Hur används SCADA i vattenförsörjning?

SCADA-system i vattenförsörjning övervakar och styr hela kedjan från råvattenintag till distribution. Systemet hanterar pumpar i pumpstationer, ventiler och tryckreglering i distributionsnätet, kemikaliepåfyllning i reningsverken och nivåer i reservoarer. I ett modernt verk kan tusentals mätpunkter och styrenheter vara anslutna till ett centralt SCADA-system.

De vanligaste SCADA-plattformarna i svensk vattenförsörjning är från ABB, Siemens, Schneider Electric och WonderWare. Dessa system har ofta lång livslängd och kan köra på föråldrade operativsystem. Fjärranslutning till pumpar och ventiler sker via telekommunikationsnätverk, ofta 4G/LTE eller dedikerade WAN-förbindelser.

Vanliga OT-säkerhetsbrister hos VA-verk

CISA:s granskning av vattensektorn 2024 identifierar fem återkommande säkerhetsbrister: fjärråtkomst utan MFA, föråldrade operativsystem utan säkerhetsuppdateringar, direktexponerade SCADA-gränssnitt mot internet, delade inloggningsuppgifter mellan operatörer och bristfällig nätverkssegmentering (CISA, 2024). Dessa brister är inte unika för USA, de identifieras konsekvent i svenska VA-verk under säkerhetsbedömningar.

Lärdomar från Oldsmar-attacken i Florida

I februari 2021 manipulerade en angripare via TeamViewer natriumhydroxidnivåerna vid ett vattenreningsverk i Oldsmar, Florida, till 111 gånger normalnivån. En uppmärksam operatör noterade det ovanliga musbeteendet och stängde fjärranslutningen. Incidenten orsakade ingen faktisk skada men visade att angripare aktivt söker efter exponerade vattenverk och kan manipulera kemikalieblandning. Den primära lärdomen: avveckla omedelbart alla direkta fjärråtkomstlösningar utan MFA.

[IMAGE: Diagram över vattenreningsverks SCADA-system och säkerhetszoner - sökterm: water treatment plant SCADA security zones]

Praktiska OT-skyddsåtgärder för VA-verk

VA-verk med begränsade resurser bör prioritera åtgärder med störst riskreduktion per investering. CISA:s Water and Wastewater Sector Cybersecurity Guide 2024 identifierar fem prioriterade åtgärder anpassade för sektorn (CISA, 2024).

Åtgärd 1: Implementera MFA för all fjärråtkomst till OT-system omedelbart. Det är den enskilt viktigaste åtgärden baserat på hur de flesta intrång mot vattenverk skett. Åtgärd 2: Genomför en grundläggande nätverkssegmentering som separerar SCADA-systemet från kontorsnätverket. Åtgärd 3: Inventera alla OT-tillgångar och identifiera internet-exponerade tjänster som ska stängas. Åtgärd 4: Implementera passiv nätverksövervakning för att detektera avvikande kommunikation. Åtgärd 5: Dokumentera en incidentresponsplan specifik för VA-drift, inklusive manuella driftsrutiner vid systemavbrott.

[PERSONAL EXPERIENCE] I säkerhetsbedömningar av svenska VA-verk finner vi nästan alltid att TeamViewer, AnyDesk eller liknande consumer-grade fjärråtkomstverktyg används utan autentiseringskrav, ofta installerade av externa konsulter under underhållsarbete och sedan aldrig avinstallerade. Dessa är omedelbara prioriteter för åtgärd.

NIS2 och vattensektorns krav i Sverige

NIS2 klassificerar dricksvatten och avloppshantering som väsentliga sektorer med de striktaste säkerhetskraven. VA-verksamheter som uppfyller tröskelvärdena (fler än 50 anställda eller mer än 10 miljoner euro i omsättning) måste implementera riskhantering, tekniska säkerhetsåtgärder och incidentrapportering till MSB. Tillsynsmyndighet för vattensektorn är Livsmedelsverket i samarbete med MSB (MSB, 2025).

En NIS2-utmaning specifik för vattensektorn är att kommunala VA-verk ofta är relativt små organisationer med begränsade resurser. MSB:s vägledning rekommenderar att dessa organisationer börjar med riskanalys och de mest kritiska tekniska åtgärderna, och gradvis bygger kapabiliteten. Kommunala samarbeten och upphandling av managed security services är möjliga vägar för resurssvaga kommuner.

Välja OT-säkerhetsleverantör: guide 2026

Vanliga frågor om OT-säkerhet i vattenförsörjning

Är svenska VA-verk verkliga mål för cyberangrepp?

Ja. SÄPO och MSB bekräftar att vatten och avlopp är en prioriterad sektor i hotbildsbedömningarna. Incidenter har rapporterats i svenska kommunala VA-verk om än inte alla har offentliggjorts av integritetsskäl. Sektorn är ett mål både för statliga aktörer som söker kapacitet för framtida sabotage och för opportunistiska ransomware-aktörer.

Hur hanterar man OT-säkerhet med begränsad IT-personal?

VA-verk med begränsade resurser kan börja med de fem prioriterade åtgärderna som CISA rekommenderar: MFA, nätverkssegmentering, tillgångsinventering, passiv nätverksövervakning och incidentresponsplan. Managed Security Services för OT, levererade av externa specialister, är ett kostnadseffektivt alternativ till att bygga intern kompetens. Kommunala samarbeten kan dela kostnader.

Krävs OT-specifika säkerhetsverktyg eller räcker IT-verktyg?

OT-specifika verktyg krävs för passiv nätverksanalys och förståelse av industriella protokoll som DNP3 och Modbus. Standard IT-brandväggar kan fungera för segmentering, men konfigurationen måste anpassas för OT-trafikflöden. IT-SIEM-lösningar kan integrera OT-larm om de konfigureras för OT-protokoll och OT-specifika detektionsregler implementeras.

Sammanfattning

Vattenförsörjning är kritisk infrastruktur med direkt folkhälsopåverkan, och OT-säkerhetsbrister i vattenverk kan få allvarliga konsekvenser. NIS2 gör nu OT-säkerhet till ett juridiskt krav för svenska VA-verk. Börja med de fem prioriterade åtgärderna, MFA, segmentering, tillgångsinventering, övervakning och incidentresponsplan, och bygg därifrån.

Opsio OT-säkerhetstjänster