Inga produkter i varukorgen.
Gammal teknik är en affärsrisk – inte ett IT-problem
Digitalisering och AI
Gamla IT-system kan snabbt bli en säkerhetsrisk. Ändå är många företag låsta i system som passerat sin tekniska livslängd. Patrick Wolle, cybersäkerhetsexpert på PwC, menar att det i hög grad handlar om bristande förståelse på ledningsnivå. Säkerhet ses ofta som en kostnad snarare än riskhantering.
– Risk behandlas ofta som en operativ fråga inom IT snarare än som en affärsrisk. IT isoleras ofta i den här typen av beslut, säger Patrick Wolle.
Foto: Adobe Stock/PwC
Den 14 oktober 2025 upphörde Microsofts support för Windows 10. Trots det var det drygt 40 procent av alla Windowsanvändare som fortfarande använde den gamla versionen när stödet upphörde.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
VD-tidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
– Microsoft erbjuder nu ett tilläggsprogram på årsbasis för företag och organisationer, men kostnaden ökar successivt över tid, förklarar Patrick Wolle.
Vad är det då som gör att så många fortfarande använder ett föråldrat operativsystem?
– Problemet är att investeringen jämförs med en direkt kostnad, medan riskreduceringen är hypotetisk. Men konsekvenserna av en incident är inte hypotetiska, utan de är mätbara i motsvarande driftstopp, regulatoriska böter, eller förlorat förtroende.
Han pekar också på ”teknisk skuld”, att företag har låst in sig i en viss teknisk lösning.
– System är tätt integrerade med andra applikationer och en uppgradering riskerar att bryta affärskritiska flöden. Då måste man lägga resurser på att uppdatera den funktionaliteten innan man kan uppgradera.
Att hålla fast vid gammal teknik är riskabelt av flera skäl.
– Ur ett säkerhetsperspektiv går det inte att förhindra alla angrepp. Det är orealistiskt. Det handlar i stället om att minska sannolikheten för intrång, begränsa skadan om något inträffar och kunna återhämta sig snabbt, säger cybersäkerhetsexperten.
En avgörande faktor är att arbeta systematiskt med uppdateringar och versionshantering.
– Patchhantering och att alla system hålls uppdaterade och supporterade är en av de mest effektiva och grundläggande säkerhetsåtgärderna. Angripare utnyttjar främst kända sårbarheter.
En central utmaning i många organisationer är att säkerhetsfrågor hamnar på fel nivå.
– Det som i grunden är ett strategiskt affärsbeslut har i stället delegerats till IT-funktionen.
Konsekvensen blir att frågan inte får den tyngd den kräver i ledningen.
För vd:n är budskapet tydligt: cybersäkerhet måste betraktas som en affärsfråga.
– Vd:n behöver vara med och definiera bolagets riskaptit. Det innebär att kunna svara på frågor som: hur mycket driftstopp verksamheten tål, vad ett dataläckage kostar och hur aktieägarvärde och kundrelationer påverkas vid en större incident.
– Det innebär också att definiera roller och ansvar för säkerhet, riskhantering och rapportering så att motsvarande, exempelvis att ett utdaterat system kommer till kännedom för styrelse och ledning, och att det åtgärdas.
Patrick Wolle betonar att säkerhet inte enbart handlar om att minska risker.
– Säkerhet minskar inte bara risker, den möjliggör också affärer. Utan en tillräcklig säkerhetsnivå kan det vara svårt att delta i upphandlingar. I värsta fall stängs man ute från affären.
– En hög säkerhetsnivå är inte bara en konkurrensfördel, utan ett krav för att ens kunna lämna anbud, säger Patrick Wolle.
