Industriellt cybersäkerhetsföretag Dragos slår larm om Nordens energisektor. I en hotunderrättelserapport granskade bolaget 30 publikt exponerade VPN-enheter hos nordiska ägare av förnybar energi. Resultatet: 54 procent var föråldrade Cisco SSL VPN och 27 procent Citrix-lösningar för fjärråtkomst, alltså precis den typ av utrustning som angripare numera vapeniserar snabbast. För svensk och nordisk OT-säkerhet är fyndet en obekväm bekräftelse på att operativ teknik (OT) i kraftsektorn skyddas av samma åldrande perimeter som angriparna redan har lärt sig att forcera.
Larmet landar mitt under ett rekordår för nordiska cyberincidenter. DNV:s resiliensrapport för 2026 räknade 60 incidenter mot svenska organisationer under 2025, fler än i något annat nordiskt land. Samtidigt trädde Sveriges nya cybersäkerhetslag i kraft den 15 januari 2026 och tvingar uppemot 8 000 verksamheter att höja skyddet. Den här analysen går igenom siffrorna, hotaktörerna, marknadspåverkan och vad nordiska energibolag bör göra nu.
Dragos-rapporten: vad larmet faktiskt visar
Dragos täcker i sin nordiska analys hela regionen: Danmark, Finland, Island, Norge, Sverige samt de självstyrande områdena Färöarna, Grönland och Åland. Fokus ligger på ägare av förnybar energi, en sektor som vuxit explosivt med vindkraft, solparker och batterilager. Varje nytt anläggningssystem ansluts till fjärrstyrning, och fjärrstyrning kräver fjärråtkomst. Det är där den sårbara perimetern uppstår, och det är där den nordiska OT-säkerheten är som svagast.
Stickprovet på 30 publikt exponerade VPN-enheter är litet, men mönstret är tydligt. När mer än hälften av en sektors fjärråtkomst vilar på föråldrade Cisco SSL VPN blir attackytan koncentrerad och förutsägbar. Dragos pekar särskilt på att kända utnyttjade sårbarheter (på engelska “known exploited vulnerabilities”, KEV) i VPN- och fjärråtkomstprodukter är ett förstahandsval för angripare som vill ta sig in i industriella nätverk. Initial åtkomst via perimetern, sedan rörelse i sidled mot styrsystemen.
Poängen i rapporten är inte att Cisco eller Citrix är osäkra i sig, utan att utrustningen inte uppdateras i takt med hotet. Energibolag prioriterar drifttid framför patchfönster. En VPN-gateway som inte får tas ur drift blir kvar i åratal, och varje månad utan uppdatering vidgar gapet mellan känd sårbarhet och installerad version.
54 procent föråldrade Cisco SSL VPN: siffrorna i detalj
Fördelningen i Dragos stickprov visar hur snävt nordiska energibolag förlitar sig på ett fåtal leverantörer för fjärråtkomst. Den koncentrationen är själva problemet. En enda allvarlig sårbarhet i en dominerande produkt kan exponera en stor del av sektorn samtidigt.
| Typ av fjärråtkomst | Andel av stickprovet | Riskbild för OT-säkerhet |
|---|---|---|
| Cisco SSL VPN (föråldrade) | 54 % | Hög: dominerande attackyta, frekvent måltavla för KEV-utnyttjande |
| Citrix fjärråtkomst | 27 % | Hög: återkommande kritiska sårbarheter i fjärråtkomstprodukter |
| Övriga lösningar | cirka 19 % | Varierande: mindre koncentration, men ofta svagare övervakning |
| Antal granskade enheter | 30 | Publikt exponerade VPN hos ägare av förnybar energi |
| Geografisk täckning | 8 områden | Hela Norden inklusive Färöarna, Grönland och Åland |
Det som gör 54-procentssiffran allvarlig är att Cisco SSL VPN är en välkänd kategori i myndigheternas KEV-kataloger. När en sårbarhet väl listas som aktivt utnyttjad pågår skanning av exponerade enheter inom timmar. Ett föråldrat bestånd betyder att försvararen ligger steget efter redan innan attacken börjar. Dragos beskriver hur OT-hotgrupper har en dokumenterad historik av att snabbt bygga verktyg för just sådana sårbarheter.
