Många småföretagare tror fortfarande att ransomware-attacker bara drabbar sjukhus, globala varumärken eller offentlig infrastruktur. I verkligheten är risken för ransomware mot småföretag ett av de tydligaste exemplen på hur angripare konsekvent riktar in sig på organisationer med värdefulla data, begränsad tid och svagare försvar.

Nyligen gjorda fynd från Protons Data Breach Observatory visar att små och medelstora företag ofta faller offer för intrång. De är också oproportionerligt representerade i de mest skadliga händelserna, inklusive intrång som involverar högriskdata och omfattande exponeringar av register.

Ransomware är ett problem för verksamhetskontinuitet, säkerhet för inloggningsuppgifter och dataskydd. Den brittiska regeringens undersökning Cyber Security Breaches Survey fann att 1 % av de brittiska företagen identifierade ransomware-händelser under de senaste 12 månaderna, vilket är en ökning från mindre än 0,5 % år 2024. På nationell nivå motsvarar det uppskattningsvis 19 000 företag.

Trots ökningen av ransomware är nätfiske fortfarande den vanligaste typen av cyberattack. Angripare får oftast tillkomst till företags nätverk via människor, inloggningsuppgifter och rutinmässiga arbetsflöden snarare än genom storskaliga cyberattacker. De kan i princip använda en nätfiskeattack för att sedan inleda en större ransomware-attack om de anar en större utbetalning.

För ett litet företag kan skadorna från ransomware orsaka betydande avbrott i verksamhetens kontinuitet. Teammedlemmar förlorar möjligheten att få åtkomst till filer och kan inte fortsätta sitt arbete, verksamheten saktar ner eller stannar av, och kunder eller klienter får inte tillräcklig service. Om personuppgifter har avslöjats följer rapporteringsskyldigheter. En praktisk ransomware-strategi för små och medelstora företag måste täcka båda aspekterna av en attack: förebyggande och återställning.

Hur fungerar ransomware?

Ransomware är en typ av skadlig kod som hindrar dig från att få åtkomst till enheter eller data, vanligtvis genom att kryptera filer, och sedan kräva en betalning i utbyte mot dekryptering. I många fall gör angriparna nu mer än att bara låsa filer. De stjäl också data och hotar att läcka dem om lösensumman inte betalas, vilket förvandlar händelsen till både en tillgänglighetskris och ett potentiellt dataintrång.

Offer instrueras ofta att kommunicera via anonym e-post eller webbsidor och att betala i kryptovaluta. För småföretag är den skillnaden viktig eftersom kryptovaluta är anonym, decentraliserad och oreglerad av traditionella finansiella institutioner: det är nästan omöjligt att spåra betalningar.

En händelse med ransomware är inte alltid begränsad till att man förlorar möjligheten att få åtkomst till filer. Det kan också betyda att kundinformation, medarbetardata, finansiella register, kontrakt eller inloggningsuppgifter redan har exfiltrerats. Ransomware kan leda till förlust av snabb åtkomst till personuppgifter och, där säkerhetskopiering inte är lämplig eller tillgänglig, till och med permanent förlust.

Attackkedjan är vanligtvis mer ordinär än du kanske förväntar dig. De händelser som är lätta att missa och som kan leda till en ransomware-attack inkluderar:

  • Att nätfiskelänkar följs.
  • Att återanvända lösenord som exponeras i ett dataintrång.
  • Att fjärråtkomsttjänster lämnas exponerade.
  • Att kända sårbarheter lämnas utan säkerhetsuppdateringar.

När en angripare väl får åtkomst till ett företags nätverk rör de sig i sidled, eskalerar behörigheter, inaktiverar återställningsvägar där det är möjligt och distribuerar kryptering eller utpressning där det gör mest skada. Inget enskilt verktyg eller lösning kan förhindra ransomware-attacker. I stället måste organisationer fokusera på att minska antalet enkla vägar in i deras nätverk.

