Varför CFO:n bryr sig om phishing
Av Jonas Koivula, medgrundare av Btrox
Affärsperspektivet på Business Email Compromise (BEC) – och hur modern teknik + medvetenhet sänker risken dramatiskt
1. Phishing är inte ett IT-problem – det är rörelseskuld
I IBM-rapporten Cost of a Data Breach 2024 tog det i snitt 258 dagar för organisationer att både upptäcka och stoppa ett intrång; när angriparen använde stulna inloggningsuppgifter drog processen ut till 292 dagar. Under nästan tio månader hinner felaktiga fakturor betalas, leveranser stanna och utredningskostnader skena. En global BEC-incident kostar numera omkring 4,9 miljoner USD – även här är phishing och komprometterade konton de dyraste vektorerna. Översatt till ett svenskt medelstort bolag motsvarar det cirka 3,8 miljoner kronor i förlorade intäkter, juristhjälp, stillestånd och skadat varumärke. Även ENISA, EUs Cybersäkerhetsmyndighet, noterar att BEC-attacker fortsatt hör till de vanligaste metoderna angripare använder för ekonomisk vinning, särskilt mot finansbranschen.
2. Hastighet är pengar
Oberoende MITRE-tester (fristående forskningsstiftelsen bakom ATT&CK-testet) av ledande MDR-tjänster visar 41 minuter i genomsnitt från första skadliga aktivitet tills larmet når kunden, och mindre än 30 minuter från larm till åtgärd hos de snabbaste teamen. Det är upp till tre tusen gånger snabbare än branschsnittet i IBM-studien.
3. Människan – den sista försvarslinjen
Tekniken reagerar – men det första klicket gör människan. En publicerad fallstudie visar att riktad security-awareness-träning kombinerad med återkommande phishingtester reducerade den mänskliga risken med 91 % på tolv månader. Samma IBM-rapport pekar dessutom ut personalutbildning som en av de mest kostnadsbesparande insatserna i hela studien.
4. Svenskt exempel (anonymiserat men verkligt)
Ett konsultbolag med 180 anställda tog fram en Human Risk Baseline: första simuleringen visade att 9 % klickade på en falsklänk. Efter att bolaget infört
- EDR (Endpoint Detection and Response) på alla klienter (automatisk isolering vid larm)
- MDR (Managed Detection & Response) med 30 minuters responstid
- Mikro-träning varannan vecka + kvartalsvisa phishingtester
sjönk klickfrekvensen till 0,8 % och medelresponstiden ned mot halvtimmen. Inför NIS2-revisionen kunde bolaget visa både tydlig riskreduktion och full efterlevnad av kravet på regelbunden utbildning.
5. Tre nyckeltal som övertygar styrelsen
| KPI | Rekommenderat mål | Varför CFO bryr sig |
|---|---|---|
| Phishing-klick | < 2 % | Direkt kopplat till BEC-risk och försäkringspremier |
| MTTR (Mean Time to Respond) | ≤ 30 minuter | Kort driftstopp, lägre utredningskostnad |
| Utbildningsgrad | > 95 % per kvartal | Bevis på NIS2-kravet ”regelbunden utbildning” |
När dessa tre värden ligger under kontroll minskar den ”dolda cyberskatten”: färre felbetalningar, kortare stillestånd och lägre försäkringspremier.
6. Nästa steg för CFO:n
- Mät nuläget – kör ett kostnadsfritt phishingtest och se exakt hur många som klickar.
- Räkna hem investeringen – multiplicera riskreduktionen (upp till 91 %) med er egen förväntade förlust vid BEC.
- Inför EDR + MDR som tjänst – inga egna projekt eller extra personal, men full insyn i loggar och KPI-paneler.
- Rapportera till styrelsen – presentera trendkurvorna kvartalsvis som svart-på-vitt ROI.
Redo att se era siffror?
BTROX gör cybersäkerhet affärsstrategisk – inte bara teknisk. Kontakta oss på sales@btrox.se för en 30-minuters genomgång.
