Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreierszsizvcwqjnl2oovqfdd2cooelhfddqheoc5yqh56bwfvjck4i",
    "uri": "at://did:plc:tsmoh4imc7gdynr5nxbonvxz/app.bsky.feed.post/3mhc5c2cctdk2"
  },
  "path": "/posts/alla-har-en-hot-bild-fa-har-en-som-driver-beslut/",
  "publishedAt": "2026-03-17T09:30:21.000Z",
  "site": "https://cstromblad.com",
  "tags": [
    "Svenska Kraftnäts öppna hotbild",
    "Trafikverkets öppna hotbild",
    "Post- och Telestyrelsens öppna hotbild"
  ],
  "textContent": "_Om den tvådelade hotbilden och varför din verksamhet behöver både kunskap om det generella hotlandskapet och en organisatorisk hotbild._\n\n## Dimensionering av cybersäkerhet\n\nGenom åren av arbete med cybersäkerhet har en princip vuxit sig allt starkare som jag tycker borde vara självklar, men som i praktiken sällan efterlevs:\n\n> **Cybersäkerhet ska dimensioneras utifrån hotbilden, inte utifrån ramverk.**\n\nDet betyder inte att ramverk som ISO 27001 eller NIST CSF saknar värde. De ger struktur, gemensamt språk och en baslinje att utgå ifrån. Men de beskriver _vad_ man bör göra utan att förklara _varför_ just dessa åtgärder är viktiga för just din verksamhet. Ramverken är generiska av nödvändighet. Din hotbild borde inte vara det. (Ja ja, jag vet att det är riskhanteringen som ska resultera i val av åtgärder…)\n\nGör ett experiment. Leta upp ett ramverk, valfritt. Och så försöker du klura ut hur många åtgärder som kopplas till vilka typer av hot. Du kommer då se att det inte finns sådana kopplingar överhuvudtaget, trots att det borde vara det som avgör vilka kontroller du prioriterar, hur du dimensionerar dem och var du ska lägga dina resurser.\n\nJu mer abstraktion vi introducerar i säkerhetsarbetet, desto längre tid kommer vi att spendera utan åtgärder. Ramverk, policies, riskmatriser och styrningsmodeller är nödvändiga, men de får aldrig bli ett substitut för den grundläggande frågan: _vilka hot står vi faktiskt inför, och vad gör vi åt dem?_\n\nKort och gott: en CISO borde när som helst kunna plocka fram två dokument. Det ena beskriver hotlandskapet som verksamheten verkar i. Det andra beskriver vilka specifika hot som är relevanta för just den egna organisationen. Kan du/din/er CISO det idag?\n\n## Begreppet hotbild\n\nBegreppet “hotbild” förekommer ofta i säkerhetssammanhang, men det saknar en entydig och vedertagen definition. Det används för att beskriva allt från geopolitiska analyser till tekniska sårbarhetsbeskrivningar, och resultatet blir att olika organisationer menar helt olika saker när de säger att de “har en hotbild”.\n\nDetta kanske uppfattas som någon slags semantisk övning, men att vi saknar en gemensam förståelse för vad en hotbild faktiskt ska innehålla leder till att vi producerar dokument som ingen agerar på. Hotbilder som är så generella att de kunde gälla vilken organisation som helst. Hotbilder som presenteras för ledningen en gång om året och sedan samlar damm.\n\nOm vi tittar på hur begreppet används i praktiken ser vi en stor spännvidd. Svenska Kraftnäts öppna hotbild fokuserar på den totala antagonistiska hotbilden mot energisektorn, as they should. Trafikverkets öppna hotbild beskriver hot mot transportsektorn. Post- och Telestyrelsens öppna hotbild beskriver hotbilden för telekommunikationssektorn.\n\nDessa dokument fyller en viktig funktion, men de stannar ofta på en övergripande nivå och det är ju där de behöver vara… men beskrivningarna av hotlandskapet ger sällan insikter om vad som möjliggjort lyckade angrepp eller vilka åtgärder som faktiskt fungerat mot specifika hot.\n\nSå vad borde en hotbild vara? I grunden är den en strukturerad beskrivning av vilka hot som är relevanta för en specifik verksamhet vid en given tidpunkt. Den bör besvarar tre kärnfrågor: _Vem_ kan tänkas angripa oss? _Varför_ skulle de vilja det? Och _hur_ skulle de gå tillväga?\n\nLika viktigt är vad en hotbild _inte_ är. Den är inte en sårbarhetsanalys, som beskriver dina egna svagheter. Den är inte en riskanalys, som väger samman hot, sårbarhet och konsekvens. Och den är inte en incidentrapport, som beskriver vad som redan hänt. Hotbilden är framåtblickande och handlar om aktörerna och deras värld, inte om dina system.\n\n## Hotbildens två dimensioner\n\nI den här delen beskriver jag vad som kanske skulle kunna sägas vara kärnan av artikeln. Jag menar att en användbar hotbild behöver bestå av två distinkta dimensioner: en grundläggande hotbild och en organisatorisk hotbild. De fyller olika syften, har olika mottagare och driver olika typer av åtgärder.