Varför småföretag är oproportionerligt utsatta

Småföretag är attraktiva mål för ransomware av en enkel anledning: de har värdefulla data som inte är så välskyddade som de borde vara. Protons senaste observationer visar att små och medelstora företag står för 63 % av de intrång som spårats sedan januari 2025 och mer än 352 miljoner läckta poster.

De står också för 61 % av de intrång som involverar högriskdata, där enbart småföretag representerar 48 % av dessa kritiska händelser. Bland intrång som exponerar mer än 100 000 poster står små och medelstora företag för 60 %, och småföretag representerar 42 %.

Småföretag är inte vårdslösa. Faktum är att Protons SMB Cybersecurity Report 2026 visar att småföretag försöker förbättra sin cybersäkerhet. Problemet är att deras försvar brister under verkliga förhållanden. Inkonsekvent efterlevnad, mänskliga fel, vanor kring delad åtkomst och begränsad intern säkerhetskapacitet är vad som gör småföretag till frestande mål.

I Protons undersökning av 3 000 ledare vid företag med under 250 anställda sa 39 % att incidenter berodde på mänskliga fel, och 48 % sa att de inte hade någon lösenordshanterare på plats.

Större företag kan ha dedikerade responsteam, segmenterade miljöer, testade planer för säkerhetskopiering och externt incidentsupport redan på plats. Mindre företag har ofta en slimmad IT-funktion, outsourcad support eller ingen dedikerad säkerhetsexpert. När attacken slår till tvingas företaget fatta beslut med höga insatser under operativ press. Den pressen är precis vad ransomware-aktörer räknar med.

De vanligaste ingångspunkterna för ransomware i små och medelstora företag

Efter att ha granskat studier utförda i Storbritannien vet vi att nätfiske förblir den dominerande vektorn för cyberbrott mot företag. Men varför? Det beror på att nätfiske ofta är det första steget mot stöld av inloggningsuppgifter, att konton avslöjas, leverans av skadlig kod eller missbruk av fjärråtkomst.

Svaga eller återanvända inloggningsuppgifter är ett annat stort problem. Småföretag har ofta delade inloggningar, lösenord som återanvänds för flera tjänster eller gamla konton som förblir aktiva efter att någon bytt roll eller slutat. När angripare väl får tag i en fungerande inloggning behöver de inte hacka sig in på konton. De kan helt enkelt logga in.

Därifrån kan ett dåligt skyddat administratörskonto, en exponerad molnkonsol eller en punkt för fjärråtkomst utan tvåfaktorsautentisering (2FA) bli bron in till en bredare ransomware-händelse. Realistiskt sett måste organisationer distribuera 2FA, åtkomst med minsta möjliga behörighet och regelbundna granskningar av behörigheter för att minska risken för att stulna inloggningsuppgifter kan återanvändas och hur långt skadlig kod kan spridas.

Icke-patchad mjukvara är en annan återkommande ingångspunkt. NCSC noterar att ransomware i allt högre grad distribueras via exponerade tjänster som RDP eller icke-patchade enheter för fjärråtkomst, och rekommenderar att sårbarheter i system för fjärråtkomst och internetvända system patchas så snart uppdateringarna blir tillgängliga. För små och medelstora företag är det här en missad händelse tyst förvandlas till en attackyta.

Hur du skyddar dig mot ransomware: en skiktad metod

Det finns ingen enskild kontroll som kan förhindra ransomware. Den mest effektiva metoden är skiktad och praktisk.

Börja med identitetshantering

Data i teammedlemmars konton behöver ett grundligt skydd för att avvärja ransomware-attacker. Gör tvåfaktorsautentisering obligatorisk där det är möjligt för alla verksamhetskritiska konton, särskilt e-post, admin-verktyg, molnlagring, finansplattformar, åtkomstpunkter för fjärranslutning och alla system som lagrar kunders personuppgifter eller annan känslig personligt identifierbar information (PII).

Förbättra lösenordshygienen

Angripare bryter sig inte alltid in på konton. Ofta loggar de in med stulna eller återanvända inloggningsuppgifter. Varje företagskonto måste ha ett unikt, starkt lösenord, och delad åtkomst bör ersättas med hanterad, säker delning av inloggningsuppgifter via en lösenordshanterare för företag snarare än via kalkylblad, chattar eller e-post.

