Verizon har publicerat sin 2026 Data Breach Investigations Report (DBIR), och årets upplaga är den mest omfattande på rapportens 19-åriga historia. Analysen täcker 31 000 säkerhetsincidenter och 22 000 bekräftade dataintrång i 145 länder. Den enskilt största nyheten: sårbarhetsutnyttjande har för första gången slagit ut stulna inloggningsuppgifter som den vanligaste initiala attackvektorn. Det är ett trendbrott som förändrar hur säkerhetsteam världen över, inklusive i Sverige, måste prioritera sina resurser.
Rapporten, som publicerades i maj 2026 och analyserar incidenter från november 2024 till oktober 2025, målar upp en bild av ett hotlandskap i snabb förändring. Angripare rör sig snabbare, tredjepartsrisken ökar dramatiskt och patchningsarbetet halkar efter. Resultaten är direkt relevanta för svenska organisationer, särskilt i ljuset av att Sverige registrerade 60 cyberincidenter under 2025 enligt DNV:s nordiska resiliensstudie, fler än något annat nordiskt land.
Sårbarhetsutnyttjande tar täten för första gången på 19 år
I DBIR-rapportens 19-åriga historia har stulna inloggningsuppgifter konsekvent legat i topp som den vanligaste ingångspunkten för angripare. Det förändrades 2026. Sårbarhetsutnyttjande stod för 31 procent av alla initiala intrångsvektorer, en ökning från 20 procent föregående år, vilket innebär en uppgång på 55 procent på ett enda år. Lösenordsstöld föll samtidigt från 22 till 13 procent.
Förskjutningen återspeglar ett skifte i angripares taktik. Statsstödda grupper och professionella ransomware-aktörer investerar alltmer i att identifiera och snabbt utnyttja kända CVE:er, ofta inom timmar efter att en patch publicerats. Samtidigt ökar antalet exponerade system kontinuerligt i takt med att organisationer adderar molntjänster, IoT-enheter och tredjepartsintegrationer.
Kritisk infrastruktur är hårt drabbad. Verizon-rapporten noterar att sårbarhetsutnyttjande nu är den dominerande ingångspunkten även för OT- och ICS-miljöer, det vill säga industriell styrteknik som styr kraftverk, vattenverk och transportsystem. Det är ett mönster som bekräftas av Dragos nordiska OT-hotintelligens, som lyft fram snabb vapenutnyttjande av VPN-sårbarheter, särskilt i Cisco SSL VPN, som en akut risk för Nordens förnybarenergiägare.
Patchningskrisen förvärras: 43 dagars median
Ett av de mest oroande fynden i DBIR 2026 är att patchningstiden inte minskar utan ökar. Mediantiden för full patchning av kritiska sårbarheter steg från 32 dagar 2024 till 43 dagar 2025, en ökning på 34 procent. Angripare exploaterar aktivt kända hål medan defensiva team kämpar med prioritering, testmiljöer och frysta driftfönster.
Ännu mer alarmerande: organisationer åtgärdade bara 26 procent av de säkerhetshål som finns i CISA:s katalog över kända exploaterade sårbarheter (KEV) under 2025. Det är en dramatisk nedgång från 38 procent året innan. CISA KEV-katalogen innehåller enbart hål som aktivt utnyttjas av angripare i verkligheten, vilket gör den till ett golv snarare än ett tak för vad som bör åtgärdas.
Tenable, som analyserade DBIR-resultaten i detalj, konstaterade att klyftan mellan exploateringshastighet och patchningshastighet nu är ett av de mest kritiska strukturella problemen i industrin. Svenska organisationer som följer NIS2-direktivet, vilket ålägger dem att hantera cybersäkerhetsrisker systematiskt, bör se patchningstiden som en central mätvärde att spåra och rapportera.
Tredjepartsrisk exploderar med 60 procent
Supply chain och tredjepartsangrepp har gått från en nichangreppsvektor till det nya normala. Enligt DBIR 2026 ökade tredjepartsangrepp med 60 procent jämfört med föregående år och stod nu för 48 procent av samtliga dataintrång, nästan hälften. Det är en strukturell förändring som organisationer inte kan ignorera.
Roten till problemet är ofta autentisering. Verizon-rapporten visar att majoriteten av de högskaliga molnbaserade tredjepartsincidenterna hade en gemensam nämnare: saknad eller felkonfigurerad MFA på molnkonton. Trots det hade bara 23 procent av de berörda tredjepartsorganisationerna åtgärdat dessa brister vid tidpunkten för intrånget.
För svenska företag är detta direkt kopplat till NIS2-skyldigheterna kring leverantörskedjans säkerhet. Direktivet kräver att organisationer klassificerade som väsentliga eller viktiga genomför riskbedömningar av sina leverantörer och vidtar proportionerliga åtgärder. Att 77 procent av tredjepartsorganisationer inte ens åtgärdar saknad MFA indikerar ett massivt underutnyttjande av en av de mest grundläggande säkerhetsåtgärderna.
Ransomware i nästan varannan intrång
Ransomware är inte på väg att försvinna. DBIR 2026 bekräftar att ransomware förekom i 48 procent av alla analyserade intrång, nästan varannan incident. Det är en påminnelse om att trots ökad medvetenhet och mognade försvarspraktiker är ransomware fortfarande angriparnas favoritvapen.
Lösenbeloppet minskar något. Medianbetalningen föll från 150 000 USD till 139 875 USD (ungefär 1,45 miljoner kronor), och 69 procent av offren valde att inte betala. Det är positiva tecken, men de tar inte bort det underliggande hotet. Bortom lösenbeloppet tillkommer kostnaderna för återställning, juridisk rådgivning, regulatoriska böter och affärsavbrott, kostnader som ofta är mångdubbelt högre.
Små och medelstora företag är fortfarande det primära målet: av ransomware-offer där organisationsstorlek var känd stod SMF:er för 96 procent. För Sverige, där SMF-sektorn utgör ryggraden i ekonomin, är detta en väckarklocka. Många mindre svenska företag saknar dedikerade säkerhetsteam och förlitar sig på IT-generalister eller externa leverantörer.
Infostealers banar väg för ransomware-attacker
En av de mest insiktsfulla kopplingarna i DBIR 2026 är länken mellan infostealers och ransomware. Rapporten visar att 73 procent av ransomware-offren hade haft en infostealer-infektion eller en läcka av inloggningsuppgifter under det år som föregick ransomware-attacken. Ännu mer talande: 50 procent av dessa händelser inträffade inom 95 dagar innan ransomware-attacken.
Infostealers fungerar som spjutspetsen. De samlar in inloggningsuppgifter, sessionscookies och VPN-åtkomst tyst i bakgrunden, ofta utan att utlösa några larm. Dessa uppgifter säljs sedan på kriminella marknadsplatser, och ransomware-grupper köper tillgång för att lancera riktade attacker veckor eller månader senare. Enligt DBIR:s analys surfar infostealers upp i genomsnitt 2 362 komprometterade företagsinloggningsuppgifter per månad per organisations e-postdomän i stealer-loggdatabaser. 54 procent av enheter i Initial Access Broker-loggar hade minst en infostealer installerad.
För svenska IT-säkerhetsteam innebär detta att proaktiv sökning efter stulna inloggningsuppgifter i publika läckor och darknet bör bli en rutinåtgärd, inte ett svar på en incident. Kopplingen till deepfake-bedrägerier är tydlig: ett komprometterat konto med giltiga inloggningsuppgifter ger angripare den autentiserade fotfäste de behöver för att eskalera en attack.
