Varje larm måste granskas — men ingen orkar längre. Det är då skyddet brister.
Tusentals falska larm dagligen bryter ned säkerhetsanalytiker — och det är då skyddet brister.
När bruset blir ett vapen i sig
Föreställ dig att arbeta åtta timmar om dagen med att leta efter en nål i en höstack — och att höstacken växer för varje timme som går. Det är den vardagliga verkligheten för säkerhetsanalytiker på de driftcentraler som ska skydda organisationer mot cyberangrepp.
Enligt SecurityWeek bombarderas analytiker dagligen med tusentals automatiskt genererade larm från säkerhetsverktyg. Problemet är inte att verktygen är dåliga på att hitta avvikelser — det är de faktiskt ganska bra på. Problemet är att de är usla på att förklara vad avvikelserna innebär.
Obbe Knoop, grundare och vd på Lanxit, sätter fingret på kärnan av dilemmat: "Ett verktyg kanske säger: 'Jag hittade ett hot. Poängen är 32 av 100'. Men vad innebär det egentligen?" Utan sammanhang är siffran värdelös. Och utan rangordning behandlas i praktiken alla larm som likvärdiga — vilket de inte är.
Mängd är inte problemet. Relevans är.
Jeff Reed, teknikchef på SentinelOne, formulerar det på ett sätt som borde hänga på väggen i varje säkerhetsavdelning: "Larmtrötthet handlar inte nödvändigtvis om mängden larm, utan om hur relevanta de är."
Det är en viktig distinktion. Lösningen är alltså inte att skruva ned känsligheten på verktygen och riskera att missa verkliga hot. Lösningen är bättre sammanhang, bättre prioritering och smartare filtrering — att verktygen inte bara ropar vargen kommer, utan också berättar hur hungrig vargen är och vilken riktning den kommer ifrån.
Som systemutvecklare känner jag igen mönstret från mjukvaruutveckling i stort. Verktyg som spottar ur sig varningar utan rangordning skapar en kultur där varningar ignoreras. Det gäller lika mycket ett verktyg som analyserar kodkvalitet som ett som analyserar nätverkstrafik. Bruset normaliseras. Och i det normaliserade bruset gömmer sig det farliga.
AI skruvar upp tempot — åt båda håll
Situationen riskerar att förvärras markant i takt med att angripare i allt högre utsträckning använder artificiell intelligens. Snabbare analys av stulen data, mer övertygande nätfiskeattacker, automatiserade intrångsförsök i stor skala — allt detta ökar takten och volymen på de hot som analytikerna ska hantera.
Det skapar en paradox: den defensiva användningen av AI, som är tänkt att hjälpa analytikerna, riskerar samtidigt att vidga den angreppsyta som angriparna kan utnyttja. Fler verktyg betyder fler integrationer, fler datakällor — och potentiellt ännu fler larm.
Här tror jag att AI faktiskt har en avgörande roll att spela, men på rätt sätt. Inte som ytterligare ett larmgenererande lager, utan som ett sammanhangsskapande lager. Moderna språkmodeller och analytiska system kan i teorin göra precis det som dagens säkerhetsverktyg är dåliga på: väva samman flera svaga signaler till en begriplig berättelse, rangordna hot efter faktisk relevans och presentera en analytiker med ett underlag som faktiskt går att fatta beslut utifrån.
Det mänskliga priset
Men vi ska inte fastna enbart i det tekniska. Det finns ett mänskligt pris som branschen länge underskattat. Att dagligen arbeta i ett tillstånd av konstant beredskap, där varje ignorerat larm teoretiskt sett kan vara det fatala misstaget, är psykologiskt nedbrytande. Utbrändhet, hög personalomsättning och sjunkande koncentrationsförmåga är inte abstrakta risker — de är dokumenterade realiteter i yrket.
Och här slutar cirkeln. En utbränd analytiker missar fler larm. Fler missade larm ökar risken för ett lyckat angrepp. Ett lyckat angrepp skapar mer press på analytikerna. Trycket skapar mer utbrändhet.
Det är ett system som maler sönder sina egna försvarare — och det är ett systemfel, inte ett personligt misslyckande hos de individer som drabbas.
Vägen framåt kräver omtänk på systemnivå
Lösningen kräver insatser på flera nivåer samtidigt: bättre verktygsdesign med inbyggd prioritering och sammanhang, rimligare arbetsbelastning med tydliga eskaleringsvägar, och ett kulturellt skifte där analytikernas välmående ses som en direkt komponent i organisationens säkerhetsförmåga — inte som en mjuk HR-fråga vid sidan om.
För AI-drivna angrepp väntar inte på att vi löser våra interna processer.
Vår analys
Det som gör den här frågan särskilt angelägen just nu är tajmingen. Vi befinner oss i ett skede där AI-drivna angrepp börjar nå en ny mognadsnivå — mer automatiserade, mer övertygande, svårare att filtrera bort. Samtidigt är den mänskliga länken i försvarskedjan under stigande press.
Det intressanta är att AI här faktiskt utgör en del av både problemet och lösningen. Nästa generations säkerhetsverktyg behöver inte generera fler larm — de behöver generera färre, men bättre. Sammanhangsskapande AI som kan korrelera händelser, rangordna hot och kommunicera risk på ett begripligt sätt är inte en lyx, det är en nödvändighet.
Jag tror vi kommer se en tydlig marknadsselektion framöver: de säkerhetsleverantörer som löser relevansproblemet — inte volymproblemet — kommer att vinna. För organisationerna gäller det att sluta mäta säkerhetsinvesteringar i antal verktyg och börja mäta dem i analytikernas faktiska förmåga att agera rätt när det verkligen gäller.