Utredande use case · Kommunal cybersäkerhet

Kommunala fastigheters
cyberexponering

En djupanalys av hur kommunala byggnader hänger ihop nätverksmässigt, var de verkligt samhällskritiska sårbarheterna finns och vem som faktiskt bär ansvaret när något går fel.

87
Kommunala fastigheter
4
Kritikalitetsnivåer
3
Attackscenarier
0
OT-segmenterade nät
Fiktivt scenario — Mellstads kommun är ett konstruerat analysfall. Alla system, siffror och attackscenarier speglar verkliga brister dokumenterade i MSB:s och ENISA:s rapporter om kommunal cybersäkerhet 2023–2025.
01
Analysfall

Mellstads kommun
— systemkartan

Mellstads kommun har 45 000 invånare, 87 kommunala fastigheter och driver tre kommunala bolag: Mellstads Vatten AB, Mellstads Energi AB och Mellstads Bostäder AB. BMS för 71 av fastigheterna hanteras centralt via Siemens Desigo CC. OT och IT delar kommunens gemensamma fibernät utan segmentering.

🚰Kritisk

Vattenverk och reningsverk

2 anläggningar · Mellstads Vatten AB

Vattenverket producerar 8 000 m³/dygn dricksvatten. SCADA styr klordosering, flöde och tryckreglering. Reningsverket hanterar avlopp för hela kommunen. Båda körs med Schneider Electric-PLC:er via Modbus TCP.

NIS2 Bilaga IDricksvattenModbus TCPLivsmedelsverket
📡Kritisk

VA-pumpstationer

34 stationer spridda i kommunen · Mellstads Vatten AB

34 fjärrstyrda pumpstationer med 4G-uppkoppling mot central SCADA. Varje station kör lokal PLC, ofta med fabriksinställda lösenord. Avsaknad av central loggning eller anomalidetektion. En havererad pumpstation = avloppsbräddning.

4G/LTE SCADADefault-credsAvloppsbräddning
🔥Kritisk

Fjärrvärmecentral

1 central, 8 understationer · Mellstads Energi AB

Fjärrvärmecentralen försörjer 60 % av kommunens uppvärmning inklusive sjukhusanslutna äldreboenden. SCADA via OPC-UA. Understationernas PLC:er kommunicerar via kommunens fibernät — samma nät som skolor och förvaltning.

NIS2 Bilaga IOPC-UAEi-tillsyn
🏥Hög

Äldreboenden

6 boenden · Socialnämnden

HVAC, brandlarm och låssystem kopplade till Desigo CC. Personuppgifter för 340 boende i lokal server. Tre av sex boenden värms direkt av fjärrvärmecentralen — ett energi-hack slår direkt mot dessa byggnaders temperatur.

Desigo CCGDPRLivssäkerhet
🚒Hög

Räddningstjänst

1 station + 3 deltidsstationer · RSBH

Eget kommunikationssystem (Rakel), men byggnads-BMS kopplad till kommunens Desigo CC-plattform. Fordonsspårning via kommersiell IoT-modul med MQTT mot leverantörens moln. Inga nätverks-loggar för OT-trafik.

Desigo CCMQTT/molnRakel
🏫Hög (entrypoint)

Skolor

18 skolor · Barn- och utbildningsförvaltningen

HVAC, belysning och passerkontroll via Desigo CC — samma plattform, samma credentials-domän som alla andra kommunala byggnader. Dessutom: 2 300 elev-Chromebooks, IoT-luftkvalitetssensorer (Netatmo) med defaultlösenord. Lägst teknisk skyddsförmåga — högst attackyta.

Desigo CC (delad)IoT default-credsLateral movement
🏛️Medel

Kommunhuset och förvaltning

4 byggnader · Kommunen

Kommunstyrelse, nämnder och IT-central. BMS i Desigo CC. IT-nät med Active Directory och ekonomisystem. Fysisk och digital åtkomstkontroll ej separerade — komprometterat BMS kan öppna serverhallens dörrar.

Active DirectoryEkonomisystemServerhall
🅿️Medel (brygga)

Parkeringsanläggningar och utomhus-IoT

3 garage + gatubelysning + trafikljus · Teknisk förvaltning

Smart parkering (Flowbird) med MQTT mot kommersiellt moln. Trafikljusstyrning (Swarco) via kommunens fibernät. Gatubelysning (Echelon/Tridonic) med 4G-modem. Tre separata leverantörers molnuppkopplingar — ingen av dem loggade.

MQTT/moln4G-modemTrafikstyrning
02
Nätverksarkitektur

Hur allt hänger ihop
— och varför det är farligt

Det mest kritiska säkerhetsproblemet i Mellstads kommun är inte en specifik sårbarhet — det är nätverksarkitekturen. Kommunens fibernät binder samman alla verksamheter i ett i praktiken flatt nät utan segmentering mellan OT och IT.

MELLSTADS KOMMUNS NÄTVERKSTOPOLOGI — FÖRENKLAD
Internet
🌐 Internet
Siemens servicenät
Schneider fjärrövervakning
Flowbird moln (parkering)
Netatmo moln (IoT)
Ingen DPI-inspektion
Kommunens fibernät (platt)
Desigo CC BMS-server
IT-nätverk (AD, ekonomi)
Va-SCADA
Energi-SCADA
Skol-IT
IoT-sensorer
Inga VLAN-gränser
OT-kritisk nivå
🚰 VA-PLC (Modbus)
🔥 Energi-PLC (OPC-UA)
34× Pumpstation (4G)
OT-fastighet
🏥 Äldreboende BMS
🚒 Räddningstjänst BMS
🏫 Skol-BMS (18 noder)
🏛️ Kommunhus BMS
Delade Desigo-creds
IoT / Edge
Netatmo-sensorer (skola)
Hikvision CCTV
ASSA Abloy-läsare
Swarco trafikljus
Tridonic belysning (4G)
Default-credentials
🔴 Kritisk arkitekturbrist — det platta nätet

Alla system i Mellstads kommun delar i praktiken samma nätverkssegment. Det innebär att en angripare som komprometterar en IoT-sensor i en skola kan lateralt förflytta sig till VA-SCADA som styr dricksvattnet, till Desigo CC som styr alla byggnader, och till kommunens Active Directory — allt utan att passera en enda brandvägg. Det är inte ett teoretiskt hot. Det är standardtopologin i svenska medelstora kommuner.

03
Tre realistiska attackscenarier

Från initial access
till samhällskonsekvens

Varje scenario bygger på dokumenterade tekniker (MITRE ATT&CK ICS) och verkliga sårbarheter i den utrustning Mellstads kommun kör. Ingen av attackerna kräver avancerad statsaktörförmåga.

01
"Skolvägen" — från IoT-sensor till vattenverk
Initial access via okonfigurerad IoT · Lateral movement · Impact på kritisk infrastruktur
KRITISK
1

Rekognosering — Shodan-scan

Angripare söker på Shodan efter "Netatmo" och Mellstads kommuns IP-block. Hittar 6 luftkvalitetssensorer i skolor med web-API exponerat. Standardlösenord "admin/admin" ger direkt åtkomst.

T0817 — Exploit Public-Facing App
2

Initial access — sensorn som brygga

Netatmo-sensorn kör Linux. Angriparen laddar upp reverse shell via sensorns debug-API (CVE-2023-XXXX). Shell-session etablerad från sensor i Mellstads Norra skola — direkt på kommunens fibernät.

T0866 — Exploitation of Remote Services
3

Lateral movement — nätverksskanning på fibernätet

Från sensorn körs nmap mot kommunens fibernät (10.x.x.x). Port 502 (Modbus) svarar på 10.4.2.1 — det är Schneider Electric PLC:n i vattenverket. Ingen brandvägg mellan skola och vattenverk.

T0840 — Network Connection Enumeration
4

Impact — manipulation av klordosering

Modbus register 40001 styr klorhalt. Angriparen skriver ny set-point: 0.02 mg/L (under WHO:s minimigräns 0.2 mg/L). Förändringen sker tyst — ingen larm triggas. Vattenverkets operatörer märker inget förrän automatisk provtagning nästa dag.

