No items found.
Tjänster
Penetrationstester
Sårbarhetsskanningar
Red teaming
Incidenthantering
Sårbarhetsskanning med AI
AI Security Testing
Kurser
Säker utveckling
IT-säkerhetsutbildning
KUNDCASE
Företaget
Om oss
Karriär
Kontakta oss
Kunskapsbank
Research
Nyheter
Artiklar
Guider
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
SV
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
kontakta oss
PRISER
Gå tillbaka
Link Copied!
Copy link
Featured

Så funkar incidenthantering — steg för steg

April 1, 2026
0
min läsning

En cyberincident kan inträffa när som helst. Det kan vara ransomware som krypterar era filer mitt i natten, ett dataintrång som pågått i veckor utan att någon märkt något, eller en phishingattack som gav angriparen tillgång till ett administratörskonto. Det som avgör hur illa det går är sällan vilken typ av attack det rör sig om, utan hur snabbt och metodiskt ni reagerar.

Det är det incidenthantering handlar om.

Vad är incidenthantering?

Incidenthantering, eller incident management på engelska, är den strukturerade processen för att identifiera, begränsa, utreda och återhämta sig från en säkerhetsincident. Det inkluderar både det tekniska arbetet, kommunikationen utåt och det juridiska efterspelet.

Många blandar ihop incidenthantering med krishantering. Krishantering är bredare och täcker allt från naturkatastrofer till PR-kriser. Incidenthantering är specifikt inriktad på IT-säkerhetsincidenter och har en väldefinierad process med tydliga roller och faser.

En vanlig missuppfattning är att det räcker med att ha en incidenthanteringsplan på papper. En plan som aldrig testats är i praktiken värdelös under en pågående attack. Stress, tidspress och oklara roller gör att otestad dokumentation sällan följs. Planen måste övas, och rollerna måste sitta.

De sex faserna i incidenthantering

Etablerade ramverk för incidenthantering delar in processen i sex faser. De ser ut som en linjär sekvens, men i praktiken överlappar flera av dem med varandra, särskilt under en aktiv incident.

Fas 1: Förberedelse

Allt börjar innan incidenten inträffar. Förberedelsefasen handlar om att bygga kapaciteten att faktiskt kunna hantera en incident. Det inkluderar att definiera roller och ansvar, ta fram en incidenthanteringsplan, etablera kommunikationskanaler och sätta upp de tekniska verktyg som behövs för loggning och detektion. Organisationer som investerar ordentligt i förberedelse hanterar incidenter snabbare, begränsar skadan mer effektivt och återhämtar sig med färre komplikationer.

Fas 2: Identifiering

Något verkar konstigt. Kanske är ett system ovanligt långsamt, en användare har loggat in från ett oväntat land, eller ett larm har triggats i ert SIEM. Identifieringsfasen handlar om att avgöra om det faktiskt rör sig om en incident, och i så fall vad som hänt, vilka system som berörs och hur allvarligt det är. Felaktig eller försenad identifiering är ett av de vanligaste misstagen under incidenter, och varje timme av fördröjning ger angriparen mer spelrum.

Fas 3: Inneslutning

Målet är att stoppa spridningen. Det kan innebära att isolera drabbade system från nätverket, blockera specifika IP-adresser, stänga av användarkonton eller segmentera delar av infrastrukturen. Det är viktigt att skilja på kortsiktig inneslutning, att snabbt begränsa skadan, och långsiktig inneslutning, som innebär mer hållbara åtgärder medan utredningen pågår. Att stänga av system för tidigt, utan att ha säkrat bevis, är ett vanligt misstag som kan försvåra den forensiska utredningen.

Fas 4: Utrotning

När spridningen är stoppad börjar arbetet med att faktiskt rensa bort hotet. Det kan innebära att ta bort skadlig kod, stänga bakdörrar, återkalla komprometterade behörigheter och patcha de sårbarheter som angriparen utnyttjat. Utrotningsfasen kräver ofta djup teknisk kompetens och forensisk analys för att säkerställa att angriparen inte fortfarande befinner sig i miljön, dold i ett system ni inte tittat på.

Fas 5: Återställning

Systemen är rensade. Nu handlar det om att gradvis ta dem tillbaka i drift och verifiera att de fungerar korrekt, utan kvarvarande hot. Återställning sker oftast i etapper, de mest kritiska systemen prioriteras och varje system övervakas noga innan nästa tas upp. Det är inte ovanligt att återställningsfasen tar veckor eller månader, särskilt efter ransomware-attacker där backupstrategin inte varit tillräckligt robust.

Fas 6: Lärdomar

Incidenten är hanterad, men arbetet är inte klart. Två till fyra veckor efter att incidenten avslutats genomförs en strukturerad genomgång, ett "lessons learned"-möte, där hela händelseförloppet gås igenom. Vad fungerade? Vad fungerade inte? Vad borde vi ha märkt tidigare? Resultatet används för att uppdatera incidenthanteringsplanen, förbättra detektionsförmågan och se till att samma incident inte kan inträffa igen.

Roller och ansvar under en incident

En incident är fel tidpunkt att diskutera vem som gör vad. De rollerna måste vara definierade och inövade i förväg.

Incidentledare är den person som leder insatsen och tar beslut under trycket. Det är inte nödvändigtvis den mest tekniskt kompetenta personen, utan den som kan hålla ihop helheten, kommunicera uppåt till ledningen och se till att arbetet rör sig framåt även när läget är oklart.

Teknisk lead ansvarar för den forensiska utredningen och de tekniska åtgärderna, att isolera system, analysera loggar och rensa bort hotet. I en komplex incident kan det krävas flera specialister med ansvar för olika delar av infrastrukturen.

Kommunikationsansvarig hanterar all kommunikation utåt, till kunder, leverantörer och om det behövs media, samt internt till medarbetare. Det är en roll som kräver god omdömesförmåga och som ofta underskattas under akuta incidenter.

Juridik och compliance behöver vara involverade tidigt, särskilt om persondata kan ha stulits. Tidsfristerna för rapportering är korta och det juridiska efterspelet kan bli kostsamt om det hanteras fel från start.

Ledningen behöver löpande uppdateringar och är ytterst ansvarig för affärskritiska beslut, till exempel om verksamheten ska stängas ner temporärt eller om det ska kommuniceras proaktivt till kunder.

Kommunikation under en incident

Kommunikation under en aktiv incident är svårt. Det finns ett naturligt drag mot att säga så lite som möjligt för att undvika oro, men underinformation skapar ofta mer skada än transparens.

Internt ska medarbetare veta vad som händer, vad de förväntas göra och vad de inte ska göra. En vanlig instruktion är att inte prata om incidenten externt tills kommunikationsansvarig godkänt det, för att undvika att felaktig information sprids.

Externt behöver ni avgöra om kunder eller leverantörer berörs och när de ska informeras. En sen kommunikation som upplevs som förtäckt är ofta mer skadlig för förtroendet än en tidig kommunikation som erkänner vad som hänt.

Myndighetsrapportering är inte valfri. Vid persondataintrång är ni skyldiga att anmäla till IMY inom 72 timmar enligt GDPR. Vid incidenter i verksamheter som omfattas av NIS2 gäller en preliminär rapportering till relevant tillsynsmyndighet inom 24 timmar och en mer fullständig rapport inom 72 timmar. CERT-SE är nationellt kontaktorgan och kan ge operativt stöd vid allvarliga incidenter.

Vanliga misstag under incidenter

Många av de misstag som görs under incidenter är förutsägbara. Det betyder att de går att förebygga.

  • Att stänga av system för tidigt. Det kan verka logiskt att omedelbart stänga av ett komprometterat system, men det kan förstöra viktiga bevis och försvåra den forensiska utredningen. Isolering är i de flesta fall bättre än att stänga av.

  • Att kommunicera för sent. Att vänta med att informera kunder eller myndigheter för att ha "hela bilden" leder ofta till att tidsfrister missas och att förtroendet skadas mer än nödvändigt.

  • Att sakna en testad backupstrategi. Det är inte ovanligt att organisationer som drabbas av ransomware upptäcker att deras backuper antingen är krypterade tillsammans med resten eller aldrig testats för återställning.

  • Att inte dokumentera i realtid. Under en aktiv incident är det lätt att fokusera på det tekniska och glömma att föra logg. Det försvårar både “lessons learned” och eventuell rättsprocess.

  • Att underskatta lateral rörelse. En angripare som tagit sig in i ett system har ofta rört sig vidare i nätverket. Att enbart fokusera på det första komprometterade systemet kan leda till att hotet kvarstår i miljön.

  • Att lösa incidenten utan att förstå grundorsaken. Att städa och återställa utan att ha identifierat hur angriparen tog sig in innebär att dörren fortfarande står öppen.

När ska man kalla in extern hjälp?

Inte alla incidenter kräver extern support, men i en del lägen är det avgörande att få in rätt kompetens snabbt.

Kalla in extern hjälp om attacken fortfarande pågår och ni inte har kapacitet att stoppa den, om den interna kompetensen inte räcker till för forensisk utredning, om compliance-krav gör att utredningen behöver dokumenteras av oberoende part, eller om incidentens omfattning är oklar.

Cyloq kan kopplas in akut, även om ni inte är kund sedan tidigare. Det första samtalet är kostnadsfritt och parallellt med att insatsen påbörjas definieras scope och avtal, för att inte försena responsen. Ju tidigare ni ringer, desto fler alternativ har ni.

Kontakta oss

Boka möte

Behöver ni akut hjälp eller en beredskap? Kontakta oss direkt.

Oavsett om ni befinner er mitt i en incident eller vill bygga en ordentlig beredskap innan det händer, är ni välkomna att höra av er. Vi reder ut läget tillsammans.

Boka möte

FAQ

Vanliga frågor om incidenthantering

Vad kostar incidenthantering?

Akut incidenthantering faktureras per timme, med tilläggsdebitering för kvällar och helger. Timpriset ligger vanligen mellan 1 800 och 3 000 kr. Ramavtal med garanterad responstid ger förutsägbar kostnad och snabbare inställelsetid när det väl händer.

Hur snabbt kan ni vara på plats?

För ramavtalskunder garanterar Cyloq påbörjad insats inom 4 timmar under kontorstid. Utan avtal är inställelsetiden 24 till 48 timmar beroende på belastning. Inledande triagering och rådgivning kan starta inom en timme vid akuta lägen.

Måste vi ringa polisen vid ett intrång?

Det är inte ett lagkrav, men ofta rekommenderat, särskilt om utpressningsförsök pågår eller om persondata stulits. Polismyndighetens NOA tar emot anmälningar om it-brott. Vid persondataintrång är anmälan till IMY inom 72 timmar obligatorisk enligt GDPR.

Hur lång tid tar en typisk incidenthantering?

Akutfasen tar vanligen några dagar till ett par veckor. Inneslutning och utrotning är ofta avklarat inom den första veckan. Återställning och full normalisering kan ta månader, särskilt vid ransomware. “Lessons learned” genomförs 2 till 4 veckor efter incidentens avslut.

Kan ni hjälpa till om vi inte är kund sedan tidigare?

Ja. Vi tar emot nya kunder även i akuta lägen. Det första samtalet är alltid kostnadsfritt för att bedöma läget, och kontrakt och scope definieras parallellt med att insatsen påbörjas för att inte försena responsen.

Home
Följ oss
Tjänster
Penetrationstester
Penetrationstester
Sårbarhetsskanningar
Sårbarhetsskanningar
Red teaming
Red teaming
Incidenthantering
Incidenthantering
Kurser
Säker Utveckling
Säker Utveckling
IT-Säkerhetsutbildning
IT-Säkerhetsutbildning
Företaget
Kontakt
Kontakt
Om Oss
Om Oss
Kundcase
Kundcase
Karriär
Karriär
hello@cyloq.se
+46 (0) 10 333 10 33
Till toppen
© 2025 - Cyloq AB - Org.nr: 559401-9027
Privacy Policy
Terms of Service
Cookies Settings