Insikter

När säkerhet reduceras till IT-fråga

Det moderna cybersäkerhetslandskapet befinner sig i en kritisk brytningspunkt där klyftan mellan teknisk investering och faktisk motståndskraft blir alltmer påtaglig. Trots att organisationer i snabb takt implementerar sofistikerade tekniska lösningar som Multifaktor autentisering (MFA), molnskydd och avancerade SIEM-system (SecurityInformation and Event Management), fortsätter framgångsrika intrång att drabba även de mest resursstarka aktörerna. Denna diskrepans bottnar i ett fundamentalt missförstånd av vad cybersäkerhet i grunden representerar. När säkerhet reduceras till en ren IT-fråga skapas en farlig illusion av trygghet som maskerar de verkliga sårbarheterna: de organisatoriska besluten, prioriteringarna och den underliggande kulturen. Dessa beslut som utgör en dold attackyta, där brister i ledarskap och arbetssätt öppnar dörrar som ingen brandvägg kan stänga.¹

När vi tittar på aktuella incidenter visar att tekniken i sig sällan sviker; det är den kontext i vilken tekniken existerar – de mänskliga och organisatoriska ramverken – som fallerar. Genom att blint förlita sig på verktyg utan att undersöka och hantera de bakomliggande besluten skapar organisationer en miljö där tekniska skydd blir statiska monument i en dynamisk och föränderlig hotbild. Sättet som vi hanterar det tekniska skyddet behöver förändras genom att istället arbeta med en integrerad säkerhetskultur där människan och organisationen placeras i centrum för vårt cyberförsvar.

Den tekniska universallösningen paradox

Inom många tekniska organisationer finns en inbyggd psykologisk tendens att söka binära lösningar på komplexa problem.⁵ Denna ”panikshopping” av säkerhetsverktyg, som ofta följer efter en uppmärksammad incident eller ett obekvämt styrelsemöte, liknas vid att köpa ett löpband efter ett dåligt läkarbesked utan att ha för avsikt att faktiskt förändra sina levnadsvanor.⁵ Problemet är att varje nytt verktyg introducerar ny komplexitet, nya konfigurationer och därmed nya potentiella attackytor.⁵ Om beslutet att köpa verktyget inte åtföljs av en förändring i hur organisationen prioriterar säkerhet i vardagen, blir verktyget snarare en belastning än en tillgång.²

Statistik över säkerhets-verktyg och larmhantering

Genomsnittligt antal larm per dag i en SOC-miljö

Andel larm som klassificeras som icke-actionabelt brus

Andel säkerhetsproffs som erkänner att de ignorerar vissa larm

Andel incidenter som beror på mänskliga handlingar/beslut

Kostnad för en genomsnittlig dataläcka 2024-2025

Värde

4 489⁹

67%⁹

32%⁵

75-80%¹¹

4,44-4,88 miljoner USD³

När säkerhet ses som en isolerad IT-fråga tenderar ledningen att fokusera på ”vad” man kan köpa snarare än ”hur” man arbetar.¹ Detta leder till att tekniska lösningar implementeras ovanpå processer som inte fungerar. Ett SIEM-system kan samla in miljontals loggrader, men om organisationen inte har fattat de svåra besluten om vem som äger risken när ett larm indikerar att en affärskritisk server måste stängas av, förblir systemet endast en passiv observatör av organisationens undergång.²

MFA och den psykologiska sårbarheten

Multifaktor autentisering (MFA) betraktas ofta som den ultimata försvarslinjen mot identitetsstöld.¹² Tekniskt sett är MFA mycket robust, men dess effektivitet är helt beroende av det beslut användaren fattar vid den kritiska punkten av godkännande.¹⁴ Den sårbarhet som kallas MFA-fatigue (eller push-bombing) illustrerar perfekt hur en teknisk lösning kan kringgås genom att utnyttja mänsklig trötthet och organisatoriska brister.¹⁶

Fallet Uber: När frustration besegrar teknik

Intrånget hos Uber i september 2022 är ett av de mest pedagogiska exemplen på hur en teknisk organisation faller trots avancerade skydd.¹⁹ Angriparen, kopplad till Lapsus$-gruppen, kom över inloggningsuppgifter till en extern underleverantör.²¹ Trots att kontot skyddades av MFA, kunde angriparen skicka en oavbruten ström av push-notiser till underleverantörens telefon.¹⁶ Denna bombardering av förfrågningar, ofta utförd nattetid för att maximera förvirringen, skapade ett tillstånd av kognitiv utmattning hos användaren.¹²

Det avgörande steget i attacken var dock inte bara den tekniska utmattningen, utan ett socialt ingenjörskonstgrepp: angriparen kontaktade användaren via WhatsApp, utgav sig för att vara från Ubers IT-support och förklarade att push-notiserna var ett systemfel som bara kunde stoppas om användaren godkände en av dem.¹⁴ Genom att användaren till slut ”gav efter” och godkände förfrågan, öppnades dörren till hela nätverket.²⁰ Det blir tydligt att den sårbarhet som utnyttjades var inte MFA-protokollet, utan det beslut användaren fattade under press.¹

Den organisatoriska bristen i detta fall var mångfasetterad. För det första fanns det inget tekniskt skydd mot det oproportionerliga antalet MFA-förfrågningar (rate limiting), vilket är ett designbeslut fattat av IT-arkitekter.¹⁵ För det andra fanns det uppenbarligen brister i säkerhetskulturen och utbildningen; användaren visste inte hur man skulle rapportera en pågående attack utan kände sig tvingad att lösa problemet på egen hand.¹ För det tredje, när angriparen väl var inne, fanns det interna system (som PowerShell-skript på en delad enhet) som innehöll hårdkodade administrativa lösenord – en konsekvens av bekvämlighetsbeslut tagna av tekniker långt tidigare.²⁰

