Många verksamheter tror att de har löst identitetsrisken med SMS-koder, pushnotiser eller engångskoder. Det är bättre än ingenting. Absolut. Men det är inte samma sak som phishingresistent identitetsskydd. CISA beskriver tydligt att vissa former av multifaktorautentisering kan kringgås genom phishing, push bombing och SIM-swap, och rekommenderar därför phishingresistent MFA som starkare skydd (CISA, 2023).
Det här är viktigt. Inte som tekniknörderi, utan som verksamhetsfråga.
NIST definierar phishingresistens som att själva autentiseringsprotokollet ska hindra att hemligheter eller giltiga autentiseringssvar lämnas till en falsk verifierare, utan att skyddet bygger på användarens vaksamhet (NIST, 2025). Översatt till vanlig svenska: människan ska inte ensam behöva upptäcka bluffen. Systemet ska göra bluffen tekniskt värdelös. Det är där FIDO2, WebAuthn och passkeys blir relevanta. Inte för att de låter moderna, utan för att de förändrar spelplanen. Rätt infört binds inloggningen till rätt tjänst och rätt domän. En falsk inloggningssida kan då inte bara sno ett lösenord eller en kod och använda den vidare.
Det betyder inte att all risk försvinner. Det gör den aldrig. Återställningsflöden, enhetshantering, support, livscykel och behörighetsstyrning måste fortfarande fungera. Men lägstanivån höjs. Och just lägstanivån är ofta skillnaden mellan incident och kris.
Verizon Data Breach Investigations Report 2025 visar att stulna eller missbrukade inloggningsuppgifter fortsatt är en central väg in i intrång, samtidigt som exploatering av sårbarheter har ökat kraftigt (Verizon, 2025). ENISA beskriver samtidigt ett europeiskt hotlandskap där offentlig sektor, digitala tjänster, transport, finans och industri påverkas av ett mer komplext angreppstryck (ENISA, 2025).
I Sverige ser vi samma rörelse. Säkerhetspolisen beskriver ett försämrat säkerhetsläge där cyberangrepp, dataintrång och påverkansförsök ingår i en bredare hotmiljö (Säkerhetspolisen, 2025). MSB visar dessutom att många incidenter fortfarande rapporteras med okänd orsak, följt av misstag eller systemfel (MSB, 2026). Det sista är nästan det mest obekväma. Många vet att något har hänt, men inte varför, hur eller hur långt det gick. Det är inte bara ett tekniskt problem. Det är ett ledningsproblem.
Därför är min poäng inte att phishingresistent identitet är en silverkula. Silverkulor hör hemma i sagor och dåliga säljpresentationer. Min poäng är att phishingresistent identitets- och åtkomstkontroll är en av de mest underskattade grundförmågorna vi har. Men den måste sitta ihop med tre saker: exponeringskontroll, privilegiehantering och testad återställning. Identitet avgör ofta hur angriparen kommer in. Exponering avgör vart angriparen kan gå. Privilegier avgör hur mycket skada angriparen kan göra. Återställning avgör om verksamheten överlever.
Det är här vi måste sluta prata cybersäkerhet som om den bor i serverrummet.
En ekonomiavdelning tänker inte på WebAuthn. Den tänker på fakturor, löner, leverantörer och likviditet. En kommun tänker på skola, omsorg, vatten och samhällsservice. Ett industribolag tänker på produktion, leveransprecision och kundkrav. Så ställ de riktiga frågorna. Vad händer om ni inte kan logga in? Vad händer om fel person får administratörsrättigheter? Vad händer om lönesystemet, ärendehanteringen eller produktionsnära IT står stilla? Vad händer om en leverantör med fjärråtkomst blir angripen? NIS2 och den svenska cybersäkerhetslagen handlar i praktiken om just detta: riskhantering, incidenthantering, kontinuitet och kontroll över beroenden. Inte pärm-VM. Inte ännu en checklista som ska överleva revisionen men dö i verkligheten. Säkerhet ska följa med in i avtal, upphandlingar, molntjänster, systemintegrationer och externa åtkomster.
NIST Cybersecurity Framework 2.0 beskriver cybersäkerhet som ett kretslopp av styrning, identifiering, skydd, upptäckt, respons och återställning (NIST, 2024). Det är klokt, för det gör frågan begriplig för ledningen. Vad är viktigt? Hur skyddar vi det? Hur upptäcker vi avvikelser? Hur agerar vi? Hur kommer vi tillbaka?
Det går att börja enkelt.
· Börja med de konton där ett övertagande gör mest skada: administratörer, ledning, ekonomi, HR, IT, fjärråtkomst, externa konsulter och system med känslig information. Inför phishingresistent autentisering där först.
· Stäng sedan undantagen. Gamla protokoll, delade konton, externa konton utan ägare, tjänstekonton med för breda rättigheter och molnappar utanför central identitet är inte “specialfall”. De är sidodörrar.
· Koppla åtkomst till sammanhang. Vem loggar in? Från vilken enhet? Från vilken plats? Till vilken applikation? Med vilken roll? Vid vilken risknivå? Villkorad åtkomst är inte magi. Det är sunt förnuft med styrning.
· Gör privilegier till färskvara. Administratörsrättigheter ska inte vara en permanent bekvämlighet. De ska vara tidsbegränsade, behovsstyrda och loggade.
· Och testa återställningen. Backup är inte en fil. Backup är en förmåga. Den finns först när den är skyddad, separerad, återläsningsbar och övad.
Det här är inte bara kostnader. Rätt gjort är det investeringar i leveransförmåga, förtroende, varumärke och konkurrenskraft. Den verksamhet som kan visa faktisk säkerhetsförmåga i upphandlingar, revisioner och leverantörsdialoger blir mer valbar. Punkt.
Vi måste också sluta göra människan till syndabock. En stressad medarbetare som möter ett trovärdigt mejl eller en falsk inloggningssida är inte dum. Hon är mänsklig. Modern säkerhet ska därför designas så att det blir lätt att göra rätt och svårt att göra fel. Awareness behövs. Men awareness får aldrig bli organisationens ursäkt för svag teknik och dålig styrning. Den bättre frågan är inte varför klickade användaren. Den bättre frågan är varför kunde ett mänskligt misstag bli så farligt.
Min slutsats är enkel. Den mest underskattade skyddsmekanismen är inte brandvägg, EDR eller awareness. Det är phishingresistent identitets- och åtkomstkontroll som standard, kombinerad med exponeringskontroll, hård privilegiehantering och testad återställningsförmåga. Phishingresistent identitet är cyberhygienens tandborste. Exponeringskontroll är tandtråden. Återställningsövningen är tandläkarbesöket ingen längtar efter, men alla ångrar att de skjutit upp.
Och precis som med riktig hygien är poängen inte att imponera på någon. Poängen är att slippa problem som gör ont, kostar pengar och tar lång tid att reparera.
Referenser
CISA (2023).Implementing Phishing-Resistant MFA. Cybersecurity and Infrastructure Security Agency.
ENISA (2025).ENISA Threat Landscape 2025. European Union Agency for Cybersecurity.
MSB (2026).Cyberangreppens utveckling 2023–2025: Årsrapport. Myndigheten för civilt försvar.
NIST (2024).Cybersecurity Framework 2.0. National Institute of Standards and Technology.
NIST (2025).Special Publication 800-63B: Digital Identity Guidelines, Authentication and Authenticator Management. National Institute of Standards and Technology.
Säkerhetspolisen (2025).Lägesbild 2024–2025. Säkerhetspolisen.
Verizon (2025).2025 Data Breach Investigations Report. Verizon Business.
