Företagsledning Archives

Många nyanställda faller för nätfiske

Nyanställda är mer benägna att falla för nätfiskeattacker och social manipulation än de som varit anställda en längre tid. Enligt en nyligen publicerad rapport är det speciellt kritiskt under de första tre månaderna av anställningen.

Nyanställda är mer benägna att falla för nätfiskemail och social manipulation

En fråga om timing

Under lång tid fokuserades uppmärksamheten och utbildningsinsatser kopplade till nätfiske på att få personalen att inte klicka på okända länkar i mail. Tyvärr så har de nyanställda inte hunnit få sin säkerhetsmedvetenhetsutbildning och därtill är de extra sårbara under sin introduktionsutbildning, när det kan kännas rimligt att bli kontaktad av VD, HR- eller IT-avdelningen som ber dig klicka på länkar för att bli välkomnad, få information samt för att sätta upp konto eller logga in de gemensamma systemen.

Nästan 3 av 4 av nyanställda klickar på nätfiskemejl inom 3 månader

Nyanställda är enklare måltavlor för nätfiskeattacker

Många nyanställda är inte bekanta med företagets policys eller detaljer gällande utseende på ett internt mail och kan därför lätt missta nätfiskemejl för riktiga förfrågningar. Onboarding- och introduktionsprocessen kan dessutom vara överväldigande, vilket gör det lätt kan kännas stressande, vilket ökar risken för misstag och felaktiga beslut. Nyanställda tenderar också att vilja göra ett gott intryck, särskilt om meddelandet verkar komma från någon ansvarig, och följer således de instruktioner som de får – även falska.

Typiskt tillvägagångssätt

Vanliga tillvägagångssätt för ”internt nätfiske” inkluderar falska meddelanden från VD, falska HR-portaler, falska fakturor och falsk teknisk support. Man utnyttjar alltså den nyanställdas vilja att följa instruktioner och deras brist på kunskap om företagets processer och rutiner.

Utbildning stärker er motståndskraft!

Otillräckligt med säkerhetsutbildning under introduktionen men även avsaknad av generell erfarenhet gör att de nyanställda utgör en extra stor risk. Enligt rapporten kan företag som använder säkerhetsmedvetenhetsutbildning, med tex nätfiskesimuleringar, se en tydligt minskad risk.

Även om effekten av utbildning kanske är störst bland de nyanställda så är det vår tydliga rekommendation att stärka er motståndskraft genom att öka hela personalstyrkans riskmedvetenhetenhet, kunskap om nätfiske och social manipulation. Speciellt eftersom hotens karaktär och cyberbrottslingarnas tillvägagångssätt ständigt utvecklas och förändras.

Hör av er så hjälper er med smarta och kostnadseffektiva säkerhetsutbildningar!

Sverige är under attack!

Medvetenheten bland svenskar, vad det gäller cyberhotet och den växande hotbilden, verkar i allmänhet vara god. Efter att Statsminister Ulf Kristersson tidigare idag uttalade sig på ett otroligt tydligt sätt: "Sverige är under attack" så bör ingen längre känna någon tvekan om att cyberhotet är och förblir allvarligt. Statsministern säger även att ”vi är utsatta för omfattande cyberattacker hela tiden, de riktar sig även mot viktiga företag, inte bara staten”.

Enormt omfattande cyberattacker som pågår hela tiden

Du har säkert läst i media om attacker mot SVT, Bank-id, Swish och andra viktiga organisationer, eller för den delen indirekt varit drabbad när denna typ av samhällsviktiga funktioner påverkas. Därtill har du som privatperson eller företaget du arbetar på kanske lamslagits av skrupellösa cyberattacker.

Kravet: ett strategiskt och systematiskt arbete

Vi behöver alla bidra genom att se över våra företags motståndskraft och tillsammans bli starkare. Vi har tidigare lyft fram hur robusthet, resiliens och redundans är viktigt men för att uppnå dessa, genom underliggande system, processer, kunskap och andra viktiga byggstenar, krävs strategiskt, metodiskt och systematiskt arbete med cybersäkerhetsfrågan.

Alla behöver se över sin motståndskraft

Allt börjar med att känna till sina svagheter

Företagsledningen måste leda cybersäkerhetsarbetet och bör alltid genomföra en analys för att skapa sig en bra överblick över sina risker och sårbarheter, från vilka man skapar en tydlig prioriteringslista och åtgärds- & säkerhetsplan.

Dessutom ökar både företagsledningens och företagets kunskap om cyberhoten, risker och cybersäkerhetsarbete när man aktivt arbetar med sin egen säkerhet.

Bara det är ett stort steg på vägen mot ökad motståndskraft!

Digitaliseringsstrategin poängterar cybersäkerhetens betydelse

Regeringen har i dagarna presenterat en ny digitaliseringsstrategi för 2025–2030 som pekar ut riktningen för Sveriges digitaliseringspolitik. Det är en intressant och otroligt viktig satsning och utöver fem strategiska fokusområden så är det även noterbart att säkerhet nämns, tillsammans med bla AI, som horisontella mål vilka genomsyrar samtliga strategiska områden.

Sverige ska ha hög digital motståndskraft och tillförlitlighet för att användare och tjänster ska vara säkra och information ska vara säker.

Tydliga mål och fokus

För många företag och organisationer finns det mycket inspiration och vägledning att hämta i dokumentet, framför allt gällande digitalisering men även gällande säkerhet, även om den nationella strategin för cybersäkerhet såklart är mer specifik och detaljerad inom detta område.
I digitaliseringsstrategidokumentet kan man bla läsa att fokus för digitaliseringsstrategin är att förenkla för människor i vardagen. Strategin handlar exempelvis om vad som är bäst för medborgaren som behöver använda digitala tjänster, för näringsidkaren som är i kontakt med myndigheterna, för patienten som söker vård, eller för mottagaren av hemtjänst.

– Vi har ett tydligt fokus på att använda digitaliseringen för att förenkla i vardagen, bland annat genom en slags medborgarapp. Om vi samlar kontakterna med myndigheter och andra viktiga digitala tjänster på samma ställe kan vi underlätta i vardagen, säger civilminister Erik Slottner i ett pressmeddelande.

Tänk personal, samarbetspartners eller kunder istället för medborgare, så slår du som företagsledare huvudet på spiken.

Fem strategiska områden har satts upp för digitaliseringen: Digital kompetens, Näringslivets digitalisering, Förvaltningens digitalisering, Välfärdens digitalisering och Konnektivitet

Säkerhet är ett horisontellt mål som genomsyrar samtliga strategiska områden

Säkerhet som del av de strategiska horisontella målen

AI och ny teknik, Data och Säkerhet identifieras som horisontella mål som genomsyrar alla strategiska områden. Vad det gäller säkerhet så känns det självklart att Sverige ska ha hög digital motståndskraft och tillförlitlighet för att användare och tjänster ska vara säkra och information ska vara säker.

Robusthet, resiliens och redundans
De allra flesta företag och organisationer kan skriva under på hur digitalisering ständigt transformerar och utvecklar verksamheten samt hur detta gradvis ökat hur betydelsefulla och verksamhetskritiska digitala verktyg, processer , information, kommunikation mm har blivit.

Den digitala tillförlitligheten och säkerheten bryts i digitaliseringsdokumentet ner i tre tydliga områden robusthet, resiliens och redundans. Vi kan inte nog poängtera betydelsen för alla företag att analysera sin cybersäkerhet och utvärdera och reflektera hur ni står er gällande dessa tre och andra relevanta områden.

Robusthet handlar om att i möjligaste mån kunna motstå påfrestningar, oavsett om dessa är fysiska eller cyberrelaterade, utan att funktionaliteten påverkas.
Resiliens handlar om återhämtning och att kunna återgå till normal funktionalitet när påverkan uppstår.
Redundans och diversitet handlar om att ha tillgång till alternativa lösningar, tekniker eller vägar om någon del av infrastrukturen skulle falla bort

Allt börjar med att känna till sina svagheter

- Ett systematiskt cybersäkerhetsarbete är en strategisk fråga och är ett måste för alla företag menar Adderas VD Jens Hemström och fortsätter, man kan säga att cybertrygghet är en grundläggande förutsättning för framgångsrikt företagande.

Adderas Cybersäkerhetsanalys ger ditt företag en superb utgångspunkt för ett systematiskt säkerhetsarbete:

Analys för att skapa en förståelse och nulägesbeskrivning
Identifierar säkerhetsbrister och riskområden.
Rapport med tydlig åtgärdsplan och prioriteringslista för ökad cybersäkerhet

Dessutom ökar både företagsledningens och företagets kunskap om cyberhoten, risker och cybersäkerhetsarbete när man genomför en cybersäkerhetsanalys.

Bara det är ett stort steg på vägen!

Falsk AI-plattform skickar virus istället för video

Nu sprids nyheter om ett nytt cyberhot kopplat till AI, nämligen fake-AI, där användare presenteras med ett verktyg som för generativ AI som kan skapa en video av en bild. Men istället för en videofil så laddar användaren ner skadlig programvara.

Välkänd risk för dataläckage genom felaktigt använd AI

När vi tydligt ser hur AI blir en naturlig del både av arbetslivet och privatlivet, finns ett växande oro för felanvändning, vilket kan resultera till oavsiktlig spridning av känslig information.
I en cybersäkerhetsrapport ses felaktigt använd AI som en av 2025-års stora risker. Det tydligaste riskområdet är dataläckage och händer när företagets personal delar konfidentiell information, med AI-verktyg för att skapa rapporter och göra analyser, utan att vara medveten om att någon obehörig kan få tillgång till och lagra den känsliga informationen.

Felaktigt använd AI ses som en av 2025-års stora risker

Ny risk med fake-AI: ett finurligt lurendrejeri som ny attackmetod

Då vi ser att användning av AI-verktyg blir vardagsmat för många så använder sig millioner människor dagligen av AI för att skapa innehåll. Detta ger nu cyberkriminella en möjlighet att lansera en ny, och extremt finurlig, attackmetod, fake-AI.

Ett aktuellt exempel som marknadsförs genom annonser på vanliga sociala medier, tex Meta, erbjuder en fantastiskt spännande och tillsynes legitim AI-tjänst för att generera video från bild. Man uppmanas att ladda upp tex en bild, under intrycket att de använder riktig AI, för att generera ett filmklipp där bilden används.

Exempel på annons

Laddar ner skadligt program istället för film

När filmen ”skapats av AI-verktyget” instrueras användarna att ladda ner sin genererade film. Tyvärr laddar offren då omedvetet ned en skadlig programvara som ser ut som en mediafil. I en ZIP-fil (arkiv) finns en fil i ett förväntat filformat, tex .mp4 men som i själva verket är en infostealer eller annan skadlig programvara som då installeras av användaren när denne tror sig öppna sitt AI-genererade filmklipp.
Med den skadliga programvaran installerad kan hackaren stjäla känslig information eller fjärrstyra datorn för att åstadkomma annan skada i IT-systemet.

Kommer säker fler varianter

I den här specifika kampanjen känns det skadliga AI-verktyget igen under namn typ VideoDreamMachine, men nya falska verktyg kommer sannolikt att dyka upp, utöver andra liknande kampanjer/tjänster som redan kan vara lanserade...

Policys och utbildning för en ansvarsfull användning av AI

Med ökade risker kopplat till användning av AI så behöver alla företag vara tydliga i sina riktlinjer gällande användning av AI. Med tydliga policys och återkommande utbildning av personalen kan man minska sina risker genom att skapa den nödvändiga kulturen för en ansvarsfull användning av AI genom hela företaget.

Företagsledningen måste leda arbetet och dessutom föregå med gott exempel!

Stor oro bland svenska småföretag för cyberattacker

Ny rapport visar tydligt att svenska småföretag är dåligt förberedda för att möta det ökande cyberhotet. Bristerna i kunskap och beredskap gör att en tredjedel dessutom är rejält oroade.

Rapporten

SSF Stöldskyddsföreningen har i ett gemensamt projekt med MSB undersökt svenska småföretagares, med upp till 49 anställda, syn på cybersäkerhet för att förstå mer om företagens oro, beredskap och utsatthet när det gäller cybersäkerheten. Kunskap från undersökningen ger möjlighet och bättre förutsättningar att utveckla ett mer riktat och målgruppsanpassat stöd till små företag, vilket är extra intressant för oss på Addera då vi fokuserar våra tjänster och erbjudanden till små- och medelstora företag.

40% av svenska småföretag anser att de är sårbara för cyberhot

Bekymmersamma resultat

Det finns flera olika delar i rapporten som de deltagande företagen svarat på men den sammanfattande slutsatsen är bekymrande:

40% av företageng anser att de är sårbara för cyberhot och 50% säger att de är dåligt förberedda för att möta attacker mot IT-system. Ju mindre företagen är, desto sämre förberedda säger sig företagen vara.

50% av företagen är dåligt förberedda för att möta attacker mot IT-system

Det finns en rad andra resultat i rapporten som belyser det skriande behov som finns för satsningar på cybersäkerheten hos de mindre företagen i Sverige.

37% är oroliga för att bli utsatta för attacker
29% menar att oron ökat det senaste året
48% är oroliga för att utsättas för bedrägeriförsök via mejl
54% har dålig beredskap för att möta attacker mot IT-system
21% upplever att kraven på digital säkerhet har ökat från kunderna
47% är inte insatta i digitala säkerhetsfrågor

För en tredjedel av företagen har dessutom digital säkerhet blivit viktigare senaste året och en intressant slutsats i rapporten är att den är vanligast förekommande påföljden vid incidenter är att man gör förändringar i säkerhetsarbetet. Detta efter att man drabbats av en cyberattack som, förutom att de kostar mycket pengar och resurser, även leder till förlorade affärsmöjligheter och skador på företagets anseende, rykte och varumärke.

Så tipset från oss är det samma som alltid – agera nu, när cyberattacken är ett faktum är det för sent!

Cybertrygghet är en grundläggande förutsättning för framgångsrikt företagande

Följdeffekter hos större företag

Sårbarheten för cyberattacker mot små och medelstora företag är större och beror bland annat på att man har mindre resurser, kunskap och verktyg för att arbeta med sin cybersäkerhet. Då många mindre företag ingår i långa värdekedjor och samarbeten finns dessutom risker för leveranskedjeattacker, där större företag riskerar att påverkas av de små företagens brister inom cybersäkerhet.

Allt börjar med att känna till sina svagheter

Adderas Cybersäkerhetsanalys ger ditt företag en superb utgångspunkt för ett systematiskt säkerhetsarbete som kan hjälpa er bort från att vara en del av SSF Stöldskyddsföreningens oroväckande cyberstatistik:

Analys för att skapa en förståelse och nulägesbeskrivning
Identifierar säkerhetsbrister och riskområden.
Rapport med tydlig åtgärdsplan och prioriteringslista för ökad cybersäkerhet

Dessutom ökar både företagsledningens och företagets kunskap om cyberhoten, risker och cybersäkerhetsarbete när man genomför en cybersäkerhetsanalys.

Bara det är ett stort steg på vägen!

Svenska chefer uppger att cyberhoten ökar men att resurser saknas

I en nyligen publicerad rapport står det klart att svenska chefer inte har tillräckligt med resurser för att möta ett ökat cyberhot samt att många företag redan har drabbats av cyberattacker.

Rapporten ger tydliga men oroande svar!

1. Cyberhotet ökar
I rapporten, från chefsorganisationen Ledarna inom privat tjänstesektor (LPT), har drygt 2 200 svenska chefer tillfrågats och det är en bekymmersam bild som presenteras. 60% uppger att cyberhotet ökat de senaste 3 åren och 41% uppger att de drabbats av en cyberattack under samma tidsperiod

60% uppger att cyberhotet ökat och 41% att de drabbats av en cyberattack

2. Konsekvenserna är allvarliga
Att över 40% av tillfrågade företag drabbats av cyberattacker är såklart djupt oroande och det presenteras dessutom tydliga siffror på de konsekvenser som cyberattackerna inneburit.

• Avbrott i verksamheten (32%)
• Ökad rädsla eller oro bland anställda (22%)
• Ekonomiska förluster (21%)
• Negativa effekter på anställdas hälsa och välbefinnande (14%)
• Negativ påverkan på företagets rykte (9%)
• Minskad förtroende från kunder eller partners (9%)
• Förlust av känslig eller konfidentiell information (7%)
• Juridiska tvister eller rättsliga kostnader (6%)

3. Resurser saknas för att bemöta cyberhotet
Trots att cyberhotet ökar, både till antal och komplexitet, så visar rapporten att 25% av cheferna helt saknar de säkerhetsresurser som krävs för att hantera riskerna och att 20% menar att de resurser som finns inte är tillräckliga.
Att så många företag inte inser allvaret och verkar leva i någon sorts illusion om att hotet inte är på riktigt eller bara drabbar andra är inte bara förvånande, det är dessutom häpnadsväckande och väldigt illavarslande!

25% uppger att de helt saknar de resurser som behövs

Cybersäkerhet - en ledningsfråga!

Cybersäkerheten måste vara en naturlig del av organisationers strategiska arbete och som vid allt annat ledningsarbete handlar det om att arbeta metodiskt, först strategisk och därefter operativt.

Allt annat blir betydelselöst den dagen det smäller

Några enkla tips:
• Nulägesanalysera och gör en övergripande riskbedömning
• Identifiera och hantera era omedelbara riskområden
• Börja fostra en cybersäkerhetskultur, med tydligt ledarskap samt viktiga begrepp och principer
• Hjälp er organisation genom att ställa rätt frågor och rätt krav
• Sätt en budget så att öronmärkta resurser finns att tillgå
• Utvärdera och förbättra kontinuerligt

Eftersom det är företagsledningen som sätter tonen för säkerhetskulturen i hela verksamheten finns möjligheter att snabbt skapa en positiv attitydförändring i organisationen. Detta är en avgörande faktor för att bygga en motståndskraftig cybersäkerhetskultur då det skapar engagemang och gör personalen till en del av företagets försvarsberedskap.

Som många känner till kommer det dessutom nya lagar och regelverk med fokus på cybersäkerhet som skärper kraven på ledning och styrelse.

Om inget annat borde det få fler att agera.

Hur kan vi hjälpa din organisation?

Cyberkriminella samarbetar mer och mer

En ny rapport visar att cyberkriminella ständigt utökar sitt samarbete, vilket ytterligare komplicerar en hotbild som redan är ytterst svår att överblicka och därtill ökar komplexiteten av cyberhoten ytterligare.

Kriminella organisationer är opportunister och när en möjlighet öppnas är de ofta snabba på att utnyttja den. Således är det föga överraskande att en globaliserad digital värld, med både för- och nackdelar för de allra flesta verksamheter, leder till att även cyberhotbilden globaliseras. Det framkommer även i rapporten, att påtryckningar från brottsbekämpande myndigheter leder till att hotaktörer samarbetar över gränserna.

Ett förändrat beteende hos de cyberkriminella höjer den generella cyberhotsnivån för företag av alla storlekar!

Mer avancerad cyberbrottslighet kräver mer avancerat cyberförsvar

Hotkomplexiteten ökar som sagt ständigt och både kriminella samarbeten och användning av AI driver på utvecklingen. Dessutom innebär tillgängligheten av cyberbrottstjänster, som är en är enorm och växande marknad, såsom Access-as-a-Service (AaaS) och nätfiskeattack som tjänst, mm att även ligor med låg teknisk kompetens kan utföra avancerade cyberattacker.

Är det ni som drabbas nästa gång?

Hör av dig om du vill ha tips på hur ni kan minska risken för cyberintrång!

Vi kan hjälpa er med allt ifrån att identifiera era sårbarheter, en tydligt prioriterad åtgärdsplan till att övervaka era system dygnet runt och omedelbart hantera de cyberattacker och intrångsförsök ni utsätts för.

Det är inte bara cyberhoten som ökar lavinartat. Hotkomplexiteten och teknikutvecklingen ökar också svårigheten att som verksamhet organisera säkerhetsarbetet. Hur skyddar vi företaget, våra digitala tillgångar och våra verksamhetskritiska system?

En ännu viktigare fråga är dock: varför behandlar så många företag cybersäkerhet som en IT-fråga?

Teknikutvecklingen komplicerar

Naturligtvis är mycket, direkt eller indirekt, relaterat till de fantastiska utvecklingsmöjligheter som IT och teknik ger oss.
• Verksamhetsdigitalisering
• Konstantuppkoppling
• Gränslösa arbetsplatser
• Digitala och externa samarbetsytor

Möjligheterna är enorma men innebär samtidigt ökade utmaningar och säkerhetsproblem på organisatorisk nivå. Likafullt behandlas fortfarande cybersäkerheten som en operativ fråga, relaterad till teknik.

Alla strategiska frågor kopplade till företagets styrning, lönsamhet, affärsutveckling, hållbarhet, etc, etc nagelfars, och det med rätta. Cybersäkerheten, eller rättare sagt affärskontinuiteten, måste behandlas på samma sätt. Detta innebär att samma metodiska, noggranna, kreativa och kloka engagemang från ledningen behövs. Kort sagt, ingen ledningsgrupp eller styrelse värd namnet får delegera ansvaret för ett så affärskritiskt område.

Säkerhetsstrategin är en ledningsfråga

Cybersäkerhetsstrategi

Cybersäkerheten måste vara en naturlig del av organisationers strategiska arbete och inte betraktas som ett teknikproblem som är ”IT-killarnas” ansvar. Det är företagsledningen som ska ta det strategiska ansvaret för detta arbete och med ett tydligt engagemang i cybersäkerhet blir man inte bara bättre insatt i de affärs- och verksamhetsmässiga risker och konsekvenser man står inför. Ledningen är även de som sätter tonen för säkerhetskulturen i hela verksamheten, en aspekt som är lätt att underskatta betydelsen av när man ska bygga en motståndskraftig organisation.

Som många känner till kommer det dessutom nya lagar och regelverk med fokus på cybersäkerhet som skärper kraven på ledning och styrelse. Dags att inte ducka denna fråga längre.