Fiktivt företag, verkligt scenario

21 dagar som förändrade allt

IT-angriparnas automatiserade verktyg skannar internet dygnet runt efter osäkra IT-system. De bryr sig inte om vad du gör eller vad du säljer, de letar bara efter öppna dörrar.

Det här är berättelsen om Solqvist Ekonomi & Redovisning AB med 12 anställda och 87 kunder, en måndag i februari under deklarationssäsongen.

Dag 1

08:05

En svart skärm med vit text

Charlie Solqvist, VD och grundare av redovisningsbyrån Solqvist Ekonomi & Redovisning AB, startar upp sin dator precis som vanligt, som alla andra morgnar de senaste 15 åren. En svart skärm med vit text dyker upp "Your files have been encrypted. Contact us within 72 hours."

Charlie ringer sin IT-konsult direkt. 

09:30

Alla 12 anställda är på plats, men ingen kan arbeta.

Lönesystem, fildelning och server är krypterat och e-posten fungerar inte. IT-konsulten bekräftar det värsta, säkerhetskopian lagrades på samma server, allt är krypterat. 

Dag 2

IT-säkerhetskonsult kallas in, 2 200 kr/timme

IT-säkerhetskonsulten Noah befarar att angriparna troligtvis fått tag i kunddata, personnummer och bankuppgifter innan krypteringen. Lösensumman är 380 000 kr i kryptovaluta och ska betalas inom 72 timmar, annars höjs den till 680 000 kr.

Noah hittar även något annat, en vidarebefordrarregel i byråns e-postsystem. Regeln skapades för 3 veckor sedan och har tyst skickat en kopia av all inkommande e-post till en extern e-postadress. Kundkommunikation, offerter, bankuppgifter, avtal, löneunderlag, allt som kommit in via e-post under de senaste 3 veckorna har angriparna redan läst.

Charlie är skräckslagen och ringer till sin advokat.

Dag 3

GDPR-klockan tickar

IMY (Integritetsskyddsmyndigheten) ska underrättas inom 72 timmar från att intrånget upptäcktes, fristen löper ut snart. Advokaten och Noah arbetar parallellt.

Charlie börjar kontakta sina 87 kunder och hinner med 10 samtal på förmiddagen, varje samtal tar 20 minuter. En av kunderna, Kim som är VD på Byggare Bygg AB med 18 anställda, påminner om att lönerna ska betalas ut på fredag. 

Dag 4

Betala inte

Noah rekommenderar att inte betala. Av de som utsatts för ett angrepp och som betalat lösen, är det ett fåtal som får tillbaka all sin data, men de flesta får bara tillbaka en viss del, eller ingenting alls. Att betala garanterar ingenting.

Återställningen av IT-miljön påbörjas från grunden. Operativsystem installeras om. Data samlas in manuellt från e-posthistorik, utskrifter och kundernas egna system.

Tintin är löneadministratör och har arbetat på redovisningsbyrån i 9 år. Idag sitter Tintin hemma för det finns ingenting att göra på kontoret, så länge IT-systemen ligger nere. Tintin skickar ett meddelande till sin kollega Sam vid lunchtid: "Vet du hur länge det här håller på? Börjar bli nervös för jag och Robin har precis skrivit på för lägenheten." Sam har ingen aning, men hoppas lika mycket som Tintin att det snart ska lösa sig. 

Dag 5

Fredag, lönedag 

Löner betalas inte ut för Byggare Bygg AB, deras 18 anställda får inget besked om detta förrän på eftermiddagen. Kim har ringt till Charlie 3 gånger för att få uppdatering om vad som händer.

Det är 6 kunder som har hört av sig med olika krav eller missnöjen om varför deras bokföring inte hanterats på flera dagar och Charlie har fortfarande 71 kunder kvar att kontakta. Charlie fick även precis en första faktura från Noah, 78 000 kr och betalningsvillkor 30 dagar.

Dag 6–10

Långsam process 

Det lokala filsystemet återställs gradvis. Alla molntjänstkonton måste nollställas, granskas och verifieras innan de kan användas igen. Angriparna har haft tillgång till inloggade sessioner, så nu måste alla konton granskas manuellt. 

De anställda börjar återskapa sin kunddata manuellt från PDF-utskrifter och kundernas egna register. 3 veckors e-posthistorik är angripet och kan därför inte längre användas som källa.

Sam har arbetat på redovisningsbyrån i 7 år, men har nu börjat titta på andra tjänster. Deklarationssäsongen pågår för fullt, men ingenting från den här redovisningsbyrån kan lämnas in i tid.

