IT-incidenthantering – guide för företag vid cyberangrepp
IT-incidenthantering – vad gör ni när ransomware slår till?
En ransomware-attack drabbar varje vecka svenska företag – och 63% av drabbade organisationer i Europa saknar en plan för alternativ infrastruktur när systemen slås ut. IT-driftstopp kostar svenska företag i snitt 6 716 kr per minut. Varje timme utan en tydlig handlingsplan kostar därmed över 400 000 kr i produktionsbortfall – och det är innan juridiska kostnader, GDPR-böter och ryktespåverkan räknats in. Den här guiden går igenom vad ni konkret gör, steg för steg, från det att ni misstänker ett angrepp till dess att verksamheten är återställd.
Hur vet ni att ni är angripna?
De vanligaste tecknen på ett pågående cyberangrepp är att filer har fått nya filnamnstillägg ni inte känner igen och inte längre går att öppna, att en lösensumme-text visas på skärmar runt om i organisationen, att system och nätverk svarar onormalt långsamt utan förklaring, att anställda rapporterar att de inte kan logga in på sina konton, eller att säkerhetsverktyg och antivirusprogram har stängts av utan att IT-avdelningen gjort det.
Ransomware stod 2024 för 44% av alla registrerade intrång mot företag – upp från 32% föregående år. Hos svenska SME-bolag är andelen ännu högre: 88% av intrång i den segmentet är kopplade till ransomware. En viktig förändring är att angripare numera prioriterar operativ störning framför datastöld. Att lamslå verksamheten har visat sig vara ett effektivare påtryckningsmaterial än hotet om att publicera stulen data.
De första 60 minuterna – isolera och begränsa skadan
Det viktigaste ni gör under den första timmen är att hindra angreppet från att sprida sig. Varje minut av spridning ökar skadan och försvårar återställningen.
Isolera drabbade system omedelbart. Koppla bort alla system ni misstänker är infekterade från nätverket – dra ut nätverkskabeln, stäng av WiFi och koppla ned VPN-anslutningar. Stäng inte av datorerna om det inte är nödvändigt, eftersom aktiva processer och kryptografisk information i arbetsminnet kan vara värdefull för en forensisk undersökning.
Stäng ned nätverkssegment vid aktiv spridning. Om angreppet verkar pågå kan IT-avdelningen behöva stänga ned hela nätverkssegment för att begränsa lateral rörelse. Prioritera system med känslig data och ekonomisystem.
Säkra backup-systemen direkt. Kontrollera omedelbart att era backuper är intakta och isolerade från det infekterade nätverket. Angripare försöker ofta nå och kryptera backuper innan de aktiverar ransomware i resten av miljön – det är ett av de vanligaste misstagen att inte hantera detta tidigt.
Dokumentera allt från start. Ta skärmdumpar av felmeddelanden och lösensumme-texter. Notera exakt vilka system som är drabbade, vid vilken tidpunkt och vilka tecken som observerats. Denna dokumentation behövs för myndighetsanmälan, försäkringsärende och forensisk utredning.
Aktivera er incidenthanteringsplan och utse en incidentansvarig. Om ni har en plan, ta fram den nu. Kontakta er IT-partner eller MSP omedelbart. En tydlig incidentansvarig som samordnar arbetet och tar beslut är avgörande för att undvika att resurser drar åt olika håll.
Anmäl till rätt myndigheter
En cyberincident ska anmälas till flera myndigheter, och det är viktigt att det sker tidigt – både för att få stöd och för att uppfylla era legala skyldigheter.
CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) under Myndigheten för samhällsskydd och beredskap (MSB) och nås via cert.se. En anmälan ger er tillgång till teknisk vägledning och kan i vissa fall innebära stöd med forensisk analys. CERT-SE delar dessutom information om aktiva angreppskampanjer med berörda organisationer.
Polismyndigheten. Cyberangrepp är ett brott och ska polisanmälas. En polisanmälan är normalt ett krav för att cyberförsäkringar ska ge ersättning – kontrollera era villkor.
Integritetsskyddsmyndigheten (IMY). Om personuppgifter kan ha röjts föreligger anmälningsskyldighet enligt GDPR. Anmälan ska ske senast 72 timmar efter att ni fått kännedom om incidenten. Missar ni denna tidsfrist riskerar ni sanktionsavgifter ovanpå de direkta kostnaderna för angreppet.