Nordens incidentkarta 2025: Sverige i topp
DNV:s rapport “How cyber resilient are the Nordics? 2026” ger en regional referensram. Under 2025 observerades 60 cyberincidenter mot svenska organisationer, klart fler än hos grannländerna. Sverige har störst ekonomi och mest digitaliserad infrastruktur i regionen, vilket också gör landet till den största måltavlan.
| Land | Cyberincidenter 2025 (DNV) | Relativ exponering |
|---|---|---|
| Sverige | 60 | Högst i Norden |
| Finland | 44 | Näst högst, lång gräns mot Ryssland |
| Danmark | 41 | Hög, tät energiintegration med EU |
| Norge | 21 | Lägst i jämförelsen, stor olje- och gassektor |
Siffrorna ska läsas med försiktighet. De fångar observerade incidenter, inte alla försök, och rapporteringsgraden skiljer sig mellan länderna. Ändå pekar mönstret åt samma håll som Dragos VPN-fynd: ju mer kritisk infrastruktur ett land driver, desto bredare blir attackytan. Sveriges position som nordisk knutpunkt för el, telekom och datacenter förstärker exponeringen. Vår löpande genomgång av cyberattacker mot Sverige visar samma trend i bredare data.
Varför energisektorn är angriparnas måltavla
Energi är den infrastruktur allt annat hänger på. Slås kraftförsörjningen ut faller vatten, betalningar, telekom och uppvärmning som dominobrickor. För en statsunderstödd aktör är ett intrång i ett kraftbolag därför värt mer än stulna data: det är en strategisk position som kan utnyttjas vid en framtida konflikt.
Förnybar energi förvärrar bilden av två skäl. För det första är anläggningarna geografiskt utspridda och fjärrstyrda, vilket multiplicerar antalet fjärråtkomstpunkter. För det andra byggdes många system för tillgänglighet och driftsäkerhet, inte för att stå emot riktade angrepp. Säkerheten klistrades på i efterhand, ofta som en enda VPN-gateway framför ett platt OT-nät utan segmentering.
Dragos kopplar hotet mot Norden till mönster som tidigare setts i Ukraina, där wiper-skadekod använts för att radera system och störa drift. Den parallellen är ingen tillfällighet. Norden ligger nära ett pågående krig, och regionens kraftnät har redan utsatts för sabotage mot kablar och fysisk infrastruktur. En sårbar VPN är då inte bara en it-risk utan en geopolitisk.
OT-hotgrupperna: Kostovite, Kamacite och Bentovite
Dragos spårar hotaktörer mot industriell teknik under egna kodnamn. I den nordiska analysen lyfts tre grupper med dokumenterad historik av att snabbt bygga verktyg och utnyttja kända utnyttjade sårbarheter: Kostovite, Kamacite och Bentovite. Gemensamt för dem är att de inriktar sig på just den initiala åtkomsten via VPN och fjärråtkomstprodukter.
Kamacite är sedan tidigare känd för verksamhet kopplad till energisektorn och har historiskt agerat som dörröppnare åt mer destruktiva operationer. Mönstret är arbetsdelning: en grupp skaffar fotfäste, en annan utnyttjar det. När väl en angripare sitter på insidan av OT-nätet blir tiden till påverkan kort, eftersom segmentering och övervakning ofta saknas på styrsystemsnivå.
Det är värt att skilja på hotgruppers förmåga och deras avsikt. Att en aktör kan ta sig in betyder inte att en attack är nära förestående. Dragos egen bedömning om att nordisk kritisk infrastruktur kan komma att angripas med malware som använder “living off the land” görs med låg konfidens. Men för en försvarare räcker förmågan: man försvarar sig mot vad motståndaren kan göra, inte bara mot vad den hittills gjort.
Living off the land och wiper-skadekod
Den teknik Dragos varnar för kallas “living off the land” (LOTL). I stället för att smuggla in egna verktyg använder angriparen systemets egna legitima funktioner: inbyggda administrationsverktyg, skript och tjänster. Det gör intrånget svårt att upptäcka eftersom aktiviteten ser ut som vanlig drift. Klassisk signaturbaserad detektion missar det.
Ett återkommande steg i sådana operationer är så kallad LSASS-dumpning, där angriparen tappar inloggningsuppgifter ur minnet för att eskalera behörigheter och röra sig vidare. Microsoft har dokumenterat tekniken hos aktören Cadet Blizzard. När inloggningsuppgifter väl är stulna behövs inga nya sårbarheter, angriparen loggar bara in som en behörig användare.
