Logga in
Blogg

När cybersäkerhet blir “riskteater” och hur vi byter ut sminket mot faktisk motståndskraft

Det viktigaste en ledning behöver är inte fler cyberord utan tre saker: var vi är sårbara, vad det betyder för verksamheten och vad vi ska göra nu.

I den här artikeln beskriver jag varför traditionella riskmatriser ofta missar målet, och hur ett mer evidensbaserat och kapabilitetsdrivet arbetssätt kan ge verklig motståndskraft och bättre kontinuitet. Mindre byråkrati, mer effekt och framför allt: uppföljningsbart.
Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure. 

Det finns en scen som upprepas i organisation efter organisation, en scen som är helt ärligt irriterande och frustrerande för mig som cybersäkerhetsexpert.

Ett mötesrum. En whiteboard. Någon har öppnat ett kalkylblad som heter “Riskregister 2026 FINAL v7”. Kaffet är starkt, tiden är knapp och stämningen är märkligt trygg. Inte för att läget är tryggt, utan för att processen är bekant, precis som kanelbullarna från det lokala fiket. Man ritar upp en riskmatris med rött, gult och grönt. Man diskuterar “sannolikhet” och “konsekvens” på en femgradig skala. Man enas om ett par formuleringar som låter vuxna:“Öka medvetenhet”,“Se över rutiner”,“Genomför årlig övning”. Sedan sparar man, arkiverar, och går vidare.

Det ser seriöst ut. Detkännssom styrning. Men när nästa incident kommer, exempelvis ransomware, leverantörsproblem eller ett fel i molnkonfiguration När en överbelastningsattack är ett faktum, en felriktad behörighet så visar det sig ofta att organisationen har över fikan byggt en karta över ett landskap som redan hunnit ändra form, den stämmer inte ens längre.

Välkommen till dagens uppsätning av “riskteatern” urförd av Circus Risk. Här ges en teater som berör och belyser skillnaden mellan dokumenterad trygghet och evidensbaseradförmåga.

Riskteatern i praktiken: en brandsläckare som bara finns på en powerpoint

Riskmatrisen och riskregistret i exemplet ovan är inte “fel”. Problemet är hur de används som ett substitut för operativ motståndskraft, riskmetoden har blivit ett event som checkas av.

Traditionella riskmatriser bygger ofta på ordinata skalor (1–5) som sedan hanteras som om de vore matematiskt exakta. Det leder till kända och välbeskrivna problem. Rangordningar däri kan vändas, skillnader kan komprimeras, och osäkerheter försvinner i färgläggningen. Resultatet kan bli snyggt men inte robust. Det blir som det gamla talesättet: lögnm, förbannad lögn och statistik.

Mer i detalj blir det ungefär som att mäta feber med en färgskala (“ganska röd”), jämföra patienter utifrån “känsla” och sedan kalla det medicinsk precision. Det ser ut som kontroll i riksmatrisen är i praktiken falsk kontroll och helt utan effektiva sensorer ur ett allriskperspektiv.

Varför lever riskteatern vidare? Psykologi, styrning och sociala incitament

Så om nu riskteater är så svag, varför fortsätter så många? Jo det är enklare att svara på än många tror.

  • Den ger omedelbar lugnande effekt. En heatmap är som en väderkarta: den ger hjärnan en snabb bild. Ledningar gillar snabbhet. Problemet är att den ofta är mer retorik än realitetskontroll.

  • Den ger en känsla av objektivitet. Femgradiga skalor känns “rättvisa”. Alla får säga sitt. Men det blir ofta en kompromiss mellan åsikter snarare än en avläsning av verkliga förmågor.

  • Den är kompatibel med byråkratiska belöningssystem. Processen belönar den som skriver bäst och “får ihop bilden”. Den belönar inte nödvändigtvis den som säkerställer att man kan återställakan detekterakan isolerakan kommunicera och kan hålla i gång verksamheten.

  • Den passar en värld av revisionsspår men på fel sätt. Många tror att compliance = dokument. Men modern reglering och bra praxis drar i en annan riktning: systematik, testbarhet och kontinuerlig förbättring, inte en årlig ritual.

Varför den misslyckas mot verklig resiliens och kontinuitet

Cyberincidenter är i praktikenavbrott i förmåga, avbrott i tillgång, integritet, konfidentialitet, spårbarhet. Rent konkret är det alltså ett avbrott i verksamhetens leverans.

De mest återkommande incidentmönstren i rapportering de senaste åren är starkt kopplade till:

  • Social engineering och phishing.

  • Ransomware/extortion.

  • Leverantörs- och ekosystemrisker

  • Tillgänglighetsstörningar.

Poängen med detta är ju solklar. Hoten är verkliga, repetitiva och snabbföränderliga. När man då “mäter risk” som en årlig temperatur på en femgradig skala får man en styrmodell som är designad för en värld där inget ändrar sig. Men digitala ekosystem är motsatsen. De ändrar sig konstant. Och det är just därför riskteatern skapar falsk trygghet. Man tror att man “har koll” för att man har bedömt men man har inte bevisat att man kan.

Vad regelverken faktiskt signalerar: från papper till förmåga

Två tydliga signaler från EU:s moderna cyberreglering borde stå klart nu:

  1. Riskhantering ska omsättas i åtgärder som är lämpliga och proportionerliga och ingå i ett systematiskt arbetssätt. NIS2 trycker på riskhantering som kultur och praktisk förmåga, inte som en engångsövning. Risker kan inte bli noll, de kan bli försumbara, överföras, hanteras, accepteras… PROPORTIONERLIGT.

  2. Operativ resiliens och kontinuitet är centralt, särskilt tydligt i DORA för finanssektorn. Fokus ligger på IKT-riskhantering, incidenter, testning och motståndskraft i driften.

I praktiken: lagstiftningen pekar mot att organisationer ska kunna visa att de har förmågor (policies, processer, kontroller, testning, förbättring) inte bara en dokumenterad “riskbild”. Det betyder inte att “risk” försvinner. Det betyder att risk blir en slutsats från kapabilitet, inte en gissning som sedan hoppas bli sann.

Det bättre alternativet: byt “riskbedömning” mot “sårbarhetsbild genom bevisad kontrollförmåga”

Här kommer skiftet som brukar kännas disruptivt, men egentligen är logiskt. Menni som känner mig vet vid det här laget att jag är just disrutpiv.

Så vad händer om Cirkus Risk ger en ny föreställning?

Cirkus Risk frågar:

“Hur stor är risken (1–5) att något händer?”

Teater Motståndskraft frågar:

“Vilka kända hot är relevanta och vilka kontroller måste vara på plats för att reducera sårbarheten? Vad saknasbevisligen? Vilka förmågor behöver vi ha?”

Det är skillnaden mellan att:

  • måla en brandriskkarta,

  • och att faktiskt kontrollera att branddörrar stänger, att övningar fungerar, att larmkedjan håller och att återställning är testad.

Steg 1: Utgå från erkända hot, inte från abstrakta risker

Börja i offentliga hotbilder och incidentdata: exempelvis ENISA:s hotlandskap och branschrapporter. Det ger ett gemensamt faktaunderlag: “det här händer om och om igen”.

Steg 2: Översätt hot till krävda kontroller

För varje hot behöver man ett litet, tydligt “motståndskraftspaket”:

  • vad måste vara på plats för att reducera sårbarheten?

  • vad är minimilinjen (“baslinje”)?

  • vad är systematik över tid?

Det finns även stöd i best practice-sammanställningar och metarecensioner om vilka kontroller som faktiskt har effekt (inte alltid enorm effekt, men mätbar och relevant).

Steg 3: Mät gapet som sårbarhet (inte “risk”)

Här blir det pedagogiskt för ledning:

  • Hotet: ransomware, phishing, molnkonfigurationsfel, DDoS, leverantörskedja.

  • Krav på förmåga: ett litet urval kontroller som behöver vara “minst på plats”.

  • Sårbarhet: skillnaden mellan vad som krävs och vad som faktiskt finns.

Det är en sårbarhetsmodell som går att förstå: “Här saknas X och Y, därför är vi exponerade.”

Steg 4: Gör åtgärderna till en mognadstrappa med tidshorisont

Det som ofta saknas i riskteatern är en handlingsbar “nästa steg”-logik. I en kapabilitetsmodell blir åtgärder naturliga:

  • 1–3 månader: täta de mest akuta gapen som ger snabb sårbarhetsreduktion.

  • 3–6 månader: bredda, standardisera, säkra leverantörer.

  • 6–12 månader: systematik, mätning, återkommande test och förbättring.

Det blir kristallklart:

(1)var det skaver,(2)vad det betyder för verksamheten,(3)vad man ska göra nu, och(4)hur man följer upp att det verkligen blev gjort.

“Men vi måste göra riskanalyser”

Ja, men riskanalys behöver inte betyda riskmatris. NIS2/DORA trycker på riskhantering som systematik och åtgärder. Det du vill åt är styrbar risk via bevisad förmåga. DÅ är sårbarheter och förmåga mer effektiva än riskmatriser.

Referenser

ENISA. (2023).ENISA Threat Landscape 2023.

Krisper, M. (2021).Problems with Risk Matrices Using Ordinal Scales.

National Institute of Standards and Technology. (2022).Secure Software Development Framework (SSDF) Version 1.1 (NIST SP 800-218).

National Institute of Standards and Technology. (2024).Incident Response Recommendations and Considerations for Cybersecurity Risk Management (NIST SP 800-61 Rev. 3).

Verizon. (2024).Data Breach Investigations Report (DBIR).

Zimmermann, V., & Renaud, K. (2021).The nudge puzzle: Matching nudge interventions to cybersecurity decisions.

Wiley (Risk Analysis). (2022/2023).How People Understand Risk Matrices, and How Matrix Design Can Improve Comprehension.

Bada, A. m.fl. (2024).Evidence-based cybersecurity policy? A meta-review of security controls.

Europeiska unionen. (2022).Direktiv (EU) 2022/2555 (NIS2).

Europeiska unionen. (2022).Förordning (EU) 2022/2554 (DORA).

Robert Willborg

Vad digital suveränitet faktiskt är

Suveränitet är inte geografiskt. Det är kontroll.

Robert Willborg

Från osäkerhetsekonomi till förtroende

En berättelse om en bransch som tappade kompassen.

Robert Willborg

Luftvärdighet för det digitala samhället

NIS2 vill att vi flyger säkert, inte fyller i papper.

Robert Willborg

EU Data Act

När EU bygger “nödutgångar” i era datakorridorer (och ingen har läst skyltarna än).