Många företag vet att ett cyberangrepp förr eller senare är oundvikligt, men alltför få förbereder sig som om det faktiskt skulle hända. Det visar ESET SMB Cyber Readiness Index 2026, en undersökning bland 4 400 beslutsfattare i USA, Kanada, Europa, Mellanöstern och Japan.

Rapporten avslöjar en tydlig klyfta: 45 procent av de tillfrågade SMB-företagen (små och medelstora bolag) uppgav att de drabbats av minst en cyberincident under det senaste året. Ändå beskriver 75 procent av alla respondenter sig som antingen mycket eller ganska trygga i sin motståndskraft. Bland dem som utsatts för mer än en incident steg siffran till hela 81 procent.

Fel hot i fokus

En av de mest anmärkningsvärda fynden är diskrepansen mellan vad företagen fruktar och vad som faktiskt orsakar intrång.

AI-driven skadlig kod är det mest citerade hotbekymret globalt (31 procent), följt av ransomware (29 procent) och phishing (26 procent). Men när ESET analyserar rotorsakerna till faktiska intrång ser bilden annorlunda ut: phishing (26 procent), opatchade sårbarheter (23 procent), brister i övervakning (22 procent) och svaga lösenord (20 procent) toppar listan.

Michal Jankech, VP för Enterprise, SMB och MSP på ESET, kommenterar: "SMBs oro formas ofta av rubriker om framväxande hot som AI-drivna attacker, medan mer vardagliga risker som phishing, opatchade sårbarheter och brist på övervakning underskattas."

Verizons Data Breach Investigations Report 2026 bekräftar bilden: bara 2,5 procent av AI-assisterad skadlig kod använder sällsynta eller nya tekniker. Vad som däremot ökar är utnyttjandet av kända sårbarheter, som för första gången överträffat stulna inloggningsuppgifter som den vanligaste vägen in i ett system (31 procent av intrången). Samtidigt har den genomsnittliga tid det tar att patcha en sårbarhet ökat från 32 till 43 dagar.

Guldtimmen

ESET använder begreppet "guldtimmen" från akutmedicinen: det avgörande fönster där snabb respons avgör om skadan går att begränsa. I cybersäkerhetssammanhang kräver det att organisationen redan vet vad som ska göras när larmet går, inklusive svåra beslut som att stänga ner system för att förhindra spridning.

Rapporten betonar att det inte räcker att känna till riskerna. Konkreta förberedelser krävs, exempelvis:

• En IT-kontinuitetsplan som faktiskt är testad och känd av rätt personer.
• Regelbunden patchning, med mål att hålla sig inom rimlig tid efter att en sårbarhet blivit känd.
• Aktiv övervakning som kan fånga upp avvikelser i ett tidigt skede.
• Utbildning i att känna igen phishing, fortfarande den vanligaste ingångspunkten.

Slutsatsen är enkel men svår att omsätta i praktiken: det är bättre att laga taket medan solen skiner. Företag som väntar tills attacken är ett faktum riskerar att tvingas fatta sina svåraste beslut i sitt sämsta läge.