Åtta av tio organisationer drabbades av en säkerhetsincident under det senaste året orsakad av en sårbarhet som deras eget säkerhetsteam redan hade identifierat. Det visar en ny rapport från Cloud Security Alliance (CSA) baserad på svar från 902 IT- och säkerhetsproffs.

Rapporten blottlägger ett strukturellt problem i enterprise-säkerhet: trots stora investeringar i säkerhetsskanning och så kallad "Shift-Left"-metodik når kända sårbarheter fortfarande produktionsmiljöer och leder till incidenter.

Bara 9 procent åtgärdar kritiska brister inom 24 timmar

Siffrorna är tydliga. Endast 9 procent av organisationerna åtgärdar kritiska eller allvarliga sårbarheter i produktionsmiljö inom 24 timmar. Majoriteten, 74 procent, tar mellan ett och sju dagar. Det är i det fönstret som problemen uppstår.

Sambandet mellan åtgärdstid och incidenter är starkt. Bland organisationer som tar fyra till sju dagar på sig att stänga en känd sårbarhet har nästan alla upplevt en incident kopplad till just den typen av brist under det senaste året. Hos dem som hanterar sårbarheter inom ett till tre dagar är andelen betydligt lägre.

AI pressar fönstret ytterligare

Situationen förvärras av att AI-drivna angreppsverktyg nu kan generera fungerande exploits på maskinhastighet. National Vulnerability Database loggade över 40 000 CVE:er under 2025, och exploatering börjar ofta inom dagar efter att en sårbarhet offentliggjorts. Det defensiva fönstret krymper snabbt.

Rapporten pekar också på att hälften av de incidenter som inträffade i produktionsmiljö involverade sårbarheter som säkerhetsteamet hade flaggat redan under utvecklingsfasen men som ändå inte åtgärdades i tid.

Vad företag bör göra

CSA-rapporten understryker behovet av att förkorta patching-cykeln och komplettera med så kallad runtime-säkerhet, det vill säga aktiv övervakning av applikationsbeteende i produktionsmiljö. Att enbart förlita sig på skanning i tidiga skeden räcker inte längre.

För svenska företag är budskapet detsamma: kända sårbarheter som inte åtgärdas snabbt är den vanligaste vägen in för angripare. En strukturerad process för prioritering och snabb åtgärd av kritiska brister är inte en nice-to-have utan en operativ nödvändighet.