Fredagskvällen den 2 juli 2021 slutade kassamaskinen pipa i Coops butiker runt om i Sverige. Inte en, inte tio, utan nära 800 butiker. Systemen svarade inte. Kunderna stod med varukorgar och inga möjligheter att betala. Det var inte ett tekniskt haveri, utan ett brott, utfört på distans av en kriminell organisation med kopplingar till Ryssland. Lösensumman uppgick till 70 miljoner dollar, ungefär 600 miljoner kronor.
Sverige är ett prioriterat mål för cyberattacker. Landet har en hög digitaliseringsgrad, kritisk infrastruktur kopplad till nätverk och ett geopolitiskt läge som lockar statliga hotaktörer. Sedan Rysslands fullskaliga invasion av Ukraina 2022 har antalet angrepp mot svenska mål ökat markant, enligt CERT-SE och MSB. Myndigheten för civilt försvar rapporterar att 21 procent av alla IT-incidenter som anmäldes under 2024 härrörde från leveranskedjeangrepp, en attacktyp där en enda leverantör kan fungera som inkörsport till hundratals organisationer på en gång.
Vad är en cyberattack?
En cyberattack är ett avsiktligt angrepp mot datorsystem, nätverk eller digital data. Målet varierar: pengar, information, sabotage eller politisk påverkan. Fyra typer dominerar den svenska hotbilden.
Ransomware är skadlig kod som krypterar filer och gör dem oåtkomliga. Angriparna kräver lösensumma i kryptovaluta för att lämna dekrypteringsnyckeln. Akira ransomware-as-a-service användes mot Tietoevry i januari 2024. REvil låg bakom Kaseya-attacken 2021.
DDoS (Distributed Denial of Service) är en överbelastningsattack. Tusentals infekterade datorer, ett botnet, skickar simultant trafik mot ett mål tills det kollapsar. CERT-SE varnar under 2025 för en ny metod kallad HTTP/2 Bomb som kombinerar tekniker för att maximera skadan med minimala resurser.
Phishing, på svenska nätfiske, är bedrägliga mejl eller meddelanden utformade för att lura mottagaren att lämna inloggningsuppgifter eller klicka på en länk som installerar skadlig kod. Social engineering, att manipulera människor snarare än system, är grundbulten i de flesta phishing-kampanjer.
Dataintrång innebär obehörig åtkomst till system med syfte att kopiera, läcka eller sälja information. Svenska kraftnät drabbades i oktober 2024. Miljödata drabbades i augusti 2025. I båda fallen hamnade känsliga uppgifter utanför organisationens kontroll.
Kända cyberattacker mot Sverige
Nedan är de mest betydande bekräftade angreppen mot svenska intressen under de senaste åren.
Coop och Kaseya-attacken 2021
Den 2 juli 2021 riktade hackergruppen REvil en ransomware-attack mot det amerikanska mjukvaruföretaget Kaseya. Kaseyas IT-hanteringsprogram används av tusentals företag globalt. Coops svenska leverantör Visma Esscom använde programvaran, och via den spred sig ransomwaret till kassasystemen i Coops cirka 800 svenska butiker.
Attacken klassificeras som ett leveranskedjeangrepp. Angriparna behövde aldrig bryta sig in i Coops egna system. De tog vägen via en pålitlig leverantör. REvil krävde 70 miljoner dollar för ett universellt dekrypteringsverktyg. Hundratals tekniker arbetade i skift för att på plats uppdatera kassasystem i butik för butik. Alla butiker var åter öppna inom en vecka.
Tietoevry och Akira ransomware 2024
Natten till den 20 januari 2024 drabbades ett av Tietoevry:s svenska datacenter av ett angrepp med Akira ransomware-as-a-service. Den finländska molntjänstleverantörens övervakningssystem detekterade intrånget och isolerade den drabbade plattformen omedelbart, vilket begränsade skadan.
Konsekvenserna var ändå synliga i hela det svenska samhället. Primula, ett löne- och HR-system som används av majoriteten av svenska universitet och mer än 30 statliga myndigheter, slogs ut. Anställda kunde inte rapportera sjukfrånvaro, hantera reseräkningar eller attestera löner. Filmstaden fick driftstörningar. Rusta och Granngården drabbades av tekniska problem, och Granngården stängde alla sina butiker en hel måndag.
