Blogg

Det är inte hoten som fäller oss. Det är sårbarheterna.

Vi pratar gärna om nya hot. Det låter klokt, modernt och handlingskraftigt. Artificiell intelligens, deepfakes, autonoma angrepp, nästa generations bedrägerier. Men om jag ska vara ärlig är det sällan där jag ser den mest obehagliga sanningen. Den brukar vara enklare än så. Det som fortfarande fäller verksamheter är ofta inte det futuristiska, utan det förutsägbara: en falsk inloggning, ett stulet konto, en människa som är stressad, en vardag som går för fort. ENISA:s hotbild för 2025 pekar fortfarande ut phishing som den dominerande initiala angreppsvektorn, och Verizon visar att stulna inloggningsuppgifter fortsatt är en central intrångsväg.

Det här är viktigt, därför att det säger något större än att “phishing fortfarande finns”. Det säger att många verksamheter fortfarande bär på samma gamla sårbarheter som för tio år sedan, men nu i snabbare system, i fler kanaler och under högre belastning. Hoten har blivit mer skalbara. Människan har inte blivit mindre mänsklig.

Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure.

Vi stirrar gärna på hotet och missar sprickan i väggen

Jag tror att många organisationer börjar i fel ände. De frågar: vilka hot finns där ute? Det är en rimlig fråga, men den räcker inte. Den mer obekväma frågan är: vilka sårbarheter i vårt eget arbetssätt gör att även gamla angrepp fortfarande fungerar mot oss? Den skillnaden är avgörande.

För om en medarbetare kan luras att lämna ifrån sig sina uppgifter är det inte bara ett phishingproblem. Då är det en sårbarhet i hur vi bygger tillit, hur vi utformar verifiering och hur mycket beslutsbörda vi lägger på en människa mitt i arbetsdagen. Om ett konto kan missbrukas efter kompromettering är det inte bara ett identitetsproblem. Då är det en brist i vår förmåga att upptäcka, återkalla, isolera och återställa snabbt nog. NIST beskriver just cyberresiliens som förmågan att förutse, stå emot, återhämta sig från och anpassa sig till störningar, attacker eller komprometteringar så att verksamhetsmål fortfarande kan nås.

Det är därför jag mycket hellre talar omsårbarheter och förmågorän om abstrakta riskord som alla nickar åt men få kan styra på riktigt. Risk blir lätt en dimma. Sårbarhet går att peka på. Förmåga går att öva, mäta och förbättra.

Den digitala människan är inte trasig. Hon är bara trött.

Det finns en seg vana inom cybersäkerhet att behandla felklick, stress och missbedömningar som individuella brister. Jag tycker att det är ett för bekvämt sätt att slippa se systemfelet.

Den digitala människan i dag arbetar i ett konstant väder av notiser, möten, chattar, mejl, multifaktorfrågor, dokumentdelning och mikrobeslut. Att då bygga säkerhet som om varje människa alltid ska hinna stanna upp, analysera, verifiera och välja perfekt är ungefär som att bygga en flygplats där allt hänger på att varje resenär själv upptäcker var säkerhetskontrollen brister. Så bygger man inte robusthet. Så bygger man köer, misstag och skenbar ordning.

NCSC:s vägledning är klok på just den punkten. De rekommenderar ett lagerbaserat skydd mot phishing som uttryckligen ska stärka organisationens motståndskraft samtidigt som användarnas produktivitet störs så lite som möjligt. Det är en viktig princip: säkerhet ska inte bara finnas, den ska vara möjlig att leva med.

Gamla angrepp fungerar därför att många försvarar ytan, inte förmågan

Det är här jag tycker att mycket säkerhetsarbete fortfarande går vilse. Man skyddar inkorgen, brandväggen, endpointen och policydokumentet. Det är inte oviktigt. Men angriparen går ofta runt det där genom att angripa beslutet i stället. Ett välbekant varumärke. En trovärdig ton. Ett meddelande som luktar rutin. Ett stressat ögonblick när hjärnan redan springer på reservkraft.

Det är som att ha ett starkt skalskydd runt huset men lämna altandörren öppen varje gång någon hör ordet “brådskande”. Då hjälper det inte att dörren i teorin är säkerhetsklassad.

