CyberSecStats #48 - AI-fartsskatt, kostnaden ved innsiderisiko, e-posttrender i helse og årlige trusselrapporter
CyberSecStats #48: 27-sekunders eCrime-breakout, AI-first-firmaer bruker 80 dager lenger på å gjenopprette, 150 mrd dollar i cyber-VC, 32M phishing-e-poster.
Ukens viktigste cybersikkerhetsfunn
Tre tall verdt å stoppe opp ved denne uken.
1. AI er både topp budsjettdriver og første kandidat på kuttlista
AI driver budsjettveksten innen cybersikkerhet for 44 % av organisasjonene, men 44 % ville samtidig kuttet AI-investeringene først hvis budsjettene strammes inn.
2. E-postsikkerheten i helsesektoren forverres
41 % av rammede helseorganisasjoner havnet i høyrisiko-kategorien basert på e-postkonfigurasjon, opp fra 31 % i 2024. Over halvparten hadde mangelfulle eller manglende SPF-poster.
3. Cybersikkerhets-VC nærmer seg 150 milliarder dollar
Total VC investert i 2025 nærmer seg 150 milliarder dollar. Såkornvolumet steg 41 %, og identitet og tilgangsstyring stod for over 15 % av alle dealene.
Større rapporter
2026 X-Force Threat Intelligence Index (IBM)
Statsaktører dobler innsatsen på det som fungerer.
Endrede mål:
- Produksjon er den mest angrepne sektoren for femte år på rad, og står for 27,7 % av hendelsene.
- Nord-Amerika ble den mest angrepne regionen for første gang på seks år, med 29 % av totalen.
- Angrep som starter med utnyttelse av offentlig eksponerte applikasjoner økte 44 %.
2026 Global Threat Report (CrowdStrike)
Angripere flytter seg så fort at den tradisjonelle hendelsesresponsen er utdatert.
Akselererende breakout:
- Den raskeste observerte eCrime-breakouten skjedde på 27 sekunder.
- I én hendelse startet dataeksfiltrering innen fire minutter etter første tilgang.
- AI-drevne aktører økte aktiviteten med 89 % år over år.
Annual Threat Report 2026 (Darktrace)
Phishing utvikler seg raskere enn e-postsikkerheten. Angripere går rundt autentiseringsstandardene som skulle stoppe dem.
Phishing-utviklingen:
- 32 millioner phishing-e-poster ble fanget opp globalt i 2025.
- QR-kode-phishing økte 28 %, fra 940 000 i 2024 til over 1,2 millioner i 2025.
- Mer enn 8,2 millioner phishing-e-poster traff VIP-er i 2025, mer enn en fjerdedel av all phishing-aktivitet.
High-Tech Crime Trends Report 2026 (Group-IB)
Cyberkriminalitet blir mer profesjonell og selektiv. Avtaler om verdifull tilgang flytter seg fra offentlige forum til private kanaler.
Målmønstre:
- Finanssektoren (68,45 %) var den mest angrepne bransjen for phishing globalt i 2025.
- Offentlige IAB-oppføringer falt 27 %, og verdifulle avtaler flyttet seg til private kanaler.
- Tilgang selges i økende grad som tokens, SaaS-admin og integrasjonspunkter, ikke bare VPN eller RDP.
Thales 2026 Data Threat Report (Thales)
Grunnleggende datasikkerhetshygiene er fortsatt vanskelig. Organisasjoner sliter med å vite hvor dataene ligger og om de er kryptert.
Datasynlighetskrisen:
- Bare 34 % av organisasjonene vet hvor alle dataene deres ligger, uavhengig av kritikalitet.
- 47 % av sensitive skydata forblir ukrypterte.
- Bare 39 % kan fullt ut klassifisere alle dataene sine.
ReliaQuest 2026 Annual Cyber Threat Report (ReliaQuest)
Fartskrigen mellom angripere og forsvarere går forbi det mennesker kan håndtere uten automasjon.
Fartskrisen:
- Trusselaktører med AI- og automasjonsverktøy kan oppnå lateral bevegelse på så lite som 4 minutter, 85 % raskere enn året før.
- I snitt tar lateral bevegelse 34 minutter, 29 % raskere enn 48 minutter i 2024.
- Det raskeste dataeksfiltreringsangrepet i 2025 tok bare 6 minutter, mot over 4 timer i 2024.
The CISO Report (Splunk)
CISO-rollen har utvidet seg langt utover tradisjonell sikkerhet, til AI-styring, juridisk ansvar og organisasjonsresiliens.
CISO-byrden:
- Mer enn tre fjerdedeler av CISO-ene er nå bekymret for personlig ansvar ved sikkerhetshendelser, et kraftig hopp fra rett over halvparten året før.
- 92 % sier at å bedre trusseldeteksjon og respons er topprioritet.
- 68 % prioriterer å investere i AI-baserte sikkerhetskapasiteter.
2025 Cyber Risk Report (Resilience)
Ransomware-aktørene har innsett at det ofte er mer lønnsomt og mindre risikabelt å stjele data enn å kryptere dem.
Ransomware-svingen:
- I andre halvår 2025 brukte mer enn to tredjedeler av ransomware-angrepene datatyveri i stedet for kryptering.
- Utpressing for å holde tilbake stjålne data utgjorde 49 % av utpressingskrav i H1 2025 og 65 % i H2.
- Infostealere hentet ut mer enn 2 milliarder påloggingsdata.
E-postsikkerhet
2026 Healthcare Email Security Report (Paubox)
Helseorganisasjoner kompromitteres gjennom e-postsystemer med grunnleggende feilkonfigurasjoner som burde vært løst for år siden.
E-postsikkerhetsgapet:
- 41 % av rammede helseorganisasjoner havnet i høyrisiko-kategorien basert på e-postkonfigurasjon, opp fra 31 % i 2024.
- 53 % av e-postrelaterte brudd i helsesektoren skjedde på Microsoft 365.
- 56 % av rammede helseorganisasjoner hadde mangelfulle eller manglende SPF-poster (9 % manglende, 46 % soft fail).
Cybersikkerhets-investering
Q4 2025: Valuations Rising, AI Still Running the Show (DataTribe)
Investeringspengene strømmer inn i cybersikkerhet på historiske nivåer. Identitet og tilgangsstyring tar den største andelen av aktiviteten.
Markedsmomentet:
- Total VC investert i 2025 nærmer seg 150 milliarder dollar.
- Såkornvolumet i Q4 2025 steg 41 % sammenlignet med bunnpunktet etter pandemien i Q4 2024.
- Identitet og tilgangsstyring sto for mer enn 15 % av dealene i Q4 2025.
AI
From Adoption to Accountability (Exabeam)
AI driver de største budsjettøkningene innen cybersikkerhet og er samtidig det første som kuttes når pengene blir knappe.
Budsjettbølgen:
- 95 % av organisasjonene øker cyberbudsjettene i 2026.
- AI og automasjon er hovedårsaken til budsjettveksten for 44 % av organisasjonene.
- 44 % ville kuttet AI-investeringene først hvis cyberbudsjettene strammes inn.
The AI Speed Tax (Fastly)
Organisasjoner som beveger seg raskest på AI-adopsjon, beveger seg også raskest mot lengre og dyrere sikkerhetshendelser.
AI-restitusjonsgapet:
- AI-first-virksomheter bruker i snitt nesten syv måneder på å gjenopprette helt etter cyberhendelser, 80 dager lenger enn ikke-AI-first.
- Kostnaden for en cyberhendelse i AI-first-virksomheter overstiger ikke-AI-first med mer enn 135 %.
- 44 % av AI-first-organisasjonene rapporterer at AI ble direkte utnyttet i siste sikkerhetshendelse, mot 6 % av ikke-AI-first.
Identitet og tilgangsstyring
AI, Automation, and Risk in 2026 (Lumos)
Identitet har erstattet nettverksperimetret som hovedslagmark.
Identitetskrisen:
- 96 % av organisasjonene har hatt identitetsrelaterte sikkerhetshendelser.
- Over 54 % av sikkerhetsledere peker på ukontrollert vekst i tilganger som største utfordring.
- 48,1 % av organisasjonene har opplevd MFA-fatigue-angrep.
Ransomware
Total Ransomware Payments Stagnate While Attacks Escalate (Chainalysis)
Flere angrep, men ofrene betaler sjeldnere. Ransomware-økonomien er i endring.
Betalingsparadokset:
- Median løsepengebetaling vokste 368 % år over år, til nesten 60 000 dollar.
- Antall ransomware-hendelser registrert på lekkasjesider vokste 50 % år over år, til all-time high.
- On-chain-analyse viser at topper i IAB-innstrømmer typisk kommer omtrent 30 dager før økte ransomware-betalinger og offerlekkasjer.
Åpen kildekode-sikkerhet
2026 Open Source Security and Risk Analysis Report (Black Duck)
Åpen kildekode i produksjon er en risiko de fleste kjenner til, men sjelden fikser raskt nok.
Åpen kildekode-bildet:
- 98 % av kodebasene inneholder åpen kildekode-komponenter.
- Gjennomsnittlig antall sårbarheter per kodebase økte 107 % år over år.
- 24 % av organisasjonene gjør grundige IP-, lisens-, sikkerhets- og kvalitetsvurderinger for AI-generert kode.
Programvaresikkerhet
2026 State of Software Security Report (Veracode)
Teknisk gjeld er i ferd med å bli en kritisk sikkerhetsbyrde.
Sikkerhetsgjelds-krisen:
- 82 % av organisasjonene har nå sikkerhetsgjeld, en økning på 11 % fra året før.
- Høyrisiko-sårbarheter (både alvorlige og lett utnyttbare) økte 36 % år over år.
- Tredjeparts-biblioteker og åpen kildekode-avhengigheter står for 66 % av de farligste, lengstlevende sårbarhetene.
State of DevSecOps (Datadog)
Team vet hvilke sårbarheter som finnes i produksjon. De patcher dem ikke.
DevSecOps-gapet:
- 87 % av organisasjonene har minst én kjent utnyttbar sårbarhet i deployerte tjenester.
- 42 % av tjenestene bruker biblioteker som ikke lenger aktivt vedlikeholdes.
- Median programvareavhengighet er 278 dager utdatert, 63 dager lenger bak enn året før.
Innsiderisiko
Cost of Insider Risks Global Report (DTEX)
Generativ AI har skapt nye veier for innsidertrusler som de fleste organisasjoner ikke ser.
Innsiderbildet:
- Den årlige snittkostnaden for innsiderisiko nådde 19,5 millioner dollar i 2025, opp 20 % over to år.
- Organisasjonene opplevde i snitt 25 innsiderhendelser i 2025.
- Uaktsomhet drev de største tapene, med kostnader på 10,3 millioner dollar årlig, opp 17 % år over år.
SMB-trusselbilde
The 2026 SMB Threat Landscape Report (VikingCloud)
For første gang sier småbedriftseiere at cyberangrep bekymrer dem mer enn inflasjon, resesjon og nedgangstider.
SMB-skiftet:
- Cyberangrep rangeres som den største bekymringen for små og mellomstore bedrifter.
- 84 % av eierne styrer fortsatt cybersikkerhetsprogrammet selv.
- 40 % sier at et angrep til 100 000 dollar eller mindre kan slå dem konkurs.
Cybersecurity in the Age of AI (N-able)
Små og mellomstore virksomheter møter nå de samme AI-drevne truslene som var laget for enterprise.
AI-trusselen mot SMB:
- 46,4 % av SMB-er opplevde 3 eller flere hendelser de siste 12 månedene.
- 47,2 % sier varselslitasje er det største hindret for å løse sårbarheter og hendelser.
- Bare omtrent 25 % av medium- og lavprioritets-varsler blir undersøkt i SMB-er.
Sårbarhetstrender
2026 VulnCheck Exploit Intelligence Report (VulnCheck)
De fleste publiserte sårbarheter blir aldri utnyttet. Forsvarerne sliter likevel med å fokusere på de som betyr noe.
Utnyttelsen i tall:
- Bare 1 % av sårbarhetene er bekreftet utnyttet i naturen i 2025.
- 56,4 % av 2025-ransomware-CVE-er ble først identifisert via aktiv zero-day-utnyttelse.
- Omtrent en tredjedel av 2025-ransomware-CVE-er mangler offentlige eller kommersielle exploits per januar 2026.
OT- og industriell sikkerhet
Intelligence-Driven Active Defense Report 2026 (Palo Alto Networks)
Kritisk infrastruktur oppdager nå hvor mye av deres industrielle kontrollsystemer som er synlige og tilgjengelige fra det offentlige internett.
OT-eksponeringskrisen:
- 332 % økning i unike internett-eksponerte OT-enheter og tjenester, med nesten 20 millioner OT-relaterte enheter nå observerbare på offentlig internett.
- 82,8 % av motstanderaktivitet skjer i en forlenget forløpsfase, lenge før operasjonell effekt inntreffer, med en gjennomsnittlig oppholdstid på 185 dager.
- De høyeste konsentrasjonene av eksponerte OT-enheter var i USA, Kina og Tyskland.
Bedriftsperspektiv
The 2026 State of Agentic AI Cyber Risk Report (Apono)
Alle vil rulle ut agentisk AI. Nesten ingen føler seg klare til å sikre den.
Agentisk AI-bremsen:
- 98 % av globale virksomheter sier at sikkerhets- og databekymringer allerede har bremset utrullinger, lagt til kontrollsteg eller redusert prosjektomfang for agentisk AI og autonome systemer.
- 100 % er enige i at angrep mot agentiske AI-arbeidsflyter ville være mer skadelige enn tradisjonelle cyberangrep.
- Bare 21 % sier de føler seg forberedt til å håndtere angrep mot agentisk AI eller autonome arbeidsflyter.
