Scenario

Det kommunala vattenbolaget i en kommun upptäcker en morgon att pumparna står stilla. Reserven i vattentornet räcker ett tag, men inom kort kan kommunen stå utan vatten. Personalen ser att det har varit teknisk påverkan i styrsystemet för pumparna. De kommer inte åt systemen och måste köra pumparna manuellt.

Fler pumpstationer visar sig vara påverkade. Kommunen polisanmäler händelsen och anmäler det inträffade till CERT-SE, den nationella funktion som stödjer samhället med att hantera och förebygga it-säkerhetsincidenter.

Myndigheterna som samverkar i nationellt cybersäkerhetscenter (NCSC) informeras. De delar information, bedömer händelsens karaktär och avgör vem som kan bidra med vad.

Kommunen har ett eget ansvar att få igång systemen igen, med hjälp av eventuella upphandlade leverantörer, men kan även få stöd att hantera incidenten av bland annat CERT-SE.

Säkerhetspolisens kopplas in

Säkerhetspolisen undersöker hur myndigheten kan bidra och bedömer om händelsen faller inom Säkerhetspolisens ansvarsområde. Det gör den om händelsen påverkar säkerhetskänslig verksamhet, alltså berör skyddsvärden på ett sätt som kan ge konsekvenser för Sveriges säkerhet på nationell nivå, eller om det finns misstanke om att främmande makt kan ligga bakom händelsen.

För att göra bedömningen arbetar Säkerhetspolisen med underrättelser och har en löpande dialog med CERT-SE, myndigheterna inom NCSC och det drabbade vattenbolaget.

Påverkar det säkerhetskänslig verksamhet?

→ Vattenbolaget kan bedriva säkerhetskänslig verksamhet, till exempel genom att förse en av Sveriges största städer med vatten. Vattenbolaget kan också tillhandahålla tjänster åt annan säkerhetskänslig verksamhet, till exempel så att kylsystem i viktiga datahallar fungerar.

→ Gäller incidenten säkerhetskänslig verksamhet ska verksamhetsutövaren skicka in en anmälan till Säkerhetspolisen. Säkerhetspolisen hanterar anmälan, samverkar vid behov med berörda aktörer och bedömer om ytterligare åtgärder krävs.

Ligger främmande makt bakom?

→ Finns det indikationer på att främmande makt ligger bakom ett angrepp utreder Säkerhetspolisen det vidare, bland annat genom underrättelsearbete. Säkerhetspolisen använder informationen som en del i arbetet med att öka skyddet och förhindra nya angrepp mot Sverige. Det kan vara svårt att koppla angrepp till främmande makt, då de kan använda ombud och agera på sätt så att de i efterhand kan förneka inblandning.

→ Säkerhetspolisen utreder också cyberangrepp kopplade till sina andra ansvarsområden, till exempel ett dataintrång kopplat till terrorverksamhet.

→ Det är vanligare att cyberincidenter i form av överbelastningsattacker är kopplade till brottslighet som utreds av Polismyndigheten, som då bedriver det fortsatta arbetet inom ramen för en förundersökning.

→ Säkerhetspolisen jobbar även kontinuerligt med att följa främmande makt för att upptäcka elektroniska angrepp som kanske inte upptäcks som en incident.