Verizon DBIR 2025 visar fortsatt hur centrala identitets- och människonära angrepp är, och ENISA:s hotbild visar att dessa angrepp inte är ett randfenomen utan en bärande del av den verkliga intrångsbilden. Det gör frågan affärskritisk: inte “har vi kontroller?”, utan “fungerar våra kontroller när en helt vanlig människa har en helt vanlig dålig dag?”

Sårbarhet är inte svaghet. Det är adressen till förbättring.

Jag tror att många verksamheter fortfarande undviker ordet sårbarhet därför att det känns obekvämt. Man vill hellre tala om risknivå, mognad eller exponering. Men sårbarhet är egentligen ett mycket mer användbart ord. Det berättar var något kan brista. Det går att undersöka. Det går att testa. Det går att åtgärda.

Och viktigast av allt:det går att koppla till förmåga.

Förmåga är motsatsen till säkerhetsteater. Förmåga är att någon ser avvikelsen snabbt. Förmåga är att sessionen kan återkallas. Förmåga är att access går att stänga utan att hela verksamheten kollapsar. Förmåga är att människor får stöd i rätt ögonblick i stället för skuld i efterhand.

CISA:s vägledning om phishing-resistent multifaktorautentisering illustrerar detta väl. Poängen är inte att lägga på mer friktion för sakens skull, utan att bygga bort kända sårbarheter i autentiseringsflöden som angripare fortsätter att utnyttja.

Det vi behöver mäta är inte hur mycket vi gjort, utan vad vi tål

Det här är kanske min viktigaste poäng.

Många organisationer mäter aktivitet. Hur många som gått utbildning. Hur många policyer som finns. Hur många kontroller som är “på plats”. Men det säger förvånansvärt lite om vad verksamheten faktiskt klarar när något går fel.

Jag tycker att man i stället måste börja närma sig frågor som gör lite mer ont:

· Hur snabbt upptäcker vi ett falskt flöde?

· Hur snabbt kan vi återkalla en komprometterad session?

· Hur snabbt kan vi begränsa skadan?

· Hur snabbt kan vi fortsätta leverera det som måste fungera?

Det är först där cybersäkerhet börjar likna verksamhetsförmåga i stället för dokumenthantering. Och det ligger helt i linje med NIST:s syn på resiliens: inte perfekt skydd, utan förmåga att fortsätta uppnå mål även i en angripen miljö.

Slutsats: det som fäller oss är ofta inte det nya, utan det oläkta

Jag tror att många verksamheter letar efter nästa stora hot därför att det känns mer strategiskt än att erkänna de gamla bristerna. Men det är ofta där sanningen sitter. Inte i det exotiska, utan i det oläkta.

De farligaste angreppen är ofta de som känns så välbekanta att vi nästan slutat respektera dem. De glider in som kall luft genom en springa i fönstret. Inte dramatiskt. Inte filmiskt. Bara tillräckligt länge för att göra skadan verklig.

Det är därför jag menar att vi måste byta språk. Mindre fascination för hotets nyhetsvärde. Mer ärlighet om våra sårbarheter. Mindre fokus på att visa upp kontroller. Mer fokus på att bygga förmåga. För i slutändan är det inte de nya hoten som avslöjar oss.

Det är våra gamla sårbarheter

Så gör sårbarheter synliga, peka ut var människor, processer och identitetsflöden brister. Bygg förmåga före teater och mät upptäckt, begränsning, återkallelse och återhämtning. Minska människans börda genom att Låt skyddet bära mer av vikten i riskögonblicket.

Källor

ENISA.ENISA Threat Landscape 2025. Rapporten analyserar 4 875 incidenter mellan 1 juli 2024 och 30 juni 2025.

Verizon.2025 Data Breach Investigations Report. Rapporten visar fortsatt betydelse av stulna inloggningsuppgifter och den mänskliga faktorn i intrång.

NIST CSRC.Cyber resiliency – Glossary. Definition av cyberresiliens som förmågan att förutse, stå emot, återhämta sig från och anpassa sig.

UK National Cyber Security Centre.Phishing attacks: defending your organisation. Vägledning om lagerbaserat skydd mot phishing med minimerad påverkan på produktivitet.