Är er verksamhet verksam inom en sektor som faller under cybersäkerhetslagen – NIS2 – gäller dessutom anmälningsplikt till sektoriell tillsynsmyndighet inom 24 timmar från att incidenten identifieras.
Återställ verksamheten från backup
Återställning är den tekniskt tyngsta fasen och kräver en tydlig prioriteringsordning. Försök inte återställa allt på en gång – börja med de system som är mest kritiska för att verksamheten ska kunna fungera på miniminivå.
Verifiera backupernas integritet. Innan ni återställer måste ni kontrollera att backuperna inte är infekterade. Angripare kan ha infiltrerat systemen veckor eller månader innan ransomware aktiverades – en backup från dagen innan kan vara ren, men garantier finns inte utan verifiering.
Bygg upp i ren miljö. Återställ aldrig direkt till drabbad hårdvara utan att ha utfört en grundlig sanering eller installerat om operativsystemet från grunden. Arbeta med ren hårdvara eller isolerade virtuella miljöer.
Täpp till ingångsvektorn. Innan återställda system kopplas in på nätverket igen måste ni förstå hur angriparen tog sig in och stänga den vägen. Utan detta riskerar ni att bli angripna igen inom timmar.
Tidsramen för återställning varierar kraftigt. Organisationer med testade backuprutiner och en dokumenterad incidenthanteringsplan återhämtar sig vanligtvis på 24–72 timmar. Organisationer utan plan eller med skadade backuper kan uppleva driftstopp på veckor – och i extrema fall permanent dataförlust.
Kommunicera rätt – internt och mot kunder
Kommunikation under en incident hanteras ofta dåligt, vilket förvärrar konsekvenserna. Grundprincipen är att kommunicera tidigt, sakligt och ärligt – men utan att röja information som kan skada den pågående hanteringen.
Internt handlar det om att informera anställda om vad som hänt, vad de ska och inte ska göra och vem de ska kontakta med frågor. Undvik vakuum – om anställda inte får information fyller de det med rykten. Var konkret: "Använd inte företagets datorer eller nätverk tills IT-avdelningen ger klartecken."
Om kunddata kan ha röjts är ni skyldiga att informera de drabbade, utöver GDPR-anmälan till IMY. Var ärliga om vad som hänt och vad ni gör åt det. Undvik att underskatta incidenten i kommunikationen – om det framkommer att ni känt till mer än vad ni kommunicerade urholkar det förtroendet allvarligt.
Utse en talesperson. Alla externa förfrågningar – från media, kunder och partners – ska gå via den personen. Inga improviserade svar i sociala medier.
Ska ni betala lösensumman?
Rekommendationen från CERT-SE, MSB, Polismyndigheten och internationella brottsbekämpningsmyndigheter är tydlig: betala inte. Det finns tre konkreta skäl.
Betalning garanterar ingen återställning. Angripare levererar fungerande dekrypteringsnycklar i färre fall än vad man tror, och i de fall de levererar en nyckel kan den vara ofullständig eller skadad. Att betala köper er alltså inte en lösning – bara ett löfte från en kriminell aktör.
Betalning finansierar nästa attack. Mot er, mot andra organisationer och mot kritisk infrastruktur. Ransomware är lönsamt just för att organisationer betalar. Data från 2024 visar att 77% av drabbade organisationer valde att inte betala, trots ett rekordstort antal attacker.
Betalning kan vara olaglig. Om angripargruppen finns på EU:s eller USA:s sanktionslistor kan betalning av lösensumman innebära brott mot sanktionslagstiftningen – med egna rättsliga konsekvenser.
Om ni ändå överväger att betala ska ni konsultera er jurist, er försäkringsgivare och er IT-partner innan något beslut tas. Förvänta er inte att betalning löser problemet snabbt eller fullständigt.
Lär av incidenten – förebygg nästa
En incident som inte följs upp av ett systematiskt lärande är en dyrt köpt lektion utan avkastning. Inom en till två veckor efter att verksamheten är återställd bör ni genomföra en strukturerad genomgång.
