De påstår sig ha kunnat stänga av kranarna — men valde att vänta

När kranen blir ett vapen

Det finns något fundamentalt obehagligt i tanken att en statsknuten hackergrupp sitter med tillgång till systemen bakom vår dricksvattenförsörjning. Det är inte science fiction längre — det är vad som tycks ha hänt i Kalifornien.

Enligt SecurityWeek hävdar den Iran-kopplade gruppen Handala att den lyckats tränga in i California Water Service, ett av landets större vattenbolag med omkring två miljoner kunder. Man uppger sig ha stulit fem gigabyte data och publicerade ett inlägg på sin blogg där intrånget beskrivs som en direkt hämnd för amerikanska aktioner mot Iran. Det anmärkningsvärda — och på ett sätt skrämmande — är att gruppen dessutom påstår sig ha haft förmågan att störa den faktiska vattenförsörjningen, men medvetet valde att avstå.

Man ville skicka ett budskap. Det lyckades.

En klassisk kedjeattack

Hotunderrättelseföretaget Dataminr har analyserat händelsen och bedömer att Handala sannolikt tog sig in via Cal Waters installation av RTKBase — en plattform för GNSS-basstationer — och därifrån rörde sig vidare till ett faktureringssystem. Cal Waters Chicodistrikt pekas ut som det drabbade området.

Den läckta datan innehåller uppgifter om kundernas namn, adresser, telefonnummer, kontonummer och betalningshistorik. Dessutom ska administrativa inloggningsuppgifter till RTKBase-plattformen ha exponerats — vilket i förlängningen är den mer oroväckande delen av läckan.

Dataminr understryker att faktureringssystemet och RTKBase är separata delar av infrastrukturen, men att RTKBase-nätverket sannolikt fungerade som den ursprungliga ingångspunkten. Det är en klassisk kedjeattack: man klättrar in via en perifer komponent med lägre säkerhetsnivå och arbetar sig sedan inåt mot känsligare system.

Det industriella styrsystemet — det vill säga det som faktiskt reglerar vattenflöden och kemikaliehalter — tycks inte ha påverkats denna gång. Men "denna gång" är ett tungt ordval.

Infrastruktur som slagfält

Detta är inte ett isolerat fall. Vattenanläggningar har under de senaste åren blivit ett återkommande mål i den globala cyberkonfliktens eskalerande dynamik. Oldsmar-incidenten i Florida 2021, där en angripare försökte höja natriumhydroxidhalten i dricksvattnet till livsfarliga nivåer, visade med brutal tydlighet vad som faktiskt är möjligt när industriella styrsystem saknar tillräckligt skydd.

Handalas angrepp mot Cal Water följer ett mönster vi känner igen: statskopplade aktörer testar gränser, kartlägger svagheter och bygger upp kapacitet — inte alltid för att använda den omedelbart, utan för att ha den tillgänglig.

Vad betyder detta för Sverige?

Sverige är inte Kalifornien, men vi är inte heller immuna. Landets vattenförsörjning är splittrad på hundratals kommunala bolag och privata aktörer med mycket varierande säkerhetsmognad. Många av dessa verksamheter saknar dedikerade säkerhetsresurser och arbetar med äldre styrsystem som aldrig var tänkta att vara nätverksanslutna.

MSB — Myndigheten för samhällsskydd och beredskap — har under de senaste åren arbetat med att stärka skyddet av samhällskritisk infrastruktur, och NIS2-direktivet från EU ställer nu högre krav på verksamheter inom just vatten och avlopp. Men regelefterlevnad på papper är inte detsamma som faktisk motståndskraft i praktiken.

Handalas påstådda intrång bör ses som en väckarklocka — inte bara för amerikanska vattenbolag, utan för alla som ansvarar för infrastruktur som befolkningen bokstavligen inte kan leva utan. Möjligheten att stärka dessa system finns. Verktygen finns. Frågan är om viljan och resurserna prioriteras i tid.

Det är dags att behandla dricksvatteninfrastruktur med samma säkerhetsallvar som vi behandlar elnät och finanssystem.