Ransomware ökar kraftigt – därför är frågan nu vd:ns ansvar

Vid en ransomware-attack låses filer eller system så att användaren inte längre kommer åt dem. Angriparen kräver ofta betalning för att återställa tillgången, men konsekvenserna för det drabbade bolaget kan bli bredare än själva lösesumman: produktionsstopp, leveransproblem, kundförluster, regulatoriska frågor och skador på förtroendet.

– Ransomware är ett affärskritiskt hot som påverkar hela organisationens motståndskraft. Ökningen mellan 2024 och 2025 visar hur snabbt angripare anpassar sig, och hur sårbara många verksamheter är, säger Matt Carey, ansvarig för PwC:s Threat Intelligence-avdelning i Europa och Mellanöstern, i ett pressmeddelande.

Angriparna behöver inte längre bryta sig in

En av de viktigaste förändringarna i hotbilden är enligt PwC att angripare i allt högre grad försöker logga in, snarare än att bryta sig in. Människan har blivit en av de viktigaste arenorna för cyberangrepp där stulna inloggningsuppgifter, kapade konton och manipulerade identiteter kan ge direkt tillgång till verksamhetskritiska miljöer.

 För vd:n innebär det att cyberfrågan inte kan begränsas till brandväggar, antivirus och tekniska system. Den måste också handla om vem som har tillgång till vad, hur snabbt behörigheter tas bort, hur externa konsulter och leverantörer hanteras och hur bolaget upptäcker avvikande beteenden i tid.

Det blir särskilt viktigt i små och medelstora företag, där samma person ofta kan ha bred behörighet i flera system. Ett kapat konto hos en ekonomichef, administratör, it-leverantör eller vd kan i praktiken öppna dörren till stora delar av verksamheten.

AI kortar tiden för angrepp

PwC lyfter också fram AI som en faktor som accelererar utvecklingen. Angripare använder AI för att automatisera kartläggning av företag, skapa mer trovärdiga nätfiske-meddelanden och påskynda utvecklingen av skadlig kod. Samtidigt beskriver PwC AI som en möjlighet för försvarare, bland annat genom snabbare upptäckt och automatiserad hantering av incidenter.

För vd:n innebär det ett kortare handlingsfönster. När angreppen blir snabbare minskar tiden mellan första intrånget och verksamhetspåverkan. Det ställer krav på förberedda beslut: vem fattar beslut vid en incident, vilka system prioriteras först, hur kommunicerar bolaget med kunder och leverantörer, och när ska styrelsen kopplas in?

Styrelsen och ledningen måste äga risken

PwC:s slutsats är att cyberrisk inte kan hanteras isolerat från affär, strategi och geopolitik. Rapporten beskriver hur finansiell brottslighet, insiderhot, leverantörsrisker och angrepp mot chefer, utvecklare, hr-processer och finansiella flöden växer samman till en gemensam riskbild.

Det gör frågan relevant för hela ledningsgruppen. IT-chefen eller den externa IT-partnern kan ansvara för många tekniska åtgärder, men vd:n behöver säkerställa att bolaget har en fungerande styrning med: riskaptit, ansvarsfördelning, återställningsplan, incidentövning, leverantörskontroll och en tydlig rapportering till styrelsen.

– Vi bedömer att ransomware-hoten kommer att fortsätta öka under 2026, både i omfattning och komplexitet. Organisationer måste därför prioritera identitetsskydd och stärkt molnsäkerhet. Sist men inte minst handlar det om att säkerställa att cyberrisker hanteras på lednings- och styrelsenivå, kommenterar Matt Carey.

För vd:n blir den centrala frågan därför inte om bolaget har ett IT-skydd, utan om verksamheten kan fortsätta fungera när skyddet inte räcker. Det handlar om hur snabbt bolaget kan upptäcka ett intrång, isolera skadan, återställa data, kommunicera korrekt och fatta affärskritiska beslut under press.