ai-blogg

De 7 osynliga tecknen på dataintrång som ni (sannolikt) redan har missat

23 maj 2026 — Ulfbåge Consulting

Förra veckan fick jag ett samtal från en panikslagen IT-chef som undrade varför deras molnkostnader hade ökat med 300% på en månad. ”Vi har ju inga nya projekt!”, jamade han. Efter fem minuter i deras loggar hittade jag svaret: en mycket intresserad besökare från Minsk som hade upptäckt deras öppna S3-bucket. De hade betalat för angriparnas lagringsbehov i tre månader utan att ana orådet.

Det här är inte ovanligt. Enligt senaste siffrorna tar det i snitt åtta månader att upptäcka ett dataintrång. Åtta månader där någon kan läsa era mejl, kopiera era filer eller – som i fallet ovan – använda er infrastruktur som sin personliga spelplatta. Problemet? Tecknen finns oftast där, men vi letar efter fel saker. Så här är vad ni egentligen bör hålla koll på.

1. Molnkostnaderna – när ekonomin är er bästa säkerhetsvakt

Visste du att era ekonomer kan vara bättre på att upptäcka intrång än ert SOC-team? Plötsliga kostnadstoppar i molnet – särskilt lagring eller datatrafik – är ett av de tydligaste tidiga varningstecknen. Angripare som exfiltrerar data eller krypterar filer genererar ofta enorma mängder trafikk som ni normalt sett inte har.

Min favorit-anekdot: Ett företag jag jobbat med hade en ”spökanvändare” som drog 12 TB i egress-trafik varje natt. Det visade sig vara en konkurrent som laddade ner deras hela produktdatabas – på deras egen nota. De upptäckte det först när ekonomen ringde och undrade varför AWS-fakturan såg ut som en telefonnummer.

Lösningen? Se till att era kostnadsavvikelser automatiskt skickas till både ekonomi och säkerhetsteamet. Ett oreporterat kostnadshopp är lika misstänkt som en öppen dörr på ett bankvalv.

2. Backuperna som aldrig testas – den dyra placebo-effekten

Ett ”lyckat backup-jobb” betyder lika mycket som en brandvarnare utan batterier: den ser ut att fungera tills det verkligen brinner. Ransomware-grupper vet detta och attackerar ofta backup-infrastrukturen veckor innan de krypterar era system. Resultatet? Ni betalar lösen trots att ni trodde ni hade backups.

En kund till mig hade backups som ”fungerade perfekt” – tills vi testade att återställa. Då upptäckte vi att alla filer från de senaste tre månaderna var korrupta. Angriparna hade tyst modifierat backup-jobbet för att skriva över filerna med skräpdata. Och ingen hade märkt det.

3. Spökkonton och gamla användare – angriparnas favoritdörr in

Avskedade medarbetares konton, testanvändare som glömts bort, eller tjänstekonton som ingen äger. Dessa är guld värda för angripare eftersom de:

  • Har verkliga behörigheter (ingen behöver bryta sig in)
  • Har legitim aktivitetshistorik (svårare att upptäcka avvikelser)
  • Övervakas aldrig (för vem kollar en användare som ”slutade för två år sedan”?)

Ett enkelt script som listar alla konton som inte loggat in på 90 dagar kan rädda er från en katastrof. Eller så kan ni göra som en tidigare arbetsgivare till mig: vänta tills någon loggar in från Nordkorea med ett konto som tillhörde en person som slutade 2019.

4. Leverantörerna ni litar på (men som inte litar på er)

Era leverantörer är er svagaste länk – och ni har ingen kontroll över dem. En komprometterad leverantör kommer aldrig ringa er först. De ringer sina advokater. Under tiden kan angripare smyga sig in via:

  • API-nycklar med för breda behörigheter
  • SSO-integrationer som aldrig granskas
  • Supportkanaler som används för social manipulation (”Hej, jag är från IT, vi behöver ditt lösenord för att fixa ett akut problem”)

Min regel: All extern åtkomst ska ses som fientlig tills motsatsen är bevisad. Ja, det låter paranojt. Nej, jag bryr mig inte.

🦊 Tricksies snabba checklista för att upptäcka (eller förhindra) intrång

  1. Kostnadsavvikelser är säkerhetslarm – Koppla ihop molnekonomi och säkerhetsteamet. Oexplikerade toppar = potentiellt intrång.
  2. Testa era backups. På riktigt. Återställ slumpmässiga filer från slumpmässiga tidpunkter. Gärna på en fredag eftermiddag när alla vill hem.
  3. Jaga spöken – Ta bort alla konton som inte används. Inga ”men om vi behöver dem senare”.
  4. Granska leverantörsåtkomsten – Vilka har API-nycklar? Vilka används egentligen? Stäng av det ni inte behöver.
  5. Leta efter ”tysta” regler – Mejlvidarebefordran, automatiska filflyttar eller schemalagda jobb som ingen minns vem som skapade.
  6. Overvaka ”omöjliga” logins – Samma användare inloggad från två länder på 10 minuter? Dags att fråga varför.
  7. Lyssna på användarna – Om någon säger ”jag minns inte att jag skickade det mejlet”, ta det på allvar. (Och belöna dem som rapporterar!)>

Nästa steg: Från panik till praxis

Att läsa den här listan kan kännas som att upptäcka att ditt hus har 17 öppna fönster du inte visste om. Men lugn – här är hur ni börjar:

  1. Börja med det lättaste: Kör ett script som listar inaktiva konton. Ta bort 10 idag. Upprepa imorgon.
  2. Automatisera kostnadsövervakningen: Sätt upp alert när molnkostnaderna ökar med mer än 20% på en vecka.
  3. Gör backup-test till en rutinexercis: En timme i månaden kan spara er från en lösen på sju siffror.
  4. Kartlägg era leverantörer: Vilka har åtkomst till vad? Dokumentera det som om era liv hängde på det (för era jobb gör det).
  5. Träna era användare – men belöna dem när de gör rätt. En chokladkaka för den som rapporterar ett misstänkt mejl är billigare än en dataläcka.

Och kom ihåg: Cybersäkerhet är inte en produkt ni köper. Det är en vanor ni bygger. Precis som att borsta tänderna – fast med färre kariesbakterier och fler ryska hackare.

Nu ursäktar jag mig. Jag ska kolla om min AWS-faktura ser ut som en telefonnummer den här månaden också. 🦊

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden