Under första halvåret 2025 visade Microsofts data att Sverige låg på plats 30 globalt bland de länder där kundverksamheter oftast drabbades av olika typer av cyberaktivitet.
Under samma period stod Sverige för cirka 2,5 % av de europeiska kundverksamheter som påverkades, vilket placerar oss på plats 11 i Europa när det gäller hur ofta kunder drabbades.
En tydlig utveckling är att angripare i högre grad än tidigare försöker stjäla data i samband med cybersäkerhetsincidenter. I 80 procent av de incidenter som Microsofts säkerhetsteam analyserade under det gångna året förekom försök till att stjäla data, en trend som främst drivs av ekonomiska motiv snarare än underrättelseinhämtning. Enligt den senaste utgåvan av Microsoft Digital Defense Report, genomfördes över hälften av cyberattacker med kända motiv kopplade till utpressning eller ransomware. Minst 52 procent av attackerna hade finansiell vinning som drivkraft, medan attacker med enbart spionage som syfte utgjorde endast 4 procent. Hot från statsaktörer är fortsatt allvarliga och långsiktiga, men de flesta attacker som organisationer står inför idag kommer från opportunistiska aktörer som är ute efter ekonomiska vinster.
Varje dag hanterar Microsoft över 100 biljoner säkerhetssignaler, blockerar omkring 4,5 miljoner nya försök till skadlig kod, analyserar 38 miljoner identitetskopplade risker och granskar 5 miljarder e-postmeddelanden för i jakt på skadlig kod och nätfiske. Den snabba utvecklingen inom automatisering och tillgången till färdiga verktyg har gjort det enklare för cyberkriminella, även de med begränsad teknisk kunskap, att initiera både större och effektivare attacker. Med hjälp av AI går det nu snabbare än någonsin att utveckla skadlig kod och skapa trovärdigt syntetiskt innehåll, vilket gör attacker som nätfiske och ransomware både mer sofistikerade och svårare att upptäcka. Små- och medelstora verksamheter är särskilt utsatta mål för cyberangrepp, ofta på grund av att de har lägre säkerhet trots att de besitter värdefulla tillgångar. Rapportens resultat visar dock entydigt att illasinnade aktörer riktar in sig på alla, stora som små, och att cyberbrott är ett ständigt närvarande hot som påverkar vår vardag.
I dagens digitala hotlandskap måste verksamhetsledningar inte bara se cybersäkerhet som ett ansvar för IT-avdelningen, utan en strategisk kärnfråga och från början bygga in digital säkerhet och motståndskraft i sin verksamhet. I den sjätte upplagan av Microsoft Digital Defense Report, som täcker perioden juli 2024 till juni 2025, lyfter vi fram att traditionella säkerhetsåtgärder inte längre räcker till. För att hålla jämna steg med hoten krävs moderna säkerhetslösningar som använder AI och starkt samarbete mellan branscher och myndigheter. För enskilda individer kan enkla åtgärder göra stor skillnad, särskilt användning av robusta säkerhetsverktyg som nätfiske-resistent multifaktorautentisering (MFA), som kan blockera över 99 procent av identitetsbaserade attacker.
Här är några av de viktigaste insikterna från rapporten:
Viktiga samhällsfunktioner är särskilt utsatta mål – med direkta konsekvenser i människors vardag.
Illasinnade aktörer fortsätter att rikta in sig på samhällsviktiga tjänster som, när de drabbas, kan få direkta och omedelbara konsekvenser för människors liv. Sjukhus och kommuner är exempel på sådana mål, eftersom de hanterar känslig information eller har begränsade resurser för cybersäkerhet och incidenthantering, vilket ofta leder till att de använder föråldrad programvara. Under det senaste året har cyberattacker mot dessa sektorer fått verkliga konsekvenser där akutvård har försenats, räddningstjänst har störts, skolundervisning har ställts in och transportsystem har stoppats.
Ransomware-aktörer riktar sig särskilt mot dessa sektorer eftersom deras alternativ ofta är begränsade. Till exempel måste ett sjukhus snabbt få tillgång till sina krypterade system, annars riskerar patienters liv att hotas, vilket kan leda till att lösensumman betalas ses som den enda utvägen. Dessutom lagrar myndigheter, sjukhus och forskningsinstitutioner känslig information som kriminella kan stjäla och sälja vidare på illegala marknadsplatser på dark web, vilket i sin tur driver annan brottslig verksamhet. Myndigheter och näringsliv kan samarbeta för att stärka cybersäkerheten inom dessa sektorer, särskilt för de mest utsatta. Sådana insatser är avgörande för att skydda samhällen och säkerställa kontinuitet i vård, utbildning och räddningstjänst.
Statliga aktörer utökar sina cyberoperationer.
Även om cyberkriminella står för den största mängden attacker, riktar statliga aktörer fortfarande in sig på viktiga branscher och regioner, med ett växande fokus på spionage, och i vissa fall även ekonomisk vinning. Geopolitiska mål driver fortsatt en ökning av statligt sponsrad cyberaktivitet, med en tydlig expansion mot kommunikation, forskning och den akademiska världen.
- Kina fortsätter sin breda satsning på industrispionage och datastöld. Statligt kopplade aktörer attackerar i allt högre grad icke-statliga organisationer (NGO:er) i sin datainsamling, och använder dolda nätverk samt sårbara internetanslutna enheter för att ta sig in och undvika upptäckt. De har också blivit snabbare på att utnyttja nyupptäckta sårbarheter.
- Iran riktar sig mot fler mål än någonsin tidigare, från Mellanöstern till Nordamerika, som en del av sina utökade spionageoperationer. Nyligen attackerade tre iranska statligt kopplade aktörer logistik- och rederiföretag i Europa och Persiska viken för att få tillgång till känslig kommersiell data, vilket väcker oro för att Iran kan förbereda sig för att störa kommersiell sjöfart.
- Ryssland, som fortfarande fokuserar på kriget i Ukraina, har breddat sina mål. Microsoft har till exempel observerat att ryska statligt kopplade aktörer riktar sig mot småföretag i länder som stödjer Ukraina. Faktum är att de tio länder utanför Ukraina som drabbats mest av rysk cyberaktivitet alla är medlemmar i NATO, en ökning med 25 % jämfört med förra året. Ryska aktörer ser dessa mindre företag som mer resurseffektiva mål att attackera för att komma åt större organisationer, och använder i allt högre grad cyberkriminella nätverk för sina attacker.
- Nordkorea fokuserar fortsatt på att generera intäkter och bedriva spionage. Ett uppmärksammat fenomen är att tusentals nordkoreanska IT-arbetare, kopplade till staten, har sökt jobb hos företag världen över och skickar sina löner tillbaka till regimen. När dessa arbetare upptäcks har vissa även tagit till utpressning som ett sätt att dra in pengar till staten.
Cyberhot från statliga aktörer blir allt mer omfattande och svårförutsägbara. Dessutom gör vissa statliga aktörers ökade användning av cyberkriminella nätverk att det blir ännu svårare att spåra vem som ligger bakom en attack. Detta understryker vikten av att organisationer håller sig uppdaterade om hoten mot sin bransch och samarbetar med både andra aktörer inom sin sektor och myndigheter för att möta de utmaningar som statliga cyberaktörer utgör.
Under 2025 ökade användningen av AI bland både angripare och de som vill försvara sig.
Under det gångna året har både angripare och de som vill försvara sig börjat använda kraften i generativ AI. Angripare använder tekniken för att automatisera nätfiske, skala upp social manipulation (social engineering), skapa syntetiskt material, identifiera sårbarheter snabbare och utveckla skadlig kod som självständigt kan anpassa sig utifrån förutsättningarna. Även statliga aktörer har fortsatt att integrera AI i sina cyberpåverkansoperationer. Aktiviteten har ökat under de senaste sex månaderna, då tekniken används för att göra insatserna mer avancerade, skalbara och målinriktade.
För de som jobbar för att skydda sig mot cyberattacker visar sig AI också vara ett värdefullt verktyg. Microsoft använder till exempel AI för att upptäcka och övervaka nya hot, fånga upp nätfiske och skydda utsatta användare. I takt med att både riskerna och möjligheterna med AI utvecklas snabbt, måste organisationer prioritera säkerheten kring sina AI-verktyg och utbilda sin organisation och sina anställda. Alla, från näringsliv till myndigheter, behöver agera proaktivt för att hålla jämna steg med allt mer sofistikerade angripare och säkerställa att ligga steget före.
Angripare bryter sig inte längre in utan de loggar in.
I takt med att cyberhoten blir allt mer sofistikerade sticker en siffra ut: över 97 procent av identitetsattacker är lösenordsattacker. Under första halvåret 2025 ökade identitetsbaserade attacker med 32 procent. Det innebär att majoriteten av skadliga inloggningsförsök mot en organisation sker genom storskalade försök att gissa lösenord. Angripare får tag på användarnamn och lösenord, så kallade autentiseringsuppgifter, främst genom läckor.
Men lösenordsläckor är inte den enda källan till att få tag på inloggningsuppgifter. Under året har användningen av skadlig spionprogramvara, även kallat infostealer, ökat kraftigt bland cyberkriminella. Infostealers samlar i smyg och i stor skala in autentiseringsuppgifter och information om dina onlinekonton och data från webbläsarsessioner. Denna stulna information säljs sedan på cyberkriminella forum, vilket gör det enkelt för vem som helst att få tillgång till konton, till exempel för att plantera ransomware.
Lyckligtvis är lösningen enkel. Genom att införa nätfiske-resistent multifaktorautentisering (MFA) kan över 99 % av dessa attacker stoppas, även om angriparen har rätt användarnamn och lösenord. För att slå mot den kriminella leveranskedjan av stulna uppgifter bekämpar Microsofts Digital Crimes Unit (DCU) användningen av infostealers. I maj slog DCU, tillsammans med amerikanska justitiedepartement och Europol, ut den mest populära infostealern – Lumma Stealer.
Cybersäkerhet är ett gemensamt ansvar
I takt med att hotaktörer blir mer sofistikerade, uthålliga och opportunistiska måste organisationer vara vaksamma och kontinuerligt uppdatera sin cybersäkerhet. Microsoft är fortsatt engagerade i att stärka sina produkter och tjänster genom initiativet Secure Future Initiative och vi samarbetar också med andra aktörer för att spåra hot, varna utsatta kunder och dela insikter med organisationer och allmänheten
Men cybersäkerhet är inte bara en teknisk utmaning, det är en styrningsfråga. Tekniska försvarsåtgärder räcker inte för att avskräcka statliga angripare. Regeringar måste bygga ramverk som tydligt signalerar trovärdiga och proportionerliga konsekvenser för skadlig aktivitet som bryter mot internationella lagar och regler. Glädjande nog ser vi att regeringar i allt högre grad tillskriver cyberattacker till utländska aktörer och inför åtgärder som åtal och sanktioner. Denna ökade transparens och ansvarstagande är viktiga steg mot en gemensamt avskräckande hållning. När den digitala omställningen accelererar, förstärkt av AI:s framväxt, utgör cyberhot risker för ekonomisk stabilitet, mot samhället och personlig säkerhet. För att möta dessa utmaningar krävs inte bara teknisk innovation, utan samordnade insatser från hela samhället.
Av Amy Hogan-Burney, Corporate Vice President, Customer Security & Trust