Dag 11–14

Rättsliga konsekvenser och nekad ersättning

IMY begär kompletterande information om exakt vilken data som angripits, vilka säkerhetsåtgärder som fanns samt vad som görs framåt. Det visar sig nu att vidarebefordrarregeln i e-postsystemet utökar skadebilden markant. 3 veckors kundkommunikation innehöll bland annat personnummer, löneunderlag och bankuppgifter för hundratals privatpersoner och anställda hos redovisningsbyråns kunder. Advokaten uppskattar att arbetet med IMY-ärendet kommer ta mellan 60–80 timmar.

Charlie ringer försäkringsbolaget. Redovisningsbyrån har haft en cyberförsäkring i 2 år med en premie på 18 000 kr/år, vilket kändes som en trygghet. Nu meddelar försäkringsbolaget att först måste en granskning ske. Efter 48 timmar kommer beskedet att ersättning nekas. Granskningen visar att tvåfaktorsautentisering inte var aktiverat på alla konton, att säkerhetskopiorna inte var testade och att det saknades en dokumenterad incidentplan, samtliga av dessa krav stod i avtalsvillkoren, men som ingen hade läst igenom så noga.

Fastighetsbolaget som är redovisningsbyråns näst största kund, meddelar skriftligen att de avslutar samarbetet. Det är ett månadsarvode på 18 500 kr som nu går förlorat. Charlie sitter ensam på kontoret en kväll och räknar. Nu räknas det inte bara på kostnader, utan om företaget överhuvudtaget kommer att överleva.

Dag 15–18

IT-system kommer tillbaka, men inte förtroendet

3 veckors transaktionsdata är borta för alltid och bokföringen har luckor. Skatteverket kontaktas för att förlänga inlämningsfrister, men 2 kunder beviljas inte förlängning och drabbas av förseningsavgifter. 1 av dessa planerar att kräva redovisningsbyrån på ersättning.

Sam har fått ett erbjudande från en konkurrerande redovisningsbyrå och lämnar in sin uppsägning. 

Dag 19–21

Tekniskt klara, men inte säkra

Alla IT-system fungerar. Noah har granskat servrar, datorer och molntjänstkonton. I sin slutrapport flaggas för att nätverksroutern bör bytas ut och undersökas. I en tredjedel av alla ransomware-angrepp sitter den ursprungliga intrångsskällan i nätverksutrustning såsom VPN-produkter och routrar.

Noah bekräftar intrångskällan, det var nätverksroutern. En modell som internetleverantören installerade för flera år sedan. Den har haft en känd sårbarhet i flera månader, en gammal programvaruversion som aldrig uppdaterats automatiskt. Angriparna tog sig in den vägen och har varit i datornätverket sedan dess. 

Sammanfattning

Faktiska kostnader dag 1–21

IT-säkerhetskonsult, 20 dagar, 352 000 kr

Advokat, 89 000 kr

Ny mjukvara och hårdvara, 34 000 kr

Förlorat kundarvode (fastighetsbolaget, 1 år), 222 000 kr

Total kostnad: 697 000 kr

I totalkostnaden är det inte medräknat de dagar som redovisningsbyrån inte kunde fakturera sina kunder, vilket innebär att kostnaden för angreppet troligtvis är högre i verkligheten. Det här är inte ett företag som enkelt kan bortse ifrån denna stora förlust och fortsätta med sin verksamhet. Det här är 12 anställda, 6 000 000 kr i årsomsättning och som har en liten buffert för oväntade händelser. 697 000 kr är ett hot mot hela företagets fortsatta överlevnad.

6 månader senare

Solqvist Ekonomi & Redovisning är fortfarande verksamma, men det är inte samma företag som tidigare. Det finns just nu inte ekonomi för att ersätta Sam som valde att avsluta sin anställning. 6 kunder är fortfarande tveksamma till att arbeta vidare med redovisningsbyrån. Charlie sover bättre nu, men inte lika bra som innan.

Idag arbetar hela företaget med tvåfaktorsautentisering på sina IT-system, en testad och verifierad säkerhetskopiering, en incidentplan samt har en IT-säkerhetskonsult på löpande avtal.

Det kostar 7 500 kr/månad eller 90 000 kr/år. Det är en bråkdel av vad IT-angreppet kostade.

Precis som för de flesta utsatta företag, så fortsätter angriparna att gå fria och ingen vet vilka de är. 

Händelseförloppet är fiktivt, statistiken är verklig. Källor: IBM Cost of a Data Breach 2024, Sophos State of Ransomware 2025, Verizon DBIR 2024, Mandiant M-Trends 2024, Coveware Q4 2024, Coalition Cyber Claims Report 2024, Fitch Ratings 2024 och CISA Advisory 2024.