Måten små og mellomstore bedrifter jobber på har endret seg for godt — men det har også måten de blir angrepet på. Team er distribuerte, SaaS-verktøy håndterer alt fra lønn til prosjektadministrering, og entreprenører og leverandører roterer inn og ut av systemer jevnlig. For hvert nytt verktøy eller ansatt med tilgang, øker antall potensielle inngangspunkter.
Den ekspanderende angrepsflaten er viktig fordi angrep basert på påloggingsinformasjon, inkludert nettfisking, overtakelse av kontoer og passordtyveri, har blitt en av de vanligste måtene bedrifter opplever brudd på. De fungerer nettopp fordi tilgangen har spredt seg, noe som gjør det vanskelig å spore. Alt en angriper trenger å gjøre nå, er å finne ett gyldig sett med påloggingsinformasjon for å omgå bedriftens forsvar.
I denne sammenhengen burde det være oppmuntrende at over halvparten av små bedrifter nå bruker en passordapp for bedrifter. Men Protons SMB Cybersecurity Report 2026 — en global studie av 3 000 beslutningstakere i små og mellomstore bedrifter — fant at én av fire fortsatt opplevde et brudd i fjor.
Alt dette peker på et gap mellom hvordan verktøy tas i bruk og hvordan de faktisk brukes.
Hvordan SMB-er bruker passordapper i dag
De fleste passordapper er designet for å gjøre én ting bra: hjelpe deg med å huske passordet ditt. I praksis betyr det å lage komplekse og unike passord og administrere dem i et kryptert hvelv. Det er betydelig bedre enn normen som er å gjenbruke samme påloggingsinformasjon på tvers av kontoer og plattformer.
Men siden passord er en angripers enkleste inngangspunkt, trenger SMB-er passordapper til å gjøre mye mer enn bare å løse hukommelses- og bekvemmelighetsproblemer. De trenger dem for å sikre tilgang.
Tilgang er et langt bredere spørsmål. Har de riktige personene riktig påloggingsinformasjon — og ville du visst hva de låser opp, eller om de har falt i feil hender? Og etter hvert som team vokser, abonnementer hoper seg opp, og entreprenører rullerer inn og ut, må organisasjonens overveielser skifte fra bare å styrke passord til å ta høyde for virkelige sikkerhetstrusler.
Dette er endringen de fleste bedrifter ikke gjør før noe går galt.
Hvor implementeringer av passordapper går galt
Nøkkelinnsikten i rapporten vår var at bedrifter som tar i bruk passordapper, ikke bruker dem konsekvent.
Utrygg deling av påloggingsinformasjon forekommer fortsatt i overraskende stor grad:
- 33 % deler dem i delte dokumenter eller regneark
- 30 % deler påloggingsinformasjon via e-post
- 27 % deler dem via meldingsapper
- 25 % skriver dem ned
- 24 % deler dem muntlig
Dette er et bilde på travle mennesker som tar den raskeste ruten tilgjengelig der og da. I stedet for å bytte over til passordappen og dele ny påloggingsinformasjon i det riktige hvelvet, limer de den kanskje inn i Slack eller en e-post.
Nødløsninger føles ufarlige isolert sett. Men over tid ender påloggingsinformasjon opp spredt over innbokser, chathistorikk og delte dokumenter på måter som er vanskelige å rydde opp i. Når en ansatt slutter, kan du ikke i etterkant tilbakekalle tilgangen. Og å oppdatere passord på kort varsel etter et databrudd blir umulig med mindre det er lagret på en sentralisert, sikker plassering.
Opplæring for å håndheve sikkerhetsretningslinjer kan hjelpe, men forskningen vår avslørte at ikke en gang det er helt nok…
Hvorfor opplæring i sikkerhetsbevissthet ikke er nok
Rapporten vår fant at 39 % av SMB-er har opplevd en sikkerhetshendelse forårsaket av menneskelig feil. Den statistikken er lett å feillese; den naturlige responsen er å anta at mer forsiktige ansatte betyr færre hendelser.
Men denne fremstillingen overser noe viktig: Sikkerhetssystemer som avhenger av perfekt oppførsel under hverdagspress, vil alltid bli skuffet i virkeligheten. Feil skjer ikke fordi folk ikke bryr seg — de skjer fordi det sikre alternativet ofte krever mer innsats og tid enn den typiske SMB-en har råd til. Selv velmente team vil finne nødløsninger når de har knapt med ressurser.
Den varige løsningen er ikke mer opplæring. Det er å designe systemer der det sikre alternativet også er det enkle.
Når det å dele tilgang trygt ikke krever mer innsats enn å slippe et passord inn i en chat-melding, vil folk bruke det.
Når tilgangsproblemet kommer ut av kontroll
Problemet med påloggingsinformasjon forverres når team vokser.
Åttiseks prosent av SMB-er stoler nå på skybaserte tjenester for den daglige driften. Det betyr vanligvis at påloggingsinformasjon sprer seg over verktøy for prosjektadministrering, finansplattformer, markedsføringsprogramvare, fillagring og kundesystemer, hver med sine egne tillatelser og tilgangshistorikk.
Tilgangen spres ikke bare på tvers av systemer; den spres i hele organisasjonen, og flyter mellom team, eksterne partnere, entreprenører og tidligere ansatte som fortsatt kan ha en vei inn.
Dette betyr at i virkeligheten hoper påloggingsinformasjon seg opp, gammel tilgang fortsetter å henge igjen, og antallet personer som har — eller har hatt — nøklene til de mest sensitive systemene dine, vokser ut av det som er lett å spore.
Å ha verktøy er ikke det samme som å være beskyttet
SMB-ene som opplevde brudd i fjor, tok ingen snarveier: 92 % investerte aktivt i sikkerhetsverktøy. De hadde passordapper, kryptert e-post, opplæringsprogrammer og skriftlige retningslinjer på plass. Med andre ord så oppsettene deres solide ut på papiret.
Det mange manglet var konsekvent håndhevelse. Flerfaktor-autentisering (MFA) var slått på, men ikke påkrevd, passordapper var distribuert, men ikke innfelt i daglige vaner, og prosesser for introduksjon og avslutning ble håndtert uformelt i stedet for systematisk. Vi mistenker, gitt populariteten til passordapper for nettlesere, at mange ikke en gang brukte en sentralisert teamplattform i det hele tatt — og i stedet stolte på et lappeteppe av mindre sikre alternativer på individuell basis.
Hver av disse er et lite gap som forblir usynlig helt til det ikke er det lenger.
Det virkelige målet på et sikkerhetsoppsett er ikke hvilke verktøy som står på listen, men om disse verktøyene holder stand under det daglige presset av hvordan folk faktisk jobber.
Her er noen fremgangsmåter som kan bidra til å bringe denne virkeligheten nærmere bedriften din:
- Bruk en passordapp bygget for team. Passordapper for nettleseren er ikke bare mindre sikre, de mangler også administratorverktøyene ledere trenger for å opprettholde full kontroll over kontoene dine. Med mindre du har en passordapp for bedrifter som er enkel å bruke, vil det ikke være nok.
- Gjennomgå hvem som har tilgang til hva. Sjekk brukerlistene på dine mest sensitive verktøy, og se om noen av navnene der kommer som en overraskelse.
- Erstatt delte pålogginger med individuelle kontoer. Selv om det er lett å dele pålogginger i en passordapp, er det ikke anbefalt praksis: Delte pålogginger reduserer synlighet på kontonivå, noe som gjør det vanskeligere å identifisere og reagere på et brudd.
- Gjør flerfaktorautentisering til et krav. MFA er en av de mest effektive beskyttelsene som finnes — men bare når det håndheves som standard, og ikke kun er en valgfri innstilling.
- Gjør avslutningsprosessen systematisk. Hver gang noen slutter, enten det er en ansatt, entreprenør eller leverandør, bør det utløse en gjennomgang av tilgang umiddelbart, og ikke som en ettertanke.
Vil du vite hva mer du kan lære av vår undersøkelse blant 3 000 bedriftsledere i seks nøkkelmarkeder? Les mer i vår SMB Cybersecurity Report 2026. Du vil lære hva som forårsaker brudd og hva de faktisk koster, hvor menneskelige feil oftest viser seg, og hvordan bruk av sky og AI skaper nye blindsoner. Den inkluderer også praktiske trinn for å forsterke beskyttelsen, som holder mål i virkelige forhold.
