För att främja digital säkerhet för företag och organisationer måste vi göra det som krävs för att minska gapet i säkerhetsmognad bland företag. För detta behövs konkreta stödåtgärder, skriver Johan Malmliden, vd och koncernchef Omegapoint.
Säkerhetsbrister hos små och medelstora företag
I en osäker tid med krig i Europa och Mellanöstern, där organiserad cyberkrigföring har blivit allt vanligare, har Sverige inte råd att stå passivt, skriver Johan Malmliden, vd och koncernchef Omegapoint.
Nya siffror från Svenskt Säkerhetsindex 2025, som it-säkerhetsföretaget Omegapoint släpper i februari, avslöjar betydande säkerhetsbrister hos små och medelstora svenska företag. 59 procent saknar en fungerande leverantörshanteringspolicy och 41 procent förlitar sig på externa certifieringar för att hantera säkerhetsrisker hos sina leverantörer. I en tid av cyberkrigföring, där mindre och specialiserade it-företag spelar en nyckelroll i verksamheters leveranskedjor, måste vi nu ta ett helhetsgrepp med hela kedjans motståndskraft i fokus.
Hoten mot digitala leveranskedjor
Företags outsourcing och i stort sett beroende av underleverantörer i dag skapar långa och komplexa leveranskedjor. Enligt MSB:s rapport Hoten mot de digitala leveranskedjorna gäller detta i synnerhet informationsflöden, mjuk- och hårdvara samt digitala tjänster. Underkontraktering och en ökad specialisering bland it- leverantörer har skapat ett landskap som MSB beskriver som ”en väv av nischaktörer” – där olika it-företag bidrar med unik expertis som skapar potentiellt farliga beroenden.
Om din verksamhet upphandlar ett it-system i dag, kan ni räkna med att en rad leverantörer med specialkompetens har designat de olika delarna i systemet. Om någon av dessa aktörer, exempelvis en mindre leverantör med begränsade resurser och bristande säkerhetsrutiner, utsätts för ett cyberangrepp kan det innebära en total it-kollaps i hela leveranskedjan.
Solarwinds-hacket 2020 är ett skrämmande exempel. Där lyckades en hotaktör placera skadlig kod i det amerikanska it-företaget Solarwinds övervakningsverktyg Orion. Det resulterade i att uppemot 18 000 av användarna, inklusive ett flertal amerikanska myndigheter och storföretag, riskerade att få sina digitala nätverk förstörda när de laddade ned en programuppdatering med skadlig kod.
Hemma i Sverige såg vi en liknande incident hos Tietoevry i fjol. It-leverantören som hanterar känslig data och digitala tjänster för en mängd svenska verksamheter, drabbades av en ransomware-attack som resulterade i ett flertal driftstopp och potentiella dataläckor för deras beställare, bland annat Rusta, Filmstaden, Region Uppsala och Systembolaget.
Gapet i säkerhetsmognad mellan små och stora företag
Sårbarhetsrisken med digitala leveranskedjor är alltså inte ett nytt problem. Att leveranskedjorna blir långa och komplexa kan man påstå är ett nödvändigt ont, med den moderna ekonomins främjande av specialisering och outsourcing. Vad vi dock ser i Svenskt Säkerhetsindex 2025 är att skillnaden i säkerhetsmognad mellan små och stora aktörer blir allt mer påfallande. Större företag har resurser att granska sina leverantörer, ställa krav och implementera säkra rutiner.
Mindre företag, med begränsade budgetar och kompetens, måste ofta förlita sig på certifieringar – vilket kan vara otillräckligt. Svenskt Säkerhetsindex 2025 visar att 41 procent av små och medelstora företag lutar sig mot certifieringar för att hantera tredjepartsrisker, jämfört med 30 procent bland större bolag. Gapet mellan dessa grupper växer, vilket skapar betydande skillnader i säkerhetsskyddet i leveranskedjan.
Behovet av en helhetsstrategi för cybersäkerhet
Detta är hotaktörerna medvetna om. Genom att angripa en liten aktör i leveranskedjan får de tillgång till större verksamheter några steg bort i ledet. Följden är att små företag tvingas försvara sig mot hot som egentligen riktas mot deras kunder eller beställare. Detta är inte hållbart. Vi måste därför sluta se säkerhetsarbetet som isolerat till den egna verksamheten och istället börja betrakta hela leveranskedjans motståndskraft som avgörande.
Med Säkerhetsskyddslagen och den kommande Cybersäkerhetslagen har Sverige tagit viktiga steg i rätt riktning. Dessa regelverk kan bli en drivkraft för förbättring, men bara om de implementeras och följs upp på rätt sätt. För att förbättra säkerheten i praktiken krävs en helhetsstrategi, där varje del av leveranskedjan kan granskas och säkras. För att se till att även de minsta it-leverantörerna i ledet lever upp till säkerhetskraven behövs följande:
- Företag och organisationer måste ställa tydliga krav vid inköp av it-tjänster, och göra egen due diligence vid val av leverantörer.
- Myndigheter och större företag behöver säkerställa att mindre leverantörer får den vägledning och de resurser de behöver för att bygga upp sina säkerhetsrutiner.
I en osäker tid med krig i Europa och Mellanöstern, där organiserad cyberkrigföring har blivit allt vanligare, har Sverige inte råd att stå passivt. För att främja digital säkerhet för företag och organisationer måste vi göra det som krävs för att minska gapet i säkerhetsmognad bland företag. För detta behövs konkreta stödåtgärder.
Alternativet är att fortsätta spela rysk roulett med Sveriges it-säkerhet. Frågan är: har vi råd att ta den risken?
