Inga produkter i varukorgen.
Branschveteranen ger ut bok om cybersäkerhet: ”Det vanligaste misstaget är…”
cybersäkerhet Frågan om säkerhet fortsätter att prägla många diskussioner om det framtida it-landskapet. En som anser att det är en av de mest avgörande frågorna för både individer och företag är Dan Lundberg, ägare och grundare för Svensk Säkerhetsutbildning.
Dan Lundberg / Foto: Privat & Adobe Stock
Dan Lundberg har över 40 års erfarenhet av teknik och säkerhetsbranschen. Resan började redan på 1980-talet, när datorer fortfarande sågs som något futuristiskt.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
– Jag köpte min första PC 1990, och sedan dess har jag arbetat med allt från nätverk och datasystem till lednings- och säkerhetsfrågor. Under åren har jag sett hur digitaliseringen förändrat samhället i grunden och hur beroende vi har blivit av teknik som både måste fungera men framför allt vara trygg, säger Dan Lundberg till Techtidningen.
Vägen in i cybersäkerhet kom inte via ett plötsligt spårbyte, utan växte snarare fram ur praktiskt arbete i gränslandet mellan nät, drift och säkerhet.
– Det som fick mig att fokusera helhjärtat på cybersäkerhet var egentligen en ganska enkel insikt: hoten har blivit betydligt mer sofistikerade, samtidigt som kunskapen hos många verksamheter inte hängt med utvecklingen. Jag ville bidra till att öka förståelsen, framför allt hos dem som står längst fram i vardagen och behöver skydda sig själva, sina kunder och sin verksamhet, säger han.
Röda tråden i arbetet
En röd tråd i Lundbergs arbete är att reda ut begreppen, inte minst skillnaden mellan it-säkerhet och cybersäkerhet, som ofta blandas ihop.
– It-säkerhet handlar traditionellt om att skydda tekniksystem såsom servrar, nätverk, datorer och mjukvara. Cybersäkerhet är bredare, det handlar om hela det digitala ekosystemet. Att implementera cybersäkerhet i organisationen är precis lika viktigt som att installera ett brand- och inbrottslarm i sin verksamhet, säger han.
I det lägger han in både teknik, människor, processer och hur allt hänger ihop: från dataintrång och ransomware till social manipulation, informationspåverkan och fysisk påverkan på digital infrastruktur.
– Cybersäkerhet är alltså människorna lika mycket som maskinerna, medan it-säkerhet är tekniken inom cybersäkerheten. Det är där många går fel: man tror att man har ”cybersäkerhet” på plats när man egentligen bara jobbar med it-säkerhet.
Fakta
Checklista för cybersäkerhet/analys från Svensk Säkerhetsutbildning – Del 1
1. Gör en cybersäkerhetsanalys och riskbild
- Kartlägg hot, sårbarheter och mest skyddsvärda tillgångar.
- Skapa riskregister och 30–60–90-dagars åtgärdsplan.
2. Höj medvetenhet och utbildning
- Återkommande phishingövningar, mikroutbildningar och rollbaserad träning.
- Uppmuntra incidentrapportering och etablera en säkerhetskultur.
3. Stärk integritet och dataskydd
- Dataminimering, gallring, DPIA vid nya system.
- Rutiner för registerutdrag, radering och skydd mot näthat och dataläckor.
4. Säkra grundläggande IT-hygien
- Patching, säkra grundkonfigurationer, MFA, lösenordshanterare.
- Backup enligt 3-2-1, kryptering, MDM och minsta möjliga behörighet.
5. Skydda mot cyberattacker
- E-post/webbfiltrering, nätverkssegmentering, EDR/antivirus.
- Penetrationstester, SIEM-loggning och en tydlig incidenthanteringsplan.
6. Molnsäkerhet och leverantörer
- Minsta behörighet i moln-IAM, API-skydd, loggning, nyckelhantering.
- Kravställning vid outsourcing, inklusive avtal, SLA och revision.
7. Skydda industriella system och kritisk infrastruktur
- Inventera OT/IoT, segmentera nätverk och begränsa fjärråtkomst.
- Säker USB-hantering, redundans i el/kommunikation och manuella driftlägen.
8. Fysisk och organisatorisk säkerhet
- Passerkontroll, besöksrutiner, renskrivbord, kassering av media.
- Säkerhetsprövning av personal och kontinuitetsplanering.
9. Förebygg insiderhot
- Åtkomstrecensioner, avvikelseanalys, tydlig offboarding, separata adminkonton.
- Loggning, UBA/övervakning och visselblåsarfunktion.
10. Incidentberedskap och kontinuerlig förbättring
- Färdiga rollkort, scenariomanualer, forensisk beredskap.
- Regelbundna övningar, uppdatering av policys, hotbevakning och löpande tester.
“Målet är att ge praktiska verktyg och tydliga steg”
För att göra området mer begripligt har Dan Lundberg skrivit en bok om cybersäkerhet, Cybersäkerhet – En praktisk handbok för säkrare samhälle, riktad både till nybörjare och mer erfarna. Han bedriver även en onlinekurs som heter ”Digitalt självförsvar” som är baserad på boken.
– Boken är skriven för att göra cybersäkerhet lättbegriplig och konkret, inte bara för tekniknördar. Målet är att ge praktiska verktyg och tydliga steg att följa, inte bara tekniska teorier. Den kan användas av kommuner, företag och privatpersoner och är byggd som en handbok man kan slå i när behov uppstår, säger han.
En central del i boken är en checklista som hjälper organisationer att komma igång strukturerat. Den kretsar kring främst några huvudområden:
- Förstå riskerna och vad som faktiskt ska skyddas
- Etablera grundläggande säkerhetsrutiner och ansvarsfördelning
- Arbeta med utbildning och medvetenhet hos medarbetare
- Säkerställa tekniska skydd och uppdateringar
- Ha tydliga rutiner för incidentrespons och rapportering
– Var ska man börja? Kort sagt: med analysen. Se vilka sårbarheter ni har och vilken data som är viktigast att skydda. Checklistan är just tänkt som ett stöd för att ta fram den analysen men också för att visa hur man kan skydda det som verkligen är värt att skydda, säger han.
Återkommande brister och en vanlig stoppkloss
Trots regelverk, ramverk och riktlinjer återkommer samma mönster ute i verksamheterna.
– Det vanligaste misstaget är att tro att cybersäkerhet är ett projekt och inte ett kontinuerligt arbete. Många köper en lösning, gör en utbildningsinsats eller genomför en teknisk förbättring och tror att det räcker.
– Det är tyvärr ofta företagsledningen som gör att det blir en stoppkloss för att man ska implementera cybersäkerhet i verksamheten. Man förstår inte vikten att vara proaktiv och ligga före antagonisterna och inte vara reaktiv då det kommer att kosta mycket mer ekonomiskt, huvudbrymässigt och varumärkesmässigt (förtroendet för organisationen) som kan resultera i kundförluster och möjliga juridiska stämningar.
Därutöver ser han några återkommande brister:
- fokus hamnar på teknik – men man glömmer människorna
- otydligt ansvar – ingen ”äger” frågan
- man övar aldrig på incident- eller kontinuitetshantering
- man väntar tills något händer i stället för att agera i förväg
– Cybersäkerhet är ungefär som kondition. Du måste träna regelbundet – inte bara köpa träningsskor.
Fakta
Checklista för cybersäkerhet/analys från Svensk Säkerhetsutbildning – Del 2
1. Svaga lösenord och dåliga lösenordsvanor
- Använd unika, långa och slumpmässiga lösenord.
- Sluta återanvända lösenord och sluta spara dem i webbläsaren.
2. Ingen lösenordshanterare eller felaktig användning
- Ta i bruk en lösenordshanterare och använd den för både lagring och säker delning.
3. Brist på stark autentisering
- Aktivera MFA på alla viktiga konton.
- Byt från SMS-kod till app-baserad MFA när det går.
4. Hög risk för phishing och social manipulering
- Klicka inte på länkar eller bilagor utan kontroll.
- Verifiera avsändare, var skeptisk och dela mindre på sociala medier.
5. Utdaterade enheter och saknade uppdateringar
- Aktivera automatiska uppdateringar.
- Undvik gamla enheter utan säkerhetsstöd.
- Installera endast appar från betrodda källor.
6. Osäkra nätverk och öppna Wi-Fi-anslutningar
- Använd VPN vid behov.
- Skapa separat gästnätverk.
- Byt standardlösenord på smarta hem-enheter.
7. Ingen eller bristfällig backup
- Ha minst två backupper: lokal + moln.
- Testa återställningen regelbundet.
8. Svagt integritets- och identitetsskydd online
- Dela inte personuppgifter i onödan.
- Strama åt integritetsinställningar.
- Begränsa appars tillgång till plats, kamera och mikrofon.
9. Osäkra betalningsrutiner
- Spara inte kortuppgifter överallt.
- Använd virtuella kort eller säkra betalningslösningar.
- Aktivera transaktionsnotiser från banken.
10. Avsaknad av plan och rutiner för incidenter
- Ha en plan för kapade konton och andra incidenter.
- Dela säkerhetsrutiner med familj och närstående.
Proaktivt arbete mot bedrägerier och social engineering
När allt fler angrepp börjar med en människa som klickar på fel länk eller godkänner fel betalning, blir arbetet mot social engineering centralt.
– Det handlar om rutin, träning och kultur. Du måste bygga beteenden, inte bara installera system, säger han.
Han lyfter några nyckelfaktorer:
- regelbunden utbildning och påminnelser
- en kultur där det är okej – till och med uppmuntrat – att fråga innan man klickar
- tydliga rutiner för att verifiera betalningar, ändrade kontonummer och ovanliga begäranden
- träning med simulerade attacker och övningar
- att hålla sig löpande uppdaterad om aktuella bedrägerityper
– Kunskap och beteende är faktiskt starkare än någon brandvägg när det gäller social manipulation. En medarbetare som vågar vara skeptisk stoppar fler attacker än vilken teknisk lösning som helst.
“Den som väntar och hoppas blir sårbar”
I boken tar Dan Lundberg också upp AI och kvantdatorer som en del av framtidens hotbild.
– AI ökar tempot och skalan på cyberhot dramatiskt. Det blir enklare att skapa trovärdiga phishingförsök, automatiska attacker och manipulerat innehåll. Samtidigt kommer AI också vara vårt viktigaste försvar. Därför måste vi förstå båda sidor, säger han.
Kvantdatorer befinner sig längre fram i tiden, men är inget man helt kan ignorera redan idag.
– Kvantdatorer har potential att knäcka dagens krypteringsmetoder. Företag behöver åtminstone följa utvecklingen och se till att system man bygger nu kan migrera till framtida krypteringsstandarder. Det är inte något som ska skapa panik, men det är något man bör planera för.
När Dan Lundberg får frågan om vilket råd han skulle ge svenska organisationer inför 2026, landar han i ett återkommande tema: systematik.
– Börja jobba systematiskt redan nu. Gör cybersäkerhet till en naturlig del av vardagen – inte ett sidoprojekt. Bygg kompetens, etablera rutiner, öva på incidenthantering och arbeta kontinuerligt med att höja medarbetarnas medvetenhet, säger han.
Skillnaden mellan de som klarar sig bra och de som inte gör det handlar sällan om tur.
– Den organisation som tränar innan stormen kommer står betydligt stadigare. Den som väntar och hoppas blir sårbar.
