Angreppssättet är inte sofistikerat. Operatörer vid vatten- och avloppsanläggningar lämnar programmerbara logikstyrenheter exponerade mot internet, körandes med standardinloggningsuppgifter, på platta nätverk utan meningsfull segmentering. Iran, Ryssland och Kina har lagt märke till det.
CISA har i flera rådgivningar bekräftat att statsanknutna angripare aktivt utnyttjar dessa förhållanden mot vatteninfrastruktur. I en rådgivning från november 2023 tillskrev CISA specifika PLC-angrepp angripare kopplade till Irans Islamiska revolutionsgarde, som tog sig in i internetexponerade Unitronics Vision Series-styrenheter inom vatten- och andra sektorer genom att ange tillverkarens standardlösenord. Rådgivningen lämnar inget utrymme för tolkning: ”In a few cases, this activity has resulted in operational disruption and financial loss.”
Dark Reading rapporterade i februari 2024 att ryska och kinesiska angripare har drivit liknande mål mot vattensystem, där exponerade OT-enheter och bristfällig nätverkssegmentering är den gemensamma nämnaren i incidenterna. Inga zero-days behövdes. Ingen anpassad malware. Bara inloggningsuppgifter som aldrig byttes ut.
Varför PLC:er hamnade direkt på internet
PLC:er i vattenanläggningar konstruerades för driftsäkerhet och operatörsåtkomst, inte för internetexponering. Många av dessa enheter föregår moderna säkerhetsprinciper och installerades innan fjärråtkomst blev rutin. När anläggningar ställde om till fjärrövervakning, särskilt under och efter pandemin, hamnade OT-system som aldrig var avsedda att möta internet precis där, ofta utan kompenserande skyddskontroller.
Dragos, som spårar OT-hot inom industriella sektorer, har dokumenterat det strukturella problemet upprepade gånger: vattenbolag har magra IT- och OT-team, upphandlingscykler för kritisk hårdware sträcker sig över decennier, och att patcha äldre styrsystem medför reell driftrisk. En reningsanläggning kan inte ta ett SCADA-system offline för ett patchfönster på samma sätt som ett företags IT-team patcherar en server.
TXOne Networks, som fokuserar på OT-säkerhet, identifierar samma kluster av sårbarheter i incidenter inom vattensektorn: standardinloggningsuppgifter oförändrade sedan installation, fjärråtkomst aktiverad utan MFA, och tekniska arbetsstationer som bryggar IT- och OT-nätverket. Vart och ett av dessa förhållanden är ett problem i sig. Alla tre tillsammans är en öppen dörr.
Sex angrepp på sex år i Rhode Island
Exponeringens omfattning är inte teoretisk. Enligt Dark Readings rapportering registrerade kommunala vattenanläggningar i Rhode Island 6 cyberangrepp under sex år, inklusive incidenter vid ett stort avloppsbolag. Siffran kommer från en enda delstat med ett begränsat antal anläggningar. Det är inte ett nationellt dataset, och jag skulle inte behandla det som representativt för en bredare frekvens utan en större källa. Men 6 incidenter vid en delstats vattensystem är en specifik, verifierbar datapunkt, och den är inte betryggande.
Senator Sheldon Whitehouse tog upp frågan inför Senate Committee on Environment and Public Works i början av 2026 och beskrev cyberhoten mot vattensystem som en akut nationell säkerhetsfråga. Kongress-uppmärksamhet på den nivån brukar följa bekräftade incidenter, inte hypotetisk risk.
Vad attributionerna faktiskt visar
CISA:s rådgivning från november 2023 som namnger IRGC-anknutna angripare är den mest välgrundade attributionen som finns dokumenterad för angrepp mot vattensektorn. Den bygger på incidentresponsdata och korroboreras av FBI och NSA. Den bredare bilden att Ryssland och Kina driver samma mål är analytiskt trovärdig och konsekvent med respektive lands kända intresse av att positionera sig inne i kritisk infrastruktur, men beviskraven för dessa attributioner är lägre än i IRGC-fallet. CISA:s rådgivning ska behandlas som bekräftad. Den bredare statsaktörsbeskrivningen ska behandlas som bedömd, inte bevisad.
Vad som inte är omtvistat är syftet. Störningar i vattenrening, avloppshantering eller distributionssystem får omedelbara folkhälsokonsekvenser. Det gör vatteninfrastruktur till ett högt värderat mål för varje angripare med intresse av tvingande inflytande över en befolkning, oavsett om det sker i ett konfliktscenarion eller som ett stående hot.
Nordiska vattenbolag omfattas av samma hotbild
Ingen specifik svensk, norsk, finsk eller dansk vattenanläggning har namngetts i det källmaterial som granskats för den här artikeln. Det finns ingen anledning att uppfinna ett sådant exempel. Vad som stämmer är att nordiska vattenbolag använder samma kategorier av OT-hårdware, möter samma fjärråtkomstpåtryckningar och befinner sig inom räckhåll för samma angripare som CISA har dokumenterat rikta angrepp mot västerländsk infrastruktur.
Sveriges NIS2-implementering, Cybersäkerhetslagen, som trädde i kraft den 15 januari 2026, placerar vatten- och avloppsoperatörer inom tillämpningsområdet som väsentliga verksamheter under MSB:s tillsyn. Lagen kräver dokumenterade riskbedömningar, nätverkssegmenteringskontroller och incidentrapportering inom 24 timmar från det att en betydande incident uppmärksammats. Huruvida svenska operatörer har slutfört det grundarbetet är en fråga som tillsynsmyndigheten till slut kommer att besvara med tillsynsåtgärder snarare än enkäter.
Tre åtgärder som täpper till de största luckorna
CISA:s rådgivning om IRGC:s PLC-utnyttjande är tydlig med vad som fungerar. Det här är inte ambitionsmål för säkerhetsarbetet. Det är de kontroller som hade stoppat de dokumenterade angreppen.
- Byt standardinloggningsuppgifter på varje PLC och OT-enhet. Unitronics-angreppet använde tillverkarens standard. Om er inventariegranskning inte kan bekräfta att varje enhet har ett unikt, starkt lösenord, börja där i dag.
- Ta bort direkt internetexponering från PLC:er och SCADA-system. Om fjärråtkomst är operativt nödvändig, dirigera den via VPN med MFA tvingat vid gatewayen. Ett internetexponerat HMI är inte en fjärråtkomstlösning. Det är en sårbarhet.
- Segmentera OT-nätverket från IT-nätverket. En komprometterad teknisk arbetsstation ska inte ha en routbar väg till styrsystemen för vattenbehandling. Om den har det, är det den åtgärden som ska prioriteras före alla andra investeringar.
CISA:s fullständiga rådgivning, AA23-335A, innehåller specifika IOC:er kopplade till IRGC:s Unitronics-kampanj och är länkad i referenserna nedan. Varje vatten- eller avloppsoperatör som inte har läst den bör göra det före nästa styrelsemöte, inte efter.
Referenser
- IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors
- Iran, Russia, China Target Water Systems for Sabotage
- Iranian Threat Actors Target US Critical Infrastructure via Exposed PLCs
- CISA Alerts OT/ICS Operators of Ongoing Cyber Threats to Water and Wastewater Systems
- Whitehouse Highlights Urgent Cyber Threats to US Water Systems
- Protecting Water Infrastructure from OT Cyber Threats
- Cyber Threats to Water and Wastewater Sector
This post is also available in: