Ransomware: En växande operativ utmaning för företag

Tiden är avgörande. Ditt system är låst. Produktionen står stilla och kunderna har inte tillgång till sina tjänster. Cyberkriminella väntar på ditt samtal, övertygade om att varje förlorad minut stärker deras förhandlingsläge. Detta är verkligheten för ransomware 2025.

Trots att säkerhetsteamen har byggt upp starkare försvar har angriparna modifierat sina strategier. Enligt Verizons Data Breach Investigations Report (DBIR) 2025 är ransomware involverat i hela 44 % av alla intrång, en ökning från 32 % föregående år. Men det handlar inte bara om hur ofta attacker inträffar, utan även om deras natur. Operativ störning har blivit det primära vapnet för utpressarna.

Att oroa sig för operativ störning har nu blivit mer skrämmande för företag än datastöld. DBIR bekräftar vad många säkerhetschefer redan vet: ransomware handlar främst om att störa verksamheten. I många fall överstiger kostnaden för driftstopp lösensumman.

De senaste attackerna illustrerar detta tydligt; hela plattformar har kraschat och avgörande tjänster har stoppats. Försäkringsdata visar att kostnaderna för driftstopp ofta överstiger lösensumman. Varje sekund av stillestånd leder till förlorade intäkter och minskat förtroende.

Konstigt nog betalar allt färre företag lösensummor. Enligt DBIR vägrar nu 64 % av offren att betala, upp från 50 % år 2022. Medianlösensumman har sjunkit från 150 000 till 115 000 dollar. Det innebär att angriparna får betalt mer sällan och med lägre belopp.

Men snarare än att backa, ändrar angriparna taktik. Kryptering är inte tillräckligt längre. De slår istället ut verksamheter genom att attackera små leverantörer och automatisera sina metoder. Effekten är en större spridning av attacker, även om vinsten per mål minskar.

För att motverka dessa risker är det viktigt att vidta konkreta åtgärder. Genomför regelbundna verksamhetspåverkansanalyser för att förstå hur driftstopp kan påverka era system och processer, både ekonomiskt och operativt.

Utveckla och testa incidentresponsplaner med fokus på affärskontinuitet. Dessa planer måste ta hänsyn till hur man hanterar situationer där verksamhetens viktigaste funktioner helt slås ut. Inför även en ”No Ransom”-strategi som gör att ni aldrig räknar med att kunna betala er ur en attack.

DBIR 2025 avslöjar en oroande trend: 88 % av intrång hos små och medelstora företag involverar ransomware. Detta är viktigt för stora företag eftersom dessa mindre aktörer ofta är partners eller leverantörer. Angriparna riktar sig inte alltid mot det starkaste försvaret utan hittar svagheter i ekosystemet.

Detta kallas nth-party risk, där svagheter kan dölja sig långt bortom egna leverantörer. Ditt digitala ekosystem sträcker sig till alla aktörer involverade i dina data och system. För att minska risken, bygga ett omfattande program för leverantörsrisker och cyberrisker.

Skriv in säkerhetskrav i avtalen med leverantörer, och genomför regelbundna granskningar. Teknisk bedömning och penetrationstester är viktiga verktyg för att identifiera sårbarheter hos leverantörer.

Betydelsen av snabb återhämtning kan inte överdrivas. En flerlagrad strategi är avgörande. Nätverkssegmentering stoppar skadlig kod från att sprida sig. Även ”Zero Trust”-arkitekturer är viktiga för att hindra en kapad inloggning från att påverka hela systemet.

Responsprotokoll bör tydligt definiera vad som ska göras vid en incident. Sårbarheter kan finnas i hela ekosystemet, så det är viktigt att ha uppdaterade incidentresponsplaner. Samarbete mellan IT och verksamhet är avgörande för att bygga en starkare återhämtningsförmåga.

Företag som lyckas i det nya hotlandskapet är inte alltid de med starkast murar, utan de som kan återhämta sig snabbt efter en attack. Ransomware har blivit ett existentiellt hot, där återhämtningshastigheten är grundläggande för överlevnad.