Hoppa till huvudinnehåll
2026-07-01

När vi inte delar lärdomar efter en cyberattack vinner angriparna

Specialistspaning | När en organisation drabbas av ett cyberangrepp är den första impulsen ofta att sluta sig. Det är mänskligt. Men om vi ska kunna möta ett hotlandskap som förändras snabbt behöver fler organisationer våga dela sina erfarenheter, menar Elin Carlsson, erbjudandeansvarig för Ateas cybersäkerhetsförmågor, i den här spaningen.

Dela lärdomar av cyberattack

Spaningen i ett nötskal

AI-utvecklingen accelererar. De geopolitiska spänningarna ökar. Samtidigt växer beroendet av digitala tjänster, leverantörskedjorna blir mer komplexa och cyberkriminella aktörer arbetar allt mer specialiserat och affärsmässigt.

Allt det här har förändrat hotlandskapet i grunden. Hoten har blivit farligare, och angriparna blivit allt effektivare på att samverka. I det välutvecklade ekosystemet har vissa aktörer specialiserat sig på att utveckla skadlig kod, andra på att etablera initial åtkomst, genomföra datastölder eller fokusera på utpressning. Skadlig kod, inloggningsuppgifter och tjänster stjäls, säljs och delas vidare på marknadsplatser och andra ljusskygga delar av internet.

OM SPANAREN

Elin Carlsson

Elin Carlsson är erbjudandeansvarig för Ateas cybersäkerhetsförmågor i Sverige. Tillsammans med Ateas säkerhetsspecialister hjälper hon organisationer att förebygga, upptäcka och hantera cyberhot. En central utgångspunkt i arbetet är att hot, sårbarheter och angreppsmönster ofta återkommer mellan organisationer. Genom initiativ som Ateas Säkrare Tillsammans och Cyber Threats Insights skapas strukturer för att dela insikter och erfarenheter – och därmed stärka den gemensamma motståndskraften.

Följ gärna Elin på LinkedIn här

Men utvecklingen går inte lika snabbt inom svenska organisationer. Medan angriparna blir bättre tillsammans blir vi andra oftast bättre var för sig. Inte sällan betraktas cybersäkerhet dessutom som en intern angelägenhet. Incidenter ses i grunden som ett eget misslyckande. Locket läggs på och alla viktiga lärdomar stannar inom den egna organisationen.

Så länge som vi isolerar oss i vårt cybersäkerhetsarbete kommer angriparna att fortsätta ligga före. Att dela lärdomar med varandra är en förutsättning för oss att komma ikapp.

Två saker behöver förändras. För det första måste skuldbeläggandet efter cyberattacker upphöra. Ansvaret ligger hos angriparen, inte hos den som drabbas. För det andra behöver vi fler mänskliga och förtroliga forum där erfarenheter kan delas tryggt. Forum där det går att vara öppen, ställa svåra frågor och bygga beredskap tillsammans.

Vad ni kommer att upptäcka

När verksamheter får dela erfarenheter i förtroendefulla former, tillsammans med andra i liknande situation, blir det snabbt tydligt hur mycket det finns att lära. Att öppna upp är inte ett tecken på svaghet. Det är ett tecken på mognad.

Det handlar inte om att exponera tekniska sårbarheter i detalj. Det som bör delas är de erfarenheter som gör verklig skillnad, till exempel:

  • vilka varningssignaler som fanns inför en incident
  • vilka beslut som fördröjde arbetet
  • vilka roller som saknades i krisorganisationen
  • vad som fungerade, och vad som inte gjorde det
  • vilka åtgärder som gjorde störst skillnad
  • vad organisationen i efterhand önskar att den hade gjort tidigare

När incidentberedskap blir en gemensam fråga får alla deltagande organisationer en djupare förståelse för sina egna blinda fläckar. Till exempel väcks ofta konkreta frågor i den här typen av forum, frågor som annars ställs för sent:

Har vi en rangordnad lista över våra viktigaste it-tillgångar, framtagen av både it och verksamhet? Vet HR vad som händer om it-personal pressas hårt under flera dygn? Vet juridik och kommunikation hur de ska agera om data har stulits? Har krisledningen övat på att en teknisk incident snabbt kan bli en verksamhetskris?

Trygga, mänskliga samtal ökar medvetenheten kring den egna cyberförmågan och sätter fingret på sådant som behöver rättas till. Se till exempel på alla de incidenthanteringsplaner som finns på plats i många organisationer. Håller de under press? Enligt rapporten CIO Analytics 2026 är det inte fler än 7 procent av Sveriges kommuner som regelbundet övar på sina incidenthanteringsplaner.

Bristen på övningar gör erfarenhetsutbyte ännu viktigare: verksamheter behöver kunna lära av varandras misstag, beslut och vägval innan de själva står mitt i krisen. Samtal i en trygg miljö är avgörande för att utveckla en verklig förmåga att förebygga och hantera kriser.

Pådrivande faktorer

Norge har redan tagit steget. Där finns mer etablerade strukturer för informationsdelning. Sverige behöver utveckla motsvarande praktiska former, särskilt för operativt användbara erfarenheter mellan kommuner.

Låg cybersäkerhetsmognad i offentlig sektor. Cybersäkerhetskollen från Myndigheten för civilt försvar, MCF, visar att många offentliga verksamheter fortfarande har grundläggande brister i sitt systematiska cybersäkerhetsarbete. Nästan sex av tio saknar de mest grundläggande delarna. Det understryker behovet av konkret stöd och gemensamt lärande.

Lokala samverkansinitiativ är igång. Regionalt driver Atea redan initiativ där kommuner samarbetar mer strukturerat kring incidentberedskap och erfarenhetsutbyte.

Värt att reflektera över 💡

  • Är tystnadskulturen efter en incident ett skydd – eller en risk?
  • Vad skulle ni själva vilja veta om en annan kommun drabbades av en incident idag?
  • Vilka lärdomar från era egna incidenter skulle kunna hjälpa andra?
  • Skulle ni ha nytta av att lära av andra kommuner?
Mer läsning inom ämnet hos CIO Analytics