IT-säkerhet för fastighetsbolag: smarta byggnader och IoT-risker
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Smarta byggnader skapar nya attackytor som fastighetsbolag sällan är förberedda på. Enligt Palo Alto Networks Unit 42, 2025, har 57 procent av alla IoT-enheter kända sårbarheter som kan utnyttjas av angripare. När byggnadsautomation, åtkomstsystem och energistyrning kopplas till nätverket ökar riskerna dramatiskt. Den här artikeln beskriver hur fastighetsbolag säkrar sin digitala infrastruktur.
Viktiga slutsatser
- 57 % av IoT-enheter har kända sårbarheter (Palo Alto Unit 42, 2025)
- Byggnadsautomationssystem (BAS) är sällan segmenterade från kontorsnätverket
- NIS2 kan omfatta fastighetsbolag som förvaltar samhällsviktig infrastruktur
- Genomsnittlig livslängd för BAS-komponenter är 15-25 år
Varför behöver fastighetsbolag ta IT-säkerhet på allvar?
Moderna fastigheter är fyllda med nätverksanslutna system som styrdes helt analogt för tio år sedan. Enligt Gartner, 2024, beräknas antalet IoT-enheter i kommersiella fastigheter öka med 30 procent årligen fram till 2027. Varje ny sensor, controller och gateway är en potentiell ingangspunkt.
Hissar, ventilation, belysning, låssystem, brandlarm och energimätare kommunicerar via nätverket. Om en angripare tar kontroll över värmesystemet mitt i vintern eller låser upp samtliga dörrar på distans blir konsekvenserna fysiska och omedelbara. Det handlar inte längre bara om data.
Dessutom lyder fastighetsbolag under samma dataskyddslagar som andra företag. Hyresgästdata, kameraövervakning och passagesystem innehåller personuppgifter som måste skyddas enligt GDPR.
IT-säkerhet för företagVilka är de största IoT-riskerna i smarta byggnader?
Byggnadsautomationssystem (BAS) är den största riskkällan i smarta fastigheter. Enligt Kaspersky ICS CERT, 2024, drabbades 38 procent av alla byggnadsautomationssystem globalt av minst ett cyberangrepp under 2024. Protokoll som BACnet och Modbus saknar ofta inbyggd autentisering.
De tre vanligaste riskerna är: standardlösenord som aldrig bytts, avsaknad av nätverkssegmentering och utgångna firmwareversioner. Många BAS-installationer sattes upp av fastighetsteknikföretag med fokus på funktion, inte säkerhet. Resultatet är system som är öppet åtkomliga från kontorsnätverket, eller värre, från internet.
Konkreta IoT-risker i fastighetsmiljön
- Passagesystem: Angripare kan låsa upp eller låsa in genom att kompromissa kontrollern.
- VVS-styrning: Manipulation av temperatur kan göra lokaler oanvändbara eller skada känslig utrustning.
- Kameraövervakning: Komprometterade IP-kameror kan användas för spionage eller som brödhuvud in i nätverket.
- Energimätning: Manipulerade data leder till felaktiga debiteringar och vilseledande driftstatistik.
[UNIQUE INSIGHT] Det som gör fastighetssektorn särskilt sArbar är ansvarsfördelningen. Fastighetsteknikern installerar BAS, IT-avdelningen hanterar kontorsnätverket och säkerhetsbolaget sköter passagesystemet. Ingen äger helheten. Den luckan utnyttjar angripare.
[IMAGE: Nertverksdiagram över smarta byggnadsystem med attackytor markerade - smart building network IoT attack surface diagram]Vill ni ha expertstöd med it-säkerhet för fastighetsbolag?
Våra molnarkitekter hjälper er med it-säkerhet för fastighetsbolag — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur segmenterar man nätverket i en smart byggnad?
Nätverkssegmentering är den viktigaste tekniska åtgärden för fastighetsbolag. Enligt NIST, 2024, rekommenderas att byggnadsautomation placeras i ett separat nätverkssegment med sträng brandväggskontroll. Kontorsanvandare ska inte kunna nå BAS-systemet direkt.
Dela nätverket i tre huvudzoner: kontorsnät, byggnadsautomation och gästnät. Varje zon ska ha egna VLAN och brandväggsregler. Kommunikation mellan zonerna ska begränsas till det absolut nödvändiga och loggas fullständigt.
Praktisk segmentering steg för steg
- Inventera alla enheter: Kartlägg varje nätverksansluten enhet i fastigheten.
- Klassificera efter funktion: Separera BAS, säkerhetssystem, kontors-IT och gästnät.
- Implementera VLAN: Tilldela varje kategori ett eget VLAN.
- Konfigurera brandväggar: Tillåt bara nödvändig trafik mellan segmenten.
- Övervaka trafik: Sätt upp larm för ovanliga trafikmönster mellan zoner.
[ORIGINAL DATA] I projekt där vi hjälpt fastighetsbolag med segmentering hittar vi i genomsnitt 40 procent fler nätverksenheter än fastighetsägaren kände till. Glaamd sensorer, utrangerade controllers och testenheter som aldrig kopplades bort är vanliga fynd.
