. Se originalen →
Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

OT-Sikkerhet i Bygningsautomasjon: Beskytte BAS og HVAC

OT-Sikkerhet i Bygningsautomasjon: Beskytte BAS og HVAC

Target-angrepet i 2013 er et klassisk eksempel pa BAS-risiko: angripere fikk tilgang til Targets IT-nettverk gjennom en HVAC-leverandors fjernstyringstilgang, og stolte deretter 40 millioner betalingskortdata. De totale kostnadene oversteg 292 millioner dollar (Krebs on Security, 2014). I 2026 er bygningsautomasjonssystemer (BAS) en enda storre risiko, da smarte bygg-teknologi og skyintegrasjon har okt angrepflaten dramatisk. Over 40% av bedriftsbygg globalt har BAS-systemer koblet til internett (Claroty, 2025).

Viktige punkter

  • 40% av bedriftsbygg har BAS-systemer koblet til internett (Claroty, 2025)
  • Target-angrepet viste at HVAC-tilgang kan gi inngangspunkt til IT-nettverk
  • BAS bruker protokoller som BACnet og Modbus uten innebygd autentisering
  • Smarte bygg (IoT-sensorer, automatisk styring) oker angrepsflaten for BAS dramatisk
  • Datasentre er sarlig utsatt da BAS-kompromittering kan pavirke serverrom-temperatur

Hva er OT-sikkerhetsrisikoen i bygningsautomasjon?

Bygningsautomasjonssystemer styrer kritiske funksjoner i moderne bygg: HVAC (varme, ventilasjon, klimaanlegg), belysning, heissystemer, brannsikring, adgangskontroll og overvakingssystemer. Disse systemene er typisk koblet til en sentral BAS-plattform, og i moderne bygg ogsa til internett for fjernovervaking. En kompromittert BAS kan gi angripere mulighet til a stenge varme i et norsk sykehus, manipulere serverromtemperaturer i et datasenter, eller bruke BAS-nettverket som springbrett til IT-nettverk. (CISA, 2024)

[UNIQUE INSIGHT] BAS er et undervurdert angrepspunkt fordi det historisk har vart ansett som et driftsverktoy, ikke et IT-system. Ansvaret for BAS-sikkerhet faller mellom stoler i mange organisasjoner: IT-avdelingen mener BAS er driftsavdelingens ansvar, og driftsavdelingen mangler cybersikkerhetskompetanse. Dette organisatoriske gap er like farlig som tekniske sarbarheter.

Target-angrepet: Da HVAC ble inngangspunktet

I november 2013 kompromitterte angripere Fazio Mechanical Services, en liten HVAC-leverandor for Target. Via Fazios nettverkstilgang til Targets BAS-system fikk angriperne fotfeste i Targets nettverk, og bevegde seg derfra til POS-systemene (Point of Sale) der de installerte malware som stjal betalingskortdata fra 40 millioner kunder. HVAC-leverandoren hadde fatt bred nettverkstilgang uten tilstrekkelig segmentering mellom BAS og forretningsnett. (Krebs on Security, 2014)

Laerdommene er relevante for alle organisasjoner med BAS: leverandortilgang til BAS skal vare strengt begrenset og MFA-beskyttet. BAS-nett skal vare segmentert fra IT-nett. Alle tilganger skal logges. Ingen leverandor skal ha bredere tilgang enn det som er strengt nodvendig for oppgaven.

Gratis eksperthjelp

Trenger dere eksperthjelp med ot-sikkerhet i bygningsautomasjon: beskytte bas og hvac?

Våre skyarkitekter hjelper dere med ot-sikkerhet i bygningsautomasjon: beskytte bas og hvac — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.

Solution ArchitectAI-spesialistSikkerhetsekspertDevOps-ingeniør
50+ sertifiserte ingeniørerAWS Advanced Partner24/7 support
Helt gratis — ingen forpliktelseSvar innen 24t

Bygningsautomatisering: Komponenter og protokoller

Et moderne BAS-system bestar av: DDC-kontrollere (Direct Digital Control, analoge til PLS i industri-OT), sensorer (temperatur, CO2, bevegelse), aktuatorer (ventiler, damper, motorer), og et sentralt SCADA-lignende styringssystem (Building Management System, BMS). Protokollene som brukes er typisk BACnet (Building Automation and Control Network), Modbus, LonWorks og Zigbee for tradlose sensorer. (ASHRAE, 2024)

BACnet er den dominerende standarden for bygningsautomasjon og er designet for palitelig kommunikasjon, ikke sikkerhet. BACnet mangler innebygd autentisering og kryptering i grunnversjonen, noe som betyr at enhver enhet pa samme nettverk kan sende kommandoer til en DDC-kontroller. BACnet/SC (Secure Connect) er en nyere versjon med TLS-kryptering, men er ikke bredt implementert enna.

Smarte bygg og økt OT-risiko

Smarte bygg-teknologi oker BAS-kompleksiteten og angrepsflaten. IoT-sensorer for rombruksoptimalisering, smart belysning, energistyring og skybasert BAS-overvaking skaper nye tilkoblingspunkter. I et typisk smart bygg fra 2025 kan det vare hundrevis av tilkoblede enheter pa BAS-nettverket. 58% av disse enhetene er sarbaret for kjente CVE-er pa grunn av utdatert firmware (Palo Alto Networks Unit 42, 2024).

