Utredande use case · Datacenter · NIS2 Bilaga I

Datacenterets
OT-exponering

En djupanalys av kraft-, kyl- och BMS-systemens dolda attackytor i ett modernt datacenter — och varför OT-säkerheten halkar efter IT-säkerheten med tio år.

400+
OT/IoT-enheter
15 min
Termisk attack → haveri
3
Attackscenarier
10 MEUR
Max NIS2-sanktion
Fiktivt scenario — Nordic Edge AB är ett konstruerat analysfall. Systemkonfigurationer och CVE:er är verkliga och dokumenterade i CISA ICS-advisories och Shodan-databaser.
01
Analysfall

Nordic Edge AB
— systemkartan

Nordic Edge AB driver ett 3 MW co-location datacenter med 400+ OT-enheter fördelade på kraft, kyla, BMS och säkerhetssystem. IT-säkerheten är välskyddad — brandväggar, SIEM, SOC. OT-nätet för kraft och kyla saknar i stort sett all cybersäkerhetskontroll.

Kritisk

UPS och nödström

12 UPS-enheter (APC Symmetra, Vertiv Liebert) + 2 dieselgeneratorer

SNMP v1/v2 med community string "public" exponerat på management-VLAN. Webb-GUI tillgängligt utan MFA. CVE-2022-22805 (APC NMC heap overflow, CVSS 9.0) opatchad på 8 av 12 enheter.

SNMP v1/v2CVE-2022-22805Opatchad
❄️Kritisk

CRAC/CRAH och kylsystem

24 CRAC-enheter (Schneider/Stulz/Vertiv) + 2 chillers

Modbus TCP utan autentisering. Set-point för temperatur och luftflöde kan ändras från valfri enhet på OT-nätverkssegmentet. En höjning med 8°C vid full serverbelastning ger termisk haveri på 15–45 minuter.

Modbus TCPSet-point sårbarTermisk attack
🏗️Kritisk

BMS / SCADA

Siemens Desigo CC + 180 BACnet-noder

BACnet/IP utan autentisering — standard i Desigo CC. BMS styr kyla, tillträde och brandskydd från ett enda gränssnitt. Siemens har permanent VPN-åtkomst för service — ej loggad, ej tidsbegränsad, ingen MFA.

BACnet/IPDesigo CCLeverantörs-VPN
🔌Hög

PDU (rack-strömfördelare)

180 intelligenta PDU:er (Raritan/APC)

Webgränssnitt med fabrikslösenord på 60+ enheter. SNMP-åtkomst tillåter per-outlet strömstyrning. En komprometterad PDU = fjärrstyrd strömavstängning för enskilda rack eller hela rader.

SNMP per-outletDefault-credsRack power control
🖥️Hög

Out-of-band management

Opengear IM7200-konsolservrar + Lantronix SLC

Konsolservrar ger seriell åtkomst till all nätverksutrustning och servrar — även vid nätverkshaveri. Exponerar SSH port 22 och webgränssnitt. Kompromiss = persistent djup åtkomst till all DC-infrastruktur.

SSH-åtkomstOOB-bryggaPersistent access
🔥Kritisk

Brandskydd och FM-200-suppression

Siemens FS720 + 6 suppressionszoner

BACnet-kopplat till Desigo CC. FM-200-suppression kan aktiveras via nätverkskommandon. Falskt utlöst suppression evakuerar personal och stänger av kylsystemet — kombinationen kan orsaka termisk haveri och personrisk.

BACnet suppressionFM-200Personrisk
🌡️Hög

Miljöövervaknings-IoT

200+ sensorer (temperatur, fukt, vattenläcka) — MQTT mot leverantörers moln

IoT-sensorer (Akcp, Geist, Schneider NetBotz) kommunicerar via MQTT direkt mot tillverkarens moln utan proxy eller loggning. Tre separata leverantörers molnanslutningar — inga av dem auditerade.

MQTT/molnSensorspoofingOkontrollerat
🔐Hög

Passerkontroll och CCTV

Lenel S2 + 120 Axis/Hikvision-kameror

Hikvision-kameror med defaultlösenord på 30+ enheter. Passerkontroll-servern kör Windows Server 2019 med sällan patchad Lenel-applikation. Kompromiss = obevakat fysiskt tillträde till maskinsalen och möjlighet till direktkontakt med all hårdvara.

Default-credsLenel S2Fysisk säkerhet
02
Nätverksarkitektur

Det dubbla nätet —
IT skyddat, OT öppet

Nordic Edge har investerat tungt i IT-säkerhet: NGFW, SIEM, SOC, penetrationstestning varje år. OT-nätet för kraft, kyla och BMS saknar i praktiken all säkerhetskontroll — inget IDS, inga segment-gränser, inga loggar.

