Nyligen presenterades rapporten Understanding the efficiacy of phishing training in practice. En omfattande studie utförd på 19,500 anställda inom hälso och sjukvården i San Diego. Studiens slutsats har i mediarapporteringen kommit att presenteras som att “Phishing simuleringar inte hjälper.” Problemet med den slutsatsen är att den är alldeles för snäv. Det är inte phishingsimuleringar som är problemet, utan vår oförmåga att täta till glappet mellan människa och maskin och förstå att säkerhet i grunden handlar om organisationskulturen. Det skriver Robert Willborg, cybersäkerhetsexpert på Onemore Secure tillsammans med Per Lagerström, kommunikationschef på Junglemap.
Redaktionen
Uppdaterad: 21 oktober 2025Publicerad: 21 oktober 2025
Robert Willborg, Onemore Secure och Per Lagerström, Junglemap
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Glappet mellan människa och maskin beror i grunden på två olika logiker. Där teknik handlar om mätbara kontroller i verktyg och loggar. Medan organisation handlar om beteenden, beslut och värderingar i vardagen. När de inte hänger ihop uppstår ett systemiskt glapp. Ett glapp som dessutom riskerar att vidgas av att digitalisering går snabbare än styrning, att ansvar är fragmenterat och att cyberhot är abstrakta, vilket gör att hoten inte tas på allvar.
Den digitala trygghetsparadoxen
Vi förlitar oss på system vi inte fullt förstår. Vardagen känns trygg “för att allt fungerar”, samtidigt som beroenden gör oss sårbara. Människan väljer ofta bekvämlighet; organisationer optimerar för effektivitet snarare än robusthet. Teknik och processer saknar effekt utan psykologisk förankring. Vi behöver utforma dem så att de harmonierar med människors vanor, tidsbrist och sociala drivkrafter – så det blir lätt att göra rätt.
ANNONS
Här måste vi skifta fokus. När det gäller tekniken behöver vi gå från ren kontroll till adaptiva mönster som tar hänsyn till faktisk användning. Vi behöver komplettera regler med lärande och delaktighet. Även om awareness är viktigt behöver vi skapa skapa förståelse och mening, inte bara “medvetenhet” om riskerna.
Allt detta behöver mynna ut i ett nytt synsätt på systemnivå: vi måste se säkerhet som en relation mellan teknik, process och människa.
Praktiska hävstänger
Det finns ett antal praktiska nycklar eller hävstänger att ta till för att få fart på det säkerhetsarbetet.
Identiteten först: standardisera phishing-resistent MFA och passkeys. Det ger mindre lösenordsberoende förändrar riskprofilen i vardagen.
Modern lösenordspolicy: långa passfraser och screening mot läckta lösenord. Så undviks onödig lösenords-rotation.
Hjälp i stunden: Med tydliga varningar, säkra standardval och korta förklaringar när beslut tas. Ge snabb feedback efter simuleringar och incidenter.
Allt det här handlar i grunden om något som brukar callas “just culture” eller rättvis incidentkultur. Det bygger på att belöna tidig rapportering, korrigera oaktsamhet, sanktionera avsiktliga övertramp – allt för synlighet och lärande. Lika viktigt är att öva samspelet med korta, återkommande tabletop-övningar för lägesbild, beslutsvägar och informationsdelning.
Säkerhet by default
Vi måste bli bättre på att ställa krav även i upphandlingar. Att kräva att leverantörer levererar phishing-resistent autentisering, bra varningsflöden och robust loggning som standard. För att följa upp den här typen av upphandlingar krävs det också att vi mäter det som spelar roll. Att vi fokuserar på beteenden och beslut: andel konton med phishing-resistent MFA/passkeys, median tid från observation till rapport, blockerade inloggningar via läckta lösenordslistor, och hur användare reagerar på riskvarningar.
Då får vi en rätt mängd nyckeltal, som dessutom handlar om väldigt konkreta saker – precis det som en ledning behöver kunna följa och förstå – för att i sin tur ta ansvar för säkerheten i organisationen.
Gör rätt saker i rätt ordning
Börja med att aktivera passkeys/MFA för högriskkonton och SSO-appar, uppdatera lösenordspolicyn, inför just-in-time-varningar i e-postlänkar/extern delning/makron, etablera Just Culture-principer och en lågtröskelkanal för rapporter, avsluta med en tabletop om lägesbild och beslutsrätt.
På sikt behöver vi gå mot en digital vardag fritt från lösenord. Om MFA är dagens bas behöver målet vara att gradvis övergå till passkeys. Planera broar för äldre system, säkra återställning och fallback och ge stöd i nya inloggningsflöden. Följ adoption, felutfall och supporttryck.
När en undersökning som den i San Diego konstaterar att phishingsimulering och awareness träning “inte fungerar” är det ett mycket snävt perspektiv. Rätt utnyttjat och designat kan phishingsimulering och awareness utbildning spela en stor roll i skapandet av en säkerhetskultur. Men i grunden handlar det om att stänga glappet genom samskapad trygghet: bygg teknik människor vill använda, processer som hjälper i stunden och en kultur som tränas, mäts och förbättras. Då blir säkerhet en levande överenskommelse om ansvar och tillit – inte bara ett regelverk eller en kampanj nån gång om året.
Robert Willborg, cybersäkerhetsexpert Onemore Secure Per Lagerström, kommunikationschef Junglemap.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
