Det var den 3 oktober 2025 som en okänd aktör tog sig in i kraftvärmeverkets styrsystem genom en exponerad IP-adress. Intrånget ledde till att filer och loggar krypterades och säkerhetskopior raderades.
– Våra tekniker på värmeverket förstod att något var fel eftersom de inte fick svar på de kommandon som de gav, berättar Johan Ullström, säkerhetsspecialist på Affärsverken vid ett webbinarium anordnat av Energiföretagen och Energi-CERT.
Under sommaren hade Affärsverken bytt styrsystem, så initialt låg det nära till hands att tro att det var inkörningsproblem snarare än ett intrång. Men under felsökningen hittade teknikerna ett kravbrev där det tydligt framkom att filerna var krypterade.
– Där fanns också krav att vi skulle betala inom 24 timmar för att filerna skulle avkrypteras. Ju längre tid det skulle ta för oss att betala desto mer skulle det kosta. Det fanns däremot inte några hot mot Affärsverken, säger Johan Ullström.
Krisledningen sammankallades
Det här är ju en händelse utöver det vanliga, så snabbt sammankallades krisledningen och fick en lägesbild över vad som hänt.
– En viktig del var att attacken inte hade någon direkt påverkan på produktionen i kraftvärmeverket, däremot styrningen, säger Caroline Sörensen, hållbarhets- och säkerhetschef på Affärsverken.
När krisledningen fått klart för sig vad som hade hänt gjordes en polisanmälan. Nästa steg var att samla bolagets incidenthanteringsteam (IRT) och därigenom fick företagets it-avdelning hjälp av experter, som på distans kunde göra en felsökning. Dessutom aktiverade it-avdelningen sin katastrofplan för cyberincidenter. En viktig del i detta arbete var att analysera vilken skada som skett och hur den kan återställas.
Redan en timme efter att polisanmälan var inlämnad ökade trycket från såväl myndigheter som media. Krisledningen hade också samverkansmöte med polisen från både Karlskrona och Malmö.
– Då insåg vi att man hade börjat planera för att evakuera Karlskrona, vilket inte alls stämde med vår bild av riskerna, så det fick vi reda ut, berättar Johan Ullström.
Krisledningen informerade löpande, även när det inte fanns något nytt att berätta. Det var viktigt att alla fick samma bild.
Kontrollerad nedeldning
Cyberincidenten ledde inte till någon driftstörning på kraftvärmeverket, men man tog ändå beslutet att genomföra en kontrollerad nedeldning och samtidigt starta upp företagets biooljepannor för att kunna fortsätta leverera fjärrvärme. Tack vare denna redundans blev det ingen kundpåverkan av cyberattacken.
Under de första intensiva dygnen arbetade framför allt både it- och driftpersonal hårt. Parallellt lades stor vikt vid kommunikation genom krisledningen och där blev den interna kommunikation central för att skapa trygghet bland medarbetarna.
– Krisledningen informerade löpande, även när det inte fanns något nytt att berätta. Det var viktigt att alla fick samma bild, säger Caroline Sörensen.
En vecka efter cyberangreppet var kraftvärmeverket åter i drift. Det finns flera förklaringar till att det gick så pass snabbt. Angreppet skedde i en avgränsad OT-miljö, vilket innebar att det inte fanns någon koppling till resterande del av verksamheten. Det var den digitala styrningen som påverkades, däremot var det inte några fysiska fel i kraftvärmeverket.
– Dessutom hade vi ju nyligen bytt styrsystem och det gamla systemet fanns tillgängligt, vilket gjorde att vi kunde använda det, säger Johan Ullström.
Polisutredningen pågår
Idag – fyra månader senare – är kraftvärmeverket i normal drift och körs med det gamla styrsystemet. Det drabbade systemet är återställt och redo för installation, men det kommer att ske efter värmesäsongen. Därutöver pågår fortfarande polisutredningen.
– När vi drar lärdomar av vad som skett så ser vi att våra rutiner för att hantera problem av det här slaget fungerade bra. Det gäller allt från kommunikation till beredskap och redundans kring produktionsstörning, säger Caroline Sörensen och hon får medhåll av Johan Ullström och han lägger till:
– It-avdelningen kunde använda sin katastrofplan även i den här okända miljön. Det var en väl uppbyggd katastrofplan som de övat på, vilket var en viktig del i att det fungerade så bra.
En annan sak som förvånade oss var hur snabbt media hörde av sig. I efterhand har vi också sett AI-producerade nyheter om cyberattacken som inte alls stämmer.
Ytterligare en lärdom var krisledningens centrala roll. Det gjorde att de som löste problemen kunde ägna sig åt det i lugn och ro, medan krisledningen blev navet för den gemensamma informationen och lägesbilden.
– Men det fanns också saker som tog oss på sängen. Vi fick många samtal från myndigheter. Vi fick bland annat samtal från polisen lokalt, men också Malmö och Stockholm. Det skapade osäkerhet kring vem som visste vad och att man pratade med rätt person. Men det löstes genom att vi fick en polis på plats hos oss som skötte kommunikationen till övriga myndigheter, säger Johan Ullström.
– En annan sak som förvånade oss var hur snabbt media hörde av sig. I efterhand har vi också sett AI-producerade nyheter om cyberattacken som inte alls stämmer och där chefer blivit citerade, trots att de inte blivit intervjuade, säger Caroline Sörensen, som understryker vikten av källkritik vid en cyberattack.
Ann-Sofie Borglund