\n\nDen grundläggande hotbilden beskriver hotlandskapet i stort. Den organisatoriska hotbilden filtrerar det landskapet genom din verksamhets specifika kontext och identifierar vad som är relevant för just dig. Vissa nämner denna mer specifika del “hotprofil”. Utan den grundläggande saknar du kontext. Utan den organisatoriska saknar du relevans. Du behöver båda.\n\n## Den grundläggande hotbilden\n\nDen grundläggande hotbilden svarar på frågan: _vilka typer av angrepp kan en verksamhet utsättas för, oaktat verksamhetens art?_\n\nDet handlar om att förstå hur hotlandskapet ser ut i stort. Vilka typer av hotaktörer är aktiva och hur ser deras ekosystem ut? Statliga aktörer, organiserad cyberbrottslighet med sina ransomware-as-a-service-modeller och initial access brokers, hacktivister, opportunistiska angripare. Vilka metoder och angreppsvektorer dominerar? Phishing, sårbarhetsutnyttjande i exponerade tjänster, credential abuse, supply chain-angrepp. Vilka trendbrott ser vi? Nya tekniker, förändrade affärsmodeller bland kriminella grupper, skiften i hur initial åtkomst säljs och köps.\n\nJa, den grundläggande hotbilden är alla dessa “threat landscapes” vi kan läsa ofta i början av varje år.\n\nDen grundläggande hotbilden kan i stor utsträckning byggas på öppna källor. Årsrapporter från ENISA, Mandiant, CrowdStrike och Recorded Future. Publikationer från CERT-SE, NCSC och andra nationella cybersäkerhetscentra. Branschrapporter och akademisk forskning. Den kan, för att uttrycka det enkelt, köpas på stan. Det krävs ingen hemlig information för att förstå att ransomware-grupper utnyttjar exponerade RDP-tjänster eller att infostealers har blivit en industrialiserad marknad.\n\nOch här är en viktig poäng: de åtgärder som den grundläggande hotbilden driver skiljer sig i sak inte särskilt mycket mellan organisationer. Multifaktorautentisering. Patchhantering. Nätverkssegmentering. Loggning och övervakning. Härdning av exponerade tjänster. Utbildning och medvetandehöjning. Det är baslinjeskyddet, den grundläggande hygienmässiga nivån som alla behöver oavsett vem de är. Ramverken beskriver i princip samma sak, men utan att förklara _varför_ dessa åtgärder är prioriterade. Den grundläggande hotbilden ger det “varför”.\n\n## Den organisatoriska hotbilden\n\nOm den grundläggande hotbilden beskriver världen, så beskriver den organisatoriska hotbilden _din plats i den världen_. Det är här hotbildsarbetet går från generellt till specifikt, och det är här det verkliga värdet uppstår.\n\nDen organisatoriska hotbilden svarar på frågan: _vilka hotaktörer har resurser, motiv och förmåga att angripa just vår verksamhet?_\n\nDet innebär att man tar det generella hotlandskapet och filtrerar det genom verksamhetens specifika kontext. Vilken sektor verkar du i, och vilka aktörer har visat ett särskilt intresse för den sektorn? Vilken teknisk miljö har du, och finns det kända aktörer som utnyttjar sårbarheter i just de produkter du använder? Hur ser din leverantörskedja ut, och vilka av dina leverantörer har privilegierad åtkomst till dina system eller data?\n\nDen grundläggande hotbilden konstaterar att statliga aktörer bedriver cyberspionage och att de ofta riktar sig mot kritisk infrastruktur. Den organisatoriska hotbilden för ett svenskt energibolag identifierar specifika aktörskluster, exempelvis grupper kopplade till rysk underrättelsetjänst, som har dokumenterad historik av att angripa europeiska energibolag med specifika verktyg och tekniker. Den mappar dessa aktörers kända TTP:er mot bolagets faktiska tekniska miljö och identifierar var överlappen finns.\n\nDen grundläggande hotbilden konstaterar att supply chain-attacker är en växande trend. Den organisatoriska hotbilden kartlägger att bolagets SCADA-leverantör nyligen var föremål för en riktad kampanj, att en specifik mjukvarukomponent i driftmiljön har en känd sårbarhet som aktivt utnyttjas, och att en av bolagets IT-tjänsteleverantörer har bred åtkomst till interna system utan tillräcklig övervakning.\n\nDet är i det filtreringssteget, från generellt landskap till organisatorisk relevans, som hotbilden går från att vara en beskrivning av världen till att bli ett beslutsunderlag.\n\n### Vad krävs för att producera den?\n\nDen organisatoriska hotbilden ställer krav som den grundläggande inte gör. Du måste känna din egen miljö. Det låter självklart, men i praktiken upplever jag att många organisationer saknar en komplett och aktuell bild av sin tekniska miljö, sina tillgångar och sina leverantörsberoenden. Utan den kunskapen blir den organisatoriska hotbilden gissningar i finare förpackning.\n\nDu behöver också tillgång till kvalificerad cyber threat intelligence personal (eller konsulter) som kan göra aktörsanalys och mappning mot din specifika kontext. Det kan vara intern kompetens, sektorsspecifik informationsdelning genom ISAC:er, eller kommersiella CTI-tjänster. Och du behöver en process för löpande uppdatering, eftersom den organisatoriska hotbilden åldras snabbare än den grundläggande. En ny sårbarhet i en produkt du använder, en ny kampanj mot din sektor, en förändring i din leverantörskedja: allt detta kan förändra din organisatoriska hotbild på kort tid.\n\nDet finns också en viktig fallgrop att vara medveten om. Den organisatoriska hotbilden kan ge en illusion av fullständighet. “Vi har kartlagt de relevanta aktörerna” kan leda till att man underskattar det oväntade. Den grundläggande hotbilden fungerar då som en påminnelse: det finns ett bredare hotlandskap bortom det vi specifikt har identifierat som relevant för oss. De två dimensionerna balanserar varandra.\n\n## Från hotbild till handling\n\nEn hotbild som inte påverkar beslut är ett dokument, inte ett verktyg. Så hur kopplar de två dimensionerna till det praktiska säkerhetsarbetet?\n\nDen grundläggande hotbilden driver dimensioneringen av baslinjeskyddet. Den ger svaret på varför organisationen behöver multifaktorautentisering, varför patchhantering av exponerade tjänster måste prioriteras, varför nätverkssegmentering inte är valfritt. Den ger CISO:n argumenten för att förklara för ledningen att dessa investeringar inte är teoretiska utan hjälper mot konkreta och dokumenterade angreppsmetoder som används idag.\n\nDen organisatoriska hotbilden driver prioritering och precision. Om din hotbild visar att ett specifikt aktörskluster aktivt utnyttjar en sårbarhet i en produkt du kör i din driftmiljö, då har du ett beslutsunderlag som inget ramverk i världen kan ge dig. Den organisatoriska hotbilden styr vilka detektionsregler din SOC ska prioritera, vilka scenarier dina penetrationstester och red team-övningar ska bygga på, vilka krav du ställer på dina leverantörer och vilka risker du eskalerar till ledningen.\n\nI riskhanteringsprocessen utgör hotbilden en av tre fundamentala komponenter. Risk är i grunden en funktion av hot, sårbarhet och konsekvens. Hotbilden levererar den första komponenten: en kvalificerad bedömning av vilka hot som är relevanta och troliga. Sårbarhetsanalysen identifierar var organisationen är exponerad. Konsekvensbedömningen värderar vad som står på spel. Utan hotbilden saknar riskbedömningen sitt viktigaste ingångsvärde, och man tvingas antingen analysera allt (vilket är omöjligt) eller gissa sig till vad som är relevant (vilket är farligt) men tyvärr också alldeles för vanligt.\n\n## Att komma igång\n\nAlla organisationer befinner sig inte på samma mognadsnivå, och det är helt i sin ordning. Det viktiga är att börja, och att börja rätt.\n\nOm din organisation inte har en dokumenterad hotbild idag, börja med den grundläggande. Den kan byggas på öppna källor och kräver inte hemlig information eller avancerad CTI-kapacitet. Sammanställ vad som är känt om det aktuella hotlandskapet, vilka typer av hotaktörer som är aktiva, vilka metoder som dominerar och vilka trender som syns. Använd det som underlag för att validera och prioritera ert befintliga skydd.\n\nNär den grundläggande hotbilden finns på plats, börja bygga förutsättningarna för den organisatoriska. Kartlägg er tekniska miljö. Förstå era leverantörsberoenden. Identifiera vilka aktörer som historiskt har visat intresse för er sektor. Det behöver inte vara perfekt från dag ett, men processen att ställa frågorna är i sig värdefull.\n\nOch framför allt: se hotbilden som ett levande beslutsunderlag, inte som ett dokument som produceras en gång om året för att bocka av en ruta i ett ramverk. Den grundläggande hotbilden kan uppdateras halvårsvis eller årsvis. Den organisatoriska bör ses över kvartalsvis eller när något väsentligt förändras i hotlandskapet eller i er egen verksamhet.\n\n## Avslutningsvis\n\nJag började den här artikeln med påståendet att cybersäkerhet ska dimensioneras utifrån hotbilden. Låt mig nyansera det en aning. Ramverken ger dig strukturen. Hotbilden ger dig riktningen. Du behöver båda, men om du tvingas välja var du börjar, börja med att förstå hoten. Resten följer därifrån.\n\nSå tillbaka till frågan jag ställde i inledningen. Kan din CISO idag plocka fram två dokument: ett som beskriver hotlandskapet och ett som beskriver vilka hot som är relevanta för just er? Om svaret är nej, så vet du var du ska börja.",
  "title": "Alla har en hotbild - Få har en som driver beslut"
}