Protons egen rapport om små och medelstora företag belyser att även företag som har verktyg på plats ofta faller tillbaka på osäkra vanor vid delning av lösenord. Det är precis här en säker lösenordshanterare för företag som Proton Pass for Business kan minska riskerna: den hjälper team att skapa starka och unika inloggningsuppgifter, lagra dem säkert och dela åtkomst på ett kontrollerat och säkert sätt.

Hantering av patchar måste vara disciplinerad

Säkerhetsuppdateringar för operativsystem, appar, VPN-tjänster, verktyg för fjärråtkomst och nätverksgränssnitt bör behandlas som nödvändigheter för driften, inte valfritt underhåll. Installera säkerhetsuppdateringar så snart som möjligt och aktivera automatiska uppdateringar där det är genomförbart.

Robust e-post- och webbskydd

E-postfiltrering, bilagekontroller, blockering av kända skadliga webbplatser och skydd för säker surfning minskar alla sannolikheten för att ransomware ens levereras från första början. Eftersom nätfiske är så vanligt är dessa kontroller nödvändiga.

Åtgärda den mänskliga faktorn

Även när du har implementerat säkerhetsåtgärder och en lösenordspolicy är utbildning i säkerhetsmedvetenhet fortfarande nödvändig. Utbildning hjälper personalen att upptäcka misstänkta e-postmeddelanden och försök till social manipulering, men människor kommer ändå att göra misstag.

Starkare verktyg eller funktioner och åtkomstkontroller bör utgå från det. NCSC rekommenderar uttryckligen utbildning i medvetenhet, men Protons forskning visar också att utbildning ensamt inte fångar upp alla misstag. God säkerhetsdesign minskar skadan när någon klickar genom att göra det mindre sannolikt att ett misstag blir en fullskalig incident, oavsett om det sker genom 2FA, åtkomst med lägsta behörighet, starkare e-postskydd, segmenterad åtkomst eller testade säkerhetskopior som stöder återställning.

Skydda återställningen innan du behöver den

Säkerhetskopiering måste ske regelbundet, vara isolerad och testad. ICO rekommenderar 3-2-1-metoden: tre kopior, på två olika enheter, med en lagrad externt. NCSC lägger till en viktig varning för driften: ransomware kan ha infiltrerat din miljö innan det upptäcks, så säkerhetskopior bör skannas före återställning, och själva systemen för säkerhetskopiering bör skyddas.

Kopplingen till inloggningsuppgifter: varför lösenord fortfarande spelar roll i försvaret mot ransomware

Det är lätt att tänka på ransomware som skadlig kod och glömma att lösenord spelar en roll i en framgångsrik attack. Men många ransomware-incidenter börjar med stöld, återanvändning eller missbruk av inloggningar.

Det kan handla om att en anställd återanvänder ett lösenord från en annan tjänst, att ett konto för en tidigare entreprenör förblir aktivt, att admin-inloggningsuppgifter delas mellan flera personer eller att en exponerad fjärråtkomstpunkt endast skyddas av ett lösenord. Var och en av dessa genvägar utökar attackytan.

Detta är en anledning till att stark hantering av inloggningsuppgifter hör hemma i varje paket för återställning av ransomware och ramverk för förebyggande. Unika lösenord per tjänst minskar skadeområdet för en stulen inloggning. MFA gör det stulna lösenordet mindre användbart i sig, medan centraliserad lagring av inloggningsuppgifter tar bort behovet av osäkra nödlösningar.

Säker delning innebär att anställda får den åtkomst de behöver genom kontrollerade, spårbara metoder snarare än genom informell delning av lösenord. Regelbunden granskning av vem som har åtkomst till vad stöder också principen om lägsta behörighet, vilket NCSC rekommenderar som en del i att begränsa lateral rörelse och spridning.

Vi har skrivit utförligt om de ransomware-hot som små och medelstora företag står inför. Gång på gång ser vi samma sak: angripare letar alltmer efter företag som är lättare att bryta sig in hos, inte bara de företag som har de mest kända namnen.

Vad du ska göra om ditt lilla företag drabbas

1. Begränsa händelsen

Om ditt företag drabbas är din högsta prioritet begränsning. Koppla från infekterade enheter från nätverket, inaktivera konton som har avslöjats om du kan identifiera dem, isolera sökvägar för fjärråtkomst, säkra bevis och undvik att rensa system för snabbt om du kan behöva forensic-support senare.

2. Rapportera händelsen

NCSC rekommenderar brittiska organisationer att rapportera händelser och tillhandahåller särskild vägledning för ransomware gällande respons och återställning. Protons guide till incidenthantering är också en användbar referens för att strukturera den bredare beslutsprocessen kring begränsning, utredning, kommunikation och återställning.

3. Betala inte lösensumman

NCSC och brittisk brottsbekämpning uppmuntrar inte, stöder inte och överse inte med att betala krav på lösensummor. De konstaterar att det inte finns någon garanti för att du får åtkomst igen, att dina system fortfarande kan vara infekterade, att du kommer att finansiera kriminella grupper och att du löper större risk att bli måltavla igen.

ICO är lika tydliga med att betalning av en lösensumma inte minskar risken för människor och inte skyddar informationen. Även om en nyckel för dekryptering erbjuds finns det ingen garanti för att den kommer att fungera eller att stulna data inte ändå kommer att läcka ut.

4. Påbörja återställning

Återställning bör fokusera på långsam och säker återställning. Det innebär att bygga upp systemen från rena säkerhetskopior, validera att sökvägen för attacken har stängts, rotera berörda inloggningsuppgifter, återaktivera åtkomst försiktigt och dokumentera vad som hänt. Om man säkerhetskopierar till live-system eller om kopiorna inte har testats, är det ofta här företag upptäcker ett andra fel efter det första. Ett bra paket för återställning efter ransomware börjar egentligen långt innan en händelse ens inträffar.

Brittiska rapporteringsskyldigheter: när ICO kan behöva involveras

Om en ransomware-händelse påverkar personuppgifter kan detta vara ett personuppgiftsintrång enligt brittiska GDPR. ICO förklarar att förlorad åtkomst till personuppgifter i sig kan utgöra ett intrång om det skapar risker för individer, och att du måste meddela ICO utan onödigt dröjsmål och, där det är möjligt, inom 72 timmar om intrånget sannolikt kommer att leda till en risk för människors fri- och rättigheter. Om risken är hög kan berörda individer också behöva informeras utan onödigt dröjsmål.

Vissa organisationer antar fortfarande att rapportering är onödig om de återställer systemen snabbt eller om det inte finns någon uppenbar offentlig läcka. Det är inte ett säkert antagande. ICO:s vägledning för ransomware tar uttryckligen upp scenarier för avisering om intrång och klargör att bedömningen beror på risken för individer, inte bara på om stulna filer redan har dykt upp online.

Ransomware är nu ett problem för små och medelstora företag

Små företag drabbas allt oftare av ransomware-attacker, och när de drabbas kan effekterna bli allvarliga eftersom angripare utnyttjar deras svagheter. Protons senaste data om intrång synliggör detta: hotet är mätbart, växande och operativt störande.

Den goda nyheten är att grundläggande åtgärder kan göra mycket av det tunga arbetet för alla småföretag. Åtgärder som att använda en lösenordshanterare för företag för att distribuera 2FA och skapa unika inloggningsuppgifter, uppdatering, e-postfiltrering, personalens medvetenhet, granskning av behörigheter, testade säkerhetskopior och planering för incidenthantering kanske inte verkar märkvärdiga var för sig, men tillsammans gör de en betydande skillnad. De minskar risken för att ett enda stulet lösenord, ett nätfiskemeddelande eller en exponerad fjärrtjänst eskalerar till ett driftsstopp för hela verksamheten.