Mellan den 8 och 10 juni 2025 utsattes Sveriges Television (SVT) för en serie omfattande överbelastningsattacker (DDoS), vilket ledde till betydande störningar av SVT Play, nyhetssajten och appen. Attacken den 8 juni var den största SVT dittills drabbats av, följt av ytterligare attacker som kulminerade i den ”största och längsta” incidenten den 10 juni. Myndigheten för samhällsskydd och beredskap (MSB) kopplades in i utredningen, vilket understryker attackernas nationella säkerhetsdimension, då SVT är en del av totalförsvaret.
Dessa attacker var inte isolerade händelser, utan en del av en bredare våg av cyberangrepp mot svensk samhällsviktig infrastruktur under samma period, inklusive störningar mot BankID, Swish, Sveriges domstolar, Riksdagen och Arbetsförmedlingen. Denna samordnade kampanj tyder på en allvarlig och bredare hotbild mot Sveriges digitala suveränitet, där målet bedöms vara att skapa oro och skada Sverige snarare än att stjäla data. Även om ingen definitiv attribution har gjorts, pekar tidigare anspråk och analyser mot hacktivistgruppen Anonymous Sudan, som misstänks vara en del av en rysk informationsoperation med motiv kopplade till händelser som koranbränningar.
Händelseförlopp och attackens natur
SVT drabbades av överbelastningsattacker (DDoS) under tre dagar i juni 2025, med start söndagen den 8 juni. Denna första attack slog ut SVT Play, SVT:s nyhetssajt och appen. SVT:s teknikdirektör Adde Granberg beskrev den som den största SVT dittills drabbats av. Attackerna fortsatte den 9 juni, med trafik från ”olika länder”, vilket indikerade en ”samlad attack”. Den 10 juni upplevde SVT den ”största och längsta” attacken hittills, med störningar som även påverkade morgonen den 11 juni. MSB kopplades in i utredningen.
DDoS-attacker syftar till att överväldiga en tjänst med massiv trafik för att göra den otillgänglig för legitima användare. Valet av DDoS-attacker, som primärt påverkar tillgänglighet, indikerar att angriparens avsikt är att skapa synlig störning och oro, snarare än att stjäla data.
Konsekvenser och SVT:s respons
Attackerna påverkade direkt SVT:s digitala tjänster, vilket hindrade bolagets förmåga att leverera nyheter och tjänster. SVT:s teknikdirektör Adde Granberg menade att de direkta konsekvenserna inte varit ”så stora” utöver att tjänsterna inte kunnat nås. Samtidigt uttalade SVT:s VD Hanna Stjärne att bolaget avser att stärka sitt säkerhetsarbete. SVT arbetade aktivt med felsökning och betonade behovet av att stärka både sin egen och Sveriges säkerhet.
Myndighetsinblandning och nationell säkerhet
MSB har en central roll i utredningen av attackerna mot SVT. Efter attackerna mot SVT och samtidiga problem hos Riksdagen och Arbetsförmedlingen höll MSB ett ”stormöte” med flera myndigheter, vilket signalerar att incidenterna ses som en samordnad attack mot Sveriges nationella digitala infrastruktur. SVT är en del av totalförsvaret och omfattas av säkerhetsskyddslagen. Detta innebär att attackerna mot SVT kan tolkas som en direkt attack mot Sveriges nationella säkerhet och motståndskraft.
Potentiella aktörer och motiv
Trots att trafiken kom från ”olika länder” är det oklart vem som ligger bakom angreppen. Hacktivistgruppen Anonymous Sudan har tidigare tagit på sig ansvaret för attacker mot SVT och andra svenska och danska mål, ofta med motiv kopplade till ”koranbränningar”. Enligt cybersäkerhetsföretaget Truesec är Anonymous Sudan ”mest troligt skapad som en del av en rysk informationsoperation för att skada och komplicera Sveriges NATO-ansökan”. Gruppen har använt betalda servrar och erbjudit DDoS-tjänster för uthyrning, vilket indikerar en organiserad operation med finansiering. Nyligen åtalades två sudanesiska medborgare i USA för sin roll i att driva Anonymous Sudan, anklagade för att ha orsakat över 10 miljoner dollar i skador för amerikanska offer. Syftet med attackerna bedöms vara att ”skapa oro och skada Sverige” som en form av ”påverkansoperation”.
Den bredare hotbilden
Attackerna mot SVT är en del av en större trend av ökande cyberangrepp i Sverige. Samtidigt drabbades Swish, Sveriges domstolar, Riksdagen och Arbetsförmedlingen av störningar. Detta tyder på en bred, koordinerad kampanj mot Sveriges digitala ekosystem. Globalt har DDoS-attacker ökat med 34%, med över 924 000 registrerade incidenter, och cyberkriminella förväntas utnyttja AI för mer sofistikerade attacker.
Slutsatser och rekommendationer
Cyberattackerna mot SVT och andra svenska samhällsfunktioner visar på en allvarlig och koordinerad hotbild mot Sveriges digitala infrastruktur. Dessa händelser är indikationer på en pågående kampanj som syftar till att skapa oro och underminera samhällsstabiliteten. SVT:s status som del av totalförsvaret innebär att angreppen mot dem är en direkt utmanning mot Sveriges nationella säkerhet.
Det är avgörande med ett robust, proaktivt och adaptivt cybersäkerhetsarbete på alla nivåer i samhället. SVT:s teknikdirektör Adde Granberg har betonat vikten av att ”stärka vår egen säkerhet, men vi måste också hjälpas åt att stärka Sveriges säkerhet”. MSB:s rekommendationer för stärkt skydd mot cyberattacker utgör en viktig grund för detta arbete.
Rekommendationer inkluderar:
- Förstärkt DDoS-mitigering: Robusta och skalbara lösningar för att stå emot storskaliga attacker.
- Förbättrad hotunderrättelse och delning: Intensifierat samarbete för att dela information om nya hot.
- Kontinuerlig incidentberedskap och övning: Regelbundna övningar av incidentresponsplaner.
- Säkerhet i leverantörskedjan: Granskning av säkerheten hos tredjepartsleverantörer.
- Medvetenhet och utbildning: Hög medvetenhet om cyberhot och påverkansoperationer.
- Investering i avancerad säkerhetsteknik: Prioritering av lösningar som kan upptäcka och motverka nya attackmetoder, inklusive AI-drivna hot.
Genom dessa åtgärder kan Sverige stärka sin digitala motståndskraft och bättre skydda sin samhällsviktiga infrastruktur.
