Malmö Stad visar varför cybersäkerhet måste tränas – inte bara planeras

I november 2024 genomförde Malmö Stad ett phishing-test bland 3 500 anställda. Syftet var tydligt: att mäta organisationens motståndskraft mot en av de vanligaste attackmetoderna – nätfiske. Resultatet blev talande. Testet, som skulle pågå i 72 timmar, fick avbrytas redan efter 27. Då hade fler än var tredje anställd redan klickat på det falska mejlet.

Den här händelsen är långt ifrån unik. Varje vecka utsätts svenska organisationer för tusentals försök till nätfiske, ofta som en första fas i större attacker. Ett klick räcker för att en angripare ska kunna komma åt inloggningsuppgifter, installera skadlig kod eller använda mejlkontot som språngbräda för vidare attacker. För en kommun innebär det en direkt risk för både medborgartjänster, känsliga uppgifter och verksamhetens kontinuitet.

Siffror från Svenskt Säkerhetsindex 2025 understryker allvaret. Åtta av tio beslutsfattare inom samhällsviktiga verksamheter bedömer hotbilden mot Sverige som allvarlig eller mycket allvarlig. Samtidigt upplever många att gapet mellan sårbarhet och faktisk förmåga att hantera cyberhot växer.

Hotbilden förändras – och blir mer personlig

Sårbarheten förstärks av nya och mer sofistikerade hot. Ett exempel är så kallade infostealers – skadlig kod som i tysthet stjäl inloggningsuppgifter, cookies och annan känslig data från datorer och webbläsare. Den stulna informationen används sedan i sekundära attacker, där angriparen redan har ett försprång eftersom de kan logga in som en behörig användare.

Infostealers sprids ofta via phishingmejl eller skadliga länkar, vilket gör att mänskliga misstag blir den avgörande faktorn. Tekniska skydd är viktiga, men de stoppar sällan en användare som själv släpper in angriparen.

Därför räcker inte planer – förmågan måste övas

Många organisationer lägger stor vikt vid tekniska lösningar, policies och processer. Men verkligheten visar att människor ofta är den svagaste länken. Ett dokumenterat säkerhetsarbete på papper betyder lite om inte personalen vet hur de ska agera i skarpt läge.

Här är Malmö Stads test ett tydligt exempel. Genom att utsätta sig själva för en simulerad attack fick de en ärlig bild av den mänskliga faktorn i sin egen organisation. Enligt Svenskt Säkerhetsindex växer nu insikten om detta – fler verksamheter beskriver sig som “medvetet inkompetenta”. Med andra ord, man har börjat förstå sina egna brister. Och det är ett nödvändigt första steg mot förbättrad motståndskraft.

Tre konkreta åtgärder som stärker säkerheten

1. Regelbundna stresstester och simuleringar – inte för att hitta syndabockar, utan för att mäta reell förmåga och identifiera förbättringsområden.
2. Utbildning i hur angripare manipulerar människor – förståelse för social engineering och nya hot som infostealers gör det lättare att agera rätt.
3. En säkerhetskultur som uppmuntrar till dialog – skapa en miljö där det är okej att fråga, tveka och rapportera misstänkta händelser.

Slutsats: våga testa innan angriparna gör det åt dig

Det största misstaget en organisation kan göra är att förlita sig på planer som aldrig prövats i praktiken. Att genomföra simulerade attacker är ett effektivt sätt att både mäta förmåga och skapa lärande i organisationen.

Vill du minska gapet mellan hot och förmåga? Börja med att utsätta din verksamhet för samma test som hotaktörerna redan planerar åt dig. Det är inte bara ett skydd mot nästa attack – det är en investering i förtroende, kontinuitet och trygghet.