Stora massor protesterar i Prag då tjeckerna är oroliga att premiärminister Andrej Babiš tar Tjeckien ner för samma gata som Ungern och Slovakien redan vandrat, det vill säga mot ett mer totalitärt styre. Spänningar i Ungern som går till parlamentsval den 12:e april och där sittande premiärminister Victor Orban ånyo sätter käppar i hjulen för EU:s finansiella lån till Ukraina. Samtidigt i Mellanöstern – Hormuzsundet fortsätter att vara mer eller mindre stängt (undantaget utvalda fartyg) och kriget som på ena sidan primärt omfattar Iran samt deras proxys Hezbollah och på andra sidan USA och Israel skapar oro på många marknader – vad kommer hända med energipriser, inflation och räntor? Framför allt – hur ser framtiden för Iran och regionen i stort ut, kommer andra länder på den arabiska halvön att tvingas in i konflikten?
Många av de händelser vi ser lyfter också fokus från Rysslands anfallskrig mot Ukraina samtidigt som Vladimir Putin säkert gnuggar händerna både åt just det faktum samt att intjäningen på rysk olja stiger i linjär takt med priset per oljefat. Det ironiska är att en av metoderna som den amerikanske administrationen tagit till för att dämpa pris-stegringen är just att låta Ryssland exportera olja under en period fram till den 11:e april – dock får inte olja säljas till Kuba, Nordkorea eller Krim.
I cyberdomänen får detta påverkan, bland annat genom att Iran-kopplade hotaktörer slår till mot verksamheter där man redan innan konflikten skapat ett fotfäste via tidigare genomförde intrång. Mer om detta mot slutet av nyhetsbrevet.
Sverige har inte koll på cybersäkerhet
Nyligen redovisade Myndigheten för Civilt Försvar nivån på det systematiska cybersäkerhetsarbetet i offentlig förvaltning och samhällsviktig verksamhet (NIS2-aktörer). Detta är kopplat till enkäten ”cybersäkerhetskollen” som skickades ut i fjol (2025). Cybersäkerhetskollen har nu skickats ut ett antal år och denna gång var det 65% av de responderande verksamheterna som deltagit 3 år i följd.
Resultatet är minst sagt skrämmande. Mognaden i arbetet mäts i fyra nivåer där nivå 1 är den lägsta och nivå 4 den högsta. Når man nivå ett så har man någon form av grund till cybersäkerhetarbete på plats och når man nivå 4 så har man en fungerande systematik och jobbar även med ständiga förbättringar. Denna gång var undersökningen uppdelad i lite olika delar: Informationssäkerhet, IT-säkerhet, OT-säkerhet och Leverantörskedjan. Vi kommer inte gå in på djupet i någon specifik del, men det kan sägas att inte inom något av dessa områden når fler än 6% av de deltagande verksamheterna nivå 3 eller högre.
Det är nästan svårt för oss som jobbar med detta att ta in resultatet. Detta är alltså verksamheter som är samhällsviktiga, där vi nu har en lagstiftning på plats och när det gäller exempelvis informationssäkerhet så når sex av tio verksamheterna inte ens upp till nivå 1 på den fyrgradiga skalan. Dessutom ser man en väldigt liten utveckling sedan den föregående enkäten – det är alltså inte bara att nivån är låg, utan arbetet har dessutom stannat av.
Vill ni ta del av rapporten och resultatet så finns den här: Cybersäkerhetskollen 2025.
En farligare tid
Försvarets Radioanstalt (FRA) släppte i början av mars sin årsrapport för 2025, rapporten bär namnet ”En farligare tid”. I denna kan man läsa att cybersäkerhet nu är en av de mest avgörande delarna av Sveriges totalförsvar. Man slår i rapporten fast, att i en tid där omvärldsläget präglas av krig, geopolitisk instabilitet och ökande digital sårbarhet, har cyberdomänen blivit både en arena för konflikter och ett verktyg för strategisk påverkan.
FRA lyfter att hoten mot vårt digitala samhälle är mer komplexa än någonsin och att överbelastningsattacker kopplade till politiska händelser, avancerade utpressningsattacker och ett eskalerande missbruk av nätfiske utmanar både offentlig sektor, företag och enskilda användare. Statsaktörer (alltså hackergrupper direkt kopplade till länders styre) ligger bakom en stor del av de mest sofistikerade angreppen, där utnyttjande av tekniska sårbarheter, intrång mot edgeenheter och långsiktig informationsinhämtning är centrala metoder.
I Sverige växer Nationellt cybersäkerhetscenter (NCSC) snabbt fram som navet i vårt eget cyberekosystem. FRA beskriver hur samordning, lägesbilder, incidenthantering och gemensamma övningar är avgörande för att bygga en nationell motståndskraft. Myndigheten understryker dessutom att cyber inte längre är en teknisk fråga – det är en strategisk samhällsfråga.
Rapporten gör det tydligt: Sveriges digitala robusthet kräver samverkan, kontinuerlig övning, höjd teknisk lägstanivå och ett gemensamt ansvar. Cybersäkerhet är inte längre något som “någon annan” sköter – det är en del av vårt nationella försvar, varje dag.
Låt oss hoppas att dessa insikter och tankar bidrar till ett bättre resultat i nästa upplaga av cybersäkerhetskollen.
Rapporten finns att läsa i sin helhet här: FRA Årsrapport 2025.
Euro 3C – ur molnjättarnas grepp?
Vi har i nyhetsbrevet tidigare behandlat utmaningen avseende Europas beroende av amerikanska molntjänster. Under det, i vår mening, tråkiga namnet Euro-3C, tar Europa nu ett av sina största kliv hittills för att minska beroendet av amerikanska och kinesiska molnjättar. Med EURO3C, vilket är ett projekt som EU finansierar med 75 miljoner euro, vill man bygga en helt ny typ av digital infrastruktur – en, som man skriver ”federerad TelcoEdgeCloudplattform” (kristallklart, eller hur?) som binder samman existerande nät, edgenoder och molntjänster över hela kontinenten. Projektet presenterades på Mobile World Congress nu i mars 2026.
I stället för att skapa ett centralt europeiskt moln, syftar EURO3C till att koppla ihop resurser från över 13 länder och mer än 70 organisationer – primärt telekomoperatörer, forskningsinstitut, teknikföretag och molnleverantörer – till ett gemensamt system. Det gör, enligt EU, att Europa kan utnyttja sina redan existerande digitala tillgångar effektivare och minska fragmenteringen i den europeiska molnmarknaden.
Satsningen kommer i en tid när EU blivit alltmer medvetet om riskerna med att stå för nära externa leverantörer. Amerikanska företag står idag för ungefär 70 % av EU:s molnmarknad, något som väckt frågor om datasäkerhet och geopolitiska påtryckningar. Inte minst med bakgrund av Donald Trumps strafftullsutspel. Vi tycker EURO-3C kommer vara spännande att följa, men det kommer förstås vara en mycket stor utmaning att bygga tjänster och funktioner som på riktigt ersätter de som de amerikanska molnjättarna idag erbjuder.
ByteToBreach hackar CGI
Hackergruppen ByteToBreach har varit på tapeten de senaste veckorna. Dels ligger gruppen bakom ett intrång hos rederiet Viking Line, men det som fått mer publicitet är attacken som är kopplad till IT-företaget CGI och de system man driftar åt svenska myndigheter. Hackergruppen har uppgett att de genomfört intrånget och publicerat delar av källkod samt annan teknisk information.
Enligt uppgifter på flera webbsidor, så rör det sig om läckt material som kan inkludera källkod, konfigurationsdata och vissa autentiseringsuppgifter kopplade till system som används inom offentlig sektor. Flera av dessa system är centrala för digitala myndighetstjänster, där inloggning ibland sker via BankID.
CGI har uppgett att intrånget varit begränsat till interna testmiljöer och inte påverkat produktionssystem direkt. Samtidigt har svenska myndigheter och ”säkerhetsfunktioner”, inklusive CERT-SE, inlett utredningar för att klarlägga omfattningen och eventuella konsekvenser.
Läckt källkod i sig kan givetvis innebära risker, eftersom den kan användas för att identifiera sårbarheter och planera framtida angrepp mot relaterade system.
Angreppet utreds fortfarande och det finns i nuläget ingen fullständig bild av omfattningen eller vilka system som kan ha påverkats.
Prepositioning – Irans långsiktiga cyberkrigföring
Under de senaste månaderna har säkerhetsforskare, bland annat från Symantec, Check Point och Carbon Group, avslöjat att den iranska cybergruppen MuddyWater, kopplad till Irans underrättelseministerium MOIS, haft en långvarig och dold närvaro i flera amerikanska nätverk – bland annat hos en bank, ett flygplatsnätverk, en mjukvaruleverantör samt ett antal andra verksamheter i både USA och Kanada. Denna strategi, där angripare skaffar sig tillgång långt innan en konflikt eskalerar, är ett skolexempel på så kallad cyberprepositioning.
Syftet verkar initialt ha varit underrättelseinhämtning – bland annat genom dataläckageförsök, men enligt forskarna innebär närvaron att gruppen när som helst kan växla över till disruptiva attacker (läs: de kan förstöra saker), särskilt vid ökande geopolitiska spänningar.
“Redan att ha en närvaro i amerikanska och israeliska nätverk placerar gruppen i en farlig position att kunna genomföra attacker,” konstaterar analytikerna.
Denna metod är inte ny. År 2025 komprometterade MuddyWater en server som hanterade live CCTV-strömmar i Jerusalem, vilket gjorde det möjligt att övervaka staden i realtid. När Iran sedan bombade Jerusalem den 23 juni rapporterade israeliska myndigheter att komprometterade kameror användes för att justera missilriktning – ett ovanligt tydligt exempel på hur cyberprepositioning kopplas direkt till fysiska militära operationer.
Sedan början av kriget 2026 har hundratals exploateringsförsök riktats mot internetanslutna kameror i Israel och andra länder i regionen, vilket ytterligare bekräftar Irans systematiska fokus på att etablera förhandsåtkomst i kritisk infrastruktur.
Sammantaget visar dessa incidenter att Iran arbetar uthålligt och strategiskt: de infiltrerar tidigt, ligger lågt länge och aktiverar sina positioner när tiden är rätt. Prepositioning är därmed inte bara ett verktyg – det är en central del av Irans cyberstrategi.
Till sist
Missa för tjyven inte att anmäla dig till JSCs kunddag den 7:e maj, där kommer ett föreläsningspass ta upp den tråd som detta nyhetsbrev följer.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.