Labbets dolda
OT-attackytor
En djupanalys av hur LIMS-databaser, HPLC-styrenheter och renrums-BMS hänger ihop i ett ackrediterat laboratorium — och varför ett enda intrång kan ogiltigförklara år av mätdata.
Nordia Analytik AB
— systemkartan
Nordia Analytik AB driver ett ISO 17025-ackrediterat kontrakt-laboratorium med 120 medarbetare. Labbet utför analyser inom läkemedel, livsmedel och miljö. LIMS-systemet är välskyddat — men instrumentstyrning, renrums-BMS och IoT-miljöövervakning saknar i stort sett all cybersäkerhetskontroll.
LIMS — Laboratory Information Management
SQL Server-backend med "sa"-konto aktiverat och standardlösenord på 4 av 6 databasservrar. LIMS innehåller alla provresultat, ackrediteringsunderlag och kundrapporter. En manipulering av LIMS-data kan ogiltigförklara hela ackrediteringen.
HPLC/GC/MS instrumentstyrning
Instrument-PC:er kör Windows 7 (EOL) och Windows 10 utan patchcykel — leverantören tillåter ej OS-uppdateringar utan omvalidering (ISO 17025 §6.4.7). Direkt nätverksanslutning till labbnät — ingen segmentering mot LIMS-nät. Mätdata kan skrivas om utan spårbar logg.
Renrums-BMS och klimatstyrning
BACnet/IP utan autentisering. Renrum kräver exakt temperatur (±0,5°C), lufttryck och partikelnivå för ISO-klassning. En störning i klimatstyrningen kan ogiltigförklara alla prover som tagits under perioden — utan att labbet märker det förrän vid nästa revision.
Kyl- och frysförvar för prover och reagens
Rees Scientific IoT-gateway kommunicerar via MQTT mot tillverkarens moln — utan loggning eller autentisering på OT-sidan. Temperaturlarm kan tystats eller falsifieras. Prover värda miljoner kronor och biologiska reagens kan förstöras utan att larmet utlöses.
Kalibreringshantering och referensmaterial
LabX kalibreringsserver på separat Windows-instans — sällan patchad eftersom kalibreringscykeln kräver revalidering. Manipulerade kalibreringsvärden producerar systematiskt felaktiga mätresultat som passerar QC-kontroller men skapar falsk trygghet under månader.
Automatiserade prov-hanteringsrobotar
Robotik-controllers kommunicerar via proprietärt TCP/IP-protokoll utan kryptering. Felaktiga pipetterings-instruktioner kan skickas utan autentisering. En angripare kan orsaka kors-kontaminering av prover — en av de allvarligaste kränkningarna mot ett ackrediterat labb.
Dragskåp och kemikaliehantering
Dragskåpens luftflöde och säkerhetsspjäll är BACnet-anslutna till renrums-BMS. En manipulation av luftflödet skapar kemikalieexponering för personal utan att larmet utlöses. Kombinerat med Siemens APOGEE-intrång.
Externt datautbyte och kund-portal
Kundportalen hämtar data direkt från LIMS via SQL-frågor. Otillräcklig input-validering — potentiellt SQL injection-sårbar (testad internt, ej åtgärdad). Kompromiss = åtkomst till alla kunders provresultat och historik — GDPR-brott och affärsskada.
Tre nät —
utan segmentering
Nordia Analytik har ett IT-nät (LIMS, e-post, HR), ett labbnät (instrument-PC:er) och ett BMS-nät (klimat, kyla). I teorin separata — i praktiken sammanlänkade via delade switches, leverantörers fjärråtkomst och okontrollerade USB-enheter.
Instrument-PC:erna på labbnätet kör Windows 7 (EOL sedan januari 2020) och Windows 10 utan patchcykel. Anledningen: Agilent och Waters kräver att OS-uppdateringar testas och valideras mot mjukvaran innan de installeras — en process som tar 3–6 månader och kostar 150–400 KSEK per instrument. Resultatet är att kritisk säkerhetspatchning uteblir i praktiken för alltid. Precis samma valideringsparadox som i sjukvårdens MDR-problematik.
