SäkerhetsFokus
Incidenthantering och respons
← Tillbaka till artiklar
Incidenthantering10 min läsning

Incidenthantering: Steg för steg vid cyberattack

De första 60 minuterna efter att en säkerhetsincident upptäckts avgör ofta utfallet. Panik, otydliga ansvarsförhållanden och avsaknad av plan leder till fördröjd respons och förvärrat skadeomfång. En förberedd plan gör skillnaden mellan en kontrollerad hantering och en katastrof.

Fas 1: Förberedelse (innan incidenten)

Incidenthantering börjar långt före incidenten. Utan förberedelse improvisererar du under press — och improvisation under stress leder till misstag.

  • Incidentteam: Utse roller och ansvarsområden i förväg. Teknisk ledare, kommunikationsansvarig, juridisk kontakt och beslutsfattare.
  • Kontaktlista: Aktuella telefonnummer (inte bara e-post — den kan vara komprometterad) till alla i incidentteamet, ledningen, IT-leverantörer, juridisk rådgivare och försäkringsbolag.
  • Kommunikationskanaler: En alternativ kanal om primära system är nere. Signal-grupp, dedikerat telefonnummer, fysisk mötesplats.
  • Dokumentationsverktyg: En loggbok (fysisk eller på en enhet som inte kan påverkas av incidenten) för att dokumentera åtgärder, tidpunkter och beslut.

Fas 2: Identifiering

Identifiera vad som hänt och bedöm omfattningen. Vanliga indikatorer:

  • Ovanlig nätverkstrafik eller systembelastning
  • Medarbetare som rapporterar phishing eller mystiska beteenden
  • Krypterade filer (ransomware)
  • Okända användarkonton eller förhöjda behörigheter
  • Varningar från säkerhetsverktyg (SIEM, EDR, IDS)

Dokumentera allt: tidpunkt för upptäckt, vem som upptäckte det, vilka system som påverkas, initial bedömning av allvarlighetsgrad.

Fas 3: Begränsning

Stoppa spridningen utan att förstöra bevis. Det finns en avvägning: du vill isolera hotet men behöver bevara loggar och forensisk data.

Kortsiktig begränsning: Isolera påverkade system från nätverket (dra inte ur strömmen — stäng av nätverksport). Blockera komprometterade konton. Ändra lösenord för berörda tjänster.

Långsiktig begränsning: Implementera temporära brandväggsregler, patcha sårbarheten som utnyttjats, införa ytterligare monitorering.

Fas 4: Utredning och utrotning

Identifiera rotorsaken. Hur kom angriparen in? Vilka system har berörts? Har data exfiltrerats?

Granska loggar systematiskt: autentiseringsloggar, nätverksloggar, systemloggar och applikationsloggar. Sök efter indicators of compromise (IoC): specifika IP-adresser, filhashar, domännamn eller beteendemönster.

Utrota hotet helt. Patchning av en sårbarhet räcker inte om angriparen har etablerat persistence (bakdörrar, schemalagda uppgifter, modifierade systemfiler).

Fas 5: Återhämtning

Återställ system från verifierade, rena backuper. Verifiera att hotet är eliminerat innan system återansluts till nätverket. Övervaka extra noggrant under de första veckorna efter återhämtning — angripare försöker ofta komma tillbaka.

Fas 6: Efteranalys

En incident utan efteranalys är en bortkastad lärdom. Dokumentera: vad hände, hur upptäcktes det, vad fungerade bra i responsen, vad kan förbättras, och vilka åtgärder implementeras för att förhindra upprepning.

Undvik skuldbeläggning. Fokusera på processer och system, inte individer. En kultur där medarbetare vågar rapportera misstag är det bästa skyddet.

Juridiska skyldigheter

Om personuppgifter berörs: anmäl till IMY inom 72 timmar. Informera berörda registrerade om det finns hög risk för deras rättigheter. Dokumentera allt — även beslutet att inte anmäla, om det är fallet.

Kontakta polisen vid misstanke om brott. Kontakta försäkringsbolaget om du har cyberförsäkring — de kan tillhandahålla incidentresurser.

Sammanfattning

Incidenthantering handlar om förberedelse, inte improvisation. En plan som hela organisationen känner till och har övat på reducerar skadeomfånget och återhämtningstiden dramatiskt.

Läs vår guide om ransomware-skydd för specifika åtgärder mot den vanligaste incidenttypen, och cyberhot mot svenska företag för en bredare hotbild.