NORDIC EDGE AB — OT/IT-NÄTVERKSTOPOLOGI
Internet
🌐 Internet
Schneider fjärrservice
Vertiv fjärrservice
Siemens servicenät
Leverantörs-VPN okontrollerat
Management-VLAN
DCIM-system
SNMP-management
Desigo CC (BMS)
OOB konsolservrar
OT + IT på samma VLAN
OT kraft/kyla
UPS (SNMP default)
❄️ CRAC Modbus TCP
🔥 Brandskydd BACnet
PDU webb-GUI
Ingen autentisering
IoT / Edge
Miljöövervakn. MQTT
Hikvision CCTV
Lenel-passerkontroll
Default-credentials
🔴 Termisk attack — snabbaste vägen till totalt driftstopp

En angripare med Modbus-åtkomst till ett CRAC/CRAH-system höjer set-point-temperaturen 8–10°C. Vid full serverbelastning stiger temperaturen i drabbade rack från 22°C till över 40°C på 15–45 minuter. CPU-throttling, sedan emergency shutdown. Utan OT-nätverkslogg kan operatören inte avgöra om det är tekniskt fel eller riktad attack — och saknar underlag för NIS2:s obligatoriska 72h-rapport till PTS.

03
Tre realistiska attackscenarier

Från Shodan-fynd
till total blackout

01
"Termisk attack" — Modbus CRAC → 40°C rack-temperatur på 20 min
Shodan discovery · Modbus unauthenticated · Thermal runaway
KRITISK
1

Shodan-sökning — Modbus port 502, Nordic Edges ASN

Söktermen "port:502 org:Nordic Edge" ger träff. Schneider CRAC-enhet svarar på Modbus TCP. Shodan-fingerprint identifierar enhetens modell: Schneider Uniflair UFCA. Ingen autentisering.

T0817 — Exploit Public-Facing Application
2

Modbus function code 6 — Write Single Register

Angriparen läser CRAC-registerkartläggning från Schneider UFCA dokumentation (offentlig). Register 40003 = Supply Air Temperature Setpoint. Aktuellt värde: 18°C. Angriparen skriver 27°C. Ingen larm, ingen logg.

T0855 — Unauthorized Command Message
3

Kaskadeffekt — alla 24 CRAC:er ändrade

Angriparen upprepar för alla 24 CRAC-enheter via Modbus-scan. Set-points höjs i hela maskinsalen. Servrar börjar CPU-throttla 12 minuter in. DCIM larmar "High Inlet Temperature" men larmmail fastnar i spamfiltret.

T0814 — Denial of Service
4

Emergency shutdown — SLA-brott och kundkrav

Servrar börjar stänga av vid 45°C. Nordic Edge aktiverar krisläge 18 minuter efter attack. Kan inte avgöra om det är tekniskt fel eller angrepp. Kunder informeras om "driftstörning". NIS2-rapport till PTS möjlig inte — ingen OT-logg.

T0879 — Data Destruction
Konsekvenser
  • Potentiell skada på serverhårdvara: 5–15 MSEK beroende på DC-storlek
  • SLA-brott mot kunder — avtalade skadestånd aktiveras
  • NIS2-rapport till PTS inom 72h omöjlig utan OT-logg
  • Forensik omöjlig: ingen Modbus-logg, ingen anomalidetektion, ingen varning
NIS2 Bilaga I — Digital infrastruktur · PTS
02
"SNMP-bryggan" — UPS default creds → PDU-styrning → rack power off
Default credentials · SNMP OID write · Selective rack shutdown
KRITISK
1

Intern position via phishad DC-tekniker

Nordic Edge-tekniker phishad via falsk e-post från "Schneider Electric Support". VPN-credentials stulna. Angripare på management-VLAN med ingenjörens behörighet — direkt åtkomst till SNMP management-nät.

T0865 — Spearphishing
2

SNMP v2c community scan — "public" på alla UPS

SNMP-scan mot management-VLAN: alla 12 APC UPS-enheter svarar på community "public" (read/write). APC UPS MIB OID 1.3.6.1.4.1.318.1.1.1.8.5.1 = output source control. Ger möjlighet att simulera UPS-transfer till bypass.

T0840 — Network Connection Enumeration
3

PDU-åtkomst — rack-level strömstyrning

Raritan PDU:erna är på samma VLAN. Fabrikslösenord "admin/admin" ger webgränssnitt-åtkomst. PDU-GUI visar alla outlets med kundnamn/rack-ID. Selektiv strömavstängning per kund möjlig — utan att störa övriga kunder och utan synlig larm.

T0855 — Unauthorized Command Message
4

Riktad attack — specifik kunds servrar stängs av

Angriparen identifierar en specifik kunds rack (konkurrent eller politisk motiv). Stänger av PDU-outlets för 12 servrar kl. 14:00 mitt i affärstid. Sabotageangripare, spionage eller utpressning — utan att resten av DC:n märker något.