Från dataintrång
till ogiltig ackreditering
SQL injection i kundportalen
Angriparen testar kundportalen med standardiserade SQL injection-payloads. Inmatningsfältet för "Ordernummer" är sårbart: ' OR '1'='1 ger åtkomst till alla orders. UNION SELECT ger access till underliggande tabellstruktur i LIMS-databasen.
T0817 — Exploit Public-Facing ApplicationLateral rörelse via "sa"-kontot
SQL injection avslöjar att SQL Server kör med "sa"-kontot aktiverat. xp_cmdshell aktiveras — angriparen kör Windows-kommandon på LIMS-servern. Nätverksscan från LIMS-servern identifierar labbnätet och instrument-PC:er.
T0859 — Valid AccountsSubtil LIMS-manipulation — systematisk datajustering
Angriparen modifierar provresultat för ett läkemedelsbolag: kloridhalten för 240 prover justeras med +0,8% — precis under QC-acceptansgränsen. Resultaten passerar alla automatiska kontroller. Inga larm. Labbet rapporterar felaktiga värden i 6 veckor.
T0882 — Theft of Operational InformationDiscovery och ackrediteringskonsekvenser
Läkemedelsbolaget noterar avvikelser i sin interna QC. SWEDAC informeras. Ackrediteringsrevision initieras. Nordia Analytik kan inte bevisa att LIMS-data är opåverkad — ISO 17025 §7.5 (data integrity) kan inte uppfyllas. Ackrediteringen suspenderas.
T0879 — Data Destruction- Ackrediteringssuspension: omedelbar driftstopp — alla pågående kontrakt ifrågasätts
- Kundkrav för felaktiga analysrapporter: potentiellt 10–50 MSEK i skadestånd
- GDPR-anmälan: alla kunders provdata exponerade via SQL injection
- Forensik svår: SQL Server-loggar ej aktiverade, ingen SIEM-integration
Intern position via phishad labbtekniker
Siemens-tekniker phishad via falsk e-post om "APOGEE-serviceuppdatering". VPN-credentials stulna. Angripare på BMS-nätverkssegment med full åtkomst till Siemens APOGEE Building Management System och alla 180 BACnet-noder.
T0865 — SpearphishingBACnet Write Property — subtil temperaturavvikelse
Angriparen justerar set-point i renrum C (sterilitetstest-rum) från 22,0°C till 22,8°C — under alarm-tröskeln på 23°C. Tryckdifferensen minskas marginellt: från 15 Pa till 13 Pa. Båda avvikelserna är utanför ISO-specifikation men under larmgräns.
T0855 — Unauthorized Command MessageTyst angrepp under 4 veckor
Nordia Analytik utför sterilitets- och endotoxintester för ett biotech-bolag under 4 veckor. Alla tester rapporteras "godkänd". Avvikelsen i klimatparametrar dokumenteras inte — BMS-logg sparas i 7 dagar och skrivs över. Ingen ISO 17025-revision av klimatdata planerad förrän om 6 månader.
T0840 — Network Connection EnumerationRetroaktiv ogiltigförklaring
Biotechbolaget skickar in produkten för myndighetsgranskning. Klimatavvikelserna i renrum C hittas vid revision. Alla 4 veckors sterilitetsresultat ogiltigförklaras retroaktivt. Ny testning krävs — produktlansering försenas 6 månader. Skadeståndskrav på 20–80 MSEK.
T0814 — Denial of Service- Retroaktiv ogiltigförklaring av 4 veckors analyser — kund drabbas av produktfördröjning
- Nordia Analytik bryter ISO 17025 §6.3 (suitable environment) utan att veta om det
- BMS-logg raderad efter 7 dagar — forensik omöjlig
- NIS2-incident omöjlig att rapportera korrekt utan OT-loggning
Lateral rörelse från instrument-PC via opatchad Windows 7
Angriparen exploaterar EternalBlue (MS17-010) på en opatchad Windows 7-instrumentPC (Agilent HPLC). Från HPLC-PC kan angriparen nå robotik-controllers på labbnätets subnet — inga brandväggsregler blockerar.
T0866 — Exploitation of Remote ServicesTCP-session mot Hamilton STAR-controller
Hamilton STAR-roboten kommunicerar via proprietärt Vector TCP/IP-protokoll utan autentisering eller kryptering. Protokolldokumentationen är offentlig. Angriparen skickar modifierade "aspirate/dispense"-kommandon — ändrar volym och brunnsnummer för specifika provomgångar.
T0855 — Unauthorized Command MessageKors-kontaminering av läkemedels-råmaterial
En omgång antibiotika-råmaterial (penicillin) pipetteras in i brunnar avsedda för penicillin-allergi-testprover. Kontamineringen sker i mikroskopisk dos — syns inte visuellt. LIMS rapporterar "negativt" för allergitestproverna. Patientprov av en penicillin-allergiker rapporteras falskt negativt.
T0838 — Modify Alarm SettingsAllvarlig patientskada och myndighetsingripande
Allergipatienten ordineras penicillin baserat på falskt negativt allergitest. Allergichock inträffar. Händelsen utreds av IVO (Inspektionen för vård och omsorg) och Läkemedelsverket. Nordia Analytik kan inte bevisa att robotkontrollerna inte manipulerades — SWEDAC-ackreditering dras in omedelbart.
T0879 — Data Destruction- Allvarlig patientskada — straffrättsligt ansvar möjligt för VD och laboratoriechef
- SWEDAC-ackreditering dras in omedelbart — verksamheten upphör
- IVO och Läkemedelsverket inleder utredningar
- Mediasexponering: trovärdigheten för ett ackrediterat labb är omöjlig att återuppbygga
Valideringsparadoxen —
säkerhet vs. ackreditering
| System | Kritikalitet | OT-cyber-ansvarig | NIS2/ISO-ansvarig | Loggad? |
|---|---|---|---|---|
| LIMS SQL Server | Kritisk | IT-avdelningen (delvis) | VD/Kvalitetschef | Delvis |
| HPLC/GC instrument-PC:er | Kritisk | Leverantör (Agilent/Waters) | Oklart | Nej |
| Renrums-BMS (APOGEE) | Kritisk | Siemens (leverantör!) | Oklart | Nej |
| Kyl/frys IoT (Rees) | Kritisk | Rees Scientific moln | Oklart | Nej |
| Robotik (Hamilton/Tecan) | Kritisk | Labpersonal (ej cybersäk.) | VD/Kvalitetschef | Nej |
| Kalibreringsserver (LabX) | Hög | Leverantör (Mettler Toledo) | Kvalitetschef | Delvis |
| Kundportal (webb) | Hög | IT-avdelningen | VD/DPO | Delvis |
ISO 17025-valideringen förhindrar säkerhetspatchning
Precis som MDR i sjukvården kräver ISO 17025 §6.4.7 att OS-uppdateringar valideras mot mjukvaran. Resultatet: instrument-PC:er kör EOL-operativsystem för alltid. Branschstandarden skapar strukturell cyberosäkerhet.
Tyst dataintegritetsskada är den mest troliga angreppsvägen
En angripare som vill orsaka maximal skada behöver inte stänga ner labbet. En subtil manipulation av LIMS-data eller kalibreringsvärden kan producera felaktiga resultat i månader — utan att labbet märker det.
Fyra leverantörers permanenta VPN — ingen av dem auditerade
Agilent, Siemens, Waters och Rees Scientific har permanenta serviceanslutningar. Ingen av dem loggas. Valideringsprocessen kräver leverantörens godkännande för ändringar — vilket ger leverantören de facto systemägande.
Ackrediteringen är verksamhetens existensbetingelse
För ett kontrakt-labb är ISO 17025-ackrediteringen inte ett certifikat — det är hela affärsmodellen. En suspenderad ackreditering innebär omedelbar driftstopp. Cybersäkerhetsbrist = ackrediteringsrisk.