När cybersäkerhetsexperter pratar om kritisk infrastruktur hamnar eldistribution och sjukhus alltid högt på listan. VA-sektorn, den som ser till att rent vatten kommer ur kranen och att avloppet fungerar, är det sällan någon som pratar om. Det är ett ointresse som kan få allvarliga konsekvenser, menar Thomas Olsson, executive solution consultant, Octave.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Förra vintern stod danska hushåll i en hel region utan vattenförsörjning under flera timmar, efter att hackare tagit kontroll över ett regionalt vattenverk och höjt trycket i ledningarna tills rören sprack. Bara några månader senare öppnade angripare en lucka i ett norskt vattenkraftverk på distans och lät vatten strömma fritt i fyra timmar. I båda fallen pekade utredningarna på pro-ryska aktörer med kopplingar till underrättelsetjänster.
Sverige har ännu inte drabbats av ett angrepp mot ett VA-verk, men risken finns att Sverige blir nästa offer, för det råder ingen tvekan om att svensk samhällsviktig infrastruktur är under attack. I april 2026 bekräftade civilförsvarsminister Carl-Oskar Bohlin att ett värmeverk i västra Sverige utsatts för ett misslyckat försök till destruktiv cyberattack våren 2025, utfört av en grupp med kopplingar till rysk underrättelsetjänst. Attacken riktades mot de industriella styrsystemen som styr den fysiska anläggningen. Den attacken misslyckades, men är ett tydligt tecken på att riskerna ökar.
VA-sektorn är ett naturligt nästa mål av flera skäl. Angrepp på vattenförsörjning ger omedelbar och tydlig samhällspåverkan. Sektorn är fragmenterad och består av hundratals aktörer i varierande storlek, med begränsade resurser för säkerhetsarbete. Och de system som styr pumpar, ventiler och kemikaliedosering, det vill säga de så kallade OT-systemen, är ofta äldre, exponerade mot internet och saknar grundläggande skydd.
Situationen förvärras av att kunskapen om dessa risker länge saknats på ledningsnivå. MSB:s Cybersäkerhetskollen 2025 inkluderade för första gången en mätning av OT-säkerheten i samhällsviktiga verksamheter. Resultatet var nedslående. Av de organisationer som genomförde mätningen klarade bara tre den lägsta godkända nivån och ingen nådde nivå två. Tyvärr visar mätningar genomgående sedan 2021 att ledningar inte engagerar sig, att kompetens saknas och att säkerhetsarbetet ofta stannar på papperet.
Den nya cybersäkerhetslagen, som trädde i kraft i januari 2026 inom ramen för EU:s NIS2-direktiv, skärper nu kraven på hela VA-sektorn. Livsmedelsverket är tillsynsmyndighet för dricksvatten och verksamheter med fler än femtio anställda eller en omsättning på över tio miljoner euro omfattas. Lagen ställer krav på systematisk riskhantering, säkerhetsåtgärder och incidentrapportering inom 24 timmar. Men en lag förändrar inte verkligheten av sig självt.
Vad behöver då VA-organisationer faktiskt göra?
Det första och mest grundläggande steget är att genomföra en fullständig inventering av de OT-tillgångar som finns i verksamheten, det vill säga vilka styrsystem, sensorer och gränssnitt mot internet som faktiskt är i drift. Utan den kunskapen är det omöjligt att prioritera skyddsåtgärder. Nästa steg är att segmentera nätverken så att de industriella styrsystemen skiljs från kontorsnätverk och att externa system placeras bakom strikta brandväggar, med tydligt definierade kommunikationskanaler.
Åtkomstkontroll är lika viktig som nätverksarkitektur. Multifaktorsautentisering, kontrollerade ingångar för fjärrstyrning och borttagning av standardlösenord på alla enheter i fält eliminerar en stor del av den attackyta som angripare söker.
Löpande övervakning av OT-systemen är det steg som ofta saknas. Moderna system för att upptäcka intrång kan tränas på det normala beteendet hos pumpar och trycknivåer, och flagga avvikelser som ingen operatör skulle hinna se i realtid. Det ger tid att agera innan ett angrepp hinner orsaka fysisk skada.
Det sista steget handlar om att förbereda sig för det värsta. En testad plan för incidenthantering, säkerhetskopiering av styrlogik och dokumenterade rutiner för manuell drift är skillnaden mellan en hanterbar störning och ett fullständigt produktionsstopp.
Grannländerna fick betala dyrt för sina lärdomar. I Sverige finns det fortfarande tid att täppa till luckorna, men det måste ske omedelbart om inte vi också ska råka ut för liknande intrång.
Thomas Olsson,
Executive solution consultant, Octave
Grundat: Som ett självständigt bolag efter avknoppningen från Hexagon 2026.
Huvudkontor: Verksamhet i 45 länder med global närvaro inom industri, infrastruktur, offentlig sektor och säkerhet.
Verksamhet: Utvecklar verksamhetskritisk mjukvara för att hjälpa organisationer att designa, bygga, driva och skydda anläggningar, infrastruktur och samhällsviktiga verksamheter.
Känd för: Lösningar inom fysisk säkerhet, incidenthantering, lägesbild, cybersäkerhet, geospatial analys och hantering av kritiska tillgångar.
Storlek: Cirka 7 200 medarbetare, 14 000 kunder i 180 länder och lösningar som används för att skydda över en miljard människor världen över.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
