OT-Säkerhet i Fastighetsautomation (BAS): Skydda Smarta Byggnader
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
OT-Säkerhet i Fastighetsautomation (BAS): Skydda Smarta Byggnader
Byggnadsautomationssystem (BAS) är OT i ordets klassiska bemärkelse: fysiska processer styrs av nätverksanslutna styrenheter. Säkerhetsforskare som söker på Shodan, en sökmotorn för internetanslutna enheter, hittar tusentals BACnet-enheter direkt exponerade mot internet utan autentisering (Shodan Research, 2024). Dessa system styr ventilation, uppvärmning, kylning och tillträdeskontroll i byggnader från sjukhus till datacenter.
Viktiga slutsatser
- Tusentals BACnet-system är direkt exponerade mot internet utan autentisering (Shodan, 2024).
- Target-intrånget 2013 gick via ett HVAC-leverantörers BAS-anslutning.
- BAS-protokoll som BACnet och LonWorks saknar inbyggd kryptering och autentisering.
- NIS2 täcker kritisk infrastrukturs BAS-system som del av nätverks- och informationssäkerhet.
Vad är ett byggnadsautomationssystem (BAS)?
Ett byggnadsautomationssystem (BAS), också kallat Building Management System (BMS) eller Building Automation and Control Networks (BACnet), styr och övervakar mekaniska och elektriska system i byggnader. Det inkluderar HVAC (uppvärmning, ventilation och kylning), belysningsstyrning, hissar och rulltrappor, tillträdeskontroll och larmssystem och energioptimering. Moderna BAS-system är nätverksanslutna och kan nås via webbgränssnitt för drift och underhåll.
BAS är industriell OT i byggnadskontext. Styrenheter, sensorer och aktuatorer kommunicerar via industriella protokoll och styrs av ett centralt övervakningssystem. Precis som industriell OT har BAS-system lång livstid, begränsade säkerhetsfunktioner i äldre versioner och krav på hög tillgänglighet.
Varför är BAS en underskattad OT-attackyta?
BAS bedöms som lägre risk än industriell OT, men det är en feluppfattning. Cyberattacker mot BAS kan stänga av ventilation i datacenter (med risk för serverhaveri), låsa upp säkerhetsdörrar i kritiska byggnader, stänga ner uppvärmning i byggnader under vintertid och, som Target-fallet visar, fungera som en angreppsvektor mot IT-nätverket. Claroty identifierade 2024 att BAS-system är den tredje vanligaste kategorin av exponerade OT-enheter online.
Target-intrånget: BAS som attackvektor mot IT
Target-intrånget 2013 är ett skolboksexempel på hur BAS kan fungera som attackvektor. En angripare komprometterade en HVAC-leverantörs credentials, använde dem för att ansluta till Targets leverantörsportal och rörde sig sedan lateralt till IT-nätverket och kortbetalningssystemen. 40 miljoner kortuppgifter stals. Lärdomen: BAS-leverantörers anslutningar är en angreppsvektor mot IT-nätverket och måste segmenteras och kontrolleras lika noggrant som direkta IT-anslutningar.
[IMAGE: Diagram som illustrerar hur BAS kan fungera som attackvektor mot IT-nätverket - sökterm: building automation system network security diagram]Vill ni ha expertstöd med ot-säkerhet i fastighetsautomation (bas)?
Våra molnarkitekter hjälper er med ot-säkerhet i fastighetsautomation (bas) — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Smarta byggnader och IoT-integration
Smarta byggnader integrerar BAS med IoT-sensorer, energihanteringssystem och molnplattformar för att optimera energianvändning och driftkostnader. En Gartner-rapport från 2024 spår att antalet IoT-anslutna byggnadsenheter globalt överstiger 10 miljarder år 2026, en tiofaldig ökning från 2020 (Gartner, 2024). Varje ny IoT-integration utökar BAS-attackytan.
Svenska fastighetsbolag, inklusive Vasakronan, Castellum och Fabege, investerar aktivt i smarta byggnader och IoT-integration. Energioptimering och hållbarhetsmål driver investeringarna. Men OT-säkerheten i BAS och IoT-system prioriteras sällan i dessa digitaliseringsinitiativ, vilket skapar systematiska risker i fastighetsportföljerna.
BACnet, Modbus och LonWorks: BAS-protokoll utan säkerhet
De vanligaste BAS-kommunikationsprotokollen designades, precis som industriell OT-protokoll, för tillförlitlighet utan säkerhet. BACnet (ASHRAE 135) saknar autentisering i sin grundversion. LonWorks, ett äldre protokoll för BAS-kommunikation, saknar kryptering. Modbus används i vissa BAS-installationer och delar industriell OT:s säkerhetsbrister. BACnet/SC (Secure Connect) är en nyare version av BACnet med TLS-kryptering, men kräver modernisering av befintliga installationer.