Från bekvämlighet till säkerhet i autentisering

Många organisationer implementerar push-baserad MFA för att det är bekvämt för användarna, men missar att bekvämlighet ofta står i direkt konflikt med motståndskraft.¹² Beslutet att prioritera användarupplevelse (UX) framför säkerhet skapar den attackyta som MFA-fatigue utnyttjar.¹² En lösning som adresserar det bakomliggande beslutet är implementering av ”number matching”, där användaren måste skriva in en siffra som visas på inloggningsskärmen i sin app.¹⁵ Detta bryter den automatiska reflexen att bara trycka på ”godkänn” och tvingar fram ett aktivt, medvetet beslut.¹⁶

MFA-metod

Enkel push-notis

Number Matching

FIDO2

SMS-koder

Teknisk riskprofil

Hög risk för MFA-fatigue och oavsiktliga godkännanden ¹⁵

Medium risk; motverkar blind acceptans ¹⁵

Låg risk; resistent mot phishing och fatigue ¹⁵

Hög risk för SIM-swapping och intercept ¹⁴

Organisatorisk inverkan

Låg friktion, men kräver hög användar-medvetenhet. ¹⁴

Ökar säkerheten utan betydande produktivitets-tapp ¹²

Högre initialkostnad och kräver hårdvaru-hantering ¹⁷

Enkelt att rulla ut, men tekniskt föråldrat skydd ¹⁴

Det räcker dock inte med tekniska justeringar. Vi måste bygga en kultur där medarbetare känner sig trygga att neka en förfrågan och omedelbart rapportera det som en incident, utan att vara rädda för att de ”stör” IT-avdelningen.1 Detta kräver ett ledarskap som tydligt signalerar att säkerhet går före snabbhet vid autentisering.¹

Molnsäkerhet och den spegelvända ansvarsmodellen

Övergången till molnmiljöer har radikalt förändrat hur organisationer hanterar infrastruktur, men beslutsmodellerna har ofta inte hängt med i svängarna.² En vanlig missuppfattning är att molnleverantören (CSP) ansvarar för säkerheten i sin helhet.²⁶ I verkligheten opererar molnet under en delad ansvarsmodell där leverantören ansvarar för säkerheten av molnet (hårdvara, datacenter), medan kunden ansvarar för säkerheten i molnet (data, identiteter, konfigurationer).²⁶

Konfigurationsfel som organisatoriskt symtom

När molnincidenter inträffar, som de välkända läckorna från öppna S3-buckets i AWS, beror det sällan på att AWS har en teknisk brist.²⁶ Istället är det resultatet av organisatoriska beslut som prioriterat snabb driftsättning framför noggrann konfigurationsstyrning.² I en miljö där ”infrastructure as code” (IaC) tillåter tekniker att bygga hela nätverk på några sekunder, blir konsekvensen av ett enstaka felaktigt beslut – som att sätta en behörighet till ”Public” för att underlätta för ett utvecklingsteam – omedelbar och global.²

Statistik från Cloud Security Alliance och IBM visar att upp till 15 % av alla säkerhetsöverträdelser orsakas av felkonfigurationer i molnet.²⁶ Detta är inte ett tekniskt problem som kan lösas med fler verktyg, utan ett styrningsproblem.² Beslutet att låta utvecklingsteam hantera sina egna molnmiljöer utan centraliserade guardrailseller automatiserad kontroll är ett strategiskt val som direkt expanderar organisationens attackyta.²

Capital One och sårbarheten i arkitekturbeslut

Intrånget hos Capital One 2019, där information om 100 miljoner kunder exponerades, är ett belysande exempel på hur teknisk komplexitet i molnet möter bristfälliga arkitekturbeslut.²⁷ Angriparen utnyttjade en sårbarhet kallad Server-Side Request Forgery (SSRF) i en felkonfigurerad brandvägg (WAF).²⁷ Men den verkliga sårbarheten låg djupare: den komprometterade instansen hade tilldelats en IAM-roll (Identity and Access Management) med alltför omfattande behörigheter, vilket gjorde det möjligt för angriparen att läsa data från tusentals storagebuckets.²⁷

Här ser vi hur ett beslut om att ge en roll ”lite extra behörigheter för att slippa felsöka” skapade en katastrofal konsekvens när den tekniska sårbarheten väl upptäcktes.²⁸ Molnsäkerhet kräver därför en ständig verifiering av beslut (Zero Trust) snarare än statiska brandväggsregler.²⁷ Organisationer som lyckas i molnet är de som flyttar fokus från att bara köpa säkerhetstjänster till att bygga in säkerhetsbeslut i själva kodbasen (Security as Code)²⁹

CI/CD och mjukvarufabrikens dolda risker

För moderna tekniska organisationer är CI/CD-pipelinen (Continuous Integration/Continuous Deployment) hjärtat i verksamheten.⁴ Det är här koden transformeras från idé till produktionsklar tjänst. Men pipelinen är också en av de mest kritiska och minst skyddade attackytorna.⁴ När säkerhet reduceras till en IT-fråga ses pipelinen ofta som ett internt verktyg snarare än en del av den kritiska produktionsinfrastrukturen.⁴

Hemligheter i öppen dager

Ett av de vanligaste tekniska misstagen i CI/CD-miljöer är ”secret sprawl” – att API-nycklar, lösenord och certifikat hårdkodas direkt i konfigurationsfiler eller skript.⁴ Detta är sällan ett resultat av okunnighet, utan ett beslut drivet av tidspress.⁴ Utvecklare som arbetar under strikta deadlines för att leverera nya funktioner väljer ofta den enklaste vägen för att få byggprocessen att fungera.⁴

När dessa hemligheter väl hamnar i ett Git-arkiv, även ett privat sådant, skapas en permanent säkerhetsskuld⁴ Angripare som får tillgång till en enda utvecklares konto kan snabbt skanna arkiven efter mönster som ”AKIA…” (AWS-nycklar) och inom några minuter ha full tillgång till organisationens molninfrastruktur.²⁸ Beslutet att inte implementera en centraliserad och automatiserad hemlighetshantering (Secrets Management) är ett organisatoriskt val som prioriterar kortsiktig hastighet framför långsiktig överlevnad.⁴

Problem i CI/CD

Över-privilegierade tokens

Bristande segmentering

i byggmiljö

Osäkra tredje-partsberoenden

Manuella godkännanden

som ”vibbar”

Teknisk konsekvens

En läckt token ger tillgång till allt från kod till produktion ⁴

Angripare kan röra sig fritt mellan olika projekt ³¹

Malicious kod injiceras via publika bibliotek ⁹

Säkerhets-kontroller blir en gissningslek under tidspress ²⁹

Bakomliggande beslut/kultur

”Default trust”-inställning för att undvika avbrott i flödet ⁴

Beslut att använda en delad bygg-infrastruktur för att spara pengar ³¹

Valet att lita blint på open source utan automatiserad granskning ²⁹

Brist på definierade och automatiserade säkerhets-policyer ³⁰

Säkerhetsskuldens ränteeffekt

Det är dessa små, vardagliga beslut ackumuleras till en massiv ”säkerhetsskuld”¹ Precis som ekonomisk skuld genererar säkerhetsskulden ”ränta” i form av ökad risk och dyrare framtida åtgärder.³⁴ En teknisk organisation som väljer att ignorera en sårbarhet i ett tredjepartsbibliotek för att hinna med en lansering har tagit ett lån med hög ränta.³⁴ Om denna skuld inte hanteras systematiskt genom en kultur av ansvarstagande, kommer organisationen förr eller senare att drabbas av en tvingande ”återbetalning” i form av ett intrång.³

SIEM, Tool Sprawl och Analytikers Utmattning

Inom IT-säkerhet har det länge funnits en devis att ”man kan inte skydda det man inte ser”.²⁶ Detta har lett till en explosionsartad tillväxt av övervakningsverktyg. Men i strävan efter total sikt har många organisationer skapat ett nytt problem: ”tool sprawl” eller verktygskaos.⁵ När en organisation köper in dussintals olika säkerhetsprodukter som inte pratar med varandra, skapas en fragmenterad bild som faktiskt minskar den reella säkerheten.⁵

Larmtrötthet: När varningsklockorna tystnar

En genomsnittlig SOC (Security Operations Center) hanterar idag över 4 400 larm per dag.⁹ Av dessa visar sig upp till 67 % vara rent brus eller falska positiva.⁹ Denna massiva volym av information leder till larmtrötthet (alert fatigue), ett tillstånd där analytiker blir avtrubbade och börjar ignorera larm.⁵

Analysen visar att 30 % av IT-professionella erkänner att de ignorerar larm på grund av den höga andelen falska positiva.⁵ Detta är ett livsfarligt beslut som fattas i vardagen, men det är en direkt konsekvens av ledningens beslut att prioritera inköp av verktyg framför personalens förmåga att faktiskt hantera informationen.² När säkerhet reduceras till en IT-fråga mäts framgång ofta i antalet installerade agenter eller aktiverade loggkällor, snarare än i analytikernas förmåga att faktiskt upptäcka och stoppa ett intrång.⁵

Den mänskliga kostnaden för teknisk komplexitet

Verktygskaoset har också en betydande mänsklig kostnad. SOC-analytiker spenderar ofta mer tid på att växla mellan 15 olika konsoler och försöka få motstridiga data att gå ihop än på att faktiskt jaga hot.⁵ Detta leder till stress, missnöje och en extremt hög personalomsättning.⁹

Enligt forskning från IBM och KPMG anser 70 % av SOC-analytikerna att de lider av utbrändhet.⁹ När de mest erfarna personerna lämnar organisationen på grund av en ohållbar arbetsmiljö, förlorar organisationen inte bara teknisk kompetens utan även det institutionella minne som krävs för att fatta rätt beslut i en kris.¹⁰ Här blir kopplingen till Informationssäkerhetskultur tydlig: en organisation som inte bryr sig om sina medarbetares välmående och kognitiva belastning kan aldrig bli säker, oavsett hur mycket pengar de lägger på teknik.¹

Skugg-IT: En tyst protest mot beslutsvånda

Skugg-IT – användningen av appar och tjänster som inte är godkända – beskrivs ofta som ett säkerhetsproblem orsakat av ”slarviga” användare.⁴⁰ Men om man skrapar på ytan visar det sig att skugg-IT nästan alltid är ett symtom på organisatoriska beslut som skapat hinder för produktivitet.⁴²

Varför medarbetare väljer skuggan

Statistik visar att upp till 80 % av alla anställda använder skugg-IT i någon form.⁴² De vanligaste exemplen är att använda personliga Dropbox-konton för att dela filer, kommunicera via WhatsApp eller använda AI-verktyg som ChatGPT utan godkännande.⁴²

Drivkraft bakom Skugg-IT

Behov av snabbhet

Dålig användar-vänlighet

Krav på samarbete

Press från ledningen

Organisatorisk orsak

IT-avdelningens godkännande-process är för långsam ⁴²

De officiella verktygen är krångliga eller omoderna ⁴³

Interna verktyg tillåter inte smidig delning med externa partners ⁴³

Fokus på resultat gör att säkerhetspolicyer ses som ”valfria” ⁴⁵

Konsekvensen för säkerheten

Data flyttas utanför kontroll och backup ⁴²

Svag kryptering och bristande identitets-hantering ⁴³

Risk för dataläckage och compliance-brott (GDPR) ⁴²

Expanderad attackyta som IT inte kan övervaka ⁴²

När en ledning fattar beslutet att implementera strikta, oflexibla säkerhetspolicyer utan att samtidigt tillhandahålla de verktyg som krävs för att medarbetarna ska kunna göra sitt jobb, skapar de incitament för skugg-IT.⁴³ Skugg-IT är med andra ord inte ett tekniskt problem, utan en konsekvens av en bristande säkerhetskultur där IT-avdelningen ses som ”nej-sägare” istället för möjliggörare.¹

Att hantera skuggan genom inkludering

I stället för att försöka förbjuda skugg-IT – vilket historiskt sett aldrig har fungerat – bör organisationer försöka förstå de bakomliggande behoven.⁴³ Genom att involvera medarbetarna i valet av verktyg och skapa en kultur där det är enkelt att be om nya lösningar, kan organisationen föra in ”skuggan” i ljuset.⁴³ Detta kräver att man ser cybersäkerhet som ett samarbete mellan människa och teknik, snarare än en serie förbud dikterade från ett IT-kontor.¹

OT-miljöer: När IT-säkerhet möter den fysiska verkligheten

Inom industri och infrastruktur ser vi en ökande konvergens mellan IT och OT (Operational Technology).⁴⁸ Detta skapar unika utmaningar eftersom beslutsmodeller som fungerar väl i en kontorsmiljö kan vara direkt farliga i en fabrik eller ett kraftverk.⁴⁹

Colonial Pipeline och rädslan för det okända

Attacken mot Colonial Pipeline 2021 är ett av de mest kända exemplen på hur ett IT-baserat intrång (ransomware) ledde till att kritisk infrastruktur stängdes av, trots att själva driftsystemen (OT) inte var komprometterade.⁴⁹ Ledningen fattade beslutet att stänga av pipelinen eftersom deras affärssystem för fakturering var nere, vilket innebar att de inte visste hur mycket olja som flödade eller vem som skulle betala.⁴⁹

Detta belyser en fundamental brist i den organisatoriska förberedelsen: man hade inte fattat besluten om hur verksamheten skulle kunna fortsätta fungera i ”manuellt läge” eller utan stöd av IT-systemen.⁵¹ När säkerhet blir en IT-fråga, glömmer man ofta bort att bygga den operationella motståndskraften som krävs för att hantera teknikavbrott.51 En organisation med en stark säkerhetskultur skulle ha övat på dessa scenarier och haft färdiga beslutsvägar för att upprätthålla leveransen trots ett IT-haveri.⁵¹

Konflikten mellan patching och produktion

I en IT-miljö är det ett självklart beslut att installera säkerhetsuppdateringar så snabbt som möjligt.³⁶ I en OT-miljö kan samma beslut innebära att en produktionslina som genererar miljoner i timmen måste stoppas, eller i värsta fall att säkerhetskritiska system (som ventiler eller tryckvakter) slutar fungera på grund av inkompatibilitet.⁴⁹

Här blir det tydligt att säkerhet kräver affärskontext. Beslutet att låta bli att patcha ett sårbarbart system i OT kan vara det rätta beslutet ur ett helhetsperspektiv, förutsatt att man implementerar andra kompenserande skydd (som nätverkssegmentering)²⁵ Men om säkerhet hanteras som en isolerad IT-fråga, uppstår ofta en destruktiv konflikt mellan IT-säkerhetsansvariga och produktionschefer, där båda parter fattar beslut utan att förstå den andras verklighet.⁴⁹

Den svenska kontexten: Myndigheten för civilt försvar, Säkerhetspolisen och behovet av kulturförändring

Sverige befinner sig i ett allvarligt säkerhetspolitiskt läge där hoten från främmande makt (Ryssland, Kina, Iran) och organiserad brottslighet ökar i komplexitet och omfattning.⁵⁴ Trots detta visar Myndigheten för civilt försvar (MCF) mätningar (Cybersäkerhetskollen) att motståndskraften hos svenska myndigheter och företag är oroväckande låg.⁵⁷

Bristen på systematik och ledningsengagemang

Enligt MCF (2024–2025) uppnår endast drygt 5 % av de undersökta organisationerna en kvalificerad nivå i sitt systematiska säkerhetsarbete.⁵⁷ De områden där man presterar bäst är de rent tekniska (”IT-säkerhetsarbetet”), medan områden som ledningens styrning, informationsklassning och upphandling släpar efter.⁵⁷ Detta bekräftar tesen att många svenska organisationer har reducerat säkerhet till en IT-fråga och därmed missat den nödvändiga förankringen i ledningen.¹

Säkerhetspolisen betonar i sina årsböcker (2024/2025) att den största sårbarheten ofta är bristande kunskap om hotet.⁵⁶ Det handlar inte om teknisk okunnighet, utan om en oförmåga hos beslutsfattare att förstå hur deras vardagliga val – som att ingå ett samarbete med en utländsk forskare eller att outsourca en IT-tjänst till en billig leverantör – påverkar Sveriges nationella säkerhet.⁵⁴

Mänskliga misstag som främsta incidentorsak

MCF rapporterar att cirka 50 % av alla inrapporterade IT-incidenter under 2024 orsakades av systemfel eller mänskliga misstag, medan faktiska angrepp endast stod för 20 %.⁶⁰ Detta understryker vikten av att fokusera på de interna processerna och kulturen. Om hälften av problemen beror på att vi själva fattar fel beslut eller begår misstag i hanteringen, kan ingen ny teknik i världen lösa mer än en bråkdel av problemet.⁶

Nyckeltal från MCF/Säpo-rapporter

Andel myndigheter som når MCF:s kravnivå 3

Incidenter orsakade av misstag/systemfel

Främsta hotaktörer mot Sverige

Median-tid för upptäckt intrång (MTTD)

Genomsnittlig kostnad per incident i Sverige

Värde/Observation

8 av 120 (6,7 %) ⁵⁷

-50% ⁶⁰

Ryssland, Kina, Iran ⁵⁴

11 dagar ⁹

-46 miljoner SEK (omräknat från USD) ³

En holistisk lösning på ett komplext problem

För att möta den moderna hotbilden räcker det inte med att ”fixa IT”.¹ Det behöver finnas en holistisk modell där säkerhetskultur är fundamentet.¹ Detta innebär att vi måste sluta se säkerhet som ett hinder för verksamheten och i stället se det som en möjliggörare för stabilitet och tillväxt.¹

Psykologisk trygghet: Grundbulten i ett starkt försvar

En av de mest radikala och effektiva åtgärderna för att stärka säkerheten är att bygga psykologisk trygghet.⁶ Det innebär att ledare måste utplåna rädslan i organisationen.⁶ Om en medarbetare känner att de kommer att bli bestraffade för att de klickat på en phishing-länk, kommer de att försöka dölja misstaget.¹ Genom att dölja felet får angriparen den tid de behöver för att etablera sig i nätverket (den s.k. dwell time).¹

I en psykologiskt trygg organisation rapporteras misstag omedelbart, vilket gör att IT-avdelningen kan agera medan skadan fortfarande är begränsad.¹ Detta är ett organisatoriskt beslut: att värdera öppenhet och lärande högre än kontroll och bestraffning.¹

Beslut som en aktiv attackyta

Genom att se varje beslut som en potentiell attackyta kan vi börja arbeta proaktivt. Det handlar om att ställa rätt frågor i rätt tid:

● När vi sparar pengar genom att inte segmentera nätverket – vilka angreppsvägar öppnar vi då? ²²

● När vi godkänner en snabb lansering utan kodgranskning – vilken säkerhetsskuld tar vi på oss? ³⁴

● När vi ger en administratör obegränsade rättigheter – hur stor blir då skadan när en angripare tar sig in genom en sårbar MFA-lösning⁴

Svaren på dessa frågor är inte tekniska, de är affärsmässiga och strategiska.2 En robust säkerhetskultur gör det enklare att fatta rätt beslut även när det är obekvämt eller kostsamt på kort sikt.¹

Slutsatser och vägen framåt

När säkerhet reduceras till en IT-fråga blir resultatet en bräcklig organisation som är sårbar för allt från enkla mänskliga misstag till sofistikerade statsstödda cyberattacker.² Den blinda tron på tekniska lösningar som MFA, molnskydd och SIEM fungerar endast om de vilar på en stabil grund av organisatoriska beslut och en sund säkerhetskultur.¹

För tekniska organisationer, IT-chefer och tekniker är utmaningen nu att lyfta blicken från konsolerna och skärmarna och börja adressera den dolda attackytan: beslutsfattandet.¹ Det handlar om att integrera säkerhet i ledarskapet, främja psykologisk trygghet och sluta se människan som den ”svagaste länken” och istället se henne som organisationens viktigaste sensor och försvarare.¹

Framtidens cybersäkerhet vinns inte av den som har flest verktyg, utan av den som fattar de mest medvetna besluten i vardagen.¹ Genom att arbeta holistiskt med styrning, beteenden och beslut kan vi bygga organisationer som inte bara överlever nästa attack, utan som växer sig starkare av varje utmaning.¹ Cybersäkerhet är, när allt kommer omkring, inte ett IT-problem – det är en ledningsfråga, en kulturfråga och framför allt en mänsklig fråga.¹

Källförteckning

1. Securebyme_DI_hel_Cybersakehet.pdf

2. Why cloud security failures are rarely technical | CIO, accessed April 12, 2026, https://www.cio.com/article/4142541/why-cloud-security-failures-are-rarely-technical.html

3. Cybersecurity Technical Debt: Risks, Impacts, and Management – UnderDefense, accessed April 12, 2026, https://underdefense.com/blog/cybersecurity-technical-debt/

4. Secrets Management Failures in CI/CD Pipelines – DevOps.com, accessed April 12, 2026, https://devops.com/secrets-management-failures-in-ci-cd-pipelines/

5. ISACA Now Blog 2025 Tool Sprawl Why More Cyber Tools Make You Less Secure, accessed April 12, 2026, https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2025/tool-sprawl-why-more-cyber-tools-make-you-less-secure

6. Informationssäkerhetskultur Tobias Ander, accessed April 12, 2026, https://koha.se/wp-content/uploads/2024/05/Informationssakerhetskultur-KOHA-2024-Tobias_Ander.pdf

7. Om Securebyme – Secure by Me, accessed April 12, 2026, https://securebyme.se/om-securebyme/

8. When Security Tools Become the Problem: The State of MSP Agent Fatigue in 2025, accessed April 12, 2026, https://futuresafe.com/when-security-tools-become-the-problem-the-state-of-msp-agent-fatigue-in-2025/

9. The Hidden Consequences of Security Tool Sprawl and SOC Alert Fatigue – CybelAngel, accessed April 12, 2026, https://cybelangel.com/blog/the-hidden-consequences-of-security-tool-sprawl-and-soc-alert-fatigue/

10. Cybersecurity alert fatigue: what it is and how SOC teams can fight back – StrangeBee, accessed April 12, 2026, https://strangebee.com/blog/what-is-cybersecurity-alert-fatigue-and-how-to-fight-back/

11. SOC Alert Fatigue in Cybersecurity: Strategies to Break the Cycle, accessed April 12, 2026, https://right-hand.ai/blog/soc-alert-fatigue/

12. MFA Fatigue Attacks: What They Are & How to Respond – Rippling, accessed April 12, 2026, https://www.rippling.com/blog/mfa-fatigue

13. MFA Fatigue Attacks: When ”Approve” Becomes the Wrong Choice – UTMB, accessed April 12, 2026, https://www.utmb.edu/infosec/welcome-to-infosec/infosec-corner/article/information-security-corner/2026/02/03/mfa-fatigue-attacks

14. What Is an MFA Fatigue Attack? | Examples & Prevention Tips – SoSafe, accessed April 12, 2026, https://sosafe-awareness.com/glossary/mfa-fatigue-attack/

15. What Is an MFA Fatigue Attack? Meaning | Proofpoint US, accessed April 12, 2026, https://www.proofpoint.com/us/threat-reference/mfa-fatigue-attack

16. MFA Fatigue Attack: What Is It + Defense Techniques – Deel, accessed April 12, 2026, https://www.deel.com/blog/mfa-fatigue-attack/

17. MFA Fatigue Attack: How to Detect and Prevent It | Ping Identity, accessed April 12, 2026, https://www.pingidentity.com/en/resources/blog/post/mfa-bombing-dismantled.html

18. How MFA Fatigue Attacks Work & 6 Ways to Defend Against Them | Exabeam, accessed April 12, 2026, https://www.exabeam.com/explainers/insider-threats/how-mfa-fatigue-attacks-work-6-ways-to-defend-against-them/

19. Uber 2022 Data Breach Case Study | PDF | Security – Scribd, accessed April 12, 2026, https://www.scribd.com/document/941592569/2022-UBER-Case-Study

20. Uber data breach 2022: How the hacker annoyed his way into the network (and our learnings) – ManageEngine, accessed April 12, 2026, https://www.manageengine.com/products/desktop-central/blog/uber-data-breach-2022-how-the-hacker-annoyed-his-way-into-the-network-and-our-learnings.html

21. The Uber Breach Case Study: Cybersecurity Lessons Learned – HumanFirewall, accessed April 12, 2026, https://humanfirewall.io/the-uber-breach-case-study-cybersecurity-lessons-learned/

22. Frontline Insights: Lessons from the Uber 2022 data breach – DNV, accessed April 12, 2026, https://www.dnv.com/cyber/insights/articles/frontline-insights-lessons-from-the-uber-2022-data-breach/

23. Root Causes 247: Uber Breach Unpacked | Sectigo® Official, accessed April 12, 2026, https://www.sectigo.com/root-causes/root-causes-247-uber-breach-unpacked

24. MFA fatigue: Definition, types, examples and prevention – One Identity, accessed April 12, 2026, https://www.oneidentity.com/learn/what-is-mfa-fatigue.aspx

25. MFA Fatigue Attack: Definition & Defense Strategies | BeyondTrust, accessed April 12, 2026, https://www.beyondtrust.com/resources/glossary/mfa-fatigue-attack

26. 17 Security Risks of Cloud Computing in 2026 – SentinelOne, accessed April 12, 2026, https://www.sentinelone.com/cybersecurity-101/cloud-security/security-risks-of-cloud-computing/

27. Security Model for Cloud Computing: Case Report of Organizational Vulnerability, accessed April 12, 2026, https://www.scirp.org/journal/paperinformation?paperid=126892

28. Real Cloud Breach Case Studies Explained | by Md Shafiqul Baten Sumon – Medium, accessed April 12, 2026, https://medium.com/@shafiqulsumon007/real-cloud-breach-case-studies-explained-06a3e54e421a

29. DevSecOps in Practice: Closing the Gap Between Development Speed and Security Assurance – DevOps.com, accessed April 12, 2026, https://devops.com/devsecops-in-practice-closing-the-gap-between-development-speed-and-security-assurance/

30. DevSecOps in practice: Integrating security throughout the development lifecycle, accessed April 12, 2026, https://siisweden.se/en/news-feed/devsecops-in-practice-integrating-security-throughout-the-development-lifecycle/

31. DevSecOps Best Practices: How to Secure CI/CD Pipelines Step-by-Step + Checklist, accessed April 12, 2026, https://www.techmagic.co/blog/devsecops-best-practices

32. OWASP A08:2025 Software or Data Integrity Failures Prevention Guide: Zero Trust, Continuous Monitoring, and Advanced AI Security Techniques – CrossClassify, accessed April 12, 2026, https://www.crossclassify.com/resources/articles/owasp-a08-2025-software-or-data-integrity-failures-prevention-guide/

33. Understanding Technical Debt in Cybersecurity: A Hidden Threat to Digital Security, accessed April 12, 2026, https://theimagingchannel.com/understanding-technical-debt-in-cybersecurity-a-hidden-threat-to-digital-security/

34. What Is Security Debt? – JumpCloud, accessed April 12, 2026, https://jumpcloud.com/it-index/what-is-security-debt

35. DevSecOps Velocity: Ship Faster Without Growing Security Debt – Cloudaware, accessed April 12, 2026, https://cloudaware.com/blog/devsecops-velocity/

36. Real-Life Examples: Lessons Learned from Major Cyber Breaches – Datalink Networks, accessed April 12, 2026, https://www.datalinknetworks.net/dln_blog/real-life-examples-lessons-learned-from-major-cyber-breaches

37. A Practical Guide to Implementing DevSecOps in Your Organization – Veracode, accessed April 12, 2026, https://www.veracode.com/blog/implementing-devsecops-in-your-organization/

38. What is the Difference Between DevOps and DevSecOps? | Veracode, accessed April 12, 2026, https://www.veracode.com/blog/what-is-devops-and-devsecops/

39. The Hidden Cost of Technical Debt on Your Security Posture | OnSecurity, accessed April 12, 2026, https://onsecurity.io/article/the-hidden-cost-of-technical-debt-on-your-security-posture/

40. Managing the Unseen: Shadow IT and Its Security Risks – Recorded Future, accessed April 12, 2026, https://www.recordedfuture.com/blog/managing-unseen-shadow-it

41. DevSecOps Best Practices: How to Integrate Security into Your DevOps Pipeline – Veracode, accessed April 12, 2026, https://www.veracode.com/blog/devsecops-best-practices-sdlc/

42. What Is Shadow IT? | IBM, accessed April 12, 2026, https://www.ibm.com/think/topics/shadow-it

43. Shadow IT: What Is Shadow IT? Causes, Risks, and Solutions for Companies – Boolebox, accessed April 12, 2026, https://www.boolebox.com/shadow-it-risks-solutions/

44. What is shadow IT? – Article – SailPoint, accessed April 12, 2026, https://www.sailpoint.com/identity-library/how-to-mitigate-common-shadow-it-risks

45. Shadow IT Definition: 2024 Statistics and Solutions – Josys, accessed April 12, 2026, https://www.josys.com/article/article-shadow-it-shadow-it-definition-2024-statistics-and-solutions

46. Shadow IT Risks: Data Breaches, Compliance Failures & How to Stop Them – Hypori, accessed April 12, 2026, https://www.hypori.com/blog/shadow-it-risks-and-how-to-manage-them

47. Shadow IT in Government: Risks, Causes, and How to Manage It | Rocket.Chat, accessed April 12, 2026, https://www.rocket.chat/blog/shadow-it-government

48. Case Studies in Industrial Cybersecurity – Rockwell Automation, accessed April 12, 2026, https://literature.rockwellautomation.com/idc/groups/literature/documents/ap/gmsn-ap001_-en-p.pdf

49. OT Cybersecurity: The Guide to Securing Industrial Systems | TXOne Networks, accessed April 12, 2026, https://www.txone.com/blog/ot-cybersecurity/

50. ICS OT Security: Current Threats and Solutions, accessed April 12, 2026, https://www.ssh.com/academy/operational-technology/ics-ot-security-current-threats-and-solutions

51. When Expectations Meet Reality: The Anatomy of Cyber … – Sygnia, accessed April 12, 2026, https://www.sygnia.co/blog/why-most-cyber-incidents-do-not-escalate-into-ot/

52. What the Tietoevry Ransomware Attack Teaches Every Business – Ebuilder Security, accessed April 12, 2026, https://ebuildersecurity.com/articles/tietoevry-ransomware-attack-lessons/

53. Informationssäkerhetskultur i praktiken – MSB RIB, accessed April 12, 2026, https://rib.msb.se/filer/pdf/30525.pdf

54. Sammanfattning – Säkerhetspolisen, accessed April 12, 2026, https://sakerhetspolisen.se/om-sakerhetspolisen/publikationer/sakerhetspolisens-lagesbilder/sakerhetspolisen-2025-2026/sammanfattning.html

55. MUST ÅRSÖVERSIKT 2025 – Försvarsmakten, accessed April 12, 2026, https://www.forsvarsmakten.se/contentassets/aaf80ccf99ad476caef74fa179cbc010/must-arsoversikt-2025.pdf

56. The Swedish Security Service 2024-2025, accessed April 12, 2026, https://sakerhetspolisen.se/download/18.735e45f81966926b8381f6/1746455132395/SP_A%CC%8Arsbok_ENG_2025_Anpassad.pdf

57. Resultatredovisning av Cybersäkerhetskollen 2024 : Det systematiska cybersäkerhetsarbetet i den offentliga förvaltningen – MSB RIB, accessed April 12, 2026, https://rib.msb.se/Filer/pdf/30971.pdf

58. Resultatet från Cybersäkerhetskollen – Myndigheten för civilt försvar, accessed April 12, 2026, https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/arbeta-systematiskt-med-informationssakerhet-och-cybersakerhet/cybersakerhetskollen/resultatet-fran-cybersakerhetskollen/

59. Säkerhetspolisen 2024-2025, accessed April 12, 2026, https://sakerhetspolisen.se/download/18.328c5ae9195250d81d04ad/1741953348924/L%C3%A4gesbild%202024-2025.pdf

60. MSB: Hälften av alla it-incidenter orsakas av systemfel eller misstag – Voister, accessedApril 12, 2026, https://www.voister.se/artikel/2025/03/msb-halften-av-alla-it-incidenter-orsakas-av-systemfel-eller-misstag/

61. Många it-incidenter orsakas av systemfel eller misstag – Publikt, accessed April 12, 2026, https://www.publikt.se/nyhet/manga-it-incidenter-orsakas-av-systemfel-eller-misstag-26969

Varför säkerhetskultur inte kan köpas

Som specialist inom informationssäkerhet eller ansvarig för företagsanpassade utbildningar har du förmodligen hört det förut: ”Vi behöver köpa in en utbildning för att fixa vår säkerhetskultur.” Det finns en utbredd föreställning om att kultur är något som kan paketeras, licensieras och rullas ut som vilken SaaS-tjänst som helst. Men verkligheten är att om du försöker köpa en kultur, får du i bästa fall regelefterlevnad – och i värsta fall en organisation som har lärt sig att klicka på rätt knappar i en e-learning utan att förändra ett enda beteende i den fysiska eller digitala vardagen.

Säkerhetskultur är inte en produkt; det är resultatet av organisationens samlade attityder, normer och beteenden. Det är vad som händer när ingen ser på, när tidspressen är som högst och när valet står mellan att följa en krånglig policy eller att ta en snabb genväg för att nå ett affärsmål. Att bygga detta kräver inte ännu en inköpsorder, utan ett tydligt skifte i hur vi ser på att människan är en viktig del av säkerheten.

Skillnaden mellan "Awareness" och Kultur

n av de vanligaste fallgroparna är att förväxla säkerhetsmedvetenhet (awareness) med säkerhetskultur. Att vara medveten om en risk innebär bara att man har kunskap om den. Kultur däremot handlar om handling.

Vi kan utbilda medarbetare i hur ett nätfiskemejl ser ut, men om kulturen straffar den som rapporterar ett misstag, eller om ledningen ständigt signalerar att leveranssnabbhet trumfar allt, kommer medvetenheten inte att leda till ökad säkerhet. Vi måste gå längre än att bara följa standarder och föreskrifter, vi måste i stället arbeta proaktivt med de sociala strukturernaoch tryggheten för våra medarbetare.

Tabell 1: Awareness vs. Kultur – Ett metodskifte

Dimension

Mål

Metod

Mätetal

Fokus

Hållbarhet

Säkerhets-medvetenhet (awareness)

Kunskaps-spridning och kännedom.

E-learning, quiz och affischer.

Genomförande-grad och provresultat.

Individens kunskapsnivå.

Ofta kortsiktig (kräver repetition).

Informations-säkerhetskultur

Förändrade beteenden och normer.

Ledarskapsstöd, psykologisk trygghet och strukturell förändring.

Incitaments-efterlevnad, rapporterings-benägenhet och kvalitativa observationer

Organisationens sociala DNA och kollektiva val.

Långsiktig och själv-förstärkande.

Människan som tillgång, inte sårbarhet

Inom traditionell utbildningsdesign har människan ofta betraktats som ”den svagaste länken”. Detta perspektiv skapar en pedagogisk distans som motverkar sitt eget syfte. Om vi iställetbygger utbildningar och strategier utifrån att människan är vår viktigaste tillgång, förändras hela angreppssättet.

En god säkerhetskultur bygger på psykologisk trygghet. Det innebär att designa system och rutiner som uppmuntrar till att lyfta risker tidigt utan rädsla för repressalier. Det handlar även om att skapa en miljö där ett rapporterat misstag ses som en möjlighet till lärande snarare än en grund för bestraffning. Detta är en av hörnstenarna i god informationssäkerhetskultur: att bygga robusthet genom öppenhet och ansvar.

Design för verkligheten: Varför färdigpackat ofta fallerar

De som tar fram företagsanpassade utbildningar står ofta inför valet att köpa in färdiga paket. Problemet med dessa är att de sällan adresserar de specifika normerna i just din organisation. Säkerhetskultur är kontextuell. Den påverkas av:

• Ledningens faktiska agerande: Medarbetare speglar de värderingar som cheferna faktiskt visar i handling, inte vad som står på intranätet.

• Incitamentsstrukturer: Om bonusar enbart baseras på produktionstakt kommer säkerheten alltid att prioriteras ned i pressade situationer.

• Operativ komplexitet: Om de tekniska kontrollerna är för krångliga kommer användarna att hitta kreativa sätt att kringgå dem (Shadow IT).

För att lyckas måste vi inom informationssäkerhet arbeta som en ”intelligence partner” tillsammans med HR och andra affärsfunktioner. Det handlar om att identifiera var de kognitiva och kulturella sårbarheterna finns och designa insatser som möter medarbetarna i deras faktiska arbetsflöden.

Den nya kravbilden: Från checklistor till styrning

Med implementeringen av NIS2 och den nya svenska cybersäkerhetslagen under 2025 och 2026, är det tänkt att fokus flyttas från att bara ”ha en policy” till att kunna demonstrera faktisk effekt. Det innebär att det systematiska säkerhetsarbetet omfattar mer än bara de kritiska systemen utan även organisationen och de mänskliga beteendena.

Detta ställer högre krav på oss. Vi kan inte längre nöja oss med att peka på en hög genomförandegrad på en årsutbildning. Vi måste kunna visa hur vi arbetar systematiskt med riskhantering i leverantörsledet, hur vi hanterar den mänskliga risken vid användning av AI och hur vi säkerställer att säkerhet är en integrerad del av designen i alla processer.

Tabell 2: Förslag på nyckelområden för framtidens säkerhetsutbildning (2026)

Område

Kognitiv residens

Incidentkultur

Human-Centric-Design

Etiskt beslutsfattande

AI-governance

Fokus för säkerhets-organisationen

Träna förmågan att kritiskt värdera information och deepfakes.

Sänka tröskeln för rapportering och öva på krishantering.

Förenkla säkerhetsrutiner så att de stöttar arbetet istället för att hindra det.

Integrera moraliska överväganden i tekniska utbildningar.

Utbilda i ansvarsfull användning av generativa verktyg.

Utmaning att adressera

Manipulering av beslutsfattande genom AI.

Rädsla för att göra fel (skuldkultur).

”Security fatigue” och genvägar i vardagen.

Gråzoner mellan bekvämlighet och säkerhet.

Skugg-AI och oavsiktliga dataläckor.

Sammanfattning: Din roll som kulturarkitekt

Att bygga en informationssäkerhetskultur är ett hantverk, inte ett inköp. För dig som arbetar med informationssäkerhet innebär det att du behöver skifta fokus från tekniska specifikationer till mänskliga interaktioner. Du behöver verktyg som hjälper dig att mäta och analysera kulturen, systematik för att förändra beteenden och ett nära samarbete med ledningen för att säkerställa att de förstår sitt ansvar.

Säkerhetskultur kan inte köpas för att den inte ägs av en leverantör – den ägs av varje medarbetare som väljer att göra rätt när det är svårt. Din uppgift är att ge dem förutsättningarna, förtroendet och kulturen för att lyckas med det valet.

Behöver din organisation hjälp med att gå från awareness till en verklig säkerhetskultur? Securebyme stöder specialister och utbildare i att bygga robusthet genom att sätta människan och beteendet i centrum.