Indtil for ganske nyligt har det i princippet været muligt for enhver at klikke sig ind på en bestemt internetadresse og derfra styre blandt andet ventilationssystemet i en hollandsk sportshal.

Det har kunnet lade sig gøre, fordi et webinterface til Scada-systemet (supervisory control and data acquisition), der kontrollerer ventilationssystemet, har stået pivåbent på nettet, hvilket sikkerhedsforskeren under twitter-aliaset @ntisec har fundet frem til.

»Det er selvfølgeligt smart, at halbestyreren kan sidde derhjemme og skrue op og ned for temperaturen, alt efter hvornår der er i nogen i hallen, men det er knap så smart, at alle har kunnet gøre det,« siger Peter Kruse, sikkerhedsekspert i den danske virksomhed CSIS.

Han har selv været inde på hjemmesiden med det åbne webinterface og set, at det har kunnet lade sig gøre at justere på blandt andet temperaturen i sportshallen, hvilket dog i skrivende stund ikke skulle være muligt længere.

I hvert fald dukker den hollandske sportshal ikke længere op, når man laver en specielt konstrueret søgning på Google. Med den rette søgestreng er det dog ikke kun webinterfacet til den hollandske sportshal, der dukker op. Peter Kruse fortæller, at det har været muligt for enhver at Google sig frem til en lang række andre URL'er, som benytter samme webinterface og Scada-system, som tilfældet er med sportshallen.

Det åbne webinterface i den hollandske sportshal lægger sig tæt op adden stribe af sikkerhedshuller i Scada-systemer, som netop er blevet offentliggjort, og som ing.dk tidligere har kunnet fortælle om.

Læs også: Pinlige sikkerhedshuller i systemer til produktionsstyring offentliggjort

Peter Kruse påpeger, at eksemplet, hvor det kan lade sig gøre at kompromittere vandtemperaturen i en sportshal, er et godt eksempel på, hvad der sker, når man kobler Scada-systemer, der er designet, før internettet blev udbredt, på nettet fra det ene øjeblik til det andet.

Han understreger, at der som minimum burde have været sat kodeord og brugernavn på webinterfacet, så enhver ikke bare kunne styre ventilationssystemet.

»Grundlæggende er det et alvorligt problem, det er jo ikke nødvendigvis kun sportshaller, hvor nogen har glemt at beskytte webinterfacet,« siger Peter Kruse og henviser til, at der i princippet også kunne være åbne webinterfaces til elværker og lignende.