Vet du ens vad som finns i ditt eget nätverk?
Hotet mot ditt nätverk är inte brist på verktyg – utan brist på överblick.
Gränsen som försvann — och vad som hände sedan
Det var enklare förr. IT-systemen satt i ett hörn, fabriksgolvet i ett annat, och de pratade sällan med varandra. Den tiden är förbi. I dag är produktionslinjer uppkopplade, sensorer rapporterar till molntjänster och ingenjörer loggar in på styrsystem via VPN från hemmakontoret. Resultatet är kraftfull effektivitet — och en angreppsyta som vuxit på ett sätt de flesta organisationer inte hunnit kartlägga ordentligt.
Max Borovkov, vd för säkerhetsbolaget MBCTG, sätter fingret på det som enligt IoT Tech News är grundproblemet: det handlar inte om brist på verktyg, utan om brist på insyn. "IT, molntjänster, sakernas internet och operativ teknik överlappar varandra alltmer, och det ökar exponeringsytan", säger han. "Den verkliga utmaningen är ofta inte brist på verktyg, utan brist på tydlig insyn i vad som faktiskt händer."
Borovkov arbetar framför allt med tillverkningsindustrin, där ett säkerhetshål inte bara är ett IT-problem — det är ett driftproblem. En stillastående produktionslinje kostar pengar per minut. Det gör prioriteringarna kristallklara: insyn först, verktyg sedan.
Grunderna trumpfar trenderna
Det är frestande att se på artificiell intelligens som lösningen på alla säkerhetsproblem. Borovkov är mer nyanserad. Ja, AI förändrar hotens hastighet och skala — angripare kan automatisera och anpassa attacker snabbare än tidigare. Men det ersätter inte behovet av disciplinerade grundprinciper: stark identitetshantering, tydligt ägarskap över system och tillgångar, robust konfigurationshantering och kontinuerlig övervakning.
Det som är intressant är att MBCTG faktiskt använder AI — men defensivt. Avvikelseavkänning i flera lager hjälper dem att snabba upp reaktionstider och förbättra insynen vid incidenter. Det är ett pragmatiskt förhållningssätt som jag tror fler svenska organisationer borde ta efter: AI som ett förstärkningsverktyg för säkerhetsteamet, inte som en ersättare för eftertanke.
Det dolda problemet i varje JavaScript-projekt
Medan Borovkovs budskap handlar om industriella miljöer finns det en parallell utmaning på mjukvaruutvecklingens sida som rapporteras av SecurityWeek — och den angår i princip alla organisationer som bygger moderna webbapplikationer.
Ett typiskt JavaScript-projekt innehåller inte bara den kod som teamet skrivit. Det drar automatiskt in hundratals, ibland tusentals, externa paket. De flesta utvecklare har aldrig hört talas om majoriteten av dem. Det är ett välkänt problem — och nu finns ett nytt verktyg som siktar på att lösa det.
CVE Lite CLI är ett lättviktigt kommandoradsverktyg med öppen källkod, skapat av den tjugoårige mjukvaruutvecklaren Sonu Kapoor. Det söker igenom projektets låsfiler och identifierar kända säkerhetsproblem i npm-, pnpm- och Yarn-paket via OSV-databasen. Det som skiljer det från liknande verktyg är att det inte stannar vid att lista problem — det genererar det exakta kommandot för att åtgärda varje sårbarhet, utan att resten av applikationen går sönder.
Det låter som en liten detalj, men det är det inte. I dag sker säkerhetsskanning ofta som ett sista steg i byggmiljön. Beroende på projektets storlek kan det ta allt från tio minuter till flera timmar. Tills resultaten kommer har utvecklaren gått vidare till nästa uppgift och tappat sammanhanget. Det leder till sämre beslut och — i värsta fall — att sårbarheter sopas under mattan för att de är för besvärliga att hantera just nu.
Vad bör svenska organisationer göra nu?
Dessa två nyheter pekar mot samma slutsats, fast från olika håll: säkerhet kräver insyn, och insyn kräver verktyg som faktiskt används.
För organisationer med industriella styrsystem är rådet att börja med en ärlig kartläggning av vad som faktiskt är uppkopplat — och vem som äger ansvaret för det. Molnmigrering på pappret utan disciplinerad konfigurationshantering skapar en falsk trygghetskänsla.
För utvecklingsteam är CVE Lite CLI ett konkret och kostnadsfritt steg att ta redan i veckan. Att integrera det tidigt i arbetsflödet — inte som ett sista byggsteg utan som en del av den dagliga utvecklingen — är precis den typ av förskjutning som gör säkerhet till en vana snarare än en efterkonstruktion.
Den gemensamma nämnaren? Vänta inte på en incident för att förstå vad ni har.
Vår analys
Det finns ett mönster i hur säkerhetsbranschen kommunicerar: nya hot, nya verktyg, ny panik. Det som slår mig med båda dessa nyheter är att budskapet faktiskt är det motsatta — en uppmaning till lugn eftertanke och grundläggande disciplin.
Borovkovs poäng om insyn är inte ny, men den behöver upprepas. Alltför många organisationer — svenska tillverkningsföretag inkluderade — har moderniserat sina system utan att modernisera sin förmåga att se vad som händer i dem. Det är en farlig kombination.
CVE Lite CLI är ett litet verktyg, men det representerar en viktig rörelse: säkerhet som integreras i utvecklarens vardag, inte som ett hinder utan som ett stöd. Att en tjugoårig utvecklare bygger det som ett öppet källkodsprojekt är i sig ett tecken på att säkerhetskulturen mognar underifrån.
Utvecklingen pekar mot en framtid där säkerhetsverktyg är inbyggda och osynliga — inte separata granskningssteg. Dit är vi inte ännu, men rörelsen går åt rätt håll.