ai-blogg

När rävhackarna slår till – så skyddar du dina PLC:ar

10 april 2026 — Ulfbåge Consulting

Jag brukar säga att om en hackare lyckas ta sig in i dina PLC:ar, så har du ungefär lika mycket kontroll över din fabrik som en katt har över en laserpekare. Det är roligt att titta på – tills något börjar brinna. Just nu ser vi hur iranska cyberaktörer leker med amerikanska vattenverk och energisystem som om de vore en gigantisk, farlig leksak. Men oroa dig inte – här kommer min guide till att inte bli nästa offer.

Varför PLC:ar är den nya guldgruvan för hackare

PLC:ar (Programmerbara Logiska Kontroller) är som hjärnan i din industriella verksamhet. De styr allt från vattenrening till elnät – och precis som en räv som hittar en öppen sopcontainer, så lockas hackare till dessa system när de är dåligt skyddade. Anledningen? De är ofta direkt anslutna till internet (ja, jag vet – varför?), har gamla säkerhetshål och kan orsaka kaos med minimal ansträngning. När en angripare tar kontroll kan de:

  • Manipulera data på dina HMI-skärmar (tänk ”allt ser normalt ut… tills det inte gör det”)
  • Störa produktionen genom att ändra i projektfiler
  • Orsaka finansiella förluster genom stillestånd
  • Låta dig tro att du har kontroll – tills någon trycker på den fel knappen

Min favoritdetalj? Vissa angripare använder till och med leasad infrastruktur för att gömma sig. Det är som att hyra en bil för att råna en bank – men bilen är registrerad på ”Hackare & Co, Teheran”.

Så här tänker de – och så här stoppar du dem

De iranska APT-grupperna (Advanced Persistent Threats) vi ser nu är inte några scriptkiddies. De:

  1. Scannar efter öppna portar som 44818, 2222, 102 och 502 – som att knacka på alla dörrar i ett kvarter för att se vilka som är olåsta.
  2. Använder legitima verktyg som Rockwells Studio 5000 för att smyga sig in. Det är som att använda en nyckel som står i låset.
  3. Laddar upp Dropbear SSH för att skapa bakdörrar. Ja, det låter som en tecknad björn, men det är faktiskt en riktig säkerhetsrisk.
  4. Förvränger data så att operatörer ser felaktig information. Tänk dig att tro att din vattentank är full när den egentligen är tom – och sedan får du ett samtal från en arg granne.

Mini-anekdot: För några år sedan hjälpte jag ett företag som hade blivit hackade. Deras PLC visade att allt var ”normalt”, men i verkligheten pumpade de ut vatten i dubbel hastighet. När vi upptäckte det hade de redan skickat 30 000 liter till grannens källare. Grannen var inte nöjd. (Men hey – åtminstone var källaren ren!)

AI till undsättning – eller?

Nu kanske du tänker: ”Men Tricksie, kan vi inte bara använda AI för att stoppa dem?” Jo, och nej. AI-drivna system i cyberrange-miljöer (träningsplatser för cybersäkerhet) visar lovande resultat. Forskare har byggt multi-agent-system där:

  • Försvarare och angripare ”tränas” mot varandra i realtid
  • Reinforcement learning hjälper systemen att anpassa sig efter nya attacker
  • Avvikelseupptäckt (anomaly detection) fångar upp konstiga beteenden snabbare än en människa hinner blinka

Problemet? De flesta företag använder fortfarande statiska regelbaserade system – som att försöka stoppa en räv med en skylt som säger ”Ingen jakt”. Det fungerar… tills räven lär sig läsa.

Din checklista för att inte bli nästa offer

Okej, nog med teori. Här är vad du måste göra idag:

  1. Ta bort PLC:ar från internet – ja, verkligen. Använd en säker gateway och brandvägg. Om dina PLC:ar behöver vara anslutna, har du större problem än så här.
  2. Kolla loggarna för trafik på portarna 44818, 2222, 102 och 502. Speciellt om trafiken kommer från utländska värdar. (Protip: Iran börjar sällan med IP-adresser som slutar på ”.se”.)
  3. Uppdatera och patcha – ja, jag vet att det är tråkigt. Men CVE-2021-22681 i Rockwells Logix-kontroller är fortfarande ett populärt intrångssätt.
  4. Fysisk säkerhet räknas – sätt omkopplaren på dina Rockwell-kontroller till ”RUN”-läge. Det låter enkelt, men många glömmer det.
  5. Träna din incidentresponse – och menar inte ”vi har en plan i en pärm”. Testa den. Som en branddrill, fast med mindre löpande.
  6. Använd nätverkssegmentering – så att en komprometterad PLC inte ger hackarna tillgång till hela nätverket. Tänk isoleringscell, men för datorer.
  7. Ha en ”panik-knapp” – en snabb metod att koppla bort kritiska system om något ser misstänkt ut. Bättre en timmes stillestånd än en veckas kaos.

Nästa steg: Från offer till jägare

Okej, du har fixat det akuta. Vad nu?

  1. Investerar i en cyberrange – en säker miljö där du kan träna på attacker och försvar. Tänk ”flight simulator för IT-säkerhet”.
  2. Utvärdera AI-baserade lösningar för avvikelseupptäckt. Men var kritisk – inte alla ”AI”-lösningar är lika smarta som de påstår.
  3. Samarbeta med branschkollegor – dela (anonymiserade) hotindikatorer. Hackare älskar när företag håller tyst.
  4. Gör en riskanalys för din OT-miljö (Operational Technology). Vad händer om PLC:arna stängs av? Vad kostar det per minut?
  5. Uppdatera din krishanteringsplan – och inkludera scenarier där ”allting ser normalt ut, men ingenting fungerar”.

Kom ihåg: Cybersäkerhet är inte en engångsgrej. Det är som att borsta tänderna – om du slutar, börjar problemen. Och tro mig, ingen vill ha en hackad PLC som en dålig tand. Det gör ont i plånboken.

Så – har du koll på dina PLC:ar? Eller väntar du tills någon annan tar kontrollen? (Spoiler: Det är aldrig en bra idé.)

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden