Du tror inte det händer dig. Det riktar sig väl mot storföretag?
Nej. Svenska småföretag blir attackerade regelbundet. En dag står servern stilla. Allt är krypterat. Ett krav på lösensumma dyker upp på skärmen. Du kan välja: betala eller försöka rekonstruera från backup.
Det här är verkligheten för ungefär ett företag varje vecka i Sverige. Om du inte redan har gjort något åt det — det är dags.
Hur en ransomware-attack faktiskt går till
Det börjar inte med ett virus som smäller in från internet. Det börjar med ett mejl.
En anställd får ett mejl som ser ofarligt ut. En faktura från "leverantören". En uppdaterad lista från "HR". En länk från "banken". Två varianter:
-
Länken leder till en falsk login-sida. Anställden loggar in. Angriparen får lösenordet. Senare loggar de in på riktigt.
-
Bilagan innehåller en macro. En Excel-fil. "Aktivera redigeringsläge," säger den. Det är redan för sent.
Sedan börjar det riktiga jobbet. Angriparen sitter inne i ditt nätverk. Tyst i två veckor. De utforskar. Hittar servern med allt. Kollar vad du säkerhetskopierar. Noterar vem som är admin.
Sen — en fredagmorgon kl 06:00 — aktiveras programmet. Allt på servern krypteras. Varje fil. Varje monterad backup. Varje mappad enhet. På fem minuter är allt borta.
Det är inte en teknisk attack. Det är en affärsprocess som utnyttjar människor och systemfel.
Vad kostar det?
- Driftstopp: Två dagar utan server. 40 timmar. Hur många fakturor skickade du inte?
- Systemåterställning: Du försöker återställa från backup. Men angriparen var smart — de kopplade av backup-målet veckor innan.
- Datakompromiss: De laddade ner kunddata, prislistor och mejlarkiv innan krypteringen. Nu hotar de: "Betala eller vi säljer."
- Rykte: En stor kund får veta att era data inte var säkra.
- Tid: Återställning, utredning, försäkringssamtal. Veckor av arbete.
En genomsnittlig ransomware-attack kostar ett litet företag mellan 300 000 och 1 500 000 kr. Många småföretag klarar inte det.
Vad du gör INNAN det händer
1. Backup — det enda som faktiskt räddar dig
3-2-1-regeln:
- 3 kopior av datan (original + 2 backup)
- 2 olika typer av medium (disk + moln)
- 1 kopia helt frånkopplad från nätverket
Konkret:
- Original på servern
- Backup 1: extern disk som kopplas från när backup är klar
- Backup 2: automatisk molnbackup varje timme (Backblaze, Wasabi, AWS S3)
Kostnad: 500–1 500 kr/mån. Extern disk: 1 500 kr engång.
Viktigt: Testa återställningen minst två gånger per år. Många företag har "backup" som inte fungerar när det brinner.
2. MFA på allt
Om en anställd loggade in med sitt gamla lösenord från 2015 — och angriparen redan hade det från ett dataläckage — spelar lösenordskomplexitet ingen roll.
Med MFA behöver de lösenordet OCH telefonen. Det har de vanligtvis inte.
Gör detta idag:
- Microsoft 365: Aktivera MFA på alla konton
- Google Workspace: Samma sak
- VPN eller remote-åtkomst: MFA
- Kritiska system (bokföring, CRM): MFA
Det tar två dagar att implementera. Anställda gnäller första veckan. Sen glömmer de att det finns.
3. Nätverkssegmentering
Om angriparen är inne i nätverket försöker de nå servern från en vanlig arbetsdator. Segmentering gör det svårare.
Enkelt sätt:
- Servern på eget nätverk, bakom brandvägg
- Backup-målet på eget nätverk — arbetsdatorer kan inte nå det
- Datorer kan inte se varandra utan att gå genom brandväggen
Det kostar en dag att ställa in med de flesta routrar.
4. Awareness-träning
70 procent av ransomware börjar med ett mejl som någon klickar på.
Gör detta: Tre gånger per år — skicka ett falskt phishing-mejl till företaget. Räkna hur många som klickar. Skicka en kort video till dem som nappade.
Ingen stor ceremoni. Bara påminnelser. Microsoft 365 har det inbyggt.
5. EDR — se vad som händer på datorerna
EDR (Endpoint Detection and Response) sitter på varje dator och rapporterar vad som händer. Om ransomware-processen startar och försöker kryptera — EDR ser det och kan stoppa det.
Kostnad: 50–200 kr per dator per månad. För tio datorer: 6 000–24 000 kr/år. En bråkdel av vad en attack kostar.
Läs mer om EDR i vår guide om IT-säkerhet för SMB.
De två viktigaste sakerna
-
Offline-backup är det enda som definitivt räddar dig. Allt annat — MFA, awareness, EDR — är försvar. Viktigt försvar. Men om allt misslyckas är en backup som inte är ansluten till nätverket din enda väg ut.
-
Det är aldrig en teknikfråga. Det är en människofråga. Angriparna vet att säkerhet är svårt. De väntar på att en anställd klickar på en länk. Eller att en admin gör ett misstag. Eller att backup-målet glömdes att frånkopplas.
Börja idag
Vecka 1:
- Sätt upp offline-backup. Börja med servern. Extern disk. Koppla från när backup är klar.
- Aktivera MFA på Microsoft 365, Google eller motsvarande.
Vecka 2:
- Testa återställning från backup.
- Sätt upp ett phishing-test.
Det är inte perfekt. Men det ändrar sannolikheten från "vi är utsatta" till "vi är svåra att attackera."
Ibland är det allt som behövs.
Vi hjälper småföretag att bygga säker IT-drift utan att det tar över allt. Se vad vi erbjuder inom IT-drift och säkerhet.