Det finns en kognitiv fälla som cybersäkerhetsbranschen kämpar mot varje dag. Den kallas normalfördom, och den handlar om vår tendens att underskatta risken för katastrof och anta att saker kommer att fortsätta som vanligt, även när varningssignalerna är tydliga.

Steven Connolly på ESET beskriver problemet träffande: många organisationer tolkar avsaknaden av synliga larm som bevis på att allt är bra. I praktiken kan det lika gärna betyda att ingen har kollat.

Intrången ökar trots att "lärdomar dras"

Varje gång en organisation drabbas av ett intrång hörs frasen "lärdomar har dragits". Men siffrorna talar ett annat språk. Enligt NCSC:s årsrapport 2025 ökade antalet nationellt betydelsefulla cyberattacker i Storbritannien med 130 procent på ett år, från 89 till 204 incidenter. Av dessa klassades 18 som "mycket allvarliga", en ökning med 50 procent.

Det är svårt att hävda att lärdomar verkligen dras när trenden går åt fel håll i den takten.

Kriminella gör revisionen du inte beställde

Connolly använder en träffande metafor: cyberkriminella fungerar som revisorer du aldrig anlitade. De letar systematiskt efter gapet mellan vad en organisation tror om sin säkerhet och vad som faktiskt stämmer. Det är precis i det gapet de slår till.

Nätfiske är fortfarande ett av de vanligaste sätten att ta sig in, just för att det utnyttjar mänsklig benägenhet att agera på det som verkar bekant och brådskande. Normalfördomar gör oss mer mottagliga, inte mindre.

Från passivitet till proaktivitet

Att motverka normalfördomar kräver att organisationer aktivt söker efter problem istället för att vänta på att de ska bli uppenbara. Konkret innebär det regelbundna penetrationstester och red team-övningar, löpande genomgång av hotbilden, investering i loggning och övervakning samt tydliga rutiner för att faktiskt agera på varningssignaler.

Connolly liknar situationen vid Schrödingers katt: tills du faktiskt öppnar lådan och undersöker, är din organisation i princip både säker och osäker på samma gång. Att aldrig öppna lådan är inte detsamma som att vara säker.

Vad det betyder för svenska företag

För företag som jobbar med känslig data eller kritisk infrastruktur är budskapet enkelt: frånvaron av kända incidenter är inte ett kvitto på god säkerhet. Det är ett argument för att göra jobbet ordentligt innan de kriminella revisorerna dyker upp och gör det åt dig.

En proaktiv säkerhetskultur kostar pengar och tid. Men den kostar betydligt mindre än att låta angripare hitta hålen först.