Stora utbildningsbrister inom cybersäkerhet

Vi argumenterar ofta för vikten av en stark säkerhetskultur i organisationen. Det börjar alltid med företagsledningen som måste se cybersäkerheten som ett strategiskt prioriterat område. Det är därför lite oroande att en nyligen publicerad rapport från Ledarna visar att endast hälften av svenska arbetsplatser har utbildat sina medarbetare i cybersäkerhet.

Det känns nämligen som en fullständig omöjlighet att bygga en säkerhetskultur utan en ordentlig cybersäkerhetsutbildning.

Bara hälften av svenska arbetsplatser har utbildat sina medarbetare i cybersäkerhet

Säkerhet i praktiken

En intressant slutsats i rapporten är att även om arbetsplatser har strategier och regler för cybersäkerhet, saknas ofta det praktiska arbetet med att förankra säkerhet i vardagen.

En viktig aspekt av träning, och att omsätta detta i praktiken, är att få medarbetarna att känna ett personligt ansvar för cybersäkerheten och för säkerhetskulturen. Det är nämligen mycket vunnet när medarbetarna känner att de både förväntas och har möjlighet att ta ansvar för sitt eget digitala beteende men också för de system, rutiner, dokumentation och externa samarbeten som de ansvarar för.

Allt annat blir betydelselöst den dagen det smäller

Cyberhoten ökar men resurser saknas

Tidigare i år rapporterades det, även då i en rapport från Ledarna, att svenska chefer inte har tillräckligt med resurser för att möta ett ökat cyberhot samt att många företag redan har drabbats av cyberattacker.

Rapporten gav tydliga men oroande svar!

1. Cyberhotet ökar
60% uppger att cyberhotet ökat de senaste 3 åren och 41% uppger att de drabbats av en cyberattack under samma tidsperiod

2. Konsekvenserna är allvarliga
Tydliga siffror på de konsekvenser som cyberattackerna inneburit, bla hade 32% lett till avbrott i verksamheten, 22% sett en ökad rädsla eller oro bland anställda och 21% lidit ekonomiska förluster.

3. Resurser saknas för att bemöta cyberhotet
25% av cheferna helt saknar de säkerhetsresurser som krävs för att hantera riskerna och att 20% menar att de resurser som finns inte är tillräckliga.

25% uppger att de helt saknar de resurser som behövs

Cybersäkerhet - en ledningsfråga!

Cybersäkerheten måste som sagt vara en naturlig del av organisationers strategiska arbete och som vid allt annat ledningsarbete handlar det om att arbeta metodiskt, först strategisk och därefter operativt.

Några konkreta tips:

  • Nulägesanalysera övergripande riskbedömning
  • Identifiera och hantera era omedelbara riskområden
  • Börja fostra en cybersäkerhetskultur, med tydligt ledarskap samt viktiga begrepp och principer
  • Hjälp er organisation genom utbildning och genom att ställa rätt frågor och rätt krav
  • Sätt en budget så att öronmärkta resurser finns att tillgå
  • Utvärdera och förbättra kontinuerligt

Eftersom det är företagsledningen som sätter tonen för säkerhetskulturen i hela verksamheten finns möjligheter att snabbt skapa en positiv attitydförändring i organisationen. Detta är en avgörande faktor för att bygga en motståndskraftig cybersäkerhetskultur då det skapar engagemang och gör personalen till en del av företagets försvarsberedskap.

Vet du inte hur ni ska göra för att ta första steget – lugn, vi hjälper er!

 

Varför väljer vi urdåliga lösenord i stället för högre säkerhet?

Vi har sett det förr. Samma dåliga lösenord toppar listan på de mest använda och dessutom använder vi samma lösenord till flera konton, trots att en överväldigande majoritet sannolikt vet att det är förkastligt.

Valet står egentligen mellan säkerhet och lathet

Hur kommer det sig?

Som vi tidigare skrivit om så har sannolikt en stor majoritet av det svenska folket, som bevisat har en hög grad av IT-mognad, en mycket hög kännedom och medvetenhet om god lösenordshygien. Det är således slående att så många slarvar med sina lösenord, vilket de då sannolikt vet kan få allvarliga konsekvenser.

Vi återkommer nedan till problemet med svaga lösenord och börjar med ett annat vanligt problem, nämligen att man återanvänder samma lösenord.

Om man använder sig av samma lösenord på många konton så ökar man sin sårbarhet för att bli multihackad. Detta eftersom samma inloggning då fungerar på tex mail, sociala medier, mm. Detta är ju speciellt allvarligt om man använder samma lösenord på ett känsligt konto och ett annat, säg oviktigt konto, som hanteras med låg säkerhet. Det är mångas mardröm att bli hackad så att bjuda på en multihackning känns både vårdslöst helt omotiverat.

Använd aldrig samma lösenord på två eller flera ställen

Dessutom blir det ännu värre

Som om det inte är nog att vi använder samma lösenord på flera konton så kan man, med bekymmersam blick, läsa de 10 vanligaste lösenorden i Sverige (Nordpass 2025):

  1. admin
  2. Sweden9000
  3. 123456
  4. password
  5. 12345678
  6. Design33
  7. 888888
  8. bikini88
  9. 12345
  10. Blecke666

Andra noterbara lösenord på top 20 är "Husmusen1", "shopping" och "Aaaa1111".

Några goda råd, utöver användning av unika lösenord:

  • Kontrollera om dina lösenord finns med i någon dataläcka – byt isf omedelbart
  • Använd med fördel lösenfraser som typiskt är både lättare att komma ihåg och svårare för en hacker att knäcka
  • Förlita dig inte på endast lösenord, använd multifaktorsautentisering, helst nätfiskeresistent
  • Sluta slarva - agera enligt den kunskap du faktiskt har gällande lösenord. Läs på eller ring oss om du är osäker

2025 - admin, 123456, password!!

Ett globalt problem, med lokal twist

Nordpass 2025 visar inte bara vilka som är de mest vanliga lösenorden. Det är även intressant att läsa om globala trender men också hur länder skiljer sig åt.

Passwordöversättningar
“Password” är med på många länders top 10 och således även på den globala toplistan. "Password" på lokalt språk som "heslo" (Svk), "salasana" (Fin), "motdepasse" (Fra) och "contraseña" (Esp) tar också topplaceringar i olika länders listor över de vanligaste lösenorden.

Varumärken
Teknikvarumärken som tex Cisco, Motorola, Telstra, Vodafone, Turktelekom, Apple, Panasonic, Netflix rapporteras också som mycket vanliga lösenord. Vodafone är det mest populära varumärket som lösenord och totalt sett det 105e vanligaste lösenordet i världen.

Patriotism
Namnet på ditt hemland eller hemstad är också vanligt förekommande lösenord. Samma fenomen men såklart olika lösenord i olika länder. I befolkningsrika länder, som tex Indien, kan denna typ av lösenord nå en topplacering även globalt. Så är det med ”India@123” som är på 70e plats globalt.

Sport och hobby
Fotboll är den enskilt vanligaste källan bland sporter och hobbys när det gäller att välja lösenord. Namn på spelare och favoritklubb används flitigt och det är såklart vanligast förekommande i de stora fotbollsregionerna i Sydamerika och Sydeuropa.

Dags att sluta vara lat!

Vi och alla andra i branschen kan skriva allsköns tips och råd gällande starka lösenord, flerfaktorsautentisering och andra rekommendationer.
Men det handlar i slutändan om mänskligt beteende och valet mellan ökad säkerhet och bekvämlighet.

Det är du som väljer!

Vi kan hjälpa er med cybersäkerheten men valet är alltid ditt – säkerhet, bekvämlighet eller rent av lathet?

I kölvattnet av Miljödataincidenten

Efter cyberattacken mot Miljödata rapporteras det att 1,5 miljoner svenskars personuppgifter har stulits och publicerats på Darknet. Personerna är verksamma i många olika verksamheter, allt ifrån kommuner och lärosäten till svenska storföretag och t.o.m. bolag kopplade till flyg- och försvarsindustrin.

Ovissheten är stor och det vi alla frågar oss är dels hur kraven såg ut på Miljödata, en systemleverantör av en IT-tjänst som hanterar denna stora mängd av känslig information, och vad vi alla kan lära oss av det inträffade?

Då det finns massvis av nyhetsrapportering för den som vill veta mer om vad som hänt, hänvisar vi till dessa och fokuserar på cyber- och informationssäkerhetsperspektivet.

Intressanta frågeställningar

Arbetsgivarnas hantering av personuppgifter

Det finns flera exempel på hur hanteringen av personuppgifter verkar ha skett slentrianmässigt och utan tydliga riktlinjer. Det gäller bland annat hantering av skyddade personuppgifter men också hur länge information har lagrats. Ett anmärkningsvärt exempel är att personuppgifter om samtliga medarbetare som arbetat i en offentlig verksamhet under de senaste 17 åren har läckt. Totalt rör det sig om över 150 000 personer, där majoriteten enligt uppgift inte längre jobbar kvar.

Det finns all anledning att ifrågasätta om detta är en rimlig hantering, oavsett om man menar att regler och lagar för informationshanteringen följts.

Kraven på systemleverantören

Hade dessa hundratals stora kunder en tydlig kravspecifikation på systemleverantören? Eller förlitade de sig på att det har väl leverantören koll på?

Finns väl ingen anledning till spekulation utan fokus bör i stället vara på den intressanta och nyttiga övning man bör göra, nämligen fundera på vilka krav som man bör ställa på sina leverantörer.

Få minns att det var en attack på Coops leverantör som lamslog hela verksamheten.

Ökad hotbild mot leveranskedjor

Hur hanterar ni i er verksamhet de ökande riskerna med attacker mot er leveranskedja? Det handlar alltså inte bara, som i fallet med Miljödata, om personuppgifter eller känslig information. Även om det är illa nog så handlar det i stor utsträckning om tillgång till sina affärskritiska system för att säkerställa sin affärskontinuitet.

Alla kommer ihåg cyberattacken mot Coop men få minns att det var en attack på Coops leverantör som lamslog hela verksamheten.

MSB uppmärksammade hoten mot de digitala leveranskedjorna för flera år sedan och skrev då i en rapport att: De senaste åren har de digitala leveranskedjorna växt i betydelse för såväl enskilda människor som för organisationer och samhället i stort. Utvecklingen sker i takt med den globala digitaliseringen och varken kan eller bör undvikas. På det hela taget, är fördelarna med utvecklingen stora, men den är inte riskfri.

Efter ett antal uppmärksammade incidenter i eller genom digitala leveranskedjor de senaste åren har säkerhetsfrågorna aktualiserats. Det är tydligt att vi behöver stärka hela ekosystemet…

Så summerat handlar det både om att skydda sin information och säkerställa tillgång till sina affärskritiska system. När man använder t.e.x SaaS-tjänster från tredje part eller delar information med leverantörer och underleverantörer så innebär det en ökad risk. Denna ökade risk måste säkert accepteras i digitaliseringens och effektiviseringens namn men riskerna måste uppenbarligen också hanteras.

Det är tydligt att vi behöver stärka hela ekosystemet

Affärskritiska funderingar runt leveranskedjeattacker

Det är uppenbart för alla att cybersäkerheten måste öka i takt med att hotbilden ökar. Leveranskedjeattacker ökar och det är en strategisk fråga att, på en rimlig nivå, säkerställa en systematiserad kontroll av informationsflödet och även förstå sina sårbarheter och beredskap när en leveranskedjeattack sker.
Det finns många områden att arbeta med men ett stort steg på vägen är följande rekommendationer.

Data och information – policys, ansvar och krav

  • Noga angivit ägandeskap och ansvar för företagets olika data och information samt en kartläggning av vem som har tillgång till den, både internt och externt.
  • Säkerställa att man varken samlar in eller delar mer information än nödvändigt
  • Tydliga krav och uppföljning av de externa partners som hanterar företagets information

System från tredje part – tekniska krav och skydd

  • Kräv multifaktorsautentisering som standard. Stulna lösenord ska inte räcka för att kunna bryta sig in.
  • Kryptering av all data och kommunikation. Om någon lyckas stjäla information ska den vara oläslig.
  • Tydlig segmentering av system och data så att en angripare inte får tillgång till all information på ett ställe.

Allt börjar med att känna till sina svagheter

Företagsledningen måste leda cybersäkerhetsarbetet och ett första steg är att analysera verksamhetens risker och sårbarheter. En nulägesanalys är starten på allt cybersäkerhetsarbete där vi på Addera hjälper er att identifiera era brister och säkerhetsrisker. Vi tar fram en Cybersäkerhetsrapport för er verksamhet och stöttar er med rådgivning, rekommendationer samt med en prioriterad handlingsplan för att öka cybersäkerheten och till exempel, ställa tydligare krav på era leverantörer.

 

Så låt oss hjälpa er att ta ett stort steg på vägen mot ökad motståndskraft!

Regeringen föreslår nationell satsning på cybersäkerhet

I förra veckan föreslog regeringen en betydande satsning på nationell cybersäkerhet i budgetpropositionen för 2026.

Det är inte bara cyberhoten som ökar lavinartat. Hotkomplexiteten och teknikutvecklingen ökar också svårigheten att som verksamhet organisera säkerhetsarbetet. Överallt ser vi exempel på företag och organisationer som blivit utsatta för cyberattacker och som ministern för civilt försvar Carl-Oskar Bohlin uttryckte det till TT: - Det finns tyvärr ett antal händelser som aktualiserar varför det här är viktigt.

 

I pressmeddelandet om Regeringens förslag, också kallad ”cybermiljarden”, står det bla att läsa:

Det handlar om att bygga upp Sveriges motståndskraft mot digitala hot i en tid då cyberangreppen blir allt vanligare och får allt allvarligare konsekvenser. Vi föreslår därför kraftfulla satsningar

Många organisationer har brister i sitt förebyggande systematiska cybersäkerhetsarbete. Detta utgör en strategisk sårbarhet som är högt prioriterad av regeringen.

Inte bara nationell cybersäkerhet som behöver lyftas

Vi håller med. Alldeles för ofta ser vi exempel på företag som faktiskt har en rätt usel koll på sin cybersäkerhet, praktiskt men framför allt strategiskt. Man behandlar helt enkelt inte cybersäkerheten som den strategiska fråga som den måste vara!

Allt annat blir betydelselöst den dagen det smäller

Cybersäkerhet – ett självklart strategiskt område

Alla strategiska frågor kopplade till företagets styrning, lönsamhet, affärsutveckling, hållbarhet, etc, nagelfars av företagsledningen, och det med rätta. Cybersäkerheten, eller rättare sagt affärskontinuiteten, måste behandlas på samma sätt. Kort sagt, ingen ledningsgrupp eller styrelse värd namnet får delegera ansvaret för ett så affärskritiskt område.

Några enkla tips:

  • Nulägesanalysera och gör en övergripande riskbedömning
  • Identifiera och hantera era omedelbara riskområden
  • Börja fostra en cybersäkerhetskultur, med tydligt ledarskap samt viktiga begrepp och principer
  • Hjälp er organisation genom att ställa rätt frågor och rätt krav
  • Sätt en budget så att öronmärkta resurser finns att tillgå
  • Utvärdera och förbättra kontinuerligt

När ledningen sätter tonen för cybersäkerhetsarbetet finns möjligheter att snabbt skapa en positiv attitydförändring i organisationen. Detta är en avgörande faktor för att bygga en motståndskraftig cybersäkerhetskultur då det skapar engagemang som gör personalen till en del av företagets försvarsberedskap.

Ledningens engagemang är avgörande för att bygga en motståndskraftig cybersäkerhetskultur

Allt börjar med att känna till sina svagheter

- Ett systematiskt cybersäkerhetsarbete är en strategisk fråga och är ett måste för alla företag, menar Adderas VD Jens Hemström och fortsätter, man kan säga att cybertrygghet är en grundläggande förutsättning för framgångsrikt företagande.

Företagsledningen bör alltid skapa sig en bra överblick över sina risker och sårbarheter, från vilka man skapar en tydlig prioriteringslista och åtgärdsplan. Adderas Cybersäkerhetsrapport ger en superb utgångspunkt för ett systematiskt säkerhetsarbete:

  • Skapar en förståelse och nulägesbeskrivning
  • Förtydligar säkerhetsbrister och riskområden
  • Presenterar en tydlig åtgärdsplan och prioriteringslista för ökad cybersäkerhet

Dessutom ökar arbetet med Cybersäkerhetsrapporten företagsledningens och företagets kunskap om cyberhoten, risker och cybersäkerhetsarbete.

Bara det är ett stort steg på vägen!

 

Hör av dig så berättar vi mer och hjälper vi er att skapa både en större motståndskraft och en ökad cybertrygghet!

Sverige är under attack!

Medvetenheten bland svenskar, vad det gäller cyberhotet och den växande hotbilden, verkar i allmänhet vara god. Efter att Statsminister Ulf Kristersson tidigare idag uttalade sig på ett otroligt tydligt sätt: "Sverige är under attack" så bör ingen längre känna någon tvekan om att cyberhotet är och förblir allvarligt. Statsministern säger även att ”vi är utsatta för omfattande cyberattacker hela tiden, de riktar sig även mot viktiga företag, inte bara staten”.

Enormt omfattande cyberattacker som pågår hela tiden

Du har säkert läst i media om attacker mot SVT, Bank-id, Swish och andra viktiga organisationer, eller för den delen indirekt varit drabbad när denna typ av samhällsviktiga funktioner påverkas. Därtill har du som privatperson eller företaget du arbetar på kanske lamslagits av skrupellösa cyberattacker. 

Kravet: ett strategiskt och systematiskt arbete

Vi behöver alla bidra genom att se över våra företags motståndskraft och tillsammans bli starkare. Vi har tidigare lyft fram hur robusthet, resiliens och redundans är viktigt men för att uppnå dessa, genom underliggande system, processer, kunskap och andra viktiga byggstenar, krävs strategiskt, metodiskt och systematiskt arbete med cybersäkerhetsfrågan.

Alla behöver se över sin motståndskraft

Allt börjar med att känna till sina svagheter

Företagsledningen måste leda cybersäkerhetsarbetet och bör alltid genomföra en analys för att skapa sig en bra överblick över sina risker och sårbarheter, från vilka man skapar en tydlig prioriteringslista och åtgärds- & säkerhetsplan.

Dessutom ökar både företagsledningens och företagets kunskap om cyberhoten, risker och cybersäkerhetsarbete när man aktivt arbetar med sin egen säkerhet.

Bara det är ett stort steg på vägen mot ökad motståndskraft!

Digitaliseringsstrategin poängterar cybersäkerhetens betydelse

Regeringen har i dagarna presenterat en ny digitaliseringsstrategi för 2025–2030 som pekar ut riktningen för Sveriges digitaliseringspolitik. Det är en intressant och otroligt viktig satsning och utöver fem strategiska fokusområden så är det även noterbart att säkerhet nämns, tillsammans med bla AI, som horisontella mål vilka genomsyrar samtliga strategiska områden. 

Sverige ska ha hög digital motståndskraft och tillförlitlighet för att användare och tjänster ska vara säkra och information ska vara säker.

Tydliga mål och fokus

För många företag och organisationer finns det mycket inspiration och vägledning att hämta i dokumentet, framför allt gällande digitalisering men även gällande säkerhet, även om den nationella strategin för cybersäkerhet såklart är mer specifik och detaljerad inom detta område.
I digitaliseringsstrategidokumentet kan man bla läsa att fokus för digitaliseringsstrategin är att förenkla för människor i vardagen. Strategin handlar exempelvis om vad som är bäst för medborgaren som behöver använda digitala tjänster, för näringsidkaren som är i kontakt med myndigheterna, för patienten som söker vård, eller för mottagaren av hemtjänst.

– Vi har ett tydligt fokus på att använda digitaliseringen för att förenkla i vardagen, bland annat genom en slags medborgarapp. Om vi samlar kontakterna med myndigheter och andra viktiga digitala tjänster på samma ställe kan vi underlätta i vardagen, säger civilminister Erik Slottner i ett pressmeddelande.

Tänk personal, samarbetspartners eller kunder istället för medborgare, så slår du som företagsledare huvudet på spiken.

Fem strategiska områden har satts upp för digitaliseringen: Digital kompetens, Näringslivets digitalisering, Förvaltningens digitalisering, Välfärdens digitalisering och Konnektivitet

Säkerhet är ett horisontellt mål som genomsyrar samtliga strategiska områden

Säkerhet som del av de strategiska horisontella målen

AI och ny teknik, Data och Säkerhet identifieras som horisontella mål som genomsyrar alla strategiska områden. Vad det gäller säkerhet så känns det självklart att Sverige ska ha hög digital motståndskraft och tillförlitlighet för att användare och tjänster ska vara säkra och information ska vara säker.

Robusthet, resiliens och redundans
De allra flesta företag och organisationer kan skriva under på hur digitalisering ständigt transformerar och utvecklar verksamheten samt hur detta gradvis ökat hur betydelsefulla och verksamhetskritiska digitala verktyg, processer , information, kommunikation mm har blivit. 

Den digitala tillförlitligheten och säkerheten bryts i digitaliseringsdokumentet ner i tre tydliga områden robusthet, resiliens och redundans. Vi kan inte nog poängtera betydelsen för alla företag att analysera sin cybersäkerhet och utvärdera och reflektera hur ni står er gällande dessa tre och andra relevanta områden.

  • Robusthet handlar om att i möjligaste mån kunna motstå påfrestningar, oavsett om dessa är fysiska eller cyberrelaterade, utan att funktionaliteten påverkas.
  • Resiliens handlar om återhämtning och att kunna återgå till normal funktionalitet när påverkan uppstår.
  • Redundans och diversitet handlar om att ha tillgång till alternativa lösningar, tekniker eller vägar om någon del av infrastrukturen skulle falla bort

Allt börjar med att känna till sina svagheter

- Ett systematiskt cybersäkerhetsarbete är en strategisk fråga och är ett måste för alla företag menar Adderas VD Jens Hemström och fortsätter, man kan säga att cybertrygghet är en grundläggande förutsättning för framgångsrikt företagande.

Företagsledningen måste leda cybersäkerhetsarbetet och bör alltid genomföra en analys för att skapa sig en bra överblick över sina risker och sårbarheter, från vilka man skapar en tydlig prioriteringslista och åtgärdsplan.

Adderas Cybersäkerhetsanalys ger ditt företag en superb utgångspunkt för ett systematiskt säkerhetsarbete:

  • Analys för att skapa en förståelse och nulägesbeskrivning
  • Identifierar säkerhetsbrister och riskområden.
  • Rapport med tydlig åtgärdsplan och prioriteringslista för ökad cybersäkerhet

Dessutom ökar både företagsledningens och företagets kunskap om cyberhoten, risker och cybersäkerhetsarbete när man genomför en cybersäkerhetsanalys.

Bara det är ett stort steg på vägen!