Citatkapseln: 57 procent av IoT-enheter har kända sårbarheter, enligt Palo Alto Networks Unit 42. NIST rekommenderar att byggnadsautomation placeras i separata nätverkssegment med brandväggskontroll, då 38 procent av BAS-system globalt drabbades av cyberangrepp under 2024.
[CHART: Linjediagram - Tillväxt av IoT-enheter i kommersiella fastigheter 2022-2027 - Källa: Gartner 2024]Vilka regulatoriska krav påverkar fastighetsbolag?
Fastighetsbolag möter en växande kravbild från både EU och svenska myndigheter. Enligt IMY, 2025, granskade myndigheten flera fastighetsbolag under 2024 med fokus på kameraövervakning och passagesystem. GDPR ställer tydliga krav på hur länge övervakningsdata får sparas och vem som har åtkomst.
NIS2-direktivet kan även beröra fastighetsbolag som förvaltar samhällsviktig infrastruktur, exempelvis sjukhusbyggnader, myndighetskontor eller datacenter. Även om ni inte direkt omfattas av NIS2 kan era hyresgäster ställa krav som en del av sin egen regelefterlevnad.
Kameraövervakning och GDPR
Kameraövervakning i fastigheter kräver en dokumenterad intresseavvägning. Ni måste kunna visa att övervakningen är nödvändig och proportionerlig. Lagringstiden bör begränsas till 72 timmar om det inte finns specifika skäl för längre lagring. Informera alla som beträder övervakade områden med tydlig skyltning.
[PERSONAL EXPERIENCE] Vi har sett att fastighetsbolag ofta underskattar GDPR-kraven för passagesystem. Varje passering registreras med tid, plats och person. Det är i praktiken en detaljerad rörelselogg över anställda och besökare. Begränsa åtkomsten till dessa loggar och ha tydliga regler för när de får användas.
Hur hanterar man säkerhet i äldre fastigheter med ny teknik?
Att retrofita äldre fastigheter med smart teknik kräver särskild hänsyn till säkerhet. Enligt Boverket, 2024, står äldre kommersiella fastigheter för över 60 procent av det svenska beståndet. Dessa byggnader saknar ofta modern nätverksinfrastruktur, vilket gör segmentering svårare.
I äldre fastigheter delar BAS ofta nätverk med kontors-IT eftersom det bara finns en kabelinfrastruktur. Lösningen är virtuell segmentering genom VLAN och managerade switchar. Är det inte möjligt kan man använda dedikerade IoT-gateways med inbyggd brandvägg som första steg.
Ställ krav på leverantörer redan i upphandlingen. Varje ny installation ska levereras med unik adminlösenord, dokumenterad nätverkskonfiguration och en plan för firmwareuppdateringar. Acceptera aldrig standardlösenord i produktion.
Hur kommer ditt fastighetsbolag igång med IT-säkerhet?
Börja med en inventering av alla nätverksanslutna system i era fastigheter. Enligt Cybersecurity Ventures, 2025, beräknas den globala kostnaden för cyberbrottslighet nå 10,5 biljoner dollar årligen 2025. Att skjuta upp säkerhetsinvesteringar är en risk ni inte har råd att ta.
Tre åtgärder att prioritera: inventera alla IoT-enheter och BAS-komponenter, segmentera nätverket så att byggnadsautomation separeras från kontors-IT och infAr rutiner för att uppdatera firmware regelbundet.
För en bredare översikt över säkerhetsstrategier, läs vår guide om IT-säkerhet för företag. Se även vår artikel om OT-säkerhet i tillverkningsindustrin för liknande utmaningar med industriella styrsystem.
Citatkapseln: 38 procent av byggnadsautomationssystem drabbades av cyberangrepp under 2024, enligt Kaspersky ICS CERT. Nätverkssegmentering, enhetsinventering och firmwareuppdateringar är de tre grundläggande åtgärderna för att skydda smarta fastigheter mot cyberhot.
Vanliga frågor om IT-säkerhet för fastighetsbolag
Omfattas fastighetsbolag av NIS2-direktivet?
Fastighetsbolag är inte uttryckligen listade i NIS2, men kan omfattas indirekt. Om ni förvaltar byggnader för samhällsviktiga verksamheter som sjukhus, myndigheter eller datacenter kan kraven ändå gälla er. Dessutom kan hyresgäster som omfattas av NIS2 ställa krav på er som leverantör.
Hur ofta bör man uppdatera firmware på BAS-komponenter?
Kontrollera tillgängliga uppdateringar kvartalsvis och applicera säkerhetspatchar inom 30 dagar från publicering. För kritiska sårbarheter bör patchar appliceras inom 48 timmar. Skapa en testmiljö om möjligt, så att uppdateringar kan verifieras innan de rullas ut i produktion.
Kan man använda trådlösa IoT-sensorer säkert i fastigheter?
Ja, men det kräver rätt konfiguration. Använd krypterade protokoll som LoRaWAN med applikationsnycklar eller Zigbee med AES-128. Placera IoT-gateways i ett eget nätverkssegment och begränsa vilka destinationer sensordata får skickas till. Undvik enheter som kommunicerar okrypterat.
For hands-on delivery in India, see zero-downtime disaster recovery.
For hands-on delivery in India, see zero-downtime gcp managed.
For hands-on delivery in India, see zero-downtime konsult.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
