Tre huvudstäder agerade samma måndag

I december 2025, mitt i vintern, kom en attack mot Polens energiinfrastruktur så nära att lyckas att regeringar nu beskriver vad den skulle ha åstadkommit: omkring 500 000 civila utan el. Den lyckades inte. Den 13 juli 2026 sade Europa högt vem som försökte.

EU och Storbritannien meddelade samordnade sanktioner samma dag. Storbritannien listade 24 personer och enheter. EU förde upp nio personer och fyra enheter, vilket unionens utrikeschef kallade blockets största cybersanktionspaket hittills. Trettiotre mål tillsammans, med frysta tillgångar, inreseförbud och förbud mot att göra medel eller ekonomiska resurser tillgängliga för någon av dem.

Namnen är konkreta. Tre GRU-officerare: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. Bulletproof-hostingverksamheten Media Land LLC och den närstående ML.Cloud, kopplade till förluster från utpressningsprogram och nätfiske i hela Europa. Z-Pentest, som enligt rådet gick på kritisk infrastruktur inklusive energi och vatten. Tio personer bakom Rybar LLC. Operatörerna bakom Lumma Stealer, skadeprogrammet som stjäl inloggningsuppgifter. Och bakom attacken mot det polska elnätet en enhet: FSB Center 16.

Sanktioner är ett uttalande om det förflutna. Det som kom samma dag är ett uttalande om ditt nätverk.

Vägen in var inte påhittig

Storbritanniens National Cyber Security Centre publicerade en gemensam varning tillsammans med tolv andra länder - USA, Australien, Kanada, Tjeckien, Danmark, Estland, Finland, Frankrike, Italien, Nya Zeeland, Polen och Sverige - om hur FSB Center 16 faktiskt tar sig in. Gruppen har följts i åratal under en hylla av namn: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.

Teknikerna är den nedslående delen. Skanning av hela internet efter Simple Network Management Protocol med förvalda eller svaga community strings. Missbruk av Cisco Smart Install, en provisioneringsfunktion som skulle göra det enkelt att rulla ut switchar och som de flesta organisationer aldrig stängde av efteråt. Kända, publicerade sårbarheter i nätverksenheternas webbportaler. Utpekade sektorer: kommunikation, försvar, energi, finansiella tjänster, offentlig förvaltning och hälso- och sjukvård.

Det finns ingen exotisk förmåga i den listan. En statlig underrättelsetjänst promenerar in i kritisk infrastruktur genom förvalda konfigurationer och olappad kantutrustning, för att det fungerar och för att det är tyst. Nätverksenheter kör ingen endpoint-agent. De syns inte i de flesta sårbarhetsskanningar. Ingen larmas när en av dem tas över, för det finns inget på dem som kan larma.

Varningens åtgärder är lika jordnära: gå över till SNMPv3 och stäng av de äldre versionerna, använd starka och unika lösenord på nätverksenheter, begränsa åtkomsten till hanteringsprotokoll och stäng av Smart Install. Sverige har själv skrivit under varningen, och för svenska verksamheter är CERT-SE vid MSB den nationella instansen dit incidenter går.

Varför en brist från 2008 fick tre dagars klocka

Samma 13 juli lade USA till exakt en sårbarhet i sin katalog över kända utnyttjade sårbarheter. Ingen färsk nolldagslucka. CVE-2008-4128, en cross-site request forgery-brist i Cisco IOS, offentliggjord 2008. Åtgärdsdatumet som följde med var den 16 juli: tre dagar.

En post i katalogen betyder en enda sak. Det är ingen teoretisk allvarlighetspoäng, och det är ingen forskares proof of concept. Det betyder att bristen utnyttjas skarpt, nu, och katalogen passerade 1 638 poster med det här tillägget. Tredagarsfristen binder amerikanska federala myndigheter, men signalen den sänder är inte administrativ. En arton år gammal brist får ingen nödklocka för att någon har återupptäckt den. Den får en för att den används just nu.

Lägg de två dokumenten bredvid varandra så framträder bilden. Varningen säger att en statlig aktör bor i nätverksutrustningen. Katalogen säger att den specifika dörren är en Cisco-brist som är gammal nog att rösta. Ingenting i den här kampanjen krävde att någon uppfann något. Det krävde bara att försvararen aldrig tittade på switchen.

Vem äger routern?

Ställ frågan i din egen organisation och se vad som händer. Servrar har en ägare, en patchcykel och en övervakningsagent. Datorerna har en flottansvarig. Routern i racket, switchen på filialkontoret, brandväggen som leverantören installerade för fyra år sedan och inte har loggat in på sedan dess: de brukar tillhöra den som satte upp dem, vilket ofta betyder ingen som fortfarande jobbar kvar.

Den luckan är numera juridisk och inte bara teknisk. Enligt NIS2, som landar i svensk rätt genom cybersäkerhetslagen, måste väsentliga och viktiga verksamheter hantera risken i de nätverks- och informationssystem de använder, och nätverksenheter är otvetydigt en del av det. En tillsynsmyndighet som frågar hur du kontrollerar dina leverantörer och din infrastruktur accepterar inte att kantutrustningen föll mellan det interna teamet och det utlagda. Detsamma gäller relationen till leverantören: driver de din nätverksutrustning är deras konfigurationshygien din riskexponering, och ditt avtal med dem är platsen där det antingen är reglerat eller inte.

För alla inom energi, vatten, transport, hälsa eller digital infrastruktur är den här varningen inte allmän information. Den namnger din sektor, den namnger protokollet, och den kommer med en lista över utpekade personer som gjorde det.

Vad du gör den här veckan

Inventering först, för du kan inte lappa det du inte har på listan. Varje hanterad switch, router, brandvägg och nätverksapparat, inklusive de på filialkontoren och de som en leverantör installerade. Om den inventeringen inte finns är veckans arbete att bygga den, och den är värd mer än något verktyg du kunde köpa i stället.

Sedan tre konkreta åtgärder från varningen. Stäng av Cisco Smart Install överallt där det fortfarande är påslaget, vilket för de flesta miljöer är överallt där det någonsin var påslaget. Flytta SNMP till version 3 med autentisering och kryptering, och stäng av version 1 och 2c, som skickar community strings i klartext. Ta bort hanteringsgränssnitten från varje väg som kan nås från internet och lägg dem bakom ett kontrollerat nätverkssegment.

Kontrollera till sist om dina nätverksenheter producerar loggar som någon faktiskt läser. Skälet till att kampanjen kunde pågå är att kapad nätverksutrustning är tyst. En router som har konfigurerats om ser precis ut som en router som inte har det, om inte någon jämför den med en känd god konfiguration.

Inget av detta är nya råd. Det är just poängen, och det är därför tretton regeringar tyckte att de måste säga det tillsammans.