Shadow AI skapar dolda datarör ut ur organisationen
Artificiell intelligens skapar en ny kategori av insiderrisk, inte via avsiktliga läckor utan via anställdas välmenande men oreglerade AI-användning. DBIR 2026 identifierar shadow AI som ett växande strukturellt problem: 67 procent av användarna som nyttjar AI-tjänster på arbetsenheter gör det via icke-företagskonton, vilket exponerar affärsdata, kundinformation och immateriella rättigheter för publika plattformar.
Rapporten noterar också att anställdas oreglerade AI-användning, shadow AI, tredubblades under 2025 och nu påträffas i 45 procent av organisationer. De flesta säkerhetsstackar är inte byggda för att se denna typ av dataexponering, vilket gör det till ett blint fläck i majoriteten av säkerhetsoperationscentra.
Angriparna utnyttjar också AI aktivt. Verizon-rapporten konstaterar att i medianscenariot använde hotaktörer AI-assistans inom 15 distinkta MITRE ATT&CK-tekniker. I extremfall sökte aktörer vägledning för 40 till 50 tekniker. AI:s primära effekt är operationell, det automatiserar och skalar upp tekniker som försvarare redan känner till, men gör dem snabbare och mer voluminösa än tidigare.
Mänsklig faktor och mobil nätfiske
Trots det tekniska fokuset på sårbarheter och AI är människan fortfarande angriparnas viktigaste verktyg. Den mänskliga faktorn, som inkluderar social manipulation, nätfiske och missbruk av stulna inloggningsuppgifter, förekom i 62 procent av alla intrång i DBIR 2026. Social manipulation stod för 16 procent av intrången.
Mobil nätfiske är ett område i stark tillväxt. Framgångsfrekvensen för mobila nätfiskeattacker var 40 procent högre än för e-postbaserade attacker. Chris Novak, Managing Director för Cyber Security Consulting på Verizon, förklarade fenomenet: “People tend to be more trusting of these devices. As a result, they’re more likely to click on links and follow through with the phishing logic.” Enkelt uttryckt: vi skyddar oss bättre mot e-postbedrägerier än mot SMS- och meddelandebaserade attacker.
Svenska användare är inte immuna. Deepfake-bedrägerier riktade mot Sverige ökade kraftigt under 2025, och kombinationen av AI-genererat innehåll och mobil nätfiske skapar en attackkombination som traditionella säkerhetsutbildningar inte alltid adresserar tillräckligt.
Sektorsanalys: finans, tillverkning och professionella tjänster
DBIR 2026 identifierar tre sektorer som konsekvent är de mest drabbade: finansiella tjänster, professionella tjänster och tillverkning. Dessa sektorer kombinerar hög lönsamhet för angripare, ofta komplex IT-infrastruktur och i tillverkningens fall, en ökande OT/IT-konvergens som skapar nya attackytor.
| Sektor | Primär attackvektor | Ransomware-andel | Tredjepartsrisk |
|---|---|---|---|
| Finansiella tjänster | Stulna inloggningsuppgifter (19%) | Hög | Kritisk |
| Professionella tjänster | Sårbarhetsutnyttjande (34%) | Mycket hög | Hög |
| Tillverkning | Sårbarhetsutnyttjande + OT (31%) | Hög | Hög |
| Hälso- och sjukvård | Insiderhot + lösenord (28%) | Hög | Hög |
| Offentlig sektor | Sårbarhetsutnyttjande (27%) | Medel | Kritisk |
| Utbildning | Social manipulation (35%) | Medel | Medel |
För Sverige är tillverkningssektorn, med bolag som Volvo, SKF och ABB, ett prioriterat mål. Dessa organisationer har ofta äldre OT-system som körs parallellt med modern IT, en kombination som skapar hybridattackytor som kräver specialiserade OT-säkerhetskapaciteter. SecurityWeek:s analys av DBIR pekar specifikt på att kritisk infrastruktur nu ser sårbarhetsutnyttjande som den dominerande ingångspunkten framför lösenordsstöld.
Vad DBIR 2026 innebär för Sverige och Norden
Sveriges position i det nordiska cyberhot-landskapet är tydlig: landet registrerade 60 cyberincidenter under 2025 enligt DNV:s nordiska resiliensstudie, jämfört med 44 i Finland, 41 i Danmark och 21 i Norge. Sverige är det mest drabbade nordiska landet, och DBIR:s globala trender återspeglas fullt ut i den svenska kontexten.
DNV:s svenska studie, baserad på intervjuer med 200 chefer inom kritisk infrastruktur och 500 svenska medborgare, lägger till ett viktigt lager. En tredjedel av svenska chefer inom kritisk infrastruktur förväntar sig utbredd störning av leveranskedjor och samhällstjänster under 2026. Var femte svensk medborgare säger att deras vardag redan har påverkats av cyberincidenter, medan 60 procent förväntar sig en samhällsstörande cyberincident inom de närmaste åren.
Ansvarsfördelningen är ett strukturellt problem: 54 procent av svenska chefer uppger att cyberresiliens för kritisk infrastruktur ses som “någon annans ansvar” inom deras organisation. Kombinera det med att 26 procent av chefer i EU-klassade kritiska sektorer är osäkra på om deras organisation ens är samhällsviktig, och ett tydligt styrningsgap framträder. DBIR:s patchningsdata och tredjepartsrisksiffror förstärker detta: brister i grundläggande säkerhetshygien är inte ett nischproblem utan en systemisk svaghet.
Statsminister Ulf Kristersson beskrev under 2025 att Sverige är utsatt för “enorma cyberattacker” och nämnde specifikt att SVT, banker och BankID drabbats. Verizon DBIR:s data ger nu ett globalt ramverk för att förstå de mekanismer som driver dessa attacker: snabb sårbarhetsutnyttjande, komprometterade tredjeparter och infostealers som förbereder marken för ransomware.
Jämförelse: DBIR 2025 mot DBIR 2026
| Mätvärde | DBIR 2025 | DBIR 2026 | Förändring |
|---|---|---|---|
| Analyserade incidenter | ~30 000 | 31 000+ | +3% |
| Bekräftade dataintrång | ~21 000 | 22 000+ | +5% |
| Länder | 139 | 145 | +4% |
| Sårbarhetsutnyttjande (initial access) | 20% | 31% | +55% |
| Stulna lösenord (initial access) | 22% | 13% | -41% |
| Median patchningstid (dagar) | 32 | 43 | +34% |
| CISA KEV-åtgärdsgrad | 38% | 26% | -32% |
| Tredjepartsandel av intrång | 30% | 48% | +60% |
| Ransomware-andel av intrång | 44% | 48% | +9% |
| Mänsklig faktor-andel | 68% | 62% | -9% |
| Median ransomware-betalning (USD) | 150 000 | 139 875 | -7% |
| Andel offer som inte betalar | 65% | 69% | +4 pp |
Historisk kontext: 19 år av intrångsdata
Verizon Data Breach Investigations Report publicerades för första gången 2008 och har sedan dess blivit den mest citerade årliga rapporten inom informationssäkerhet. Under sina 19 år har den dokumenterat hur hotlandskapet skiftat från opportunistiska dataintrång drivna av ekonomisk vinning till sofistikerade, statsstödda operationer och professionaliserade ransomware-syndikationer.
Att sårbarhetsutnyttjande nu tar plats som den vanligaste attackvektorn är en kulmen på en trend som DBIR spårat under flera år. Under 2021 och 2022, när Log4Shell och ProxyLogon skakade industrin, såg rapporten hur snabb massexploatering av kända CVE:er kunde omstrukturera hotlandskapet på dagar. År 2026 har detta normaliserats till en permanent attackstrategi.
Historiskt sett har kriminella aktörer föredragit inloggningsuppgifter som ingångspunkt, billigare att köpa, enklare att använda och svårare att spåra. Förskjutningen mot sårbarhetsutnyttjande signalerar att den kriminella ekonomin nu gjort tillräckligt stora investeringar i exploit-kapacitet för att göra det konkurrenskraftigt, understött av AI-driven sårbarhetsskanning och automatiserad exploatgenerering.
Expertanalys: vad säkerhetschefer måste prioritera
Verizon DBIR 2026 ger säkerhetschefer en tydlig prioriteringslista. Rapporten betonar att grundläggande säkerhetshygien, patchningsrutiner, MFA-implementering och tredjepartskontroller, fortfarande är det effektivaste försvaret mot de vanligaste attackerna.
Chris Novak, Managing Director för Cyber Security Consulting på Verizon, belyser mobilutmaningen: “People tend to be more trusting of these devices. As a result, they’re more likely to click on links and follow through with the phishing logic.” Organisationer behöver utbilda sina anställda specifikt om mobila hotscenarier, inte bara e-postbaserat nätfiske.
Tenable Research, som djupanalyserade DBIR-resultaten, pekar på det de kallar “the remediation paradox”: patchningshastigheten minskar just när exploateringshastigheten ökar. Lösningen är inte att jobba hårdare utan att jobba smartare, att prioritera CISA KEV-katalogen framför intern riskpoäng och att implementera automatiserade patchningsprocesser för kritiska system.
Help Net Security noterade i sin analys av DBIR 2026 att tredjepartsrisken kräver en fundamental förändring i hur organisationer tänker kring leverantörskedjans säkerhet. Vendor risk management kan inte längre vara en pappersövning med frågeformulär som fylls i en gång om året. Det kräver kontinuerlig teknisk validering, inklusive verifiering av MFA-konfigurationer och åtkomstbegränsningar.
Industrial Cyber framhäver i sin genomgång att kritisk infrastruktur, inklusive energi, vatten och telekommunikation, nu möter ett fundamentalt annorlunda hotlandskap än för tre år sedan. Sårbarhetsutnyttjande i OT-miljöer är inte längre teoretiskt utan bekräftat i hundratals verkliga incidenter.
Fem prediktioner för hotlandskapet 2026–2027
Baserat på trenderna i DBIR 2026 och det nordiska hotlandskapet kan fem prediktioner göras för den närmaste perioden:
- Patchningstiden fortsätter öka. Utan strukturella förändringar i hur organisationer hanterar sårbarhetshantering riskerar mediantiden att passera 50 dagar under 2026. AI-driven automatisering av patchningsprocessen är den mest sannolika motåtgärden.
- Tredjepartsangrepp når 55 procent av alla intrång. I takt med att fler organisationer migrerar till molntjänster och SaaS-lösningar ökar attackytan via leverantörskedjor. Utan obligatorisk MFA-validering av leverantörer är trenden oundviklig.
- AI-driven nätfiske ökar mobilattackernas framgångsfrekvens ytterligare. Personaliserade deepfake-röstmeddelanden och SMS-attacker, kombinerade med AI-genererat innehåll, gör det allt svårare att särskilja legitima från bedrägliga kommunikationer.
- Sverige implementerar striktare NIS2-tillsyn. Med NCSC-SE och IMY som tillsynsmyndigheter förväntas de första substantiella tillsynsärendena relaterade till patchningsskyldigheter och tredjepartsrisker lanseras under andra halvåret 2026.
- Infostealer-ransomware-kopplingen förstärks ytterligare. Med 73 procent av ransomware-offer som redan haft infostealer-exponering förväntas ransomware-grupper att i ökande grad köpa infostealer-loggar systematiskt och rikta in sig på organisationer med verifierad åtkomst snarare än att skanna slumpmässigt.
Relaterad bevakning
Läs mer om cybersäkerhetslandskapet som DBIR 2026 kartlägger:
- Ivanti EPMM: CVSS 9,8 Zero-Day, 1 300 Exponerade — ett konkret exempel på snabb sårbarhetsutnyttjande i praktiken
- Nordic CISO-rapport: Exploiteringstid rasar 95% — hur nordiska angripare snabbar upp sin takt
- Cybersäkerhetslagen: 6 000 företag under NIS2 — de regulatoriska skyldigheterna för patchning och tredjepartsrisk
- OT-larm: 54% av Nordens energi-VPN föråldrade — VPN-sårbarheter i Nordens kritiska infrastruktur
- TeamPCP 2026: 5 säkerhetsverktyg hackade på 12 dagar — supply chain-attacken som slog mot öppen källkod
- EDR vs XDR: $59 mot $185 per Enhet — detektionsverktyg för att fånga sårbarhetsutnyttjande tidigt
Vanliga frågor om Verizon DBIR 2026
Vad är Verizon DBIR?
Verizon Data Breach Investigations Report (DBIR) är en årlig rapport som analyserar tusentals verkliga säkerhetsincidenter och dataintrång. 2026 års upplaga är den 19:e i ordningen och analyserar 31 000 incidenter och 22 000 bekräftade intrång i 145 länder. Rapporten används globalt av CISOs, säkerhetsanalytiker och regulatorer som referens för hotlandskapet.
Varför tog sårbarhetsutnyttjande täten som attackvektor 2026?
Tre faktorer förklarar skiftet: professionella angripare investerar mer i exploit-kapacitet, AI snabbar upp sårbarhetsskanning och exploatgenerering, och patchningstiden ökar. Kombinationen av fler kända hål och långsammare patchning skapar ett bredare exploateringsbart fönster. Det är den första gången i DBIR:s 19-åriga historia som stulna lösenord inte är den primära ingångspunkten.
Hur lång tid tar det att patcha en kritisk sårbarhet?
Mediantiden för full patchning av en kritisk sårbarhet ökade till 43 dagar under 2025, upp från 32 dagar föregående år. Det är en ökning på 34 procent på ett år. För sårbarheter i CISA KEV-katalogen, de som aktivt utnyttjas, åtgärdades bara 26 procent fullt ut under 2025.
Hur stor andel av intrång involverar tredjeparter?
Tredjepartsangrepp stod för 48 procent av alla dataintrång i DBIR 2026, en ökning med 60 procent jämfört med föregående år. Den vanligaste orsaken är saknad eller felkonfigurerad MFA på molnkonton hos tredjepartsleverantörer, ett problem som bara 23 procent av de drabbade organisationerna hade åtgärdat.
Hur är Sverige drabbat jämfört med andra nordiska länder?
Sverige registrerade 60 cyberincidenter under 2025 enligt DNV:s nordiska resiliensstudie, fler än Finland (44), Danmark (41) och Norge (21). Dessutom uppger 54 procent av svenska chefer inom kritisk infrastruktur att cyberresiliens är “någon annans ansvar”, och 60 procent av svenska medborgare förväntar sig en samhällsstörande cyberincident inom de närmaste åren.
Vad är kopplingen mellan infostealers och ransomware?
Enligt DBIR 2026 hade 73 procent av ransomware-offren en infostealer-infektion eller läcka av inloggningsuppgifter under det år som föregick ransomware-attacken. Hälften av dessa händelser inträffade inom 95 dagar innan attacken. Infostealers används av kriminella aktörer för att samla in åtkomstuppgifter som sedan säljs till ransomware-grupper, vilket gör dem till den primära supply chain i attackkedjan.
Vad kostar ett ransomware-angrepp 2026?
Medianbetalningen för ransomware föll till 139 875 USD (ungefär 1,45 miljoner kronor) under 2025, ner från 150 000 USD föregående år. Men lösenbeloppet är bara en del av den totala kostnaden. Återställning, juridisk rådgivning, regulatoriska böter och affärsavbrott adderar ofta tre till fem gånger lösenbeloppet i totalkostnad. Och 69 procent av offren väljer att inte betala alls.
Källor: Verizon DBIR 2026 | Help Net Security | SecurityWeek | Industrial Cyber | Tenable Research
