Färre rapporterade cyberangrepp – men hotbilden växer globalt

Rapporten från Myndigheten för civilt försvar bygger på 266 incidenter från 95 organisationer.

Antalet rapporterade incidenter minskade under året, liksom antalet organisationer som rapporterar. Nedgången är särskilt tydlig bland statliga myndigheter, medan rapporteringen från NIS-leverantörer ligger mer stabilt.

Samtidigt bedömer myndigheten att mörkertalet är fortsatt stort.

– Vi ser ju ett mörkertal överlag i inrapporteringen av alla cyberincidenter. Det är såklart bekymmersamt eftersom det försvårar arbetet med att få en överblick av cyberincidenternas utveckling i samhället. Som påföljd försvårar det även framtagandet av anpassade säkerhetsrekommendationer, säger Erika Hersaeus, som är senior cybersäkerhetsanalytiker på MCF, till Techtidningen.

Den begränsade inrapporteringen gör det svårare att dra säkra slutsatser om hur stor andel av incidenterna som faktiskt utgörs av cyberangrepp.

Tekniska fel dominerar incidenterna

Cyberangrepp utgör en mindre del av de rapporterade incidenterna. I stället handlar majoriteten om systemfel, brister i processer eller rena misstag.

Nästan en tredjedel av incidenterna saknar orsaksbeskrivning, men analysen visar att de flesta ändå kan kopplas till tekniska problem. Samtidigt påverkar mer än 80 procent av incidenterna tillgängligheten i it-system.

Rapporten pekar på att cyberangrepp i ökande grad effektiviseras med hjälp av AI. Det gäller bland annat automatisering och skalbarhet i attacker.

För svenska förhållanden saknas dock konkreta exempel.
– Vi har inte analyserat cyberangrepp mot svenska aktörer där AI har använts. Bedömningen att användningen av AI har effektiviserat cyberangrepp bygger både på internationella källor och tidigare analyser, säger Erika Hersaeus.

Leverantörsledet fortsatt en svag punkt

En stor andel av incidenterna är kopplade till leverantörsledet. Nästan hälften av de rapporterade fallen har sitt ursprung hos en extern leverantör, vilket understryker beroendet av gemensam digital infrastruktur.

Ett tydligt exempel är angreppet mot systemleverantören Miljödata 2025, där personuppgifter till över 1,5 miljoner svenskar läckte.

Myndigheten pekar inte ut några särskilt utsatta sektorer framåt, utan beskriver hotbilden som bred.

– Vi har inte gjort en sådan bedömning om vilka sektorer som är mest sårbara. Utifrån de källor som myndigheten har analyserat drar vi slutsatsen att hotaktörer angriper olika sektorer.

I stället varierar exponeringen över tid. Samtidigt lyfts exempel där angrepp riktats mot operativa system inom bland annat tillverkningsindustri och transportsektor.

Tydlig koppling till geopolitik

Rapporten visar att cyberangrepp i många fall sammanfaller med geopolitiska händelser, som val, Nato-processer och pågående konflikter.

Utvecklingen pekar mot att cyberangrepp i allt högre grad används som ett strategiskt verktyg för påverkan.

Mot den bakgrunden betonar myndigheten behovet av ett mer systematiskt cybersäkerhetsarbete. Det gäller både incidentrapportering, riskhantering och omvärldsbevakning.

Vill du läsa rapporten i sin helhet kan du göra det här.