OT-Säkerhet i Energisektorn: Skydda Elnät och Olja/Gas
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
OT-Säkerhet i Energisektorn: Skydda Elnät och Olja/Gas
Energisektorn är ett av de mest exponerade målen för statlig cyberverksamhet globalt. Dragos identifierade 2024 att sex av sina 21 spårade OT-hotgrupper primärt inriktar sina operationer mot energisektorn, fler än mot någon annan sektor (Dragos, 2024). För svenska energiaktörer som Vattenfall och Svenska Kraftnät är OT-säkerhet en nationell säkerhetsfråga.
Viktiga slutsatser
- Sex av Dragos 21 spårade hotgrupper 2024 riktar sig primärt mot energisektorn.
- APT-gruppen ELECTRUM har dokumenterad kapacitet att attackera SCADA-system i elnät.
- NIS2 klassificerar energisektorn som väsentlig entitet med de striktaste säkerhetskraven.
- IEC 61850, standard för elnätskommunikation, saknar inbyggd autentisering i äldre versioner.
Varför är energisektorn ett prioriterat mål för cyberangrepp?
Energisektorn är kritisk infrastruktur i ordets verkliga bemärkelse: allt annat samhälle är beroende av pålitlig energiförsörjning. Det gör energiproduktion och distribution till ett primärt mål för statsaktörer som vill förbereda kapacitet för sabotage i kris eller konflikt. Microsoft Threat Intelligence rapporterar att statliga aktörer från Ryssland, Kina, Iran och Nordkorea alla bedriver aktiv rekognosering mot europeiska energinätverk (Microsoft Threat Intelligence, 2025).
Ekonomiska motiv driver ransomware-aktörer. Energibolag opererar dygnet runt med minimal tolerans för driftstopp, vilket skapar stark betalningsvilja för utpressning. Dessutom handlar energibolag ofta med känslig prisdata och marknadsdata som kan ha marknadsvärde för finansiell brottslighet.
OT-säkerhet hos Svenska Kraftnät och Vattenfall
Svenska Kraftnät, systemoperatör för det svenska stamnätet, har strikta OT-säkerhetskrav som en del av sin kritiska infrastrukturroll. Organisationen arbetar tätt med MSB och NCSC-SE och implementerar säkerhetskrav som sträcker sig utöver NIS2:s miniminivå. Vattenfall, med produktion och distribution i Sverige, Norge, Tyskland och Nederländerna, har ett OT-säkerhetsprogram som inkluderar dedikerade OT-SOC-funktioner och IEC 62443-baserade kravnivåer.
Gemensamt för de ledande svenska energiaktörerna är en tydlig organisatorisk separation between OT-säkerhet och IT-säkerhet, med koordinering via en gemensam säkerhetsledning. De har också investerat i OT-specifika detekteringsplattformar och genomför regelbundna tabletop-övningar med scenarion från Dragos och ICS-CERT.
[UNIQUE INSIGHT] Baserat på offentliga rapporter och branschkontakter ser vi att ledande svenska energiaktörer systematiskt kartlägger sina OT-anslutningar mot externa partners, till exempel ENTSO-E-nätverket och leverantörers underhållsanslutningar, som en del av leveranskedjesäkerhetsarbetet. Denna kartläggning är ett krav som NIS2 nu formaliserar.
Vill ni ha expertstöd med ot-säkerhet i energisektorn: skydda elnät och olja/gas?
Våra molnarkitekter hjälper er med ot-säkerhet i energisektorn: skydda elnät och olja/gas — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Vilka är de unika OT-säkerhetsutmaningarna i elnätet?
Elnätets OT-säkerhet skiljer sig från annan industriell OT i tre avseenden. Geografisk distribution: elnätsinfrastruktur sträcker sig över hela landet med hundratals transformatorstationer, var och en med lokala styrsystem som potentiellt kan nås via telekomnätverk. Realtidskrav: balansering av produktion och konsumtion kräver millisekundsrespons, vilket begränsar vilka säkerhetsåtgärder som kan tillämpas i realtidskommunikationen. Ägarskapsstruktur: elnätsinfrastruktur ägs av många olika aktörer, vilket försvårar en sammanhållen säkerhetsstrategi.
SCADA-system i elnätsövervakning
Energy Management Systems (EMS) och SCADA-system för elnätsövervakning hanterar realtidsdata från hundratals mätstationer och manövrerbara enheter. Dessa system kommunicerar via ICCP (Inter-Control Center Communications Protocol) med andra systemoperatörer och via DNP3 eller IEC 60870-5-101/104 med fältenheter. CISA:s ICS-CERT har publicerat varningar om aktiva sårbarheter i populära EMS-plattformar från GE, Siemens och ABB under 2024.
IEC 61850 och kommunikationssäkerhet
IEC 61850 är standarden för kommunikation i moderna transformatorstationer. Den möjliggör interoperabilitet och fjärrstyrning men introducerar nätverkskommunikation i miljöer som historiskt kommunicerat via seriekablar. Äldre versioner av IEC 61850 saknar inbyggd autentisering och kryptering. Tillägg som IEC 62351 definierar säkerhetskrav för energikommunikationsstandarderna men kräver aktiv implementering.
[IMAGE: Arkitekturdiagram för elnätets OT-säkerhet med SCADA och substation - sökterm: power grid SCADA security architecture diagram]OT-säkerhet i olja och gas: pipeline och raffinaderier
Olja- och gassektorn kombinerar extrema fysiska risker med komplex OT-infrastruktur. Pipeline-SCADA styr ventiler och pumpar längs sträckor på hundratals mil. Raffinaderier och processindustri kör kontinuerliga processer med farliga material. En cyberattack som manipulerar processparametrar kan leda till explosion, brand eller farliga utsläpp. NIST SP 800-82 (rev 3) identifierar olja och gas som en av de sektorer med högst risk för katastrofala konsekvenser vid OT-angrepp.
Lärdomar från Colonial Pipeline-attacken
Colonial Pipeline-attacken i maj 2021 är den mest dokumenterade OT-säkerhetsincidenten i energisektorn. En ransomware-attack mot IT-systemen fick bolaget att stänga OT-systemet (pipelinen) som en försiktighetsåtgärd, trots att OT inte var direkt komprometterat. Bränslebrist uppstod längs USA:s östkust. Bolagets utbetalning på 4,4 miljoner dollar i lösen och den efterföljande politiska reaktionen satte OT-säkerhet på nationella säkerhetsagendan i USA. Den primära lärdomen för svenska energibolag är att segmentering between IT och OT kan förhindra att ett IT-intrång kräver OT-avstängning.
APT-grupper mot europeisk energisektor
Tre Dragos-spårade hotgrupper är specifikt relevanta för europeisk energisektor. ELECTRUM, kopplad till Sandworm/GRU, är gruppen bakom CRASHOVERRIDE-attacken mot ukrainskt elnät 2022. VOLTZITE bedriver kontinuerlig kartläggning av elnätsinfrastruktur i Europa och Nordamerika. KAMACITE fokuserar på energidistributionssystem och undervattensinfrastruktur. Alla tre bedöms ha aktiv verksamhet mot svenska och skandinaviska mål baserat på Dragos och SÄPO:s rapportering.
Angripares metod är långsiktig: de infiltrerar nätverket, etablerar uthållighet och samlar information under månader eller år. Syftet kan vara omedelbar störning eller förberedelse av kapacitet för framtida krisanvändning. SANS estimerar genomsnittlig detetkeringstid för APT i OT-nätverk till 150 dagar, vilket ger angriparna lång tid att kartlägga infrastrukturen.
[CHART: Karta över APT-gruppers aktivitet mot europeisk energisektor 2022-2025 - källa: Dragos]Regelverk: NIS2 och energisektorns OT-krav
NIS2-direktivet klassificerar energisektorn, inklusive el, olja, gas och fjärrvärme, som väsentlig sektor med de striktaste säkerhetskraven. Svenska energibolag som uppfyller tröskelvärdena måste implementera riskhantering, tekniska säkerhetsåtgärder, incidentrapportering och leveranskedjesäkerhet. MSB är tillsynsmyndighet och kan utfärda bindande beslut och böter (MSB, 2025).
Specifikt för energisektorn gäller också Energimyndighetens sektorsspecifika föreskrifter och kravet på samordning med Svenska Kraftnät för aktörer i elsystemet. NIS2-kraven kompletterar och interagerar med dessa sektorsspecifika krav. Organisationer bör kartlägga överlappningar och konflikter för att undvika duplicerade processer.
NIS2 och OT-säkerhet: efterlevnadsguideVanliga frågor om OT-säkerhet i energisektorn
Är luftgappad OT tillräckligt säkert i energisektorn?
Sällan i modern energiinfrastruktur. Drift av distribuerade elnät kräver dataöverföring som bryter mot renodlad luftgappning. Dessutom visar fall som Stuxnet att USB-minnen och leverantörers bärbara datorer kan bryta luftgap. En korrekt implementerad IDMZ med strikt trafikpolicy, kombinerad med fysisk säkerhetskontroll och USB-restriktioner, är ett mer realistiskt och effektivt alternativ.
Vilken standard gäller för elnätets cybersäkerhet i Sverige?
NIS2, implementerat i svensk lag 2025, är det primära regelverket. Energimyndighetens föreskrifter kompletterar med sektorsspecifika krav. IEC 62443 är det primära tekniska ramverket, och IEC 62351 adresserar säkerhet i energikommunikationsstandarder. Svenska Kraftnät ställer egna säkerhetskrav på aktörer i elsystemet som i vissa avseenden går längre än NIS2.
Hur påverkar energiomställningen OT-säkerheten?
Energiomställningen mot förnybar energi ökar OT-komplexiteten och attackytan. Distribuerad produktion, vindkraft och solceller, kräver fler anslutningspunkter och mer komplex balansering. Batterilager och smart grid-teknik introducerar nya OT-system och kommunikationsprotokoll. Varje ny teknologikomponent kräver OT-säkerhetsanalys och integration i det befintliga säkerhetsprogrammet.
Sammanfattning
Energisektorn har det mest komplexa och riskfyllda OT-säkerhetsläget av alla sektorer. Statliga APT-grupper bedriver aktiv kartläggning, ransomware-aktörer ser energibolag som attraktiva mål och NIS2 ställer bindande säkerhetskrav. Svenska Kraftnät och Vattenfall visar att det går att bygga ett moget OT-säkerhetsprogram i en komplex energimiljö.
Prioritera: segmentering av SCADA-system, OT-specifik nätverksövervakning, kontroll av fjärråtkomst och en testad incidentresponsplan. Dessa fyra åtgärder ger det starkaste fundamentet för energisektorns OT-säkerhet.
For hands-on delivery in India, see konsult for enterprise.
Opsio OT-säkerhetstjänsterRelaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
