Ransomware – från IT-problem till operativ kris

Cyberhoten slår nu mot hela verksamheten

Tiden rinner iväg. Dina system är låsta. Produktionslinjer står stilla. Kunderna kommer inte åt sina tjänster. Och någonstans väntar cyberkriminella på ditt samtal, övertygade om att varje minut av driftstopp stärker deras förhandlingsläge. Detta är den nya verkligheten för ransomware år 2025.

Medan säkerhetsteamen har byggt högre murar har angriparna skrivit om spelreglerna. Enligt Verizons Data Breach Investigations Report (DBIR) 2025 är ransomware inblandat i hela 44 % av alla intrång – upp från 32 % förra året. Men det är bara halva sanningen. Det som har förändrats är inte bara hur ofta attacker sker, utan deras karaktär. Operativ störning – inte datastöld – har blivit utpressarnas främsta vapen.

Operativ störning väger tyngre än lösensumman
”Vi kan inte driva verksamheten” skrämmer numera styrelser mer än ”dina data har krypterats.” DBIR bekräftar det många CISO:er redan vet: ransomware handlar i första hand om att lamslå verksamheten. I många fall överstiger kostnaden för driftstopp själva lösensumman.

De senaste stora attackerna visar konsekvenserna: hela plattformar kollapsade, branscher lamslogs och kritiska tjänster stannade. Försäkringsdata pekar på samma sak – driftstopp kostar ofta mer än lösensumman. När produktionslinjer står stilla, vårdsystem kollapsar och leveranskedjor bryts – då förvandlas varje sekund till förlorade intäkter, tappade marknadsandelar och urholkat förtroende.

Det märkliga är att allt färre företag betalar. Enligt DBIR vägrar nu 64 % av offren att betala (upp från 50 % år 2022), och medianlösensumman har sjunkit från 150 000 till 115 000 dollar. Angriparna får därmed betalt mer sällan – och med lägre belopp.

Men angriparna backar inte – de byter taktik. Kryptering räcker inte längre. I stället lamslår de verksamheter genom att slå ut edge-enheter, angriper små leverantörer och automatiserar sina attacker. Effekten? Större spridning, lägre vinster per mål – men desto fler chanser att pressa sina offer.

Praktiska åtgärder för att minska risken
Så med allt detta i åtanke, vilka konkreta åtgärder kan fortsatt bidra till att minska exponeringen mot dessa risker?

Genomför regelbundna Business Impact Assessments (BIA, verksamhetspåverkansanalyser): Bedöm hur driftstopp påverkar era kritiska system och processer, både ekonomiskt och operativt, och låt resultaten styra vilka återställningsinsatser som ska prioriteras.
• Utveckla och testa Incident Response planer (IRP) med fokus på affärskontinuitet: Planerna får inte bara handla om att rädda data. De måste också ta höjd för vad som händer när verksamhetens viktigaste funktioner slås ut helt.
• Inför en ”No Ransom”-strategi: Räkna aldrig med att kunna köpa er ur en attack. Utgå från att ni inte betalar. Det tvingar fram satsningar på kunskap, starkare skydd och en återhämtningsförmåga som håller.

Företag hotas av riskerna i leverantörskedjan
DBIR 2025 avslöjar en alarmerande trend: 88 % av intrång hos små och medelstora företag handlar om ransomware. Varför ska stora företag bry sig? För att just dessa mindre aktörer ofta är dina partners, leverantörer eller tjänsteleverantörer. Angriparna går inte på ditt starkaste försvar – de hittar genvägar via ekosystemet runt dig. Det kan räcka med en komprometterad advokatbyrå, en HVAC-leverantör med fjärråtkomst eller en molnleverantör för att öppna dörren.

Det här kallas nth-party risk: svagheter som gömmer sig långt bortom dina egna leverantörer. Ditt digitala ekosystem stannar inte vid nätverksgränsen – det sträcker sig till varje aktör som rör dina data eller dina system.

Så minskar du risken:
• Bygg upp ett heltäckande program för leverantörsrisker (VRM) och kvantifiering av cyberrisker (CRQ) – inte bara för dina egna leverantörer, utan också för deras underleverantörer.

• Skriv in säkerhetskrav i avtalen. Leverantörerna ska följa ramverk, låta sig granskas regelbundet och rapportera när något går fel.

• Granska leverantörerna regelbundet. Enkäter räcker inte. Gör tekniska tester, kör penetrationstester och granska de mest riskutsatta leverantörerna.

• Avgränsa tredjepartsåtkomsten i nätverket. Begränsa åtkomst med strikt segmentering och Zero Trust för att minimera skadan vid intrång.

Varför snabb återhämtning är avgörande
Fokus måste skifta från enbart försvar till detektion, begränsning och återhämtning med minimal affärspåverkan. Det kräver en flerlagrad strategi:

• Nätverkssegmentering är inte längre bara en teknisk detalj – det är ett krav för att verksamheten ska överleva. Den stoppar skadlig kod från att sprida sig när, inte om, perimeterskyddet fallerar.
... Åtgärd: Segmentera nätverket för att isolera kritiska tillgångar och förhindra lateral spridning. Granska och testa segmenteringspolicys regelbundet.

• Zero Trust-arkitekturer gör att en kapad inloggning inte fäller hela systemet, och isolerade, oföränderliga säkerhetskopior ser till att du kan återställa verksamheten – även efter de mest avancerade krypteringsattackerna.
... Åtgärd: Se till att det finns säkerhetskopior som är isolerade från kritisk data och system. Testa återställningsprocessen regelbundet.

• Tydliga responsprotokoll skapar ordning när krisen slår till, och säkerhetsarbetet måste vara proaktivt – sårbarheter finns i hela ekosystemet, inte bara i de egna systemen.
... Åtgärd: Ta fram uppdaterade incidentresponsplaner med tydliga roller och detaljerade steg-för-steg-instruktioner.
... Åtgärd: Testa era system regelbundet. Kör pentester och sårbarhetsanalyser – inte bara internt, utan också i molnet, hos tredjepartsintegrationer och i fjärråtkomsten.

• Bryt silos mellan IT och verksamhet. Återhämtningsförmågan kan inte längre enbart ligga hos IT-avdelningen – den måste byggas in i affärskontinuitetsplaneringen på alla nivåer.
... Åtgärd: Skapa tvärfunktionella team med IT, säkerhet, juridik, kommunikation, drift och ledning.
... Åtgärd: Låt cyberincidenterna bli en del av företagets krisberedskap. Bygg in dem i BC/DR-strategierna och öva tillsammans i gemensamma simuleringar.

Den avgörande faktorn
De företag som klarar sig bäst i det nya hotlandskapet är inte alltid de som har starkast murar, utan de som kan ta en träff, och ändå stå kvar. Ransomware har gått från tekniskt irritationsmoment till existentiellt hot. Frågan är inte hur många attacker du stoppar, utan hur snabbt du reser dig efter de som slår igenom. När störningen i sig har blivit ett vapen är återhämtningshastigheten inte bara en teknisk fråga – den är grunden för din överlevnadsstrategi.

Av: Ashish Khanna, Senior Managing Director of Security Consulting Services på Verizon Business

2025-10-15 - Industritorget