Vi brukar börja dessa nyhetsbrev med några övergripande säkerhetspolitiska observationer. Just nu känns detta svårt – var börjar man ens? Iran? Grönland? Ukraina? Venezuela? Taiwan? Vi kan konstatera att läget är volatilt och att Kreml sannolikt kan sitta och gnugga händerna i takt med nya världshändelser och politiska utspel som flyttar fokus från kriget i Ukraina.
Kina genomförde vid årsskiftet operation Justice Mission 2025, i princip ett simulerat angrepp på Taiwan – detta dels som ett svar på att USA meddelar att man kommer leverera ett vapenpaket värt 11 miljarder dollar till just Taiwan.
Grönlandssituationen ser för stunden ut att ha lugnat ner sig något, samtidigt som vi nog får leva med att nya utspel kan komma som omkullkastar dagens verklighet.
En konsekvens av den skakiga transatlantiska situationen kan bli att västländer nu vänder sig mer mot Kina i syfte att söka partnerskap, Kanada kungjorde nyligen ett nytt ”strategiskt partnerskap” med Kina och inom kort väntas även Storbritanniens premiärminister Starmer åka till Peking för att diskutera fördjupat ”samarbete”.
SÄPO:s lägesbild
Den 9:e januari gick SÄPO ut med en ny lägesbild där man redogör för en fortsatt förhöjd terrorhotnivå i ett allvarligt säkerhetsläge.
Man skriver vidare att ryska underrättelse- och säkerhetstjänster främst bedriver underrättelseverksamhet, påverkansoperationer och anskaffar teknik. Det finns också ett hot om sabotage från Ryssland riktat mot västs stöd till Ukraina. Sedan den ryska invasionen av Ukraina är Rysslands agerande även utanför konfliktområdet mer riskbenäget och opportunistiskt.
Säkerhetspolisens bedömning är att den ryska säkerhetshotande verksamheten kan komma att öka i omfattning och allvar. Utvecklingen präglas av ett mer offensivt agerande med dold påverkansverksamhet mot europeiska länder, inklusive Sverige.
På AI-fronten allting nytt
I december månads nyhetsbrev utlovade vi lite mer AI-fokus. Vi var nog många som häpnade åt rubriker som spreds i media strax innan jul – ”Försäkringskassans hemliga AI-bot skulle stoppa fusk – men pekade i stället ut oskyldiga mammor och föräldrar i utsatta grupper”, eller ”Arbetsförmedlingen akutstoppar kinesiskt AI-verktyg”.
Vi ska inte göra en djupgrävning i enskilda fall, men i fallet med Arbetsförmedlingen finns det förmodligen ”förmildrande” omständigheter som att just modellen Qwen 3 är vedertagen och att Arbetsförmedlingen driftade AI-plattformen (till stor del i varje fall) på egen IT-infrastruktur. Det finns förstås också oroande delar i detta kopplat till bristande ansvar och riskanalyser, samt det faktum att AI var tänkt att användas till någon form av ”betygssättande” av arbetssökande.
Det vi gärna vill djupdyka i, däremot, är att AI nu är en del av vår vardag och våra yrkesliv. AI kommer valbart i olika former (som i våra webläsare) men AI kommer också i icke-valbara former, såsom inbyggt i operativsystem och andra applikationer.
Oavsett behöver vi ha koll på och kontroll över de AI-tillämpningar vi nyttjar (eller utvecklar för den delen). En rekommendation är att läsa på om EU AI Act som nu rullas ut inom Europeiska Unionen och där tydliga krav ställs på riskbedömning och ”hantering” av AI i våra verksamheter. Vi som jobbar med informationssäkerhet på JSC anser det också viktigt att behandla AI som en informationstillgång och att man utarbetar en AI-policy, klassificerar informationen som AI behandlar, riskbedömer, implementerar rutiner för AI-användning, samt säkerställer att vi får med även dessa delar i incidenthanteringen. Att upprätta ett register över godkända AI-funktioner och att tänka över ansvarsfrågan är även det viktigt, förstås.
Det är också viktigt att poängtera att säkerhetsaspekten inte ska vara ett hinder för att utforska möjligheterna med AI. På JSC arbetar vi väldigt aktivt med att stötta våra kunder på AI-resan, tveka inte att ta kontakt med oss om du undrar över hur AI kan stötta i er verksamhet men förstås också om ni har funderingar kring säkerhetsaspekten. Att kombinera själva nyttjandet med sunda förhållningsregler både till etik och säkerhet är nyckeln. Ta gärna också en titt på vår web om hur vi arbetar med AI i våra kundleveranser här.
Ransomware växer varje år
I början på varje nytt år tar flera säkerhetsbolag fram olika rapporter som ger oss en riktigt bra inblick i utveckling och trender. Vi vill ägna några rader åt detta och sammanfatta de trender som just nu finns kopplat till det mer antagonistiska perspektivet av informationssäkerhetsdomänen.
Luke Connolly som är analytiker på säkerhetsföretaget Emsisoft har skrivit en mycket bra analys kring Ransomware-läget i USA. Även om vi inte befinner oss i just USA så är insikterna intressanta och linjerar väl med hur trenderna i Europa ser ut (mer om det nedan i nyhetsbrevet). Vi kan i rapporten läsa att 2025 blev ett år som visade att ransomwarelandskapet inte följer några enkla eller fasta regler. Trots intensiva internationella insatser mot cyberkriminella nätverk ökade antalet drabbade organisationer kraftigt – och mycket pekar på att utvecklingen fortsätter i samma riktning.
Två av de mest etablerade övervakningsplattformarna – RansomLook.io och Ransomware.live – visar tydligt att 2025 inte innebar någon paus i attackerna.
Båda rapporterar runt 8 000–8 800 offentligt kända offer (i USA) under året. Det är höga siffror, men ändå bara toppen av isberget eftersom merparten av incidenter aldrig offentliggörs. Vi kan redan här konstatera att oavsett källa, så är trenden glasklar, Ransomware fortsätter växa – år efter år.
En av de mest intressanta utvecklingarna är att antalet aktiva ransomwaregrupper ökade i takt med antalet offer. När stora grupper slås ut eller pressas av myndigheter händer följande:
- De splittras i mindre fraktioner
- De byter namn
- De återuppstår i nya konstellationer
- Gamla affiliates(”partners”) flyttar till mer aktiva grupper
Allt detta har under 2025 skapat ett mer decentraliserat ekosystem där ingen aktör dominerar lika kraftigt som tidigare (som exempelvis LockBit gjort om vi går tillbaka ett par år i tiden).
Här på ”hemmaplan” (Sverige) har Truesec släppt sin rapport ”Threat Intelligence Report 2025″. Vi kan direkt i denna se kopplingar till ovan nämnda rapport vilket leder fram till följande fakta: cyberbrottslighet följer globala mönster och statistiken ser alltså relativt likartad ut var i världen vi än befinner oss. Ransomware-angrepp är fortsatt ett stort hot och det är inte konstigt med tanke på vilka pengar denna typ av brottslighet genererar för skurkarna.
Något vi skrivit om tidigare och som fortsätter dyka upp som en trend i denna typ av rapporter är att bovarna flyttar fokus från storföretag och i allt högre utsträckning ger sig på små och medelstora företag.
Truesec slår precis likt Emsisoft fast att antalet aktiva Ransomwaregrupper växte i takt med antalet offer samt att fragmentering, interna konflikter och ökad press från myndigheter ledde till att stora grupper delades upp och återuppstod i nya former.
Vidare skriver man att flera kända grupper som RansomHub, 8Base och BianLian plötsligt slutat publicera nytt material 2025 – ofta i samband med polisoperationer. Men trots att dessa grupper försvann minskade inte antalet attacker. Andra grupper fyllde snabbt tomrummet.
Intressant är att Social engineering tar över som främsta angreppsmetod och flera grupper driver nu intrång som i stor utsträckning baserades på telefonbedrägerier och social manipulation, snarare än tekniska sårbarheter. Dessa angrepp blev både fler och mer sofistikerade – och hotet väntas öka i takt med att AI-genererade röster och deepfakes blir mer tillgängliga.
Myndighetsinsatser har skapat oro, splittring och instabilitet bland cyberkriminella grupper. Men detta har inte lett till färre drabbade. Ransomware är nu:
- mer utspritt
- mer anpassningsbart
- mer beroende av mänskliga misstag
Vad kan vi ta med oss från detta då? Att ha en bra förmåga att skydda sig mot cyberhot fortsätter vara viktigt. Ransomware fortsätter vara ett stort hot även om landskapet vad gäller hotaktörer och deras metoder ändras. Vi har ju också sedan tidigare observerat en trend där skurkarna går mer direkt på utpressningsdelen och inte lägger så stor vikt vid att kryptera information, det innebära alltså att man läser ut information ur IT-miljön för att nyttja detta i utpressningssyfte. Det kräver mindre arbete och uppenbarligen sätter man sig som bov i ett bra förhandlingsläge eftersom denna trend är tydlig.
Glöm inte cybersäkerhetslagen
År 2026 kommer bli ett år där vi kommer fortsätta ha ett dynamiskt (i brist på bättre ord) världsläge och där säkerhetspolitiken även kommer påverka cyberdomänen och med det givetvis våra verksamheter. För vår del på JSC handlar mycket nu om att stötta våra kunder mot efterlevnad av den nya cybersäkerhetslagen som fyller 1 vecka i skrivande stund. Många verksamheter omfattas av lagen och många verksamheter som inte direkt omfattas kommer ändå påverkas då man kommer börja få frågor från intressenter som ställer högre krav. De tillsynsmyndigheter som skal säkerställa att lagen efterlevs rustar nu med personal och metodstöd, föreskrifter tas fram och det ska bli väldigt intressant att följa FRA, MCF och alla tillsynsmyndigheters arbete med att stärka cybersäkerheten i vårt samhälle.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.