Gårdagens avslöjande i Techworld om de sårbara uppkopplade kylsystemen hos många Ica-handlare har fått Ica-gruppen, alltså Ica:s centrala organisation, att reagera med oro över hur låg säkerhetsnivå flera av dessa kylsystem har. Ica-gruppens pressansvarige Niclas Strahner påpekar också att det står varje enskild handlare fritt att köpa in och låta installera vilka tekniska system de vill, och att Ica centralt inte kan ta ansvar it-säkerheten när enskilda handlare väljer att installera system utöver de som hanteras av Ica centralt.

– Notera att i Sverige finns cirka 1 300 butiker som ägs och drivs av fristående Ica-handlare. Detta innebär att de är fria att själva skaffa tekniker som sköter installation och service, skaffa kyl- och fryssystem, skaffa lokala tekniska installationer till sin butik et cetera, säger Niclas Strahner till TechWorld.

De aktuella kylsystemen tillverkas av det skotska företaget Resource Data Management (RDM), men företaget utför inte installation och driftsättning av sina produkter, utan detta sker med hjälp av lokala återförsäljare och installatörer.

– För att klargöra situationen från RDMs sida vill vi bekräfta att de fabriksinställda lösenorden måste ändras av installatören vid installationstillfället. RDM har ingen kontroll över var systemen installeras eller vem som installerar dem. Vi poängterar tydligt i vår dokumentation att grundlösenorden måste ändras när systemen installeras. Det är ungefär samma sak som när man köper en hemmarouter med användarnamnet och lösenordet admin/admin, säger RDM i ett uttalande till Safety Detective.

Niclas Strahner på Ica-gruppen säger till Techworld att representanter för Ica-gruppen nu ringer upp de berörda butikerna för att delge dem rekommenderade åtgärder och informerar dem om lämpliga rutiner och regelverk kring uppkopplade system.

– Vi ser naturligtvis allvarligt på detta och vi genomför en utredning mot bakgrund av uppgifterna som framkommit i artikeln. Vi har dubbelkollat uppgifterna centralt samt tagit kontakt med leverantörerna av de uppkopplade kylsystemen. Vi kan i dagsläget bekräfta att det är tre Ica-butiker som har det aktuella, fristående och uppkopplade kylsystemet, säger Niclas Strahner.

– Orsaken är att installationen av dessa [kylsystem] inte genomförts korrekt, vilket öppnat upp tillgången till butikslayout och maskinrums-information i två av dessa butiker och tillgången till servicemenyn i den tredje butiken.

Vet ni vilka företag som sköter installationer och service av de aktuella kylsystemen i Sverige?

– Ja, vi vet vilka som sköter installation och service för dessa lokala butiker. Notera att RDM inte är ett standardsystem Ica rekommenderar eller erbjuder till de lokala butikerna, vilket innebär att Ica inte heller driftar detta centralt. Det är alltså ett system som tagits in och kopplats upp på handlarens eget bevåg.

Hur många Ica-butiker i Sverige har kylsystem från RDM?

– I och med att handlaren är fri att själv köpa upp kyl- och fryssystem finns det ett par olika leverantörer. Däremot är enbart ett fåtal av dessa fristående kylsystem uppkopplade idag.

Har Ica varit medvetna om att vissa av tekniska installationer i butikerna är uppkopplade mot internet (bortsett från till exempel kassasystem)?

– Ja, vi känner till att det finns uppkopplade fristående system (utanför Icas nätverk) utöver de som hanteras centralt av Ica.

Har ni informerat handlarna om riskerna med detta?

– Ja, detta är något som sker löpande och handlarna är generellt informerade om informationssäkerhetsrisker genom det utbildningsmaterial som Ica centralt förser dem med.

Vem eller vilka är det som ansvarar för säkerheten i dessa sammanhang, är det butiken, installatören eller Ica centralt?

– När en butik tagit in ett system som inte erbjuds eller supportas centralt, är det formellt handlarens ansvar. Samtidigt bidrar Ica centralt med stöd och åtgärder vid eventuella fel eller brister.

Hur kommer ni att stärka säkerheten för uppkopplade tekniska butikssystem i framtiden?

– System som ICA utvecklar, driftar, och erbjuder centralt arbetar vi strukturerat och har regelverk och rutiner för att säkerställa att de system som produktionssätts håller en ändamålsenlig informationssäkerhet. Detta syftar även till att medvetandegöra våra handlare om säkerhetsfrågor kopplat till sina egna lokalt upphandlade system.

Läs också:
Enkelt stänga av kylarna på Ica – ligger vidöppna på internet
Tusentals svenska företag öppna för gisslanattacker