Tietoevry återställde över 90 procent av de drabbade servrarna från säkerhetskopior inom fyra dagar. Alla berörda kundtjänster var fullt återställda i mitten av mars. Attacken polisanmäldes.
Miljödata och kommunernas kris 2025
Lördagen den 23 augusti 2025 genomfördes en ransomware-attack mot IT-leverantören Miljödata. Företaget tillhandahåller system för lönehantering, rehabilitering, personalärenden och arbetsskador till kommuner och regioner. Omkring 80 procent av landets kommuner använde Miljödatas tjänster.
Angriparna krävde 1,5 bitcoin, motsvarande ungefär 1,5 miljoner kronor, för att inte publicera den stulna datan. Uppgifter om skolelever och anställda i offentlig sektor hamnade på darknet. Minst 250 kunder anmälde incidenten till Integritetsskyddsmyndigheten (IMY), varav 164 kommuner och fyra regioner. Totalt riskerade ungefär en miljon svenska medborgares personuppgifter att spridas.
Drabbade kommuner inkluderar Kalmar, Karlstad, Luleå, Skellefteå, Katrineholm och Hässleholm. Region Halland, Region Gotland och Örebro universitet bekräftade också att de påverkades.
Svenska kraftnät 2024
Den 25 oktober 2024 upptäckte Svenska kraftnät ett dataintrång i en avgränsad extern filöverföringslösning. En hackergrupp hävdade att de genomfört attacken. Intrånget begränsades till kopiering av data från servern, inga säkerhetsskyddsklassificerade uppgifter exponerades och elförsörjningen påverkades inte. Svenska kraftnät samarbetade med MSB, CERT-SE och NCSC under utredningen och anmälde intrånget till polisen.
Vilka ligger bakom cyberattackerna mot Sverige?
MSB delar in hotaktörerna i två huvudkategorier: statliga aktörer och kriminella grupper.
Statliga aktörer genomför cyberangrepp med mål att stärka det egna landets utrikespolitiska, militära eller ekonomiska intressen. Ryssland är den mest dokumenterade aktören mot svenska mål, med kopplingar till bland annat GRU och FSB. Kinesiska statssponsrade grupper genomför industrispionage mot teknikföretag och forskning. Nordkorea finansierar sin verksamhet delvis genom cyberkriminalitet och riktar sig mot finanssektorn.
Sveriges NATO-anslutning 2024 har skärpt intresset från flera statliga aktörer. Hybridkrigföring, en kombination av cyberangrepp, desinformation och ekonomisk påverkan, är ett erkänt verktyg i moderna konflikter.
Kriminella grupper drivs av ekonomiska motiv. Ransomware-as-a-service, där kriminella hyr färdiga attackverktyg mot en andel av lösensumman, har demokratiserat cyberkriminaliteten. REvil och Akira är exempel på sådana grupperingar. Dessa aktörer är ofta svåra att lokalisera rättsligt eftersom de opererar från länder utan utlämningsavtal.
Gränsen mellan statliga och kriminella aktörer är inte alltid skarp. Statliga underrättelsetjänster kan använda kriminella grupper som täckmantel, eller tolerera deras verksamhet mot att de inte angriper inhemska mål.
Leveranskedjeangrepp: ett växande mönster
Attacken mot Kaseya, Tietoevry och Miljödata delar en gemensam struktur. Angriparna riktar sig inte mot slutmålet utan mot en leverantör som är inkörsport till hundratals organisationer. Varje infekterad leverantör multiplicerar antalet potentiella offer.
MSB registrerade att 21 procent av alla IT-incidentrapporter under 2024 härrörde från leveranskedjeangrepp, en markant ökning jämfört med föregående år. Orsaken är att organisationer väljer att outsourca IT-drift och mjukvaruhantering, vilket skapar komplexa beroenden. En organisations säkerhet är bara lika stark som den svagaste länken i hela leverantörskedjan.
För kommuner och myndigheter med begränsade IT-resurser är problemet akut. De kan inte alltid genomföra djupa säkerhetsgranskningar av alla leverantörer, och de saknar den interna kompetens som krävs för att hantera ett angrepp när det väl inträffar.
Vad gör myndigheterna?
Myndigheten för civilt försvar (MCF), tidigare känd som MSB, samordnar det civila cybersäkerhetsarbetet. MCF reglerar och ger råd om informationssäkerhet, hanterar IT-incidentrapportering och driver CERT-SE.
CERT-SE är Sveriges nationella CSIRT och erbjuder dygnetrunt-stöd vid IT-säkerhetsincidenter via telefon (010-240 40 40) och automatiserade sårbarhetsnotifieringar. Från den 1 juli 2026 överförs CERT-SEs verksamhet till Nationellt cybersakerhetscenter.
NCSC (Nationellt cybersakerhetscenter) är sedan november 2024 underlagt FRA (Försvarets radioanstalt) och fungerar som nav för samordning mellan civila och militära cyberförmågor. Övriga samverkande myndigheter är Säkerhetspolisen och Försvarsmakten, som ansvarar för offensivt cyberförsvar.
Den 18 september 2024 presenterade regeringen vad försvarsminister Carl-Oskar Bohlin beskrev som “den största satsningen som en regering har gjort på cybersäkerhet”: 196 miljoner kronor fördelade på NCSC, CERT-SE, kommunal kartläggning, NIS2-tillsyn och allmän cybermedvetenhet.
Vad innebär NIS2-direktivet för svenska organisationer?
EU:s NIS2-direktiv genomfördes i svensk rätt genom cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026. Lagen gäller alla verksamheter som klassas som väsentliga eller viktiga enheter, ett betydligt bredare tillämpningsområde än föregångaren NIS1.
De centrala kraven:
- Obligatorisk incidentrapportering till behörig myndighet inom 24 timmar efter att ett angrepp har upptäckts.
- Riskhantering med dokumenterade säkerhetsåtgärder och kontinuitetsplaner.
- Krav på leverantörer och tredjeparter att uppfylla motsvarande säkerhetsstandarder.
- Utbildning av personal och ledning i cybersäkerhet.
Underlåtenhet att registrera sig som väsentlig eller viktig enhet kan leda till sanktionsavgifter. NIS2-tillsynen är fördelad på flera tillsynsmyndigheter beroende på sektor, och 28 av de 196 miljonerna i regeringssatsningen öronmärktes specifikt för att finansiera denna tillsyn.
Hur skyddar man sig mot cyberattacker?
Grundläggande skyddsåtgärder enligt CERT-SE och MCF:
Tvåfaktorsautentisering på alla konton, särskilt e-post, VPN och administrativa gränssnitt. En stor andel intrång möjliggörs av stulna lösenord utan ytterligare verifiering.
Säkerhetskopiering som förvaras offline eller i ett isolerat nätverk. Ransomware krypterar också anslutna säkerhetskopior om de är nåbara. Tietoevry återställde >90 procent av servrarna tack vare fungerande backuper.
Patchning och uppdateringar omedelbart när säkerhetsluckor offentliggörs. Zero-day-sårbarheter, okända fel som angriparna utnyttjar innan tillverkaren hunnit åtgärda dem, är bland de farligaste vektorerna. Kaseya-attacken utnyttjade en zero-day i deras produkt.
Nätverkssegmentering med brandväggar som begränsar hur långt en angripare kan röra sig lateralt om de väl tagit sig in. Svenska kraftnät lyckades begränsa intrånget till en enda server delvis tack vare denna princip.
Utbildning mot phishing och social engineering. Mänskliga misstag är inkörsport i en majoritet av alla cyberattacker. Regelbundna simulerade phishing-övningar minskar risken markant.
Incidenthanteringsplan. Organisationer utan dokumenterad plan förlorar kritisk tid när ett angrepp inträffar. Planen ska definiera roller, kommunikationsvägar, eskaleringsrutiner och kontaktuppgifter till CERT-SE och polisen.
Digital motståndskraft byggs inte med en enda åtgärd. Det är ett systematiskt arbete med riskhantering, kontinuitet och säkerhetskultur som genomsyrar hela organisationen, från styrelserummet till den enskilde medarbetarens datorvana.