Det allvarligaste scenariot är wiper-skadekod. Till skillnad från ransomware, som krypterar för att utpressa, raderar en wiper för att förstöra. I ett kraftbolag kan det betyda förlorad styrning över anläggningar och lång återställningstid. Norden har sett mönstret på avstånd genom Ukraina, och Dragos menar att tekniken nu utgör ett växande hot även regionalt. För nordisk OT-säkerhet innebär det att backup och möjlighet till manuell drift blir lika viktigt som brandväggar.
Cybersäkerhetslagen pressar 8 000 verksamheter
Timingen för Dragos larm är ingen slump. Sveriges nya cybersäkerhetslag (SFS 2025:1506) antogs i december 2025 och trädde i kraft den 15 januari 2026. Lagen genomför EU:s NIS2-direktiv, ersätter den tidigare informationssäkerhetslagen och vidgar tillämpningen från ett fåtal sektorer till de 18 sektorer som direktivet pekar ut. Energi står överst på listan.
Skärpningen är dramatisk. Där det gamla regelverket omfattade omkring 900 verksamheter beräknas det nya träffa runt 6 000 till 8 000. Lagen inför en helhetssyn på verksamheten, alltså att skyldigheterna gäller hela organisationen och inte bara enskilda system. Ledningen ska genomgå utbildning och kan hållas ansvarig. Sverige valde dessutom att inte ge någon övergångsperiod: kraven gäller från ikraftträdandet.
| Land | NIS2 i kraft / efterlevnad | Sanktionstak (väsentliga entiteter) |
|---|---|---|
| Danmark | Efterlevnad sedan 1 juli 2025 | Upp till 10 M€ eller 2 % av global omsättning |
| Finland | Riskhantering på plats 8 juli 2025 | Upp till 10 M€ eller 2 % av global omsättning |
| Sverige | I kraft 15 januari 2026, ingen övergångsperiod | Upp till 10 M€ eller 2 % av global omsättning |
| Norge (utanför EU) | Genomförandearbete inlett | Under utformning |
Incidentrapporteringen är hård: en första anmälan inom 24 timmar, en uppdatering inom 72 timmar och en slutrapport inom 30 dagar via MSB:s portal. För svenska tjänsteleverantörer av betrodda tjänster gäller en ännu snävare uppföljningsfrist på 24 timmar, strängare än direktivets grundkrav. Läs mer i vår genomgång av cybersäkerhetslagen och NIS2.
Marknadspåverkan: OT-säkerhet blir en budgetfråga
Kombinationen av ett konkret VPN-hot och ett nytt lagkrav flyttar OT-säkerhet från teknikavdelningen till styrelserummet. När ledningen kan hållas personligt ansvarig och sanktionstaket ligger på 10 miljoner euro eller 2 procent av global omsättning blir säkerhet en post i riskregistret, inte en kostnad att skjuta upp.
Statsmakten följer efter. Sveriges föreslagna försvarsbudget för 2026 innehöll 0,37 miljarder kronor öronmärkta för stärkt cybersäkerhet inom en total ram på 49,83 miljarder kronor. Det är en blygsam andel, men signalen är tydlig: cyberförsvar räknas numera som en del av totalförsvaret. För privata aktörer betyder NIS2 att investeringar i segmentering, övervakning och utbyte av föråldrade VPN inte längre är frivilliga.
Marknadsintresset syns också i kalendern. CyberSec Nordic 2026 samlar enligt arrangören över 500 deltagare och fler än 25 talare, med program i Stockholm den 4 november, Oslo den 11 november och Köpenhamn den 12 november. Efterfrågan på OT-specifik kompetens växer snabbare än utbudet, vilket pressar upp priserna på konsulter och specialiserade leverantörer.
Expertröster om det nordiska OT-hotet
Dragos formulerar kärnan i sin rapport: snabb vapenisering av sårbarheter i VPN, särskilt Cisco SSL VPN, utgör en betydande risk för regionens ägare av förnybar energi. Bolaget framhåller att KEV på VPN- och fjärråtkomstenheter är angriparnas föredragna väg in i industriella nät.
“Kända utnyttjade sårbarheter i VPN och fjärråtkomst är ett förstahandsval för hotaktörer som vill nå initial åtkomst till industriella ägares nätverk.”
Dragos, hotunderrättelserapport om OT i Norden
DNV placerar Sverige överst i den nordiska incidentstatistiken för 2025 och knyter resiliens till förmågan att upptäcka och återhämta sig, inte bara att förhindra. Konsultbyrån Bird & Bird, som följt det nordiska NIS2-arbetet, konstaterar att Sverige till skillnad från Finland inte erbjuder någon övergångsperiod, vilket innebär att verksamheter måste vara efterlevnadsklara redan från ikraftträdandet.
“Ingen övergångsperiod gäller i Sverige. Verksamheter kan därför behöva uppfylla samtliga skyldigheter redan när lagen träder i kraft den 15 januari 2026.”
Bird & Bird, nordisk NIS2-uppdatering
MSB, som är tillsynsmyndighet och tar emot incidentrapporterna, betonar i sin vägledning att skyddet ska omfatta nätverk, system och fysisk miljö samt att ledningen ska utbildas i cyberstyrning. Sammantaget pekar källorna åt samma håll: hotet är konkret, regelverket är skarpt och tidsfönstret för att agera är litet.
Historisk kontext: från Ukraina till Norden
Hotet mot kraftnät är inte nytt. Angrepp mot Ukrainas elnät visade redan under förra decenniet att digitalt sabotage kan släcka ljuset för hundratusentals människor. Sedan dess har wiper-skadekod blivit en standardkomponent i statligt understödda operationer, använd för att radera snarare än utpressa.
För Norden har trenden eskalerat. Dragos noterade redan att Sverige under 2023 såg en ökning av cyberincidenter med 30 procent jämfört med året innan, ett tecken på att regionen flyttat in i skottlinjen. Parallellt har fysiskt sabotage mot kablar och annan infrastruktur i Östersjön ökat det säkerhetspolitiska trycket. Vår bevakning av ryskt sabotage mot kritisk infrastruktur beskriver mönstret närmare.
Det nya är att hotet mot OT och hotet mot fysisk infrastruktur smälter samman. En angripare som redan sitter på en sårbar VPN i ett kraftbolag behöver inte kapa en kabel för att skapa störning. Den föråldrade Cisco SSL VPN-utrustning Dragos hittade är därför inte en isolerad teknisk brist, utan en pusselbit i en bredare hybridhotbild som svenska myndigheter följt under flera år. Se även vår analys av cyberkriget mot Nordens energi.
Så bör nordiska energibolag agera nu
Det första steget är att inventera den egna perimetern. Bolag bör veta exakt vilka VPN- och fjärråtkomstenheter som är publikt exponerade, vilken version de kör och om de finns med i myndigheternas KEV-kataloger. Föråldrade Cisco SSL VPN och Citrix-gateways bör uppdateras eller ersättas, och åtkomst bör begränsas med multifaktorautentisering och nätverkssegmentering.
- Kartlägg alla publikt exponerade VPN och fjärråtkomstpunkter mot OT-nätet.
- Patcha eller byt ut enheter som matchar kända utnyttjade sårbarheter (KEV).
- Inför segmentering mellan it- och OT-nät så att ett intrång inte når styrsystemen direkt.
- Aktivera övervakning som upptäcker “living off the land”, inte bara känd skadekod.
- Säkerställ offline-backup och en plan för manuell drift om systemen raderas.
- Förbered incidentrapportering enligt 24/72-timmarsfristerna till MSB.
Ingen av åtgärderna är ny för säkerhetsteamen, men cybersäkerhetslagen gör dem obligatoriska och tidssatta. För bolag som ännu inte börjat är den viktigaste insikten att perfekt skydd inte är målet. Målet är att höja tröskeln tillräckligt för att en angripare ska behöva nya sårbarheter, samtidigt som verksamheten kan upptäcka och återhämta sig snabbt. Den som vill förstå grunderna kan börja i vår guide till säkerhet online.
Fem prognoser för nordisk OT-säkerhet 2026-2027
Utifrån Dragos fynd, DNV:s incidentdata och cybersäkerhetslagens krav pekar utvecklingen åt ett tydligt håll. Här är fem prognoser för de närmaste 18 månaderna.
- Utbyte av föråldrade VPN accelererar. Andelen föråldrade Cisco SSL VPN i nordisk energi sjunker märkbart under 2026 när lagkrav och hotbild driver fram investeringar.
- Första sanktionsärendena dyker upp. MSB inleder tillsyn under andra halvåret 2026, och de första uppmärksammade besluten under cybersäkerhetslagen kommer att sätta praxis.