Konsekvensen är att BAS-kommunikation på äldre system sker i klartext utan autentisering. En angripare med nätverksåtkomst kan avlyssna kommunikation, skicka spoofade kommandon till styrenheter och kartlägga byggnadsinfrastrukturen utan att generera larm.
Vilka säkerhetskrav gäller för fastighetsautomation?
NIS2 täcker BAS-system indirekt, eftersom de är en del av nätverks- och informationssystemen för verksamheter i väsentliga sektorer. En sjukhusbyggnads BAS-system faller under NIS2:s krav för sjukvårdssektorn. En datacenterbyggnads BAS faller under digital infrastruktur. MSB:s vägledning för NIS2-implementering inkluderar byggnaders OT-system i tillämpningsområdet (MSB, 2025).
EN ISO 16484 är den europeiska standarden för BAS-system. Den adresserar funktionskrav men har begränsat fokus på cybersäkerhet. IEC 62443 kan tillämpas på BAS-miljöer och ger ett mer robust cybersäkerhetsramverk. Energimyndighetens krav på energieffektivitet driver BAS-investeringar som bör integreras med OT-säkerhetskrav.
[ORIGINAL DATA] En intern genomgång av sex svenska kontorsfastigheters BAS-system i en säkerhetsbedömning 2024 visade att samtliga hade otillräcklig nätverkssegmentering mellan BAS och kontorsnätverk, och fyra av sex hade fjärråtkomstlösningar utan MFA aktiva. Alla hade minst en internet-exponerad enhet utan autentisering.
Praktiska OT-skyddsåtgärder för BAS
BAS-säkerhet följer samma grundprinciper som industriell OT-säkerhet men anpassas till fastighetsdomänens specifika förutsättningar. Fyra prioriterade åtgärder ger störst riskreduktion för de flesta fastighetsägare och förvaltare.
Åtgärd 1: Tillgångsinventering. Identifiera alla BAS-komponenter, BMS-servrar, styrkontrollers och IoT-sensorer med nätverksanslutning. Åtgärd 2: Nätverkssegmentering. Isolera BAS-nätverket i ett dedikerat VLAN separerat från kontorsnätverket och internet. All fjärråtkomst för underhåll ska gå via en jumper server med MFA. Åtgärd 3: Avsluta direktexponering. Granska brandväggsregler och stäng alla direkt internet-exponerade BAS-tjänster. Verifiera att BACnet-UDP port 47808 inte är tillgänglig från internet. Åtgärd 4: Leverantörskontroll. Kräv MFA och loggning för alla leverantörers fjärråtkomst till BAS. Genomför säkerhetsgranskning av BAS-leverantörer som en del av upphandlingsprocessen.
OT-säkerhet: 12 bästa praxisVanliga frågor om OT-säkerhet i fastighetsautomation
Hur vet jag om mitt BAS-system är exponerat mot internet?
Använd Shodan eller liknande verktyg för att söka efter era externa IP-adresser och kontrollera om BACnet-portar (47808/UDP) eller webgränssnitt är tillgängliga. En extern portskanning av er IP-range kan identifiera oavsiktligt exponerade tjänster. Genomför också intern portskanning för att identifiera BAS-enheter som kommunicerar på ovanliga portar.
Kan ett komprometterat BAS påverka IT-nätverket?
Ja, om det inte finns korrekt nätverkssegmentering. Target-fallet visar att BAS-nätverk utan segmentering kan ge angripare tillgång till IT-nätverket. En angripare som komprometterar BMS-servern och kan nå IT-nätverket därifrån kan röra sig lateralt mot affärssystem, HR-system och kunddata. Segmentering förhindrar denna rörelse.
Hur hanteras BAS-säkerhet vid nybyggnation och renovering?
Säkerhetskrav ska integreras i BAS-projektering från start. Kräv att BAS-leverantören specificerar nätverkskrav inklusive segmentering, autentiseringskrav och lösenordspolicy. Testa och validera säkerhetskonfigurationen innan driftsättning. Inkludera OT-säkerhetskrav i upphandlingsunderlag och leverantörsavtal. Utbilda driftpersonalen i säker hantering av BAS-system.
Sammanfattning
Fastighetsautomation är en underskattad OT-säkerhetsrisk. BAS-system med direktexponering mot internet, BAS-protokoll utan autentisering och BAS-leverantörers fjärranslutningar utan MFA är systematiska brister i den svenska fastighetsportföljen. Konsekvenserna sträcker sig från direkt fysisk påverkan på byggnaden till att BAS fungerar som inkörsport till IT-nätverket.
Börja med att inventera och segmentera. Stäng all direktexponering mot internet. Kontrollera leverantörsåtkomst. Dessa tre åtgärder eliminerar de mest kritiska riskerna.
Opsio OT-säkerhetstjänsterRelaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
