Under hösten 2025 utsattes Affärsverken i Karlskrona AB för en allvarlig cyberattack riktad mot det nyinstallerade styrsystemet på kraftvärmeverket i Karlskrona. Attacken inträffade den 3 oktober 2025 och innebar att en obehörig aktör tog sig in i systemet via en exponerad IP-adress och krypterade filer samt raderade säkerhetskopior, vilket försvårade den initiala felsökningen. [Källa]
Enligt företaget upptäcktes intrånget först som ett fel i systemets svar på kommandon. Felsökningen visade senare ett kravbrev med krav på lösen för att avkryptera filerna, där summan ökade ju längre förhandlingarna drog ut på tiden — dock utan hot riktade mot företaget självt. [Källa]
Affärsverken aktiverade omedelbart sin krisledning och samlade incidenthanteringsteam (IRT) för att kartlägga skadan och påbörja återställningsarbetet. Samtidigt gjordes en polisanmälan, och externa cybersäkerhetsexperter kopplades in för fjärranalys av systemet. [Källa]
Attacken påverkade endast styrsystemet — produktionen och leveransen av fjärrvärme fortsatte oförändrat. För att säkra driftens kontinuitet gjordes en kontrollerad nedeldning av det befintliga systemet, samtidigt som en redundanslösning med biooljepannor aktiverades. Tack vare detta påverkades varken kunder eller samhällsviktiga funktioner. [Källa]
Inom en vecka var kraftvärmeverket åter i full drift, delvis tack vare tillgången till det tidigare styrsystemet och att intrånget var isolerat till OT-miljön (Operational Technology). [Källa]
Fyra månader efter attacken körs verket fortsatt med det gamla styrsystemet och det angripna systemet står redo för återinstallation efter kommande värmesäsong. Utredningen hos polisen pågår fortfarande. [Källa]
Affärsverken framhåller att både beredskapsplaner och intern kommunikation fungerade väl. De betonade särskilt vikten av en upparbetad katastrofplan och tydlig lägesbild i krisledningen, liksom behovet av källkritik i kommunikationen med omvärlden. [Källa]
Sammanfattning:
Affärsverken hanterade en omfattande cyberattack mot kraftvärmeverkets styrsystem i oktober 2025 genom snabb krisaktivering, polisanmälan och användning av redundanslösningar som säkerställde kontinuerlig leverans av fjärrvärme. Attacken isolerades till styrsystemet och produktionen påverkades inte. Återställning skedde inom en vecka och fortsatt drift sker med tidigare system medan utredning pågår.
Källförteckning: