AWS-driftstörning och kritisk infrastruktur: Lärdomar för Sveriges säkerhet och energisystem
AWS-störningen blottade molntjänsternas sårbarhet. Vad betyder det för svensk kritisk infrastruktur, energisystem och kommunal säkerhet?
AWS-driftstörning och kritisk infrastruktur: Lärdomar för Sveriges säkerhet och energisystem
När Amazon Web Services (AWS) drabbades av en omfattande driftstörning stannade inte bara molnet – hela samhällen påverkades. Företag förlorade tillgång till kritiska system, myndigheter fick problem med sina digitala tjänster, och privatpersoner kunde plötsligt inte komma åt vardagliga appar och tjänster. Det som började som en teknisk incident hos en enskild molntjänstleverantör blev snabbt en påminnelse om hur djupt beroende vi har blivit av centraliserad digital infrastruktur.
För Sverige, med sin höga digitaliseringsgrad och växande beroende av molntjänster, är denna incident särskilt relevant. AWS-störningen blottade molnets sårbarhet och tvingade experter att varna för bristande resiliens och ökad risk för framtida attacker. I en tid då Sverige satsar stort på digitalisering av offentlig sektor, bygger ut sitt totalförsvar och investerar i energisäkerhet, väcker händelsen viktiga frågor: Hur sårbar är vår kritiska infrastruktur? Och vad kan vi göra för att stärka vår beredskap?
AWS i Sverige: En växande närvaro med strategisk betydelse
AWS expansion i Sverige har varit omfattande de senaste åren. Företaget har investerat i nya datorhallar i Eskilstuna, Katrineholm och Västerås, vilket har gjort Sverige till en viktig knutpunkt för molntjänster i Norden. Det som gör dessa investeringar särskilt intressanta är inte bara omfattningen, utan också hållbarhetsperspektivet – AWS nya datorhallar i Sverige byggs med fossilfritt stål, vilket visar på en ambition att kombinera teknologisk utveckling med klimatmål.
Men med ökad närvaro följer också ökat beroende. Svenska myndigheter, kommuner och företag har i snabb takt migrerat sina system till molntjänster, och AWS är en av de dominerande leverantörerna. Detta beroende är inte unikt för Sverige – det är en global trend som drivs av kostnadseffektivitet, skalbarhet och tillgång till avancerad teknologi. Men när en så central aktör drabbas av problem, får det konsekvenser långt utanför företagets egna servrar.
Digitaliseringen av svensk offentlig sektor har accelererat kraftigt, särskilt efter pandemin. Allt från skolsystem och vårdjournaler till kommunala e-tjänster och myndighetsdatabaser förlitar sig på molnbaserad infrastruktur. När denna infrastruktur fallerar, stannar inte bara IT-system – hela samhällsfunktioner kan påverkas.
Expertanalys: Vad störningen avslöjar om molnets verkliga sårbarhet
När AWS-störningen inträffade var reaktionerna från säkerhetsexperter snabba och tydliga. Mats Lindbladt, expert på cybersäkerhet, påpekade i sin analys att driftstopp kan inträffa var som helst i leverantörskedjan – och att organisationer måste fokusera på konsekvenserna snarare än att försöka förutse exakta orsaker. Detta är en fundamental förskjutning i hur vi måste tänka kring beredskap.
Orange Cyberdefense kommenterade händelsen med betoning på vikten av kontinuitetsplanering och hantering av tredjepartsrisker. Deras budskap var tydligt: det räcker inte att ha tekniska backuplösningar – organisationer måste ha välutarbetade och regelbundet testade planer för hur verksamheten ska fortsätta när kritiska tjänster plötsligt blir otillgängliga.
Det som gör situationen särskilt komplex är att sårbarheten inte bara ligger hos molntjänstleverantören själv. Moderna IT-system är uppbyggda av lager på lager av beroenden – från hårdvaruleverantörer och nätverksoperatörer till mjukvaruleverantörer och säkerhetstjänster. Ett fel i något av dessa lager kan få kaskadeffekter som påverkar hela ekosystemet.
Experterna varnar också för att driftstörningar som denna kan utnyttjas av illvilliga aktörer. När organisationer är upptagna med att hantera akuta problem och system är i obalans, öppnas tillfälliga sårbarheter som kan exploateras. Detta gör att varje större incident inte bara är en teknisk utmaning, utan också en säkerhetsrisk.
Kritisk infrastruktur: När molnet bär samhället
För att förstå allvaret i AWS-störningen måste vi förstå vad som menas med kritisk infrastruktur. Kritisk infrastruktur omfattar de livsviktiga system som samhället är beroende av för sin grundläggande funktion: energiförsörjning, hälso- och sjukvård, IT och telekommunikation, transportsystem, vattenförsörjning och livsmedelsförsörjning.
Varje en av dessa sektorer har under de senaste decennierna genomgått en digital transformation. Elnät styrs av avancerade kontrollsystem, sjukhus förlitar sig på digitala journalsystem, transportsystem koordineras via molnbaserade plattformar, och vattenreningsverk övervakas genom fjärrstyrda sensorer. Denna digitalisering har medfört enorm effektivisering och nya möjligheter – men också nya sårbarheter.
När en molntjänstleverantör som AWS får problem, påverkas inte bara enskilda företag eller myndigheter. Hela samhällsfunktioner kan drabbas. Ett sjukhus som förlorar tillgång till sina journalsystem kan få svårt att ge optimal vård. En kommun vars e-tjänster ligger nere kan inte hantera viktiga medborgarärenden. Ett energibolag som förlorar övervakning av sitt nät kan få problem att upptäcka och åtgärda fel.
Sveriges särskilda sårbarheter är delvis kopplade till vår geografi och klimat. Långa avstånd, glest befolkade områden och tuffa väderförhållanden gör att vi är extra beroende av fungerande digital infrastruktur för att upprätthålla samhällsservice. När denna infrastruktur bygger på molntjänster som kan drabbas av störningar, blir sårbarheten påtaglig.
Energisystemets cybersäkerhet: En växande utmaning
Energiförsörjningen är kanske den mest kritiska av alla infrastruktursektorer – utan el stannar i princip allt annat. Därför är det särskilt oroande att energisystemet samtidigt blir allt mer digitaliserat och uppkopplat, vilket öppnar nya vägar för både tekniska störningar och cyberattacker.
Forskare testar nu cybersäkerheten i lokala elnät i ett projekt i Ludvika som belyser en viktig aspekt av problemet. I takt med att fler enheter kopplas upp mot elnätet – värmepumpar, solcellsanläggningar, laddstolpar för elbilar – ökar också attackytan för potentiella cyberhot. En samordnad attack mot tusentals uppkopplade enheter skulle kunna destabilisera delar av elsystemet.
Problemet är att många av dessa enheter inte är byggda med säkerhet som högsta prioritet. De är ofta tillverkade för att vara kostnadseffektiva och användarvänliga, men saknar robusta säkerhetsmekanismer. När de sedan kopplas samman i stora nätverk och potentiellt styrs via molntjänster, skapas komplexa beroenden som kan vara svåra att överblicka och skydda.
Svenska Kraftnät har i sitt dokument om elförsörjningens betydelse för Sveriges säkerhet tydligt markerat den strategiska vikten av en säker och stabil elförsörjning. Dokumentet understryker att el inte bara är en vara utan en förutsättning för all annan samhällsverksamhet. Detta gör att varje sårbarhet i elsystemet – vare sig den är fysisk eller digital – måste tas på största allvar.
Utmaningen är att balansera innovation och effektivisering med säkerhet och robusthet. Smarta elnät och distribuerad energiproduktion ger många fördelar, men kräver också nya säkerhetsansatser som tar hänsyn till den ökade komplexiteten.
Sveriges satsningar på energisäkerhet och totalförsvar
Sverige har under senare år kraftigt ökat sina satsningar på säkerhet och beredskap. Det civila försvaret, som länge var nedprioriterat, får nu ökade resurser – upp till 15 miljarder kronor år 2030 enligt åtgärdsplanerna för energisäkerhet. Detta är en välkommen utveckling som visar att frågan tas på allvar på högsta politiska nivå.
Energiföretagen har varit tydliga med sina behov och förslag. Enligt Energiföretagen Sverige arbetar branschen aktivt med frågor om säkerhet, resiliens och totalförsvar. Ett konkret förslag är återinförandet av starkt driftvärn – militärt skydd av kritisk energiinfrastruktur – samt uppbyggnad av en robust reparationsberedskap som kan hantera skador på energisystem i kris- och krigssituationer.
Men som Åsa Pettersson, vd för Energiföretagen Sverige, har påpekat finns det utmaningar med finansieringen. Många energibolag är privatägda eller kommunalt ägda företag som måste förhålla sig till marknadsmässiga villkor. Säkerhetsinvesteringar som skyddar hela samhället men inte ger direkt ekonomisk avkastning kan vara svåra att motivera i en strikt kommersiell logik. Detta kräver att samhället hittar mekanismer för att finansiera och värdera systemfördelar som går utöver enskilda företags balansräkningar.
Det handlar inte bara om pengar och teknisk utrustning. Kompetensförsörjning är en annan kritisk faktor. Sverige behöver fler experter inom cybersäkerhet, krishantering och teknisk säkerhet. Utbildningssystemet måste anpassas för att möta dessa behov, och branschen måste bli bättre på att attrahera och behålla rätt kompetens.
Digital suveränitet: Mellan global integration och nationell kontroll
Begreppet digital suveränitet har blivit alltmer centralt i den europeiska debatten om molntjänster och kritisk infrastruktur. Det handlar om förmågan att behålla kontroll över sin egen data och sina digitala system, även när man använder tjänster från globala leverantörer.
AWS och SAP har utökat sitt samarbete för att stärka digital suveränitet i Europa genom European Sovereign Cloud-initiativet. Detta är ett försök att kombinera fördelarna med globala molntjänster – skalbarhet, innovation, kostnadseffektivitet – med europeiska krav på dataskydd, kontroll och säkerhet.
För offentlig sektor och reglerade branscher är detta särskilt viktigt. Känslig information om medborgare, patienter eller säkerhetskritiska system kan inte hanteras på samma sätt som kommersiell data. Det behövs garantier för var data lagras, vem som har tillgång till den, och under vilken jurisdiktion den faller.
Men digital suveränitet är inte bara en teknisk eller juridisk fråga – det är också en strategisk fråga om långsiktig handlingsfrihet. Ett land som är helt beroende av utländska molntjänster för sin kritiska infrastruktur kan hamna i en sårbar position om geopolitiska förhållanden förändras eller om leverantören av olika skäl inte längre kan eller vill tillhandahålla tjänsterna.
SNS forskningsprojekt om hur framtidens infrastruktur bör finansieras och organiseras belyser dessa komplexa frågor. Hur balanserar vi effektivitet med resiliens? Hur delar vi kostnader och ansvar mellan offentlig och privat sektor? Och hur säkerställer vi att säkerhetshänsyn vägs in i infrastrukturbeslut från början, inte som en eftertanke?
Praktiska lärdomar: Så bygger organisationer verklig resiliens
AWS-störningen ger konkreta lärdomar för alla organisationer som förlitar sig på molntjänster – vilket idag är de allra flesta. Den första och viktigaste lärdomen är att kontinuitetsplaner inte bara måste finnas, de måste vara välutarbetade, aktuella och regelbundet testade.
Orange Cyberdefense betonar i sin kommentar att organisationer måste prioritera arbetet med tredjepartsrisker. Det räcker inte att ha koll på sin egen IT-miljö – man måste också förstå och hantera de risker som följer med varje extern leverantör. Detta inkluderar att ställa krav på leverantörers egna beredskapsplaner, att ha insyn i deras säkerhetsarbete, och att ha kontraktuella garantier för tillgänglighet och återställningstider.
En multi-cloud strategi kan vara en del av lösningen, men den är inte en universalbot. Att sprida sina system över flera molnleverantörer kan minska risken för totalt driftstopp, men det ökar också komplexiteten och kan skapa nya sårbarheter om integrationerna mellan olika plattformar inte är robusta. Varje organisation måste göra sin egen riskbedömning och hitta rätt balans.
Regelbundna säkerhetsövningar och scenarioplanering är avgörande. Det är lätt att tro att man är förberedd tills man faktiskt ställs inför en kris. Genom att simulera olika typer av störningar – från tekniska fel och cyberattacker till naturkatastrofer och geopolitiska kriser – kan organisationer identifiera svagheter och förbättra sin beredskap innan det verkligen gäller.
Energiföretagen Sverige arbetar aktivt med att stödja sina medlemsföretag i säkerhetsfrågor genom kunskapsdelning, utbildning och samordning. Detta visar på vikten av branschsamverkan – många av utmaningarna är gemensamma och kan hanteras mer effektivt tillsammans än enskilt.
Kompetensförsörjning är en annan kritisk faktor. Organisationer behöver inte bara ha rätt tekniska system, de behöver också ha medarbetare med rätt kompetens och mandat att fatta snabba beslut i krissituationer. Detta kräver kontinuerlig utbildning, tydliga ansvarsfördelningar och en organisationskultur som värderar beredskap och säkerhet.
Vägen framåt: Från väckarklocka till handling
AWS-driftstörningen fungerar som en väckarklocka för svensk beredskap. Den visar tydligt att vår kritiska infrastruktur måste bygga robustare resiliens mot molntjänststörningar och andra former av digitala störningar. Men insikten i sig är inte tillräcklig – den måste följas av konkret handling.
Balansen mellan digitalisering och resiliens är en av vår tids stora samhällsutmaningar. Vi kan inte och ska inte vända på digitaliseringens fördelar, men vi måste göra den på ett sätt som bygger in säkerhet och robusthet från grunden. Detta kräver ett paradigmskifte från att se säkerhet som en kostnad till att se det som en investering i samhällets långsiktiga funktionalitet.
Samverkan mellan offentlig och privat sektor är avgörande. Kritisk infrastruktur ägs och drivs till stor del av privata företag, men har en samhällsfunktion som går långt utöver kommersiella intressen. Detta kräver nya former av partnerskap där ansvar, kostnader och information delas på ett strukturerat sätt.
Det fortsatta behovet av investeringar i både teknisk och organisatorisk säkerhet kan inte överbetonas. Sveriges satsning på att öka det civila försvarets budget till 15 miljarder kronor år 2030 är ett viktigt steg, men pengarna måste användas klokt och strategiskt. Det handlar inte bara om att köpa mer utrustning, utan om att bygga system, processer och kompetenser som gör samhället mer motståndskraftigt.
Framtidsperspektivet måste också inkludera klimatanpassning. Extremväder och klimatförändringar kommer att ställa nya krav på vår infrastruktur. Samtidigt som vi bygger resiliens mot digitala hot måste vi också säkerställa att vår fysiska infrastruktur kan hantera de utmaningar som klimatförändringarna för med sig.
Teknologisk utveckling kommer att fortsätta i snabb takt. Artificiell intelligens, kvantdatorer och nya former av distribuerad infrastruktur kommer att förändra förutsättningarna för både hot och försvar. Sverige måste vara proaktivt i att följa och forma denna utveckling, inte reaktivt anpassa sig när det redan är för sent.
AWS-störningen har visat att sårbarheter i molntjänster inte är en teoretisk risk utan en konkret verklighet. Genom att ta lärdomar från denna incident, investera i robusta säkerhetslösningar, bygga kompetens och främja samverkan kan Sverige stärka sin beredskap och säkerställa att vår kritiska infrastruktur är redo för framtidens utmaningar. Det är inte en fråga om vi kommer att drabbas av fler störningar – det är en fråga om hur väl förberedda vi är när de inträffar.
