Upptäcker du intrånget i tid?
Tele2s företagsblogg
Många företag lägger omfattande resurser på att bygga skydd för att hindra intrång. Men ändå sker intrång – och det är sällan slumpen som avgör om en verksamhet drabbas hårt eller klarar sig. Det avgörande är hur snabbt intrånget upptäcks.
Cyberangrepp ökar, det vet vi alla. En rapport från Check Point Research visar att cyberattacker mot organisationer ökade med 47 procent globalt under det första kvartalet 2025, jämfört med samma kvartal 2024. I Sverige ökade attackerna med 75 procent, vilket är den största ökningen jämfört med våra nordiska grannar, och gör oss till ett av de mest utsatta länderna i Europa.
Det globala genomsnittet för att upptäcka ett cyberintrång (Mean Time To Detect, MTTD) är cirka 190–200 dagar. Under den tiden kan en angripare röra sig fritt i nätverket, kartlägga system, exfiltrera känsliga uppgifter och förbereda en storskalig attack. För de flesta verksamheter är det en oacceptabelt lång tid som kan få stora konsekvenser.
Vilka verksamheter är attraktiva mål?
Vilka som oftast drabbas handlar mycket om vilken typ av data man i en verksamhet hanterar, då mycket av cyberbrottsligheten drivs av ekonomiska skäl. Ransomware är en av de mest lönsamma attackmetoderna. Angripare kan kräva stora lösensummor och många verksamheter väljer att betala för att snabbt återställa kritiska system.
Men även ideologiska och politiska drivkrafter finns. Angripare kan då välja att rikta sig mot samhällskritiska funktioner, där ett intrång får stor påverkan.
Offentlig sektor är hårt drabbad Sverige. Regioner och kommuner hanterar stora mängder känslig data och driver samhällsfunktioner som inte får stanna. Det gör dem till prioriterade mål för angripare som saknar de etiska spärrar som tidigare bromsade vissa typer av angrepp. Till det ska läggas strukturella sårbarheter som är vanliga i offentlig sektor: stora organisationer med många användarkonton, fjärraccesser som etablerades under pandemin och inte alltid städats bort, och ett nätverk av leverantörer och entreprenörer med varierande säkerhetskunskap.
Andra attraktiva mål är till exempel konsultbolag, eftersom de hanterar stora mängder kunddata och ibland fungerar som språngbräda in i andra organisationer, samt finansbolag som hanterar känsliga ekonomiska data.
Hur går ett intrång till?
En obevakad mobil router som sätts upp under en fastighetsrenovering, eller inloggningsuppgifter som komprometteras via en till synes harmlös webbsida, är den typ av ingångar som angripare utnyttjar.
Ett intrång sker i olika steg och går ofta länge under radarn
1. Rekognoscering
Angriparen samlar information om organisationen för att hitta sårbarheter eller ingångspunkter. Det kan inkludera att kartlägga nätverk, samla in information om anställda via sociala medier eller att söka efter kända sårbarheter i de system som organisationen använder. Målet är att förstå hur nätverket ser ut och hitta potentiella svaga punkter att utnyttja.
2. Inledande intrång
Angriparen kan få fotfäste i organisationens nätverk genom phishing-attacker där en anställd luras att klicka på en skadlig länk eller öppna en infekterad bilaga. Ett annat sätt är exploateringsattacker mot kända sårbarheter i programvara eller operativsystem. Målet är att få in en typ av "malware" eller skadlig kod på en dator i nätverket som angriparen kan styra.
3. Installation av bakdörr
Efter att ha fått tillgång installerar angriparen en bakdörr (backdoor) eller annan skadlig kod för att kunna komma åt systemet vid senare tillfällen. Bakdörren gör det möjligt för angriparen att fjärrstyra en komprometterad dator utan att upptäckas.
4. Utvärdering och rörlighet
Angriparen börjar nu navigera i nätverket för att hitta och få tillgång till fler system. Målet är att hitta och samla in inloggningsuppgifter eller andra autentiseringsuppgifter som ger tillgång till mer känsliga system.
5. Datainsamling och exfiltrering
När angriparen har nått sitt mål börjar de samla in och förbereda data för exfiltrering, det vill säga att föra ut data ur nätverket. Detta kan inkludera att kopiera känslig information som finansiella data, kundregister eller immateriella tillgångar.
6. Mål och täcka spår
Slutmålet för angriparen kan vara att stjäla data, utföra sabotage till exempel genom att kryptera filer (ransomware), ta ner kritiska system eller att plantera en långsiktig bakdörr för att kunna återkomma senare. Angriparen försöker också dölja sina spår genom att ta bort loggar eller annan information som skulle kunna avslöja deras närvaro.
Hur kan man upptäcka ett intrång ”i tid”?
Deceptorteknik inom cybersäkerhet bygger på en enkel men kraftfull idé – att skapa falska resurser i nätverket som angriparen tror är äkta – och använda dem för att upptäcka, fördröja och avslöja attacker.
Det innebär att organisationen medvetet placerar ut beten, som decoys, honeypots, falska filer, falska konton och andra artificiella objekt som ser verkliga ut för angriparen. All interaktion med dessa är per definition misstänkt – vilket gör tekniken extremt träffsäker.
Med deceptorteknik kan man gå från den ovan nämnda MTTD på 190 dagar till minuter eller sekunder för att upptäcka intrång. Denna teknik är inte längre komplex och svåranvänd, utan tillgänglig för alla verksamheter.
Vi på Tele2 Företag har nyligen genomfört ett webbinarium där vi tillsammans med säkerhetsexperter från Fortinet gick djupare in på dessa frågor – med konkreta exempel från verkliga incidenter och en genomgång av hur deception-teknologi fungerar i praktiken. Du kan se hela webbinariet här.
Vill du se flera av våra webbinarier hittar du dem här.
Vill du veta mer om hur din organisation kan stärka sin förmåga att upptäcka intrång i tid? Välkommen att kontakta oss så berättar vi mer.
Insikter och inspiration i Företagsbloggen
Upptäck Tele2 Företags blogg - här bjuder vi på kunskaper, insikter och inspiration inom it-säkerhet, digitalisering och hållbar omställning. Ta del av tidigare inlägg via bloggens startsida eller anmäl dig som prenumerant nedan.Läs fler artiklar om it-säkerhet
Är ditt företag i riskzonen för cyberattacker?
I princip alla företag är i riskzonen för cyberattacker. Förutom känslig information, som medför en risk för attacker, har alla företag de tre olika komponenter som idag betraktas som hårdvaluta av cyberkriminella: datorkapacitet, lagringsutrymme och bandbredd. Hur sårbart är ditt företag?
De 10 viktigaste it-säkerhetslösningarna för företaget
Cyberattacker mot företag blir allt mer sofistikerade och komplexa. Men det finns sätt att minska riskerna. Tele2 Företags experter har samlat de 10 viktigaste it-säkerhetslösningarna som skyddar du hela verksamheten - från företagsdata till användare.
Checklistan kring säkerhet för snabbväxande bolag
Tele2s säkerhetschef Martin Adetun vet hur framgångsrika företag gör för att skydda sig mot cyberattacker. Fokus läggs på preventivt arbete – men det gäller att de mest kritiska frågorna når ledningens bord.
It-säkerhet med användaren i fokus
Med ökad mobilitet och högre andel distansarbete växer kraven på våra it-säkerhetslösningar. Men hur balanserar vi kraven på säkerhet med förväntningarna på användarvänlighet?
Vad är nästa steg för din verksamhet?
Oavsett om ditt mål är att förstå de senaste cyberhoten, ta nästa steg i organisationens hållbarhetsresa eller navigera i en föränderlig företagsvärld kan vi på Tele2 Företag hjälpa dig vidare. Fyll i formuläret via knappen nedan så kontaktar vi dig.