Tänk dig en stor säkerhetsmässa, egentligen vilken som helst faktiskt. Neonljus, slagord och lasershow. Det är påkostat, hippt och ”fräscht”. På en eller flera scener presenteras ännu ett “lager” som lovar frälsning mot kända och okända hot. I montrarna rullar grafer över begrepp, ”buzzwords” och mycket annat man knappt kan uttala, än mindre förstå som oinsatt. Där, i dunklet mellan keynotes, ”give aways” och kaffebrickor uppstår den där bekanta blandningen av oro och lättnad: “Det verkar farligt där ute men någon har i alla fall ett paket, en tjänst eller konsult för det.” Det är också här det börjar skava rejält för mig. För en icke obetydlig del av cybersäkerhetsindustrin har lärt sig tjäna mer på osäkerhet än på säkerhet. Detta är faktum. Men det är inte av ondska utan för att ekonomins tyngdlagar länge har dragit åt fel håll. När kostnaden för brister kan vältras över på andra, underinvesterar vi i det som faktiskt minskar risk och överinvesterar i sådant som syns snyggt på ytan (Anderson, 2001; Bauer & van Eeten, 2009; Herley, 2009).
Det gamla compliance-drivna tänket som länge rått på marknaden och gjort många tjänsteleverantörer och konsultbolag mycket framgångsrika. Checklista in, intyg ut, pärmarna växer och revisionsspåren glänser. Men under ytan byggs en kostnadsspiral av moduler, licenser och konsultrundor som inte nödvändigtvis sänker risken. Det gör den bara mer administrerad. Vi har blivit världsmästare i att visa utfästelser på säkerhet men sämre på att bevisa utfall. Och när verkligheten knackar på, ett intrång, en leverantörsstörning, en personallucka så spelar det mindre roll hur många dashboards vi har om vi inte hittar felet snabbare, stänger det, förstår vad som gick fel och lär oss av det samt reser oss fortare. Stora utfallsstudier pekar dessutom åt samma håll: fler prylar och högre fragmentering korrelerar sällan (eller i för många fall aldrig) med bättre resultat. Det som hjälper är integrering och verklig förmåga i vardagen (Cisco, 2024; WEF, 2024).
Under tiden vi gjort på det gamla sättet har hoten rört sig i flock. Det är fortfarande människor och kedjorna runt oss som öppnar dörrar genom social ingenjörskonst, felhanterade identiteter, oförädlade beroenden i leverantörsledet. Det är inte bara min personliga åsikt, det är en återkommande datapunkt i europeiska och globala lägesbilder (ENISA, 2023; IBM, 2024; Mandiant, 2024). Med andra ord: om du försöker fylla en läckande båt med fler hinkar i stället för att laga skrovet, får du snart ett utmärkt lager av hinkar men likförbenat är dina fötter blöta.
Modern trygghet och säkerhet i digitala ekosystem är alltså inte bara en teknisk fråga som det var förr utan en incitamentsfråga. Företag, leverantörer, konsulter och utbildare har alla agerat rationellt i en logik som länge belönat det mätbara på ytan. Och det stärks av nya ramverk på samma tema, nya verktyg, fler konsulter och mer administration. Allt detta är lättare att sälja än stillsam förbättring som tar tid att märka. Att branschen hamnar där är begripligt men tyvärr dyrt. Och dyrast blir det för verksamheter som behöver fungera när det blåser, där varje onödig komplexitetsgrad, varje långsam återställning och varje brist på vardagsförmåga sänker säkerheten och konkurrenskraften samtidigt. Verksamheter lider medan tjänste- och konsultbolagen frodas.
Jag ser också hur politiken, lite motvilligt kanske, har tvingats till samma slutsats. När amerikanska och europeiska myndigheter trycker på secure by design/default, handlar det om att flytta bördan uppströms och göra säkerhet till en levererad egenskap, inte en valfri extrafunktion (CISA, 2023). När EU inför produktkrav på mjukvara och hårdvara via Cyber Resilience Act, är det just för att frivilliga löften inte räckte för att ge marknaden rätt signaler (European Commission, 2024). Och när europeisk reglering för verksamheter i kritiska processer byter språk från manualens estetik till funktion i turbulens är det samma tavla som målas upp: utfallet trumfar utfästelsen (European Union, 2022). Detta är verkligt riskdrivet, inte compliance-drivet. Inte för att någon älskar ordet risk utan för att någon måste kunna bära när det gungar.
Frågan är då: varför håller vi fast vid det gamla? Svaret är delvis mänskligt. Checklista och certifikat skapar en känsla av kontroll. De är det synliga kvittot på att vi “gjort något”. Men priset för den känslan är trefalt. För det första stiger totalkostnaden när verktyg och processer läggs på varandra snabbare än de avvecklas. Det är fortfarande för vanligt med en verksamhet som har för många verktyg som gör samma sak, totalt onödigt. För det andra skapas en falsk trygghet där “allt var grönt” tills det inte var det. Verksamheter har verktyg de inte behärskar, förstår eller vet hur de optimalt anävnder. För det tredje förlorar vi fokus: hot, risk, sårbarhet och förmåga försvinner bakom kulissen. Och i dagens geopolitiska klimat är fel fokus inte bara dålig hushållning, det är ett strategiskt hinder för verksamheten (ENISA, 2023; WEF, 2024).
Det riskdrivna skiftet är, tvärtemot sin knastertorra klang, en källa till hopp. När ordningen blir från hot till risk, till sårbarhet, till förmåga så händer något i praktiken. Integrering vinner över lagerläggning. Återställningstid blir ett språk som alla förstår, från golv till styrelse. Incidentrapportering slutar vara ett nervspel och blir ett tränat beteende. Och långsamt börjar kurvorna peka rätt: lägre kostnad per reducerad risk, högre faktisk motståndskraft, färre överraskningar. Det är också här konkurrenskraften föds. Kunder och partners som litar mer på den som kan visa verkligt fungerande kontinuitet i verkligheten än på den som visar perfekta pärmar i lugnt väder (WEF, 2024; OECD, 2015/2022).
Vill man kan man kalla detta ett utopiskt tonläge i säkerhetsbranschen. I en förtroendeekonomi tjänar alla mer när risken går ned. Tjänsteleverantörer får långsiktiga relationer när de levererar lugn i magen och inte bara lager i stacken. Konsulter blir oumbärliga när de förenklar, integrerar och tjänar verkligheten. Köpare slipper den eviga känslan av att vara gisslan inför nästa licensförlängning. Och tillsynen kan börja mäta det lagstiftningen faktiskt vill åstadkomma: förmåga och inte bara form.
Lite respektfull humor på vägen skadar inte. Om “pärm-VM” vore en OS-gren hade många av oss stått på pallen med valören guld i handen. OS-kommittén hade blivit överlyckliga om inget annat. Men den tävling som verkligen betyder något 2026 avgörs i motvind: kan vi lyfta, landa och hantera turbulens utan att tappa höjd? Det kräver mindre show och mer hantverk. Färre troféer och fler spår av vardagsdisciplin. Mindre osäkerhetsekonomi, mer förtroende. Och vad jag vet är den grenen inget som förekommer i det digitala säkerhets-OS.
Men jag är övertygad att vår branschs framtida förtjänst ligger just i det jag försöker lyfta fram i artikeln. Inte i att fortsätta paketera oro utan i att leverera verklig stabilitet. Inte i att förlänga beroenden utan i att bygga robusta relationer. Inte i att vinna nästa mässa utan i att vinna nästa störning. Det är den riktning som både forskning, branschdata och policy redan pekar ut, om vi väljer att läsa dem som mer än fotnoter och sen bygga affären kring det (Anderson, 2001; Bauer & van Eeten, 2009; Herley, 2009; ENISA, 2023; IBM, 2024; Mandiant, 2024; CISA, 2023; European Commission, 2024; European Union, 2022; WEF, 2024; OECD, 2015/2022).
Det är också den riktning som hedrar våra kunder, våra samhällen och vår gemensamma digitala vardag. När vi byter kompass från compliance till risk på riktigt och från osäkerhet till förtroende så händer något mer än en teknisk uppgradering. Vi tar tillbaka meningen med varför cybersäkerhet finns, inte för att samla papper utan för att hålla ihop världen när den skakar.
Referenser
Anderson, R. (2001). Why information security is hard—An economic perspective.Proceedings of ACSAC.
Bauer, J. M., & van Eeten, M. J. G. (2009). Cybersecurity: Stakeholder incentives, externalities, and policy options.Telecommunications Policy, 33(11).
CISA. (2023).Secure by Design, Secure by Default.Cybersecurity and Infrastructure Security Agency.
Cisco. (2024).Security Outcomes Report.Cisco Systems.
ENISA. (2023).ENISA Threat Landscape 2023.European Union Agency for Cybersecurity.
European Commission. (2024).Regulation (EU) 2024/2847 – Cyber Resilience Act (CRA).
European Union. (2022).Directive (EU) 2022/2555 (NIS2).Official Journal L 333.
Herley, C. (2009). So long, and no thanks for the externalities: The rational rejection of security advice by users.IEEE Security & Privacy.
IBM. (2024).Cost of a Data Breach Report 2024.IBM Security.
Mandiant. (2024).M-Trends 2024.Google Cloud.
OECD. (2015/2022).Recommendation on Digital Security Risk Management.Organisation for Economic Co-operation and Development.
World Economic Forum. (2024).Global Cybersecurity Outlook 2024.
