Julian Rieger
Cybersäkerhet i OT-miljöer – Sektor Vatten och avlopp
Kurs: Cybersäkerhet i OT-miljöer | KYH Yrkeshögskola | 2026-01-22
← Tillbaka till portfolio
OBS: Detta är ett examensarbete med fiktivt scenario skapad för utbildningsändamål. Alla organisationer, system och incidenter är påhittade.

1. Beskrivning av sektorn

1.1 Sektorns funktion och betydelse

Vatten- och avloppssektorn är en av samhällets mest kritiska infrastrukturer. Vattenreningsverk producerar dricksvatten till hushåll, industri och samhällsfunktioner. Utan rent vatten stannar samhället — människor kan överleva veckor utan elektricitet men endast dagar utan vatten. Sektorn försörjer cirka 9 miljoner svenskar med kommunalt dricksvatten.

Ett vattenreningsverk tar in råvatten och renar det genom: silning, kemisk fällning, filtrering och desinfektion. Processen kräver exakt dosering av kemikalier som klor och flockningsmedel. För hög klordosering är hälsofarligt, för låg ger otillräcklig desinfektion.

Sektorn klassas som väsentlig entitet under NIS2-direktivet och regleras av Livsmedelsverket avseende dricksvattenkvalitet.

1.2 Tekniska miljöer

IT-miljö

Administrativa system för personal, ekonomi, kundhantering och fakturering. Ofta ansluten till kommunens nätverk och internet.

OT-miljö

Operativ teknologi som styr den fysiska vattenreningsprocessen. Inkluderar pumpar, ventiler, doseringssystem och kvalitetsmätning. Historiskt isolerad men med ökande behov av fjärrövervakning.

1.3 ICS/OT-system i vattenreningsverk

Systemtyp Funktion Exempel
SCADA Övervakar hela processen, samlar data Siemens WinCC, GE iFIX
PLC Styr pumpar, ventiler och dosering Siemens S7-1200
HMI Operatörsgränssnitt i kontrollrum Touchpaneler, PC-stationer
RTU Fjärrstyrning av pumpstationer Kommunicerar via radio/4G
Sensorer Mäter pH, turbiditet, klornivå, flöde Kontinuerlig processdata
Historian Lagrar processdata för analys Krav från Livsmedelsverket
Notering: Många vattenreningsverk använder äldre system (10–20 år gamla) som designades utan cybersäkerhet i åtanke.

2. Hot, attacker och sårbarheter

Hot 1: Manipulation av kemikaliedosering via fjärråtkomst

En angripare får åtkomst till SCADA via osäker fjärråtkomst (VPN, TeamViewer) och ändrar doseringsnivåer för desinfektionsmedel. Detta är ett av de mest kritiska hoten mot vattensektorn.

Påverkade system: SCADA, PLC som styr doseringspumpar, HMI.

Konsekvenser

Referensfall: I Oldsmar, Florida (2021) försökte en angripare höja natriumhydroxid-nivån 100 gånger via TeamViewer. Attacken stoppades av en uppmärksam operatör (CISA, 2021).

Hot 2: Ransomware mot driftsystem

Ransomware krypterar Windows-baserade SCADA-servrar, HMI-stationer och Historian-databaser. Operatörer förlorar insyn i processen och kan inte övervaka vattenkvalitet.

Påverkade system: SCADA-servrar, HMI, Historian (L2–L3). PLC:er påverkas oftast inte direkt men kan inte övervakas.

Konsekvenser

Hot 3: Insiderhot och bristande åtkomstkontroll

Anställd, tidigare anställd eller underleverantör med kunskap om systemen missbrukar åtkomst. Alternativt utnyttjas delade inloggningar.

Konsekvenser

Referensfall: En före detta anställd i Kansas (2019) saboterade vattenverket månader efter avslut — kontot hade aldrig stängts.

3. IT/OT-arkitektur

En säker vattenverksarkitektur bygger på separation mellan IT och OT med kontrollerade övergångspunkter, baserat på Purdue-modellen.

IT-zon

Administrativa system, ekonomisystem, kundregister, e-post, internetåtkomst.

DMZ (demilitariserad zon)

OT-zon (Purdue-nivåer)

Kommunikationsprinciper (best practice)

4. NIS2-krav för sektorn

Dricksvattenförsörjning klassas som väsentlig entitet (Bilaga I, punkt 6). Tillsynsmyndighet i Sverige: MSB.

Krav 1 – Incidentrapportering (Artikel 23)

Rapport Tidsfrist Innehåll
Tidig varning 24 timmar Incident inträffad, initial bedömning
Incidentanmälan 72 timmar Påverkade system, vidtagna åtgärder
Slutrapport 1 månad Rotorsak, tidslinje, lärdomar

Krav 2 – Riskhantering (Artikel 21)

Krav 3 – Ledningens ansvar (Artikel 20)

Ledningen ska godkänna säkerhetsåtgärder, genomgå utbildning och kan hållas personligt ansvariga.

Krav 4 – Leverantörskedjesäkerhet (Artikel 21.2d)

Kravställning i leverantörsavtal, offboarding-rutin när avtal upphör.

Krav 5 – Utbildning (Artikel 21.2g)

Personal utbildas anpassat för deras roll — phishing-kännedom, lösenordspolicy, rapporteringsvägar.

Krav 6 – Kontinuitetsplanering (Artikel 21.2c)

Dokumenterade manuella driftsrutiner, backup och återställning, regelbundna övningar.

Gap-analys

NIS2-krav Nuläge (typiskt i sektorn) Rekommenderad åtgärd
Incidentrapportering Rutiner saknas Implementera rapporteringsprocess med tidsfrister
Riskanalys IT/OT Fokus på IT, OT glöms Inkludera SCADA/PLC i riskanalys
Leverantörssäkerhet Konton stängs ej vid avslut Säkerhetsbilaga i avtal, offboarding-rutin
Utbildning OT-personal Ingen cybersäkerhetsutbildning Årlig utbildning anpassad för OT
Åtkomstkontroll OT Delade konton, inget MFA Personliga konton, MFA för fjärråtkomst
Kontinuitetsplan OT Plan saknas eller ej testad Dokumentera manuell drift, öva årligen

5. Förenklad incidentrapport (MSB/NIS2-format)

OBS: Fiktiv incident för examinationsändamål.

Metadata

Rapporterande organisation Söderdalens kommun, VA-avdelningen
Datum för incident 2025-01-20
Rapportdatum 2025-01-21
Incidentkategori Obehörig manipulation av SCADA-system

Sammanfattning

Den 20 januari 2025 kl. 02:15 upptäcktes obehöriga ändringar i vattenreningsverkets SCADA-system. Klordoseringen hade ändrats från 0,5 mg/l till 2,5 mg/l via en fjärrsession med ett gammalt servicekonto tillhörande en tidigare leverantör.

Påverkade system

System Påverkan
SCADA-server Obehörig inloggning och parameterändring
PLC doseringssystem Mottog felaktiga börvärden
Kloreringsanläggning Ökad dosering under 45 minuter
Dricksvatten Förhöjda klorvärden i utgående vatten

Hur incidenten upptäcktes

  1. Automatiskt larm: Klorsensorn vid utlopp larmade på högt värde
  2. Nattoperatör: Såg i SCADA att börvärde var ändrat utan arbetsorder
  3. Loggkontroll: VPN-inloggning från utländsk IP kl. 02:10

Initiala åtgärder

  1. 02:20 — Klordosering återställd manuellt
  2. Inom 30 min — VPN-session avslutad, servicekontot spärrat
  3. Inom 1 timme — Alla fjärråtkomstkonton spärrade för granskning
  4. Inom 2 timmar — Loggar säkrades från VPN, SCADA och brandvägg
  5. Inom 6 timmar — Extra provtagning bekräftade normal vattenkvalitet
  6. Inom 24 timmar — Tidig varning skickad till MSB enligt NIS2 Artikel 23

6. Fördjupad incidenthantering

Rollfördelning

Roll Person/funktion Ansvar
Incidentledare VA-chef Koordinering, beslut, myndighetskontakt
OT-ansvarig Drifttekniker SCADA Teknisk analys av OT-system
IT-säkerhet Kommunens IT-avdelning Forensik, logganalys
Kommunikation Kommunikatör Intern/extern kommunikation
Kvalitetsansvarig Vattenprovtagare Verifiering av vattenkvalitet
Ledning Kommundirektör Informeras vid allvarlig incident

Kommunikationsvägar

Mottagare När Kanal Innehåll
MSB/CERT-SE Inom 24h cert.se portal Tidig varning NIS2 Artikel 23
Livsmedelsverket Inom 24h E-post/telefon Vattenkvalitetspåverkan
Kommunledning Omedelbart Telefon Lägesbild och beslutsbehov
Driftpersonal Löpande Internt möte Instruktioner för manuell drift

Återställningsarbete

  1. Verifiera intrångets omfattning — inga kvarvarande bakdörrar
  2. Sanera system — återställ SCADA från känd säker backup om nödvändigt
  3. Åtgärda grundorsak — inaktivera komprometterat servicekonto permanent
  4. Härdning — implementera MFA för alla fjärråtkomstkonton
  5. Gradvis återställning — aktivera fjärråtkomst först efter säkerhetsgranskning
  6. Förstärkt övervakning — extra loggranskning under 30 dagar

Uppföljning och lärande