De flesta cyberangrepp startar i helt vanliga situationer: ett mejl som snabbt ska besvaras, en uppmaning till inloggning, ett fel-klick i ett stressat ögonblick. När Svenska Kraftnät i oktober 2025 upptäckte ett dataintrång i en avgränsad extern filöverföringslösning tog man händelsen på största allvar – samtidigt bedömde myndigheten att elförsörjningen inte hade påverkats.
Händelsen visar ändå något viktigt: ju mer uppkopplat arbetslivet blir, desto fler vägar in skapas.
En post-pandemisk vardag öppnar fler dörrar
Digitaliseringen har gjort arbetet snabbare och mer tillgängligt. Men varje nytt arbetssätt – distansarbete, molntjänster, samarbetsytor och fjärråtkomst – innebär också fler miljöer att skydda. Pandemin gav extra fart åt utvecklingen och många verksamheter behövde skala upp nya arbetssätt snabbt. Resultatet blev effektivitet, men också större komplexitet i säkerhetsarbetet.
”Det är en fin balans: att kunna erbjuda de snabba digitala förändringar verksamheten behöver – och samtidigt se till att användare kan nyttja miljöer och tjänster på ett säkert sätt, utan att drabbas av incidenter”, säger Antje Schütt, Group IT Security Officer & Director Stability & IT Security på Vattenfall.
När den digitala kartan ritas om förändras också hotbilden. I takt med att operativ teknik i industriella miljöer i allt högre grad utrustas med nätverks- och beräkningsförmåga ökar riskerna. Angrepp kan då få större räckvidd och slå mot hela värdekedjor, med konsekvenser som produktionsavbrott, kostsamma insatser och ett skadat varumärke. Oavsett om angreppet riktas mot användare, tjänster eller drift är första steget att förstå varför det sker – motivet styr ofta metoden.
Motivet avgör metoden – från utpressning till störningar
Cyberangrepp ser olika ut – ofta för att motiven skiljer sig. Ibland handlar det om utpressning och lösensummor. I andra fall om påverkan, prestige eller att störa en verksamhet och skapa osäkerhet.
Ett exempel är DDoS-attacker, där man överbelastar en publik webbplats eller tjänst tills den slutar fungera. Effekten kan vara begränsad – men symbolvärdet stort.
”Angriparen gör en stor sak av att man har sänkt ett företag. Det kanske inte har någon påverkan alls, men det är bra marknadsföring för kriminella gäng. Det är populärt att överdriva – eller påstå att man gjort mer än man faktiskt har”, säger Alexander Ljusberg, Manager för Threat Intelligence & Offensive Security på Vattenfall.
Från inkorg till IoT – så tar sig angriparen in
I praktiken börjar många intrång fortfarande i inkorgen. Phishing är ofta första steget: ett mejl som stressar mottagaren att klicka på en länk, öppna en bilaga eller logga in. När länken leder till en falsk inloggningssida kan användarnamn och lösenord fångas upp och användas för vidare åtkomst och fler behörigheter.
Men i takt med att distansarbete blivit allt vanligare hamnar vissa komponenter mer i fokus. VPN är ett tydligt exempel: en portal för inloggning som är attraktiv att angripa och som historiskt haft många sårbarheter.
Samtidigt växer en annan del av angreppsytan – det som ofta samlas under begreppet Internet of Things (IoT).
”Det är viktigt att prata om IoT – att vi är uppkopplade överallt. Det har till exempel rapporterats om sårbarheter i kameror som kan bli en väg in. Allt är anslutet idag, det är en av baksidorna i digitala samhällen,” säger Joel Franzén, Manager för Red IT Security & Monitoring Services på Vattenfall.
Driftstopp i energisektorn som värsta scenario
En vanlig missuppfattning är att datorn blir långsammare efter ett intrång. Det var kanske sant förr, men idag är många intrång designade för att inte märkas. Det är därför djupförsvar är så viktigt: flera lager av skydd och kontroller som tillsammans kan stoppa, upptäcka och begränsa skadan.
”I bästa fall får man veta om intrånget direkt – via säkerhetsövervakningen. Men i värsta fall har de ofta som avsikt att dölja sig. Då gäller det att ha fällorna redo i miljön,” berättar Joel.
När man talar om värsta scenarion i energisammanhang nämner Antje driftstopp. För energibolag handlar cybersäkerhet därför inte bara om att skydda system, utan om att skydda en samhällsviktig funktion. Samma slutsats återkommer i myndigheternas lägesbilder och årsrapporter, exempelvis hos Säpo och SKB. Joel beskriver energibolag och andra samhällsfunktioner som särskilt attraktiva mål och pekar på att uppmärksammade incidenter, som den hos Svenska Kraftnät, ofta fungerar som en väckarklocka som snabbt flyttar upp cybersäkerhet på agendan.
En säkerhetskultur som gör det lätt att göra rätt
Hoten förändras och angreppssätten varierar – men en sak är konstant: ju tidigare vi fångar upp en avvikelse, desto bättre. Det kräver rutiner och en företagskultur där det är enkelt att säga till när något blivit fel.
Därför behöver arbetsplatser både utbilda och bygga en kultur där det känns tryggt att rapportera direkt. Antje är tydlig: om någon klickat är det viktigaste att säga till, utan repressalier, så att teamet kan analysera och agera.
Fem saker du som chef kan införa direkt i teamet
-
Inför lösenordspolicy: Använd olika lösenord privat och på jobbet.
-
Gör MFA till standard: Slå på tvåstegsautentisering där det går.
-
Stoppa stressklicken: Gör det tydligt i teamet – klicka bara när avsändare och webbadress är verifierade.
-
Skapa rutin för lösenordsbyten: Byt regelbundet – även privat.
-
Om olyckan är framme: Rapportera direkt om du råkat klicka.
MFA = multifaktorautentisering (tvåstegsautentisering).