T0813 — Denial of Control
Konsekvenser
  • Riktad attack mot specifik kund — potentiellt statsaktör eller industrispionage
  • Nordic Edge kan inte rekonstruera vad som hände — ingen PDU-åtkomstlogg
  • Kundrelation och avtal ifrågasatt — vem bär ansvar för selektiv sabotage?
  • NIS2 art. 21.2(d): leverantörskedjans säkerhet bruten — phishad tekniker okontrollerad
NIS2 Bilaga I — Digital infrastruktur · PTS · Kundavtal
03
"Brandlösen-krisen" — BMS-intrång → FM-200 utlöst + kylstopp
BACnet unauthenticated · Suppression trigger · Combined physical + OT impact
LIVSHOTANDE
1

Siemens servicenäts-credentials komprometterade

Siemens BuildingTech VPN-åtkomst till Desigo CC är permanent och saknar MFA. En Siemens-techniker phishad. Angriparen loggar in på Desigo CC och har full grafisk översikt av Nordic Edge DC — alla system, alla zoner.

T0865 — Supply Chain / Spearphishing
2

Förberedelse — BACnet-kommandon kartläggs

Angriparen identifierar i Desigo CC: (A) CRAC-set-points per zon, (B) FM-200 suppression-styrning per zon, (C) UPS bypass-kommandon via BMS-integration. Alla tre kan triggas via BACnet Write Property från Desigo CC.

T0840 — Network Sniffing / Reconnaissance
3

Koordinerad attack kl. 02:00

Steg 1: FM-200 suppression utlöses i maskinsalens sektion B — evakueringsalarm aktiveras, personal lämnar hallen. Steg 2: Desigo CC stänger av kylsystem i sektion B. Steg 3: UPS-bypass aktiveras — servrarna i sektion B tappar ström under UPS-transfer (0,5 sek gap i äldre enheter). 80 kundrack drabbas.

T0855 — Unauthorized Command · T0814 — Denial of Service
4

Personrisk och forensisk kris

FM-200-utlösning i bemannad hall är en allvarlig personrisk. Nordic Edge måste evakuera, RÄDDNINGSTJÄNSTEN tillkallas. Parallellt försöker DC-drift förstå om det är ett tekniskt fel eller angrepp. Ingen OT-logg. Siemens VPN-session syns inte i några loggar.

T0879 — Data Destruction
Konsekvenser
  • Personal i maskinsalen riskerade FM-200-exponering — lex Sarah-anmälan möjlig
  • 80 kundrack offline: 40–120 MSEK i kundskadestånd och SLA-brott
  • Ingen logg på Siemens VPN-åtkomst — forensik omöjlig, ansvarsfördelning juridiskt oklar
  • PTS-rapport inom 72h: omöjlig utan OT-tidslinje
NIS2 Bilaga I — Digital infrastruktur · PTS · Personansvar
04
Ansvar och insikter

IT-säkerheten är world-class —
OT-säkerheten saknas

SystemKritikalitetOT-cyber-ansvarigNIS2-ansvarigLoggad?
UPS och nödströmKritiskFacilities (ej cybersäk.)VD/CISONej
CRAC/CRAH kylsystemKritiskFacilities (ej cybersäk.)VD/CISONej
BMS / Desigo CCKritiskSiemens (leverantör!)OklartNej
PDU rack-styrningKritiskFacilities (ej cybersäk.)VD/CISONej
OOB managementHögIT-avdelningen (delvis)VD/CISODelvis
Brandskydd FM-200KritiskSiemens (leverantör!)OklartNej
IoT miljöövervakningHög3 leverantörers molnOklartNej
🏗️

Facilities äger OT, IT äger säkerhet — ingen äger båda

Facilities-avdelningen driftar kraft, kyla och BMS utan cybersäkerhetskompetens. IT-avdelningen har kompetens men inget mandat för OT. Gapet är organisatoriskt och strukturellt.

🌡️

Termisk attack är den snabbaste vägen till shutdown

Modbus saknar autentisering. Ingen validering krävs för att ändra set-points. 15 minuter från intrång till termisk haveri — snabbare än någon incident response-process.

🔗

Tre leverantörers permanenta VPN utan loggning

Schneider, Siemens och Vertiv har permanenta serviceanslutningar. Ingen av dem är loggade. Vid incident är attributionsarbetet omöjligt.

📋

PTS-rapport inom 72h kräver OT-tidslinje

Nordic Edge är NIS2 Bilaga I under digital infrastruktur. PTS är tillsynsmyndighet. Utan OT-logg är 72h-rapporten ofullständig — och risken för formell tillsyn ökar.

Hur ser er DC:s
OT-exponering ut?

Ladda ner den kostnadsfria NIS2-guiden för datacenter — eller boka en OT-inventering och se vilka Modbus- och SNMP-enheter som faktiskt är exponerade.

Ladda ner guiden (PDF) Boka OT-inventering