Iranska hackare skröt om att de kunde lamslå dricksvattenförsörjningen för miljontals kalifornier – utredningen river skrävlet i stycken
Iranska hackare skröt om att kunna lamslå Kaliforniens vattenförsörjning – lögn, visar utredning.
Stordådet som inte var något stordåd
Det lät som ett scenario rakt ur en spionthriller: en statsstödd hackergrupp med fingret på knappen till dricksvattenförsörjningen för miljontals amerikaner. Den iranska gruppen Handala – som av många säkerhetsforskare betraktas som en täckmantel för iransk statssponsorad verksamhet – påstod sig nyligen ha trängt djupt in i styrsystemen hos California Water Service, ett av USA:s största privatägda vattenbolag. De hävdade att de hade kunnat störa vattenförsörjningen, men valt att avstå.
Dramatiskt. Och enligt utredningen: till stor del falskt.
Cal Water anlitade flera ledande säkerhetsföretag för att granska påståendena, däribland Googles säkerhetsenhet Mandiant. Slutsatsen som rapporteras av SecurityWeek var entydig: angriparnas faktiska aktivitet begränsade sig till obehörig åtkomst till ett fåtal användarkonton hos två externa tjänsteleverantörer. Inga egna IT-miljöer hos Cal Water hade komprometterats, och framför allt – de operativa styrsystemen, de som faktiskt reglerar vattenflöden och reningsverk, hade angriparna aldrig nått.
Handala läckte visserligen fem gigabyte data som uppgavs vara stulen från Cal Waters system. I materialet hittade analytiker personuppgifter samt indikationer på att ett faktureringssystem och intern programvara kan ha angripits. Men utredningen klargjorde att det stulna kundkontot inte ens gav tillgång till faktureringssystemet, och att ingen betalningsinformation äventyrades.
Lögnen som ändå berättar något sant
Här är det lätt att ropa "ingenting hände, gå hem allihopa" och lämna det därhän. Men det vore att missa hela poängen.
Det faktum att Handala försökte – och sedan valde att blåsa upp ett måttligt intrång till en existentiell demonstration av makt – är i sig en viktig signal. Det handlar inte bara om vad de lyckades med tekniskt. Det handlar om informationskrigets logik: att skapa osäkerhet, misstro och rädsla kring infrastruktur som folk tar för given varje gång de vrider på kranen.
Vattenförsörjning är ett tacksamt mål i propagandasyfte. Det är konkret, begripligt och fundamentalt. Alla förstår vad det innebär om vattnet slutar fungera. En övertygande lögn om kontroll kan ge nästan lika stor psykologisk effekt som faktisk kontroll.
Den verkliga sårbarheten
Men låt oss vara ärliga med det underliggande problemet: kritisk infrastruktur i allmänhet – och vattensystem i synnerhet – har historiskt sett halkat efter inom cybersäkerhet. Operativa styrsystem (ofta kallade OT-miljöer, från engelskans operational technology) byggdes under en era då de var fysiskt isolerade från omvärlden. I takt med att dessa system kopplas upp mot internet för fjärrövervakning och effektivitetsvinster, ökar angreppsytan dramatiskt.
Det är inte en hypotetisk risk. År 2021 fick en operatör i Oldsmar, Florida, se hur någon på distans försökte höja halten natriumhydroxid i stadens dricksvatten till farliga nivåer via ett fjärråtkomstverktyg. Attacken stoppades, men den visade att hoten är verkliga – inte bara retoriska.
Cal Water-incidenten påminner om att kedjan av säkerhet är precis så stark som dess svagaste länk. Här var det komprometterade inloggningsuppgifter hos externa leverantörer som öppnade dörren. Inte en sofistikerad nolldagssårbarhet, inte en avancerad ihärdig attack – utan lösenord som hamnat i fel händer.
Vad bör vi ta med oss?
Det finns en konstruktiv poäng i allt detta. Utredningen fungerade. Mandiant och övriga inblandade säkerhetsföretag kunde snabbt fastställa vad som faktiskt hade hänt och vad som var överdrift. Det är ett tecken på att incidenthanteringsförmågan hos större aktörer förbättrats.
Men många vattenverk i USA – och i Sverige, för den delen – är små kommunala bolag med begränsade resurser och ännu mer begränsad säkerhetskompetens. För dem är en liknande incident ett helt annat scenario. Hotbilden är global; förmågan att möta den är ojämnt fördelad.
Handalas miss är alltså inte ett skäl att andas ut. Det är snarare ett skäl att säkerställa att nästa angrepp – från en grupp med bättre förmåga eller mer tur – möts av samma robusta utrednings- och försvarskapacitet.
Vår analys
Det intressanta med den här incidenten är inte vad som hände – utan vad det avslöjar om det informationskrig som pågår parallellt med de tekniska angreppen. Handala behövde inte lyckas med ett faktiskt sabotage för att nå sitt mål: att så tvivel kring infrastrukturens säkerhet och demonstrera kapacitet inför en bredare publik.
Det ställer krav på oss som rapporterar om sådana händelser. Att okritiskt vidarebefordra hackergruppens påståenden ger dem exakt den förstärkning de söker. Samtidigt vore det fel att avfärda allt som bluff – den underliggande sårbarheten i OT-miljöer är reell och dokumenterad.
Framåt ser jag tre utvecklingslinjer: ökad reglering av cybersäkerhet i kritisk infrastruktur (EU:s NIS2-direktiv är ett steg i rätt riktning), bredare användning av AI-driven anomalidetektering i nätverkstrafik, och – kanske viktigast – förbättrad grundläggande säkerhetshygien kring behörighetshantering och leverantörskedjor. De enklaste sårbarheterna är fortfarande de mest utnyttjade.