Vatten- och avloppssektorn är en av samhällets mest kritiska infrastrukturer. Vattenreningsverk producerar dricksvatten till hushåll, industri och samhällsfunktioner. Utan rent vatten stannar samhället — människor kan överleva veckor utan elektricitet men endast dagar utan vatten. Sektorn försörjer cirka 9 miljoner svenskar med kommunalt dricksvatten.
Ett vattenreningsverk tar in råvatten och renar det genom: silning, kemisk fällning, filtrering och desinfektion. Processen kräver exakt dosering av kemikalier som klor och flockningsmedel. För hög klordosering är hälsofarligt, för låg ger otillräcklig desinfektion.
Sektorn klassas som väsentlig entitet under NIS2-direktivet och regleras av Livsmedelsverket avseende dricksvattenkvalitet.
Administrativa system för personal, ekonomi, kundhantering och fakturering. Ofta ansluten till kommunens nätverk och internet.
Operativ teknologi som styr den fysiska vattenreningsprocessen. Inkluderar pumpar, ventiler, doseringssystem och kvalitetsmätning. Historiskt isolerad men med ökande behov av fjärrövervakning.
| Systemtyp | Funktion | Exempel |
|---|---|---|
| SCADA | Övervakar hela processen, samlar data | Siemens WinCC, GE iFIX |
| PLC | Styr pumpar, ventiler och dosering | Siemens S7-1200 |
| HMI | Operatörsgränssnitt i kontrollrum | Touchpaneler, PC-stationer |
| RTU | Fjärrstyrning av pumpstationer | Kommunicerar via radio/4G |
| Sensorer | Mäter pH, turbiditet, klornivå, flöde | Kontinuerlig processdata |
| Historian | Lagrar processdata för analys | Krav från Livsmedelsverket |
En angripare får åtkomst till SCADA via osäker fjärråtkomst (VPN, TeamViewer) och ändrar doseringsnivåer för desinfektionsmedel. Detta är ett av de mest kritiska hoten mot vattensektorn.
Påverkade system: SCADA, PLC som styr doseringspumpar, HMI.
Ransomware krypterar Windows-baserade SCADA-servrar, HMI-stationer och Historian-databaser. Operatörer förlorar insyn i processen och kan inte övervaka vattenkvalitet.
Påverkade system: SCADA-servrar, HMI, Historian (L2–L3). PLC:er påverkas oftast inte direkt men kan inte övervakas.
Anställd, tidigare anställd eller underleverantör med kunskap om systemen missbrukar åtkomst. Alternativt utnyttjas delade inloggningar.
En säker vattenverksarkitektur bygger på separation mellan IT och OT med kontrollerade övergångspunkter, baserat på Purdue-modellen.
Administrativa system, ekonomisystem, kundregister, e-post, internetåtkomst.
Dricksvattenförsörjning klassas som väsentlig entitet (Bilaga I, punkt 6). Tillsynsmyndighet i Sverige: MSB.
| Rapport | Tidsfrist | Innehåll |
|---|---|---|
| Tidig varning | 24 timmar | Incident inträffad, initial bedömning |
| Incidentanmälan | 72 timmar | Påverkade system, vidtagna åtgärder |
| Slutrapport | 1 månad | Rotorsak, tidslinje, lärdomar |
Ledningen ska godkänna säkerhetsåtgärder, genomgå utbildning och kan hållas personligt ansvariga.
Kravställning i leverantörsavtal, offboarding-rutin när avtal upphör.
Personal utbildas anpassat för deras roll — phishing-kännedom, lösenordspolicy, rapporteringsvägar.
Dokumenterade manuella driftsrutiner, backup och återställning, regelbundna övningar.
| NIS2-krav | Nuläge (typiskt i sektorn) | Rekommenderad åtgärd |
|---|---|---|
| Incidentrapportering | Rutiner saknas | Implementera rapporteringsprocess med tidsfrister |
| Riskanalys IT/OT | Fokus på IT, OT glöms | Inkludera SCADA/PLC i riskanalys |
| Leverantörssäkerhet | Konton stängs ej vid avslut | Säkerhetsbilaga i avtal, offboarding-rutin |
| Utbildning OT-personal | Ingen cybersäkerhetsutbildning | Årlig utbildning anpassad för OT |
| Åtkomstkontroll OT | Delade konton, inget MFA | Personliga konton, MFA för fjärråtkomst |
| Kontinuitetsplan OT | Plan saknas eller ej testad | Dokumentera manuell drift, öva årligen |
| Rapporterande organisation | Söderdalens kommun, VA-avdelningen |
| Datum för incident | 2025-01-20 |
| Rapportdatum | 2025-01-21 |
| Incidentkategori | Obehörig manipulation av SCADA-system |
Den 20 januari 2025 kl. 02:15 upptäcktes obehöriga ändringar i vattenreningsverkets SCADA-system. Klordoseringen hade ändrats från 0,5 mg/l till 2,5 mg/l via en fjärrsession med ett gammalt servicekonto tillhörande en tidigare leverantör.
| System | Påverkan |
|---|---|
| SCADA-server | Obehörig inloggning och parameterändring |
| PLC doseringssystem | Mottog felaktiga börvärden |
| Kloreringsanläggning | Ökad dosering under 45 minuter |
| Dricksvatten | Förhöjda klorvärden i utgående vatten |
| Roll | Person/funktion | Ansvar |
|---|---|---|
| Incidentledare | VA-chef | Koordinering, beslut, myndighetskontakt |
| OT-ansvarig | Drifttekniker SCADA | Teknisk analys av OT-system |
| IT-säkerhet | Kommunens IT-avdelning | Forensik, logganalys |
| Kommunikation | Kommunikatör | Intern/extern kommunikation |
| Kvalitetsansvarig | Vattenprovtagare | Verifiering av vattenkvalitet |
| Ledning | Kommundirektör | Informeras vid allvarlig incident |
| Mottagare | När | Kanal | Innehåll |
|---|---|---|---|
| MSB/CERT-SE | Inom 24h | cert.se portal | Tidig varning NIS2 Artikel 23 |
| Livsmedelsverket | Inom 24h | E-post/telefon | Vattenkvalitetspåverkan |
| Kommunledning | Omedelbart | Telefon | Lägesbild och beslutsbehov |
| Driftpersonal | Löpande | Internt möte | Instruktioner för manuell drift |