AI gör cyberangrepp snabbare, billigare och mer skalbara. Ändå behandlas cybersäkerhet fortfarande i många svenska företag som en fråga för IT-avdelningen. Det är inte bara föråldrat. Det är ett ledningsfel. Det menar Emanuel Lipschütz, cybersäkerhetsexpert på Cyber Defencely.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Det som förändras nu är inte bara tekniken, utan angriparens ekonomi. När arbetet med att hitta, analysera och utnyttja svagheter går snabbare, kostar mindre och kan skalas upp, förändras hotbilden i grunden. Det som tidigare krävde högt specialiserade aktörer blir mer tillgängligt, mer automatiserat och mer operativt användbart.
När Anthropic bedömer att en ny modell är så kapabel inom cyberområdet att den inte bör göras generellt tillgänglig, då är det inte en teknisk detalj. Det är en strategisk varningssignal.
Jag har arbetat med cybersäkerhet i nära 30 år och sett flera stora teknikskiften. Den som avfärdar detta som ett marknadsknep missar det viktigaste. Tidigare modeller har redan visat samma riktning: bättre förmåga att hitta svagheter, resonera kring angreppsvägar och omsätta analys i handling. Skillnaden nu är att signalerna blivit så tydliga att de inte längre går att bortförklara.
När jag talar med svenska ledningar möter jag fortfarande samma reflex: att avancerade sårbarheter hör hemma hos underrättelsetjänster, cyberkriminella elitgrupper eller världens mest sofistikerade angripare, men inte i den egna vardagen. Det är en bekväm föreställning. Den är inte längre sann.
Enligt Anthropic finns exempel där deras modell hittade allvarliga säkerhetsbrister i mogen och välanvänd programvara, brister som funnits kvar i åratal trots omfattande granskning och testning. Modellen visade också ökad förmåga att inte bara identifiera svagheter utan att faktiskt exploatera dem.
Ja, underlaget kommer från ett AI-labb självt. Men det förändrar inte kärnfrågan. När en ansvarstagande aktör öppet signalerar att den här typen av kapacitet nu finns måste varje seriös styrelse utgå från att hotbilden förändras snabbare än den egna organisationen. Allt annat vore oansvarigt.
Detta är heller inte något som bara ett enskilt AI-bolag varnar för. Brittiska National Cyber Security Centre (NCSC) konstaterade i maj 2025 att AI nästan säkert kommer att göra cyberintrång mer effektiva och öka både frekvensen och intensiteten i cyberhoten. NCSC bedömer också att hotaktörer redan använder AI för rekognosering, sårbarhetsforskning, exploitutveckling, social engineering och enklare malwareutveckling.
Det här är därför inte längre en fråga om teknisk fördjupning. Det är en fråga om bolagsstyrning. Styrelsen behöver inte förstå varje angreppskedja, varje teknikskifte eller varje sårbarhetsklass. Men den måste förstå vad det betyder när angriparen får högre tempo, lägre kostnad och större räckvidd. Den måste förstå vad det betyder för affärsrisk, driftstabilitet, regelefterlevnad, kundförtroende och ansvar.
Frågorna som behöver ställas är därför inte tekniska i första hand, utan strategiska. Hur ser vår verkliga exponering ut? Vilka delar av verksamheten skulle få störst konsekvenser om de slogs ut eller utnyttjades? Vilka incidenter kräver omedelbar eskalering till ledning och styrelse?
För många verksamheter är detta dessutom inte bara en fråga om god styrning, utan redan ett uttryckligt ansvar. Den nya cybersäkerhetslagen, som genomför NIS2 i Sverige, kräver lämpliga och proportionerliga cybersäkerhetsåtgärder under ledningens ansvar. För finansiella verksamheter som omfattas av DORA är det yttersta ansvaret för IKT-risk uttryckligen lagt på ledningsorganet.
Det betyder att försvaret måste byggas för tempo. Organisationer som möter maskintempo med manuella processer kommer att reagera för sent.
Ytterst landar allt i samma fråga: vem äger risken, vem godkänner åtgärdsplanen och vem avgör när en incident ska eskaleras omedelbart? Om svaren är otydliga är problemet inte i första hand tekniskt. Då är problemet ledningsmässigt.
Den digitala infrastruktur som finns idag byggdes i en tid då jakten på avancerade sårbarheter i praktiken var förbehållen en liten och högspecialiserad elit. Den tiden är över.
Frågan är inte om hotet förändras. Frågan är om styrelsen agerar innan bolaget får betala priset.
Emanuel Lipschütz
Cybersäkerhetsexpert på Cyber Defencely
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
