Det var på lördagskvällen den 25 oktober 2025 som Svenska kraftnät blev utsatta för ett dataintrång.
– Incidenten upptäcktes när en it-expert från en annan organisation informerade oss om att den hade hittat känslig information på Darknet. Vi var en liten grupp inom Svenska kraftnät som direkt började bedöma situationen och säkerställa fakta, säger Cem Göcgören, vid ett webbinarium anordnat av Energiföretagen och Energi-CERT.
Detta resulterade snabbt i att krisstaben aktiverades för att samordna insatser och kommunikation.
– Även om det råder osäkerhet krävs det snabba beslut för att hantera incidenter av det här slaget effektivt och för att minimera riskerna, säger Cem Göcgören, som är informationschef och chef för enheten Information och cybersäkerhet.
Det visade sig att intrånget skett i en server, som är avsedd för externa användare.
– Där hade någon satt upp ett svagt användarkonto, vilket gjorde att man på ett för enkelt sätt fick tillgång till innehållet på servern och datastölden var ett faktum, säger Cem Göcgören.
280 gigabyte information
Totalt handlade det om 280 gigabyte som var stulen. Men inledningsvis visste Svenska kraftnät inte vilken typ av information som var stulen.
– Om det handlar om 280 GB textfiler är det extremt mycket, men om det rörligt material motsvarar det 3–4 filmer, säger Cem Göcgören och fortsätter:
– Hackergruppen Everest tog på sig ansvaret och hotade att publicera de stulna filerna och en klocka tickade ner tills de skulle släppa dessa filer. Vårt första fokus i analysarbetet var att leta upp spår och ta reda på vad de har gjort, hur de har gjort det och se om det fanns någon risk för att de orsakat någon ytterligare skada.
Några timmar efter att angreppet upptäcktes kunde krisstaben på Svenska kraftnät konstatera att den kritiska elinfrastrukturen inte påverkades av cyberattacken. De kunde också se att hackergruppen försökt att komma vidare från servern, men inte lyckats.
E-postadresser och telefonnummer
Att inte elinfrastrukturen var påverkad minskade påtagligt de potentiellt stora konsekvenserna av attacken. Krisstaben kunde även se att inga känsliga personuppgifter var läckta. Det handlade snarare om uppgifter som e-postadresser och telefonnummer från olika möteskallelser.
Att elförsörjningen inte påverkades garanterade en fortsatt stabilitet för samhället, vilket var viktigt att få fram.
Parallellt med detta arbete kontaktades Myndigheten för samhällsskydd och beredskap (numera Myndigheten för civilt försvar), Nationellt Cybersäkerhetscenter och Energi-CERT och händelsen polisanmäldes. Det gjordes även en anmälan till Integritetsskyddsmyndigheten.
– Vilka filer som angriparna hade kommit åt höll vi inne med ganska länge. Det beror på att vi hade gjort en polisanmälan och i samband med det så gör polisen en förundersökning och då blir det en slags sekretess kring ärendet, säger Cem Göcgören.
Cem Göcgören poängterar att ingen på Svenska kraftnät har haft någon direktkontakt med hackergruppen Everest, utan allt detta sköttes av polisen.
– Att det var sekretess på delar av informationen ställde samtidigt oss i en svår sits, eftersom vi fick en anstormning av förfrågningar kring vad som hänt och vilken typ av filer som på angripna. Flera av de som hörde av sig gjorde det för att kunna skydda sin verksamhet.
– Vi kunde enbart dela med oss av bekräftad information. Det var på samma gång angeläget att vi tidigt informerade om incidenten för att skapa förtroende och minska osäkerheten. Att elförsörjningen inte påverkades garanterade en fortsatt stabilitet för samhället, vilket var viktigt att få fram.
Krisstab och tydliga roller
När Cem Göcgören i efterhand ska summera hur Svenska kraftnät hanterade situationen lyfter han fler framgångsfaktorer, bland annat att de hade en krisstab som hade tränat på den här typen av händelser och att de inom staben hade tydliga roller. Han pekar också på att kommunikationsavdelningen var central i arbetet.
– Utan vår kommunikationsavdelning tror jag att den här händelsen hade blivit ett fiasko för oss. De är oerhört professionella och samverkan mellan säkerhet och kommunikation stärker säkerheten, säger Cem Göcgören.
– Det gäller såväl budskapen till media som till vår personal, för vi märkte på måndagen efter attacken att många i personalen var oroliga och undrade om de kunde komma till jobbet osv, så att jobba med kommunikationen även internt är oerhört viktigt.
Uthållighetsfrågan måste vara en självklar del i början av en incident.
Men det finns också områden där det finns en förbättringspotential.
– Kontakten med DSO:er (de som driver det lokala eller regionala elnätet red anm.) brast kraftfullt. Det berodde bland annat på oklara organisatoriska förhållanden. Vi kan i efterhand se att det vi hade stor nytta av expertisen som fanns på olika DSO:er, så det är också en lärdom att ta stöd av andra.
Mod för att våga agera
Cem Göcgören lyfter även fram att det finns interna förbättringsområden, som bland annat att det går att minska ledtider till beslutsfattande. I praktiken innebär det att det behövs mod att våga agera och alla beslut måste inte tas från de högsta cheferna.
– Jag ser också att vi snabbt borde satt samman en grupp experter för att göra dataanalyser. I det här fallet skulle det varit experter från kraftsystem och informationssäkerhet, men där var vi sena på bollen tycker jag, säger Cem Göcgören.
– Sedan rekommenderar jag att man gör ett schema redan från start hur man ska jobba, så att personalen orkar, för man vet inte hur länge en sådan här situation pågår. Uthållighetsfrågan måste därför vara en självklar del i början av en incident.
Ann-Sofie Borglund
