Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

| Blog

Hur behåller du kontrollen när en cyberattack sätter hela verksamheten under press?

I december 2023 drabbades den franska IT-tjänsteleverantören Coaxis av en ransomwareattack. Konsekvenserna påverkade 350 000 företag. Redovisningsbyråer, medicinska laboratorier och advokatbyråer förlorade tillgången till sina system, sin data och möjligheten att bedriva sin dagliga verksamhet. För Coaxis och dess kunder inleddes en period där varje beslut vägde tungt. Kunderna väntade på tydliga besked. Systemen behövde säkras. Samtidigt ökade pressen från angripare, medarbetare, kunder och tillsynsmyndigheter.

Attacken mot Coaxis står i centrum för dokumentären Don't Go to the Police, där du får följa händelseförloppet inifrån.

Att fatta beslut medan lägesbilden fortfarande förändras

En cyberkris börjar sällan med en fullständig lägesbild. Under de första timmarna vet teamen ofta bara att något är fel. Först senare blir det tydligt hur omfattande attacken är, vad som orsakat den och vilka konsekvenser den får. Ändå måste organisationen redan från början visa riktning.

Det är just här många organisationer visar sig vara sårbara. En cyberkris blottlägger om man verkligen har tänkt igenom hur beslut ska fattas i förväg. Samtidigt kräver teknisk återställning, juridiska överväganden, kundkommunikation och verksamhetens kontinuitet uppmärksamhet. Om mandat och prioriteringar saknas tvingas krisledningen avgöra vad som väger tyngst medan attacken fortfarande pågår. Då går värdefull tid förlorad på samordning. Alla försöker agera omsorgsfullt, samtidigt som situationen kräver snabba beslut, lugn och tillit till de beslut som redan har fattats.

En incidenthanteringsplan är ett viktigt stöd, men bara om organisationen vet hur den ska användas när verkligheten inte följer planen. Och det gör den nästan aldrig.

Därför blir det svårare att fatta beslut under press

Under press blir de vanliga avvägningarna betydligt svårare. En uppdatering till kunderna kan stärka förtroendet, men också skapa oro om det fortfarande finns många oklarheter. Att stänga ner ett system kan begränsa den fortsatta skadan, men samtidigt få omedelbara konsekvenser för verksamheten. Att ta in extern hjälp innebär kostnader och kräver tillgång till känslig information, samtidigt som snabb expertis kan vara avgörande för att stoppa attacken.

Även en polisanmälan är en del av den bredare avvägningen. Det är en viktig del av krishanteringen eftersom den omedelbart påverkar bevishantering, samordning och kommunikation. Bevis måste säkras, försäkringsgivare och tillsynsmyndigheter involveras, och organisationen behöver noggrant överväga vilken information som ska delas internt och externt.

Om sådana beslut diskuteras för första gången mitt under en pågående incident blir krisledningen onödigt sårbar. Attacken skapar redan tillräckligt stor osäkerhet. Därför behöver grunderna för beslutsfattandet vara tydliga och förankrade redan innan krisen inträffar.

Hur säkerställer du bra beslut under press?

En organisation behöver inte skriva detaljerade planer för varje tänkbart scenario. Verkligheten är alltid mer komplex än manualen. Förberedelser handlar framför allt om att komma överens om några grundläggande principer som ger riktning när pressen ökar.

1. Klargör vem som har mandat att fatta beslut

En krisledningsgrupp måste veta vem som leder arbetet, vem som får godkänna tekniska åtgärder och vilka beslut som ska lyftas till ledning eller styrelse. Det gäller särskilt beslut med stor påverkan, som att stänga ner system, tillfälligt stoppa produktionen, informera kunder proaktivt eller ta in extern incidenthantering.

Tydliga mandat gör att teamen inte fastnar i väntan på godkännanden. De säkerställer också att ledning och styrelse involveras i de beslut som faktiskt kräver ett strategiskt ansvar.

2. Definiera tydliga kriterier för eskalering

Många förseningar uppstår när organisationer stannar kvar i incidentläge för länge. Därför bör eskalering kopplas till tydliga indikatorer, till exempel störningar i verksamhetskritiska system, misstänkt åtkomst till kunddata, påverkan på verksamheten, tecken på ransomware eller beroenden i leverantörskedjan.

