Cyberexpert: Det är därför så många företag misslyckas när attacker inträffar
Uppdaterad: 17 april 2026, 10:28 Publicerad: 7 april 2026, 07:00
Cybersäkerhetslagar är tänkta att göra företag mer motståndskraftiga mot cyberattacker, men i verkligheten misslyckas tekniken sällan när en incident inträffar, och det beror på chefernas beslutsförmåga, säger ITM8:s Shadi Dormat.
Klockan 07:43 på tisdagsmorgonen slutade flera affärskritiska system att fungera och IT-avdelningen såg tecken på att en ransomware-attack pågick. Frågan är bara vad gör du nu?
– Ska systemet stängas av omedelbart, även om det slutar fungera? Vem ska fatta beslutet? Och när ska myndigheterna underrättas? Shadi Domat från IT- och cybersäkerhetsföretaget itm8 påpekar att det är här många organisationer tappar takt.
– Verktyg finns ofta på plats, liksom policydokument, men när en incident väl inträffar är det plötsligt osäkerhet kring mandat och ansvar, säger han.
Teknik är inte det enda som bestäms under den första timmen
Nya cybersäkerhetslagar baserade på EU:s NIS2-direktiv innebär strängare incidenthantering och rapporteringskrav för många organisationer, men Shadi Dormat säger att lagen faktiskt upprätthåller något mer grundläggande.
– Jag brukar beskriva det här som ett stresstest som testar en organisations sanna motståndskraft. I teorin har många företag tydliga processer och styrdokument, men i verkligheten kan incidenter snabbt avslöja om beslutsprocessen faktiskt fungerar.
Han påpekar att de största förlusterna sällan sker inom teknik, utan under den första timmen som organisationer försöker förstå vem som ska fatta vilka beslut.
– Varje timme du behöver bestämma dig för om du ska isolera ett system, stänga av det eller hålla det igång kan bli kostsamt utan tydlig riktning.
Många företag har en falsk trygghet
Ett återkommande mönster i arbetet med ledningsgrupper är vad Shadi Domat beskriver som illusionen av kontroll. Organisationer har investerat i säkerhetsverktyg, dokumentation och efterlevnadsinsatser, men har aldrig testat hur allt fungerar under press.
– Det är en tydlig skillnad mellan följsamhet och resiliens. Efterlevnad är att uppfylla krav på papper, medan resiliens är en organisations faktiska förmåga att reagera på incidenter. Så när ledningsgrupper övar scenarier tillsammans för första gången uppstår ofta överraskningar. Om du frågar en CFO, VD eller säkerhetsansvarig hur de ska hantera en incident kan du få tre olika svar.
3 viktiga frågor
För att gå från dokumentation till faktisk förberedelse behöver organisationer ha tydliga ansvars- och beslutslinjer. Shadi Domat påpekar att tre frågor ofta avslöjar en organisations faktiska beredskap: Vem fattar beslut under den första timmen av en cyberincident? Vilka scenarier spelade ledningen faktiskt ut under det senaste kvartalet? Dessutom, vilka system och processer är operativt kritiska, hur snabbt behöver de återställas och vilka backuprutiner finns på plats under tiden?
– När man får befattningshavare i samma rum för att få saker gjorda rätt blir det snabbt tydligt var det finns oklarheter eller silos. Även om cybersäkerhetslagar i första hand är avsedda att öka en organisations säkerhetsmognad, bestämmer inte policydokument stängningen av en incident. När ransomware sprids i sidled eller verksamhetskritiska system låses, avgör inte dokumentationen resultatet. Han drog slutsatsen att antingen har organisationen beslutsförmåga eller så har den inte.
om det m8
itm8 är en nordisk IT-partner som hjälper organisationer att öka sin konkurrenskraft genom digital utveckling. Företaget tillhandahåller tjänster för cybersäkerhet, moln, infrastruktur och digital utveckling.
Extern länk: Klicka här för mer information
Denna artikel är skapad av Brand Studio i samarbete med Itm8 och är inte en artikel av Dagens industri.