T0855 — Unauthorized Command Message
Konsekvenser
  • Potentiell mikrobiell kontaminering av dricksvatten för 45 000 invånare
  • Kommunen kan inte rekonstruera händelseförloppet — inga OT-loggar
  • NIS2 art. 23: rapport till Livsmedelsverket och MSB inom 72h — omöjlig utan logg
  • Ansvar: VD Mellstads Vatten AB personligen ansvarig under NIS2 art. 20
NIS2 Bilaga I — Dricksvatten · Livsmedelsverket
02
"Leverantörsporten" — phishad servicetekniker tar hela kommunen
Supply chain · Credential compromise · Multi-building impact
KRITISK
1

Phishing av Siemens fältingenjör

En fältingenjör på Siemens Building Technologies tar emot ett e-postmeddelande som ser ut att komma från intern HR: "Obligatorisk lösenordsuppdatering — klicka här." Ingenjören anger sina Siemens VPN-credentials på en phishing-sida.

T0865 — Spearphishing Attachment
2

VPN-åtkomst till Desigo CC

Siemens har en permanent VPN-tunnel till Mellstads Desigo CC-server (ingen MFA). Med stulna credentials loggar angriparen in. Desigo CC ger full grafisk kontroll över alla 71 byggnader i kommunen — karta, temperaturer, låsstatus, brandlarm.

T0859 — Valid Accounts
3

Kartläggning och förberedelse

Angriparen kartlägger kommunens alla byggnader i Desigo CC under 3 veckor. Identifierar alla äldreboenden, räddningstjänsten och fjärrvärmens understationer. Laddar ner komplett systemkonfiguration. Planerar koordinerad attack.

T0842 — Network Sniffing / Reconnaissance
4

Koordinerad vinterattack — kl. 02:00 fredag i januari

Angriparen sänker värmeset-points i alla 6 äldreboenden till 10°C. Stänger av ventilationen i kommunhuset och tre skolor. Låser upp alla dörrar i räddningstjänstens stationer. Allt via Desigo CC:s helt legitima styrfunktioner — ingen malware, inga larm.

T0855 — Unauthorized Command Message
Konsekvenser
  • 340 äldre på boenden utan värme vid -10°C — livsfara inom timmar
  • Räddningstjänstens stationer fysiskt öppna — kör-stöld och intrång möjligt
  • Kommunen har ingen logg på leverantörers VPN-åtkomst — kan inte bevisa vad som hände
  • Siemens servicekonto var aldrig tidsbegränsat — aktiv åtkomst i 4 år
NIS2 art. 21.2(d) — Leverantörskedja · MSB
03
"Det tysta angreppet" — SCADA-infiltration under månader
Persistent access · Long-term reconnaissance · Coordinated infrastructure outage
SAMHÄLLSKRITISK
1

Shodan-fynd: energi-SCADA internet-exponerad

Mellstads Energi ABs Schneider EcoStruxure SCADA har en felkonfigurerad firewall-regel som exponerar OPC-UA port 4840 mot internet. Shodan indexerar servern. Angripare identifierar det via sökterm "opcua" + kommunens ASN.

T0817 — Exploit Public-Facing Application
2

Initial access via OPC-UA utan autentisering

OPC-UA-servern kör i Anonymous mode (fabriksinställning). Angriparen ansluter och läser alla processtaggar — temperaturer, flöden, effektuttag per stadsdel, tidschema. Inga larm. Ingen logg på kommunens sida.

T0860 — Wireless Compromise
3

Persistent access och datainhämtning (6 månader)

Angriparen installerar ett lätt Python-skript på en exponerad Raspberry Pi i en av understationerna (funnen via OPC-UA-trädet). Skriptet exfiltrerar SCADA-data dagligen. Driftsrutiner, underhållsfönster och belastningsprofiler kartläggs.

