Seadot Cybersecurity
EN
patchningsfönstret

När patchningsfönstret krymper: Dags att byta spelbok

I en tidigare artikel beskrev vi vad Anthropics Claude Mythos innebär för hotbilden – hur AI nu självständigt och sofistikerat kan hitta och exploatera sårbarheter som legat dolda i decennier, på en bråkdel av den tid det tagit mänskliga experter. Det framgår tydligt av Anthropics egen tekniska rapport, och det är ett skifte som förändrar förutsättningarna för alla som arbetar med säkerhet.

 

Men insikten om nuläget är bara den ena halvan. Den andra halvan handlar om hur man faktiskt hanterar det.

 

Fönstret är förminskat och det förändrar allt

Traditionellt har organisationer haft ett visst andrum mellan att en sårbarhet blir känd och att den aktivt utnyttjas. Det fönstret, ibland dagar, ibland veckor, har varit grunden för hur säkerhetsarbete organiserats. Patcha snabbt, håll er uppdaterade, och ni hinner före angriparna.

 

Det antagandet håller inte nödvändigtvis längre. När AI kan ta ett offentliggjort säkerhetshål och bygga ett fungerande angreppsverktyg på timmar snarare än veckor, krymper det fönstret till i princip noll. Att ”patcha snabbare” är inte längre en hållbar strategi i sig, det är nödvändigt men otillräckligt.

 

Det kräver ett nytt tankesätt.

 

Från ”om” till ”när”

Det skifte som säkerhetsbranschen nu talar om kallas assume-breach. Konceptet är inte nytt i sig men blir högst aktuellt när hotaktörers kapacitet växer. Assume-breach innebär att ta för givet att ett intrång redan har inträffat, och planera därefter. Inte som ett nederlag, utan som ett rationellt svar på en förändrad verklighet.

 

Det innebär tre konkreta förflyttningar i hur man arbetar:

 

Upptäck tidigt, inte bara förebygga.

När ett intrång är oundvikligt på sikt blir förmågan att upptäcka det snabbt avgörande. Vad händer på nätverket just nu? Finns det beteenden som avviker från det normala? Realtidsövervakning av nätverkstrafik, inte bara perimeterförsvar, blir en kärnfunktion snarare än ett tillägg. Här krävs resurser i både teknik och personal.

 

Förstå attackkedjan, inte bara larmet.

Ett larm är en startpunkt, inte ett slut. Det som avgör hur allvarlig en incident blir är hur snabbt man förstår vad som faktiskt har hänt: vart angriparen tog sig, vad som påverkades och vad som inte påverkades. Den rekonstruktionen måste kunna göras snabbt, helst automatiserat och i realtid.

 

Begränsa skadan, inte bara stänga dörren.

Slutmålet förskjuts från att hålla angripare ute till att begränsa vad de kan göra om de väl är inne. Det handlar om segmentering, behörighetsstrukturer och förmågan att isolera delar av systemet utan att stänga ned hela verksamheten.

 

Vad det innebär för Cybersäkerhetslagen

Sverige implementerade NIS2-direktivet genom Cybersäkerhetslagen, som ställer tydliga krav på just det här: incidenthantering, kontinuitetsplanering och förmåga att agera snabbt när något går fel. Lagen är inte primärt en pappersprodukt, den speglar precis den verklighet som Mythos-rapporten illustrerar.

 

Organisationer som redan arbetar seriöst med Cybersäkerhetslagen har en god grund. Men lagen sätter golvet, inte taket. Den verklighet vi rör oss mot kräver att fler organisationer börjar planera för att intrång sker och att de har kapaciteten att hantera det när det händer.

 

Tre frågor att ställa sig nu

Oavsett om er organisation omfattas av Cybersäkerhetslagen eller inte är följande frågor relevanta:

 

  1. Hur lång tid tar det innan ni upptäcker ett intrång? Inte hur lång tid det bör ta, utan hur lång tid det faktiskt tar, baserat på era nuvarande verktyg och processer.
  2. Vem har mandat att agera snabbt? Beslut under en pågående incident kan inte vänta på långa beslutskedjor. Är det tydligt vem som har befogenhet att agera, och vad de får göra?
  3. Använder ni AI defensivt? Samma kapacitet som gör AI till ett kraftfullt offensivt verktyg kan användas för att hitta och åtgärda hål innan någon annan gör det. Organisationer som börjar nu bygger ett försprång.

Det handlar om beredskap, inte bara teknik

Det är lätt att se det här som ett tekniskt problem med en teknisk lösning. Men i grunden handlar det om beredskap, om att ha rätt processer, rätt mandat och rätt förståelse för hotbilden på plats innan man behöver dem.

 

Mythos kapacitet är ett varningstecken. Men det är också en möjlighet för de organisationer som tar det på allvar i tid.

Seadot Cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.