- OT-segmentering blir standard. Nätverkssegmentering och övervakning av styrsystem går från undantag till baskrav i upphandlingar inom kraftsektorn.
- Living off the land och wiper ökar. Statsunderstödda aktörer prioriterar svårupptäckta tekniker, vilket pressar fram bättre beteendebaserad detektion i Norden.
- Efterfrågan på OT-kompetens överstiger utbudet. Bristen på specialister driver upp priser och påskyndar konsolidering bland leverantörer av OT-säkerhet.
Konkurrensbild: hur Norden står sig
Jämfört med EU-snittet ligger Norden tidigt i NIS2-genomförandet men ojämnt. Danmark och Finland hade efterlevnadskrav på plats redan sommaren 2025, medan Sverige slutförde sin lagstiftning i december 2025 efter att ha missat EU:s ursprungliga deadline den 17 oktober 2024. Den fördröjningen innebär att svenska bolag fått kortare tid att förbereda sig, men också att de kan dra lärdom av grannländernas erfarenheter.
På OT-sidan skiljer sig hotbilden från den klassiska it-säkerheten. Där it-attacker ofta handlar om datastöld och ransomware, som vi beskrivit i vår analys av ransomware i Sverige och Norden, handlar OT-hotet om fysisk störning och sabotage. Det kräver andra försvarsverktyg: segmentering, redundans och manuell reservdrift snarare än enbart kryptering och backup.
Slutsatsen är att Norden har regelverket på plats men släpar efter på genomförandet i kraftsektorn. Dragos VPN-fynd är den konkreta påminnelsen om att lagstiftning inte patchar utrustning. Det gör bara bolagen själva.
Vanliga frågor om OT-säkerhet och VPN-hotet
Vad är OT-säkerhet?
OT-säkerhet (operativ teknik) skyddar de styrsystem som driver fysiska processer i exempelvis kraftverk, vattenverk och fabriker. Till skillnad från it-säkerhet, som skyddar data, handlar OT-säkerhet om att hålla anläggningar igång och förhindra fysisk störning. Hoten mot OT kan ge konsekvenser i verkliga världen, som strömavbrott.
Varför är Cisco SSL VPN en risk i energisektorn?
Problemet är inte produkten utan att den ofta är föråldrad. Dragos fann att 54 procent av VPN-enheterna i ett stickprov av nordisk förnybar energi var föråldrade Cisco SSL VPN. När en sårbarhet listas som aktivt utnyttjad skannar angripare exponerade enheter inom timmar, och opatchad utrustning blir då en öppen dörr in i OT-nätet.
Vad kräver cybersäkerhetslagen av energibolag?
Lagen, som trädde i kraft 15 januari 2026, kräver riskhantering, incidentrapportering inom 24 och 72 timmar samt utbildning av ledningen. Den omfattar uppemot 8 000 verksamheter i 18 sektorer. Sanktionstaket är 10 miljoner euro eller 2 procent av global omsättning för väsentliga entiteter.
Vilka hotgrupper riktar sig mot nordisk OT?
Dragos spårar bland andra Kostovite, Kamacite och Bentovite, grupper med historik av att snabbt utnyttja kända sårbarheter i VPN och fjärråtkomst. Bedömningen om att nordisk infrastruktur kan angripas med “living off the land”-teknik görs med låg konfidens, men förmågan finns dokumenterad.
Vad är skillnaden mellan wiper och ransomware?
Ransomware krypterar data för att utpressa en lösensumma och går i princip att låsa upp mot betalning. En wiper raderar i stället data permanent i syfte att förstöra. I kraftsektorn är wiper farligare eftersom den kan slå ut styrning och kräva lång återställning, vilket gör offline-backup och manuell reservdrift avgörande.
Hur snabbt måste en incident rapporteras till MSB?
En första anmälan ska lämnas inom 24 timmar från att verksamheten blivit medveten om en betydande incident, en uppdatering inom 72 timmar och en slutrapport inom 30 dagar. Svenska leverantörer av betrodda tjänster har en ännu snävare uppföljningsfrist på 24 timmar.
Relaterad bevakning
- Cyberkriget mot Nordens energi: 11 kablar skadade
- Ryskt sabotage mot kritisk infrastruktur: 60 fall
- Cybersäkerhetslagen: 8 000 företag, 2 % böter
- Ransomware 2026: Sverige värst i Norden
- Cyberattacker mot Sverige: 3 215 i veckan
- Säkerhet online: en praktisk guide