T0889 — Modify Program
4

Koordinerat angrepp: fjärrvärme + VA + strömavbrott

Med full driftskunskap exekverar angriparen koordinerat: stänger av fjärrvärmetillförseln till sjukhusanknutna äldreboenden, triggar nödstopp på vattenverkets högtryckspump (simulerat fel) och manipulerar effektbalansmätning i energi-SCADA. Tre separata system. Tre separata tillsynsmyndigheter. Ingen gemensam incidentkoordinering.

T0879 — Data Destruction · T0814 — Denial of Service
Konsekvenser
  • Samordnat infrastrukturangrepp: värme + vatten + energi ur funktion samtidigt
  • Tre tillsynsmyndigheter (MSB, Livsmedelsverket, Ei) får separata rapporter — ingen samordning
  • Attributionssvårigheter: är det ett angrepp eller tre parallella driftstörningar?
  • 6 månaders oupptäckt infiltration — NIS2-brott som aktiverar personligt ledningsansvar
NIS2 Bilaga I — Energi + Vatten + Offentlig förvaltning
04
Juridik och organisation

Ansvarskartan —
vem äger vad när det brinner

Det strukturella problemet i Mellstads kommun är inte tekniskt — det är organisatoriskt. OT-cybersäkerhet faller konsekvent mellan IT-avdelningens och Teknisk förvaltnings ansvarsområden. Ingen äger frågan. Alla berörs.

System / byggnad Kritikalitet Operativ ägare IT-ansvarig OT-cyber-ansvarig NIS2-ansvarig MSB-rapport
Vattenverk / Reningsverk Kritisk Mellstads Vatten AB IT-avd. (kommunen) VA-ingenjör (ej certifierad) Bolagets styrelse VD Mellstads Vatten
34 VA-pumpstationer Kritisk Mellstads Vatten AB Ingen Ingen Bolagets styrelse VD Mellstads Vatten
Fjärrvärme SCADA Kritisk Mellstads Energi AB IT-avd. (kommunen) Driftingenjör (ej OT-cyber) Bolagets styrelse VD Mellstads Energi
Äldreboenden (6 st) Hög Socialnämnden IT-avdelningen Teknisk förvaltning (ej OT) Kommunstyrelsen Kommundirektören
Räddningstjänst Hög RSBH / Kommunen Räddningstjänst IT Ingen definierad Räddningschefen Räddningschefen
Skolor (18 st) Hög (entrypoint) Utbildningsförvaltningen IT-avdelningen Teknisk förvaltning (ej OT) Kommunstyrelsen Kommundirektören
Kommunhus / Förvaltning Medel Kommunen IT-avdelningen IT-avdelningen (utan OT-mandat) Kommunstyrelsen Kommundirektören
Desigo CC (central BMS) Kritisk (plattform) Fastighetsavdelningen IT-avdelningen Siemens (leverantör!) Oklart Oklart
🔴 Ansvarsgap nr 1 — OT-cyber ägs av leverantören

Desigo CC — plattformen som styr 71 byggnader — har Siemens som de facto OT-säkerhetsansvarig via sitt serviceavtal. Kommunen har outsourcat cybersäkerhetsansvaret för sin mest kritiska OT-plattform till en extern part utan att det är definierat i NIS2-termer. Vid incident är ansvarsfördelningen omtvistad.

🟠 Ansvarsgap nr 2 — kommunala bolag är separata NIS2-entiteter

Mellstads Vatten AB och Mellstads Energi AB är egna juridiska personer med egna NIS2-skyldigheter. Deras styrelser bär personligt ansvar separat från kommunstyrelsen. Men de delar IT-infrastruktur och fibernät med kommunen — ett angrepp slår mot båda, men rapportering sker till tre olika myndigheter.

05
Regulatorisk komplexitet

En kommun — fyra tillsynsmyndigheter

Mellstads kommuns samlade verksamhet faller under NIS2 i fyra separata sektorer med fyra separata tillsynsmyndigheter. Ingen enskild tjänsteperson i kommunen har översikt över samtliga krav och rapporteringskedjor.

Bilaga I — Väsentlig

Offentlig förvaltning

EU 2022/2555 · Cybersäkerhetslagen

Kommunstyrelse, nämnder, förvaltningsbyggnader, skolor, äldreboenden och all kommunal IT-OT-infrastruktur. Den bredaste sektorn — täcker 71 fastigheter.

Tillsynsmyndighet: MSB
Bilaga I — Väsentlig

Dricksvatten och avlopp

EU 2022/2555 · Dricksvattenlagen

Mellstads Vatten AB — vattenverk, reningsverk och 34 pumpstationer. Separat NIS2-entitet. Krav på SCADA-säkerhet, OT-inventering och 72h-rapport.

Tillsynsmyndighet: Livsmedelsverket + MSB
Bilaga I — Väsentlig

Energi — fjärrvärme

EU 2022/2555 · Ellagen

Mellstads Energi AB — fjärrvärmecentralen och 8 understationer. Separat NIS2-entitet under energisektorn. OPC-UA-SCADA kräver OT-cybersäkerhet och incidentrapportering.

Tillsynsmyndighet: Energimarknadsinspektionen (Ei)
Bilaga II — Viktig

Digital infrastruktur

EU 2022/2555

Kommunens fibernät och datacenter kan klassas som digital infrastruktur om de tillhandahåller tjänster externt. Kommunens IT-outsourcing till Tieto Evry innebär ytterligare leverantörskedjekrav.

Tillsynsmyndighet: PTS
📋 Koordineringsproblemet vid incident

Vid ett koordinerat angrepp som träffar alla tre bolag (scenario 3) måste kommunen koordinera fyra parallella 72h-rapporter till MSB (offentlig förvaltning), Livsmedelsverket (vatten), Ei (energi) och eventuellt PTS (digital infrastruktur) — med delvis överlappande men inte identiska krav. Idag finns ingen tjänsteperson i Mellstads kommun med mandat och kunskap att koordinera detta. Mimir365 automatiserar OT-tidslinjen och genererar myndighetsmallarna parallellt.

06
Analyskonklusioner

Sex nyckelinsikter
om kommunal OT-säkerhet

🏗️

Arkitekturen är problemet — inte en specifik sårbarhet

Det platta nätet som förbinder IoT-sensorer i skolor med VA-SCADA är den verkliga risken. Inga patchningsrutiner eller brandväggar hjälper om grundarkitekturen tillåter lateral förflyttning utan hinder.

🔗

Leverantörens åtkomst är kommunens exponering

Siemens, Schneider och JCI har mer operativ åtkomst till kommunens kritiska system än kommunens egna IT-avdelning. Denna åtkomst är sällan loggad, aldrig tidsbegränsad och juridiskt oklar vid incident.

⚖️

Personligt ansvar är aktivt — men utan stöd

Kommunstyrelseledamöter och VD:ar i kommunala bolag är juridiskt ansvariga under NIS2 art. 20 redan nu. De flesta är omedvetna om att ansvaret är aktivt och att det kräver formella beslut, dokumentation och utbildning.

🏛️

Fyra tillsynsmyndigheter — noll koordinering

En mellanstor kommuns samlade verksamhet faller under MSB, Livsmedelsverket, Ei och potentiellt PTS. Ingen av dessa myndigheter ansvarar för att koordinera krav eller incidentrespons mot kommunen som helhet.

🎯

Skolan är angriparens favoritentrypoint

Skolor har lägst teknisk försvarsförmåga (IoT, Chromebooks, öppna nätverk) men är fullt uppkopplade mot kommunens gemensamma BMS-plattform. De är den bredaste attackytan och den minst övervakade nätverksnoden.

📊

Utan OT-logg finns inget brott — och inget försvar

Kommunen kan i dag inte rekonstruera en OT-incident. Det gör 72h-rapportering praktiskt omöjlig, rättsvårdande av incidents omöjlig och intern lärprocess omöjlig. Loggning är inte nice-to-have — det är kärnan i NIS2-efterlevnad.

Hur ser er kommuns
OT-exponering ut?

Ladda ner den kostnadsfria NIS2/CRA-guiden för kommuner och statliga myndigheter — eller boka en OT-inventering och se er faktiska systemkarta dag ett.

Ladda ner guiden (PDF) Boka OT-inventering