En okänd aktör tog sig den 3 oktober 2025 in i kraftvärmeverkets styrsystem via en exponerad IP-adress. Intrånget resulterade i att säkerhetskopior raderades samt att filer och loggar krypterades.

Misstänkte först driftstörningar

– Våra tekniker på värmeverket förstod att något var fel eftersom de inte fick svar på de kommandon som de gav, säger Johan Ullström, säkerhetsspecialist på Affärsverken vid ett webbinarium anordnat av Energiföretagen och Energi-CERT.

Eftersom Affärsverken hade bytt styrsystem under sommaren, misstänktes inledningsvis driftstörningar kopplade till systembytet snarare än ett angrepp. Vid felsökningen upptäckte dock teknikerna ett kravbrev som klargjorde att filerna blivit krypterade.

– Där fanns också krav att vi skulle betala inom 24 timmar för att filerna skulle avkrypteras. Ju längre tid det skulle ta för oss att betala desto mer skulle det kosta. Det fanns däremot inte några hot mot Affärsverken, säger Johan Ullström till tidningen Energi.

Fick lägesbild

Krisledningen sammankallades och fick en lägesbild över vad som inträffat.

– En viktig del var att attacken inte hade någon direkt påverkan på produktionen i kraftvärmeverket, däremot styrningen, säger Caroline Sörensen, hållbarhets- och säkerhetschef på Affärsverken till tidningen Energi.

När krisledningen fått klart för sig vad som hänt polisanmäldes händelsen. Därefter samlades bolagets incidenthanteringsteam (IRT), vilket gav it-avdelningen stöd av experter som utförde felsökning på distans. It-avdelningen aktiverade även sin katastrofplan för cyberincidenter, där en central del innebar att analysera skadornas omfattning och möjligheterna till återställning

Var i drift efter en vecka

Cyberincidenten orsakade inga driftstörningar på kraftvärmeverket, men ett beslut fattades ändå om att genomföra en kontrollerad nedeldning. Samtidigt startades företagets biooljepannor upp för att säkra den fortsatta leveransen av fjärrvärme. Denna redundans innebar att cyberattacken inte ledde till någon kundpåverkan.

Kraftvärmeverket var åter i drift en vecka efter cyberangreppet. Det gick snabbt eftersom angreppet skedde i en avgränsad OT-miljö utan koppling till resten av verksamheten. Den digitala styrningen påverkades, men det uppstod inga fysiska fel i kraftvärmeverket, skriver tidningen Energi.

Utredningen fortsätter

Nu, flera månader efter händelsen är kraftvärmeverket i normal drift med det tidigare styrsystemet. Det system som drabbades av angreppet har nu återställts och förberetts för installation, vilket planeras ske först när värmesäsongen är över. Samtidigt fortsätter polisens utredning av händelsen.

– När vi drar lärdomar av vad som skett så ser vi att våra rutiner för att hantera problem av det här slaget fungerade bra. Det gäller allt från kommunikation till beredskap och redundans kring produktionsstörning, säger Caroline Sörensen till tidningen Energi.