Fråga er vad som gick fel: vilken ingångspunkt använde angriparen? Var det ett opatchat system, ett återanvänt lösenord, avsaknad av MFA eller ett lyckat nätfiskemejl? Fråga er också vad som fungerade: var backuprutinerna tillräckliga, hur snabbt isolerades systemen och fungerade kommunikationen? Och slutligen: vad saknas? En dokumenterad incidenthanteringsplan, bättre nätverkssegmentering eller en cyberförsäkring?
Baserat på genomgången bör ni ta fram eller uppdatera en incidenthanteringsplan och – avgörande – testa den. En plan som aldrig testats är i praktiken ingen plan. Tabletop-övningar, där ni simulerar ett angrepp och går igenom beslutskedjan, avslöjar luckor som aldrig syns på papper.
Starka lösenordsrutiner och MFA är de enskilt effektivaste åtgärderna för att förhindra att angripare tar sig in i första hand. Se gärna vår guide om MFA och lösenordshantering för företag för konkreta implementeringssteg.
Vanliga frågor om ransomeware
Vad är skillnaden mellan ett dataintrång och ransomware?
Ransomware är ett specifikt angrepp där skadlig programvara krypterar er data och kräver lösensumma för dekryptering. Dataintrång är ett bredare begrepp och innebär att obehöriga tagit sig in i era system och potentiellt kommit åt eller stulit data – utan att det nödvändigtvis innebär kryptering. De två kan förekomma var för sig eller i kombination, och ett ransomware-angrepp medför ofta också ett dataintrång.
Är vi skyldiga att anmäla incidenten till kunderna?
Enligt GDPR ska ni anmäla incidenten till IMY inom 72 timmar om personuppgifter riskerar att ha röjts. Om risken för de berörda individerna bedöms som hög – baserat på datatyp, datamängd och sannolikheten för missbruk – ska ni också informera de drabbade direkt. Bedömningen ska göras skyndsamt och dokumenteras.
Hur länge tar det att återhämta sig från ett ransomware-angrepp?
Det varierar kraftigt. Organisationer med testade backuper och en incidenthanteringsplan återhämtar sig vanligtvis på ett till tre dygn. Organisationer utan plan eller med korrupterade backuper kan uppleva driftstopp på två till fyra veckor eller längre. I extrema fall leder incidenten till permanent dataförlust.
Vad täcker en cyberförsäkring vid ransomware?
Täckningen varierar, men en typisk cyberförsäkring kan täcka kostnader för forensisk utredning, juridisk rådgivning, kundkommunikation, intäktsbortfall under driftstoppet och i vissa fall lösensumman. Polisanmälan är normalt ett krav för att försäkringen ska gälla. Läs villkoren noggrant – många försäkringar undantar situationer där grundläggande säkerhetsåtgärder som MFA och aktuella backuper saknas.
Kan vi fortsätta driva verksamheten medan vi hanterar incidenten?
Det beror på hur utbredd incidenten är. Prioritet ett är att isolera drabbade system, vilket kan innebära att delar av verksamheten stannar. Med en plan för alternativ infrastruktur och manuella rutiner för kritiska funktioner kan delar av verksamheten ofta fortsätta parallellt med återställningsarbetet. Organisationer utan en sådan plan riskerar totalstillestånd.
En ransomware-attack drabbar varje vecka svenska företag – och 63% av drabbade organisationer i Europa saknar en plan för alternativ infrastruktur när systemen slås ut. IT-driftstopp kostar svenska företag i snitt 6 716 kr per minut. Varje timme utan en tydlig handlingsplan kostar därmed över 400 000 kr i produktionsbortfall – och det är innan juridiska kostnader, GDPR-böter och ryktespåverkan räknats in. Den här guiden går igenom vad ni konkret gör, steg för steg, från det att ni misstänker ett angrepp till dess att verksamheten är återställd.
En ransomware-attack drabbar varje vecka svenska företag – och 63% av drabbade organisationer i Europa saknar en plan för alternativ infrastruktur när systemen slås ut. IT-driftstopp kostar svenska företag i snitt 6 716 kr per minut. Varje timme utan en tydlig handlingsplan kostar därmed över 400 000 kr i produktionsbortfall – och det är innan juridiska kostnader, GDPR-böter och ryktespåverkan räknats in. Den här guiden går igenom vad ni konkret gör, steg för steg, från det att ni misstänker ett angrepp till dess att verksamheten är återställd.
