DEV Community

Cover image for Ransomware-skydd: praktisk handlingsplan för ditt företag
Jonas Holmberg
Jonas Holmberg

Posted on

Ransomware-skydd: praktisk handlingsplan för ditt företag

#ransomware #skydd #attack #cybersakerhet

För en djupare genomgång, se Teamet på Ddash.

Sådan här skyddar du företaget mot ransomware – Praktisk handlingsplan

Ransomware-attacker kräver snabba beslut och väl planerad beredskap. Denna guide ger dig konkreta steg för att bygga ett försvar och agera rätt om angripet redan har skett.

Steg 1: Inventera vad som måste skyddas

Börja med att kartlägga dina kritiska system och data. Identifiera vilka servrar, databaser och fildelar som skulle orsaka störning om de krypterades. Prioritera efter påverkansgrad – vilka system behövs för att verksamheten ska fungera?

Dokumentera var data lagras: molntjänster, lokala servrar, säkerhetskopior, USB-enheter. Många attacker sprids via säkerhetskopiering, så denna lista är viktig för senare steg.

Checklista – Inventering:

  • [ ] Lista över alla servrar och känslig datalagring
  • [ ] Identifierad kritiska applikationer och beroenden
  • [ ] Dokumenterad dataklassificering (hemlig, intern, offentlig)
  • [ ] Granskad externa integreringar och API-anslutningar

Steg 2: Implementera åtkomstkontroll och säkerhetskopior

Det effektivaste försvaret mot ransomware är åtskilda, offline-säkerhetskopior. En attacker som bara når produktionsmiljön kan inte förstöra kopior som är frånkopplade.

Sätt upp följande:

  • Automatiserade dagliga säkerhetskopior till en separat lagringstjänst
  • Minst en offline-kopia (ej nätverksansluten) veckovis
  • Testad återställningsprocedur varje månad – en säkerhetskopia som aldrig testats är värdelös
  • Begränsad åtkomst till säkerhetskopior (admin-konton, MFA)

För åtkomst: implementera multifaktorsautentisering (MFA) för alla administrativa konton. Ransomware använder ofta stulna lösenord – MFA blockerar attacken redan där.

Checklista – Teknisk försvar:

  • [ ] Automatiserade säkerhetskopior till separat lagringsplats
  • [ ] Minst en offline-kopia veckovis (inte nätverksansluten)
  • [ ] Återställningsprocess testad senaste månaden
  • [ ] MFA aktiverat för alla admin- och e-postkonton
  • [ ] Lösenordshanterare (1Password, Bitwarden) implementerad

Steg 3: Uppdatera och begränsa behörigheter

Outdaterad programvara är en vanlig ingångsväg för attacker. Sätt upp rutiner:

  • Kritiska säkerhetsuppdateringar installeras inom 48 timmar
  • OS och applikationer uppdateras automatiskt där möjligt
  • Gamla eller oanvända system tas ur drift

Implementera principen om minsta behörighet: ingen anställd behöver admin-åtkomst till alla system. En receptionist behöver inte åtkomst till kunddatabasen, och supportpersonal behöver inte redigera ekonomisystem.

Blockera potentiella angreppsvägar:

  • Inaktivera makron i Office-dokument per standard
  • Begränsa körning av PowerShell och skript
  • Blockera suspekt filtyper i e-post (.exe,.zip med skript)

Checklista – Säkerhetskonfiguration:

  • [ ] Säkerhetsuppdateringar för kritiska system: max 48h
  • [ ] Automatiserade uppdateringar aktiverat för OS
  • [ ] Oanvänd programvara och gamla system borttagen
  • [ ] Principen om minsta behörighet implementerad
  • [ ] E-postfilter blockerar suspekta bilagor

Steg 4: Utbilda anställda

70% av ransomware börjar med phishing-e-post. Utbildning sparar mer än teknik här.

Genomför:

  • Månatliga simulerade phishing-kampanjer (sänd falska hotmail-mail, registrera vem som klickar)
  • Årlig säkerhetskurs för all personal
  • Tydliga instruktioner: "Vad ska jag göra om jag ser något konstigt?"

Gör detta enkelt: "Är du osäker – ringa IT innan du klickar." Inte mer komplicerat än så.

Checklista – Medvetenhet:

  • [ ] Alla anställda slutfört grundläggande säkerhetskurs
  • [ ] Simulerad phishing körs varje månad
  • [ ] Resultat från phishing analyseras och följs upp
  • [ ] Tydlig eskalationslinje för misstänkta mail/meddelanden

Steg 5: Bereda för krisen

Trots allt kan en attack hända. Förberedelsen avgör om den tar 2 timmar eller 2 veckor att lösa.

Skapa en beredskapsplan:

  1. Detektera: Sätt upp övervakan för märkliga skrivaktiviteter (många filer ändrade snabbt = attack-signaler)
  2. Stopp: Slå av nätverket från angripna system omedelbar – bättre att en del av verksamheten står stilla än allt
  3. Isolation: Koppla bort angripna datorer innan attacken sprids
  4. Kommunikation: En utsedd person kontaktar IT-support, ledning och eventuellt myndigheter
  5. Återställning: Använd offline-säkerhetskopior

Skapa ett internt dokument med:

  • Telefonnummer till IT-ansvarig, ledning, eventuell säkerhetsbyrå
  • Steg-för-steg instruktioner för vad man gör när attack upptäcks
  • Vilka data som är säkerhetskopiesrad och var

Checklista – Beredskapsplan:

  • [ ] Skriftlig krisplan dokumenterad och tillgänglig
  • [ ] Övervakningssystem aktiverat för attack-signaler
  • [ ] Säkerhetsbyrå eller IT-konsult identifierad för stöd
  • [ ] Telefonlista för IT, ledning och eventuella externa resurser
  • [ ] Jämning plan: återställning från säkerhetskopia öva 2x årligt

Steg 6: Regelbunden granskning

Säkerhet är inte en engångssak. Var tredje månad:

  • Granskar vilka system som fortfarande saknar MFA
  • Kontrollerar att säkerhetskopior fungerar (testa återställning)
  • Uppdaterar behörighetslistan baserat på personalförändring
  • Analyserar rapporter från övervakningssystem

Denna process tar 2-3 timmar men sparar hundratals timmar vid en faktisk attack.

Ransomware-skydd är en kombination av teknik, processer och medvetenhet. Börja med steg 1 och 2 – de ger mest skydd för tiden. Sedan lägg till övriga steg under följande månader.

Steg 7: Segmentera nätverket för begränsad spridning

En angripen dator behöver inte betyda att hela företaget står stilla. Nätverkssegmentering är en teknik som många mindre företag hoppar över – men den är avgörande.

Dela upp nätverket i isolerade zoner: administrativa system, kunddataer, produktionsmiljöer och gästnätverket hör inte tillsammans. En receptionist som fångar ett phishing-mail behöver inte ge angriparen direkt väg till servererummet.

I praktiken:

  • Kunddatabasen ligger på sin egen VLAN (virtuellt nätverk) som begränsar vad en infekterad arbetsstation kan nå
  • Säkerhetskopieringssystemen är helt avskilda – med separate inloggningar och brandvägg
  • Administrativa konton är bundna till en särskild dator, aldrig använd för e-post eller webbutforskning

Ett konkret exempel: Ett litet försäkringsföretag fick ransomware på en medarbetares dator. Utan segmentering hade attacken nått kunddatabasen inom minuter. Med segmentering var skadan begränsad till filresurser för den enskilda avdelningen. Återställningstiden minskade från beräknade 4 veckor till 6 timmar.

Checklista – Nätverkssegmentering:

  • [ ] Administrativa nätverk separerat från användarnas
  • [ ] Säkerhetskopior på eget nätverkssegment (inte åtkomligt för vanliga datorer)
  • [ ] Brandvägg reglerar trafik mellan segmenten
  • [ ] Gästnätverket fullständigt isolerat från interna resurser

Steg 8: Finansiell beredskap och försäkring

Många företag är helt oprepeparade på kostnaden för en ransomware-attack. En medelstor attack kostar mellan 50 000 och 500 000 kr – och det är innan ransom krävas.

Kostnader inkluderar:

  • IT-personal för recovery: systemadministratörer som jobbar övertid, ofta flera veckor
  • Konsulter och forensik: externa säkerhetsbyrår som behövs för att rensa systemet
  • Förlorad produktivitet: anställda som inte kan arbeta under nedtiden
  • Potentiell ransom: om ni väljer att betala

En försäkring för cyberattacker är en smart investering. Den täcker ofta:

  • Ransomware-anspråk (själva betalningen eller delar av den)
  • IT-forensik och reparation
  • Juridisk rådgivning
  • Uthyrning av tillfällig IT-infrastruktur

Kostnaden för denna försäkring är oftast 3 000–8 000 kr årligen för små företag – försumbar mot risken.

Viktig notering: Många försäkringar kräver att du uppfyller grundläggande säkerhetskrav (MFA, uppdaterad programvara) för att få ersättning. Detta är redan täckt av steg 1–6.

Checklista – Finansiell beredskap:

  • [ ] Budget för IT-recovery beräknad (personal, konsulter, nedtid)
  • [ ] Cyberförsäkring inhämtad och granskad
  • [ ] Forsäkringsvillkor är bekant – vad täcks och vad täcks inte?
  • [ ] En nödbugget reserverad för oväntade kostnader vid attack

Steg 9: Övning gör mäster – Tabletop-simulering

Teori är en sak; praktik är en annan. Många företag upptäcker att deras beredskapsplan inte fungerar först när den faktiska krisen är här – då är det för sent att börja testa.

Genomför en "tabletop"-övning två gånger per år. En IT-chef, ledning och några nyckelpersoner sätter sig ner och går genom ett scenario:

"Kl 09:15 på en måndag upptäcker IT-ansvarig att många användarfiler har ändrats samtidigt och ett lösenamemeddelande syns på skärmarna. Vad gör vi nästa 30 minuter?"

Gå steg för steg genom beredskapsplanen. Dokumentera vad som fungerade – och vad som inte fungerade. Du hittar ofta:

  • Telefonnumren i planen är föråldrade
  • Säkerhetskopian från igår fungerar inte att återställa från
  • Vissa nyckelpersoner vet inte vad de ska göra

Detta är värdefullt att lära sig innan en faktisk attack.

Checklista – Övning och validering:

  • [ ] Tabletop-övning genomförd senaste året (minst 2 per år)
  • [ ] Återställning från säkerhetskopia testad på faktisk attack-scenario
  • [ ] Lärdomar dokumenterade och åtgärdade
  • [ ] Personal som deltar i övning vet sin roll vid verklig incident

Läs vidare: www.ddash.se.

👉 Teamet på Ddash

Top comments (0)