När sådana signaler uppstår måste rätt personer samlas kring samma bord – helst så tidigt som möjligt, när snabb handling fortfarande kan göra skillnad. En tydlig eskalering gör det möjligt att fatta tekniska, juridiska, operativa och kommunikativa beslut i ett sammanhang.

3. Förbered kommunikationen för osäkerhet

Vid en cyberincident växer behovet av tydlig information snabbare än lägesbilden klarnar. Internt vill medarbetare veta hur de ska agera. Externt ökar trycket att kommunicera, även när alla fakta ännu inte är kända.

God kriskommunikation behöver inte vara fullständig under de första timmarna. Däremot måste den vara tillförlitlig och användbar. Organisationen ska kunna beskriva vad som är känt, vilka åtgärder som pågår, vad berörda behöver göra och när nästa uppdatering kommer.

Om denna grund redan finns på plats slipper kommunikationen under krisen förvandlas till improvisation. God kriskommunikation tar inte bort osäkerheten, men den visar att organisationen har kontroll, tar ansvar och håller kunder, medarbetare och andra intressenter informerade. Det kan ha stor betydelse för det förtroende som finns kvar efter incidenten.

4. Bestäm i förväg hur ni hanterar polisanmälan, lösensummor och extern hjälp

Frågor om polisanmälan, lösensummor och extern hjälp berör flera perspektiv samtidigt – juridiska, ekonomiska, tekniska och strategiska. Därför bör organisationen i förväg ha tydliga utgångspunkter för hur dessa situationer ska hanteras.

När det gäller lösensummor handlar pressen ofta om verksamhetens kontinuitet. Om systemen ligger nere, säkerhetskopior saknas eller återställningen tar för lång tid kan en betalning plötsligt upplevas som den enda möjliga utvägen. Just därför behöver organisationen redan i förväg veta hur säkerhetskopiering är organiserad, hur snabbt kritiska system kan återställas och vilka risker man aldrig är beredd att acceptera.

Även en polisanmälan kräver förberedelser. Organisationen bör veta när polisen ska kontaktas, vem som ansvarar för att säkra bevis och hur samordningen med juridiska rådgivare, försäkringsgivare och tillsynsmyndigheter ska ske.

När det gäller extern hjälp är tillgänglighet, åtkomst och snabbhet avgörande. Ett så kallat incident response retainer-avtal kan därför skapa trygghet. Det innebär att organisationen redan i förväg har en överenskommelse med en specialist som omedelbart kan bistå vid en cyberincident. Då är det redan klart vem som ska kontaktas, vilken kompetens som finns tillgänglig och hur den första insatsen ska inledas.

5. Öva på beslutsfattande under press

Övningar visar var beslutsfattandet riskerar att köra fast. Ofta ligger svagheterna inte i tekniken utan i tajming, mandat, kommunikation eller samarbete. Ett bra exempel är Försvarsmakten, där team regelbundet övar både på sannolika scenarier och på scenarier med mycket stora konsekvenser. Syftet är att människor ska kunna agera utifrån planens intentioner, även när verkligheten inte följer planen.

För organisationer fungerar det på samma sätt. En väl genomförd cyberkrisövning visar om ledning, CISO, IT, juridik, kommunikation och verksamhet hittar varandra tillräckligt snabbt. På så sätt kan arbetssätt och ansvar förtydligas innan en verklig incident leder till skada.

Öva på att fatta beslut under press – innan en verklig kris inträffar.

Orange Cyberdefense gör även den här typen av beslutsfattande under press konkret i sina Cyber Experience Centers. I realistiska scenarier får ledare, CISO, IT-team och andra intressenter uppleva hur en cyberkris utvecklas och vilka beslut som behöver fattas när pressen ökar. Det gör cybersäkerhet till ett gemensamt ansvar som organisationen kan öva på i förväg.

Hur väl förberedd är ni redan idag?

13 May 2026

Dokumentär: Don't Go to the Police

Read more

18 May 2026 | Blog

Hur stark är er säkerhet om en länk i kedjan fallerar?

Read more

15 April 2026 | Blog

Så bygger ni en stabil grund för er incidenthantering på 4 veckor

Read more

19 May 2026 | Blog

Hur undviker ni att ett enda felklick får avgörande konsekvenser?

Read more
24/7 incident hotline