Under de senaste tio–femton åren har allt fler byggnader fått en puls. Sensorer, loggar och styrsystem producerar en ständig ström av signaler som beskriver vad som faktiskt sker i fastigheten. Det är den här utvecklingen som gjort fastighetsautomation till en allt guldgruva av data som utgör en allt viktigare källa för optimering av fastigheter. Genom att data finns tillgängligt i stora mängder, kan detta datainsamlande också vara en bra källa att tillgå vid forensiskt arbete. Johnny Bengtsson, IT-forensiker vid NFC har ägnat en hel del tid åt se hur vi kan använda smarta fastigheter till att ta byggnader från bara en plats där ett brott sker, till platser att undersöka, ibland med en historia, sann eller förvanskad. Byggnaderna är vittnen.
Forensik i uppkopplade byggnader
Fastighetsautomation är något fundamentalt annat än traditionell IT; här handlar det om mätvärden från sensorer eller närvarodetektering från PIR-sensorer. I Johnnys arbete med att forska på området har han använt bland annat CO₂-sensorer, IR-sensorer och magnetkontakter. Men en smart byggnad innehåller dessutom exempelvis aktuatorer som styr saker baserat på mätvärden. Systemen bygger ofta på låg samplingsfrekvens, enkla logikfunktioner och komponenter som aldrig designats för bevisvärde. Därför är tester och metodik centrala för att avgöra vad som går att lita på.
När avsiktliga och oavsiktliga händelser blandas
I en uppkopplad byggnad genereras data av tre kategorier av händelser, avsiktliga stimuli, oavsiktliga händelser och rena olyckor. En magnetsensor som reagerar när en dörr öppnas, ett röstkommando till en smart högtalare som tänder lampan eller en vattenläcka som triggar en kulventil—alla dessa skeenden skapar digitala spår som i teorin kan användas för att rekonstruera en tidslinje vid brott eller olycka. Frågan man dock måste ställa sig är, går det att manipulera sensordata så att systemet ger en felaktig bild av vad som hänt eller är data och mätningar korrekt? Fungerade sensorn som den skulle och hur var den monterad.
Falska rörelser och gömda avtryck
Ett av de mest illustrativa testen gällde PIR-sensorer, vanliga i kontor och trapphus för närvarodetektering. PIR reagerar på förändringar i infraröd strålning—i praktiken värme—och genom att flyga en liten drönare inomhus kunde forskarteamet skapa tydliga falska positiva utslag: systemet tolkade drönaren som mänsklig rörelse. Det visar hur enkelt felaktiga spår kan skapas och hur snabbt en utredning kan ledas fel. Lika viktigt var försöken att uppnå falska negativa resultat; med en nödfilt med metallbestrykning gick det delvis att maskera kroppsvärme och därmed undgå rörelsedetektering. I praktiska tester med rörelsestyrd belysning på toaletter kunde registrering helt utebli. CO₂-sensorer uppvisade högre robusthet; människans andningsavtryck är svårt att kapsla in över tid men genom att andas i luftmadrasser gick det ändå att lösa även om det är svårt. Men om man lägger två sensorers data ovanpå varandra, ja då blir det betydligt svårare att lura systemen, PIR-sensorn kanske inte triggats, medan CO₂-sensorn gjorde det. Förutsatt att det inte är en kolsyrepatron som ligger och läcker i ett hörn vill säga.
Forensiskt arbete kräver metodik
För att dra trovärdiga slutsatser behövs en strukturerad arbetsgång som speglar traditionell forensik—beslag och dokumentation, hårdvaruanalys, dataextraktion, tolkning och slutsatsdragning—men med en extra ingenjörsdimension. Tidsstämplar kan vara osynkade, samplingsfrekvenser för låga och loggnivåer anpassade för drift snarare än bevisinsamling. Det betyder att dataluckor uppstår och att små tidsfönster kan utnyttjas av en angripare eller av en person som vill undvika upptäckt. Den mänskliga faktorn är också kritisk; kognitiv bias, förväntningar och grupptänk riskerar färga tolkningen. NFC:s praxis att arbeta två personer vid analys är ett sätt att minska risken för förhastade slutsatser.
Cyberangrepp och hybridhot når fastigheterna
När fastighetsautomation och IoT kopplas upp ökar också angreppsyta och attraktionskraft för illasinnade aktörer. Motivbilden spänner från ekonomisk vinning och utpressning till sabotage och mer komplex hybridpåverkan där samhällskritiska funktioner eller produktionskapacitet påverkas. Effekterna kan vara att driftpersonal stängs ute, att sensorer manipuleras eller att inomhusmiljöer förändras för att orsaka skada eller skapa missvisande forensiska data. Förebyggande åtgärder måste därför kombinera klassisk säkerhetsarkitektur—segmentering, nätavskiljning, uppdateringsrutiner—med operationella rutiner: incidentplaner, ansvarskedjor och tydliga procedurer för hur loggar och artefakter ska säkras vid misstanke om intrång.
Digitala tvillingar och bevarande av scenarier
En intressant väg framåt är digitala tvillingar: kontinuerligt uppdaterade kopior av byggnadens tillstånd som kan användas både för simulering av angrepp och för att frysa ett incidentögonblick. Genom att kombinera lidar, GPS, tidsloggar och sensordata går det att skapa en tidsmässigt synkroniserad bild som underlättar rekonstruktion. Digitala tvillingar kan också vara ett verktyg för testmiljöer där man proaktivt tränar på angrepp och försvar utan att riskera produktion. För att detta ska fungera i forensiskt syfte krävs dock designbeslut som prioriterar bevisvärde: säkra loggar, klocksynkronisering, högre samplingsfrekvenser där det är relevant och en arkitektur som möjliggör bevarande av snapshot–data.
När byggnaden blir ett vittne
Det som gör området så angeläget är kombinationen av teknisk potential och praktiska begränsningar. Data från sensorer kan, rätt hanterad, hjälpa utredare att förstå händelseförlopp; de kan också vilseleda om systemen inte är robusta eller om aktörer medvetet manipulerar dem. För IoT-branschen innebär detta ett ansvar: att designa lösningar som inte bara optimerar drift och energieffektivitet utan också tar hänsyn till forensisk spårbarhet. Våra uppkopplade byggnader lämnar fler spår än någonsin, men för att använda dem måste vi veta hur vi tolkar och bevarar dem.