Säkra inköp av ventiler och ställdon

Uppställning av ventiler och ställdon i en industriell miljö med focus på säkerhet och flödesteknik.

Checklista: Säkra inköp av ventiler och ställdon

Att köpa in flödesteknik handlar idag om mer än tryckklasser och materialval. I en NIS2-kontext är varje ny komponent en potentiell digital dörr in i er anläggning. Hur vet ni att den dörren är stängd?

Som leverantör och partner vill vi på Cynerg Group underlätta för er. Vi har tagit fram en checklista som inköpare, projektledare och automationsingenjörer kan använda som stöd vid upphandling och tekniska genomgångar. Checklistan fungerar som ett praktiskt verktyg i ert övergripande säkerhetsarbete, ett arbete som med fördel kan struktureras enligt standarden ISO/IEC 27001 för att möta NIS2-kraven.

Dessa frågor hjälper er att uppfylla kravet på säkerhet i leveranskedjan (NIS2 2 kap. 3 §).

De 5 kritiska kontrollpunkterna

1. Den trådlösa fällan (Bluetooth, Wi-Fi, 5G)

Många moderna enheter har trådlösa gränssnitt för att underlätta konfigurering. Detta är ofta den största säkerhetsrisken.

  • Fråga: Har enheten inbyggd Bluetooth, Wi-Fi eller 5G-modul?
  • Fråga: Är funktionen aktiv vid leverans (default on)?
  • Fråga: Kan den stängas av fysiskt (hårdvarubrytare) eller är det bara en mjukvaruinställning?
  • Varför? En mjukvaruavstängning kan ofta återställas eller hackas. En fysisk brytare är säkrare.

2. Ursprung och ”Supply Chain”

Vem har egentligen tillverkat ”hjärnan” i ventilen?

  • Fråga: Var är styrkort och elektronik tillverkade?
  • Fråga: Vem har utvecklat mjukvaran (firmware)? Sker utvecklingen in-house hos tillverkaren eller av tredje part i annat land?
  • Fråga: Hur säkerställer tillverkaren att ingen skadlig kod injicerats under produktionen?

3. Lösenord och Åtkomst

”Admin/Admin” är fortfarande en av de vanligaste orsakerna till intrång.

  • Fråga: Levereras enheten med ett unikt lösenord eller ett standardlösenord som är lika för alla?
  • Fråga: Vilka behörighetsnivåer finns (t.ex. ”Läs”, ”Skriv”, ”Admin”)? Kan vi begränsa vem som får ändra parametrar?

4. Uppdateringar och Livscykel

En ventil sitter ofta i anläggningen i 15–20 år. Mjukvara åldras snabbare än stål.

  • Fråga: Hur hanteras säkerhetsuppdateringar (patchar)?
  • Fråga: Kan vi uppdatera enheten lokalt (via USB/kabel) utan att den måste anslutas till internet?
  • Fråga: Vad händer om sårbarheter upptäcks om 5 år? Garanterar leverantören support?

5. Incidenthantering (Loggar)

För att kunna rapportera incidenter enligt lagkrav måste ni veta vad som hänt.

  • Fråga: Loggar enheten om någon ändrar inställningar eller försöker logga in misslyckat?
  • Fråga: Hur kommer vi åt den informationen?

Fördjupning: Varför tjatar vi om Bluetooth och 5G?

Det kan låta smidigt att en servicetekniker kan gå fram till en ventil med en iPad och justera flödet via Bluetooth. Men bekvämlighet står ofta i direkt konflikt med säkerhet.

Riskscenario: ”The Parking Lot Attack” Om er anläggning är ett skyddsobjekt har ni troligen höga staket, kameror och vakter. Men radiovågor stoppas inte av stängsel.

  1. En aktör ställer sig på en allmän väg eller parkering utanför ert område.
  2. De använder riktad antennutrustning för att skanna efter öppna Bluetooth- eller Wi-Fi-signaler från era fältinstrument.
  3. Om de får kontakt kan de potentiellt manipulera ställdonet, ändra gränsvärden eller i värsta fall använda komponenten som en språngbräda för att nå djupare in i ert OT-nätverk.

Vårt råd: Om trådlös teknik inte är absolut nödvändig för er drift – kräv att den är inaktiverad. Vi hjälper er att säkerställa att utrustningen ni köper inte ”pratar” med omgivningen utan er tillåtelse.

Cynerg Groups roll

Vi är inte IT-säkerhetskonsulter, vi är duktiga på flödesteknik. Vår roll är att hjälpa er överbrygga gapet mellan teknik och säkerhetskrav.

När ni anlitar oss eller köper produkter via oss kan vi hjälpa till att:

  • Granska specifikationer: Vi vet vad vi ska leta efter i databladen.
  • Ställa de obekväma frågorna: Vi har direktkontakt med tillverkarna och kan kräva svar om ursprung och kod.
  • Anpassa leveransen: Vi kan ofta konfigurera enheter innan leverans så att onödiga portar och signaler är stängda när produkten når er.

Använd vår checklista nästa gång ni ska göra ett inköp. Det är ett enkelt sätt att visa att ni tar ert ansvar enligt NIS2.