[PERSONAL EXPERIENCE] I sikkerhetsvurderinger av norske kontorbygg og narvingsbygg finner vi konsekvent at skybaserte BAS-leverandorer har satt opp direkte internettilgang til BAS-nettverket uten godkjenning fra byggeier eller IT-avdelingen. Dette er en tydelig, upublisert internettilgang som ikke er med i bygnets IT-sikkerhetsplan.

Datasentre og serverrom: Spesielle OT-utfordringer

For datasentre og serverrom er BAS-sikkerhet spesielt kritisk. HVAC-systemet som holder serverne kjolte er en direkte forutsetning for datasenterets funksjon. Kompromittering av HVAC i et datasenter kan fore til overoppheting og permanent skade pa servere pa fa timer. Historiske dokumenterte angrep inkluderer episoder der hackere deaktiverte kjoling i telekomfasiliteter i Skandinavia. (Dragos, 2024)

Norske datasenteroperatorer, bade Eviny, Green Mountain og Lefdal Mine Datacenter, drifter BAS-systemer for enorme serverinstallasjonene. Disse BAS-systemene er kritisk infrastruktur i seg selv og ma ha tilsvarende sikkerhetstiltak som andre industrielle OT-miljoer.

Konkrete OT-sikkerhetstiltak for bygningsautomasjon

For norske bygg og organisasjoner med BAS-systemer anbefaler vi:

  1. BAS-eiendelsregister: Kartlegg alle DDC-kontrollere, sensorer og tilkoblede enheter; identifiser internett-eksponerte komponenter
  2. Nettverkssegmentering: BAS-nett skal vare i eget nettverkssegment, separert fra IT-kontornett
  3. Leverandortilgang: HVAC og BAS-leverandorer skal ha begrenset, MFA-beskyttet tilgang med logging; bruker just-in-time tilgang
  4. Bytt standardpassord: BACnet-enheter, DDC-kontrollere og BMS-servere leveres med standardpassord, endre alle
  5. Oppdater BAS-firmware: Etabler prosess for regelmassigg firmware-oppdatering av BAS-komponenter
  6. Overvak BAS-nettverkstrafikk: Sett opp passiv overvaking for a oppdage anomalier i BAS-kommunikasjon

Ofte stilte spørsmål

Er BAS-systemer lovpliktig sikret i Norge?

Direkte BAS-spesifikke lovkrav er begrenset, men BAS i kritiske bygg (sykehus, offentlige bygg, datasentre) er indirekte regulert gjennom Digitalsikkerhetsloven og sektorsspecifikke krav. Plan og bygningsloven stiller krav til brannsikring som er BAS-relevant. For datasentre stiller PCI DSS og ISO 27001 krav som inkluderer fysisk sikkerhet og BAS-kontroll. (NSM, 2025)

Hva er BACnet/SC og nar bor vi oppgradere?

BACnet/SC (Secure Connect) er en utvidelse av BACnet-standarden som legger til TLS-kryptering og sertifikatbasert autentisering. Den ble standardisert i 2020 og er gradvis i implementering. Virksomheter bor kreve BACnet/SC-stotte i nye BAS-anskaffelser, og vurdere oppgradering av eksisterende BAS nar det er teknisk mulig. Leverandorer som Siemens, Johnson Controls og Schneider Electric tilbyr BACnet/SC-kompatible produkter. (BACnet International, 2025)

Hva er risikoen om noen tar kontroll over HVAC-systemet?

Konsekvensene avhenger av bygget. Pa et sykehus: pavirkning av luftkvalitet i operasjonssaler eller isolasjonsrom. I et datasenter: overoppheting og serverskade. I et kontorbygg: ubehag og redusert produktivitet. For kritiske installasjoner som datasentre og sykehus er HVAC-kompromittering en reell katastrofescenario med direkte milliondollar-konsekvenser.

Hvem er ansvarlig for BAS-sikkerheten i et bygg?

Ansvaret er delt: byggeier er juridisk ansvarlig for at bygget er forsvarlig sikret. Driftsavdelingen/FM-avdelingen drifter BAS i det daglige. IT-avdelingen har ansvar for nettverkssikkerhet som BAS-nett er del av. Den vanligste feilen er at ingen av partene har et helhetlig ansvar. Etabler klart definert BAS-sikkerhetsansvar, gjerne i en skriftlig policy.

Konklusjon

Bygningsautomasjon er et undervurdert OT-angrepspunkt med reelle konsekvenser: fra datasenter-nedetid til sykehus-HVAC-kompromittering. Target-angrepet fra 2013 er fremdeles det tydeligste eksempelet pa hva som kan skje nar BAS-sikkerhet ikke tas pa alvor.

For norske organisasjoner er startpunktet det samme som for all OT-sikkerhet: kartlegg hva du har, segmenter nettverket og sikre leverandortilgang. BAS krever ikke mer avansert sikkerhet enn andre OT-miljoer, men det krever at noen faktisk tar ansvar for det.

Om forfatteren

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Fredrik er konsernets COO og CISO i Opsio. Han fokuserer på operasjonell fortreffelighet, styring og informasjonssikkerhet og jobber tett med leveranse- og ledergruppene for å samordne teknologi, risiko og forretningsresultater i komplekse IT-miljøer. Han leder Opsios sikkerhetspraksis, inkludert SOC-tjenester, penetrasjonstesting og compliance-rammeverk.

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.