Dags att se över kostnaderna för VMware? Läs om hur vi kan hjälpa er.

MENY
Användarutbildning
Applikationssäkerhet
Backup
CTEM & Automatiserade Pentester
Cuebid Academy
DNS
Granskning & Analys
Klientskydd
Lagring
Logghantering
Nätverkskommunikation
Nätverksövervakning
SASE
SD-WAN
Server
Säkert Datacenter
Säker Klient
Säker Kommunikation
Användarutbildning
Applikationssäkerhet
Cuebid Academy
DNS
Klientskydd
Nätverksövervakning
SOC/MDR
Säker SOC
Användarutbildning
Backup
Cuebid Academy
Incident Response
Logghantering
SOC/MDR
Säkert Datacenter
Säker SOC
Security Operations
Användarutbildning
Applikationssäkerhet
CTEM & Automatiserade Pentester
Cuebid Academy
DNS som skydd
Granskning & Analys
Incident Response
Klientskydd
Logghantering
SOC/MDR
Kommunikation
Applikationssäkerhet
DNS-säkerhet
Nätverkskommunikation
Nätverksövervakning
SASE
SD-WAN
Datacenter
Backup
Lagring
Server
Cuebids Funktionstjänster
Säkert Datacenter
Säker Klient
Säker Kommunikation
Säker SOC
Om oss
Vår historia
Hållbarhet
Nyheter
Karriär
Cybersäkerhetsförmågorna
Topp 4 åtgärder
Tidslinjen för ett angrepp
Cuebids Partners
Partnerskap för Cuebid
Arctic Wolf
Fortinet
F5
Infoblox
NetApp
Rubrik
Under attack?
Support
Cuebid Kunskapshub Webbguide: Säker Kommunikation
Guide

Webbguide: Säker Kommunikation

15 juni 2026
Kommunikation Skydda

Inledning: Nätverk = Säkerhet?

I en värld där allt är uppkopplat och verksamheten är beroende av ständig tillgång till data och system, är säker kommunikation inte längre ett tillval – det är ett måste. Många tror att bara för att man har ett nätverk, så är det säkert. Men precis som att en väg inte blir säker bara för att den är asfalterad, krävs det skyltar, fartkameror och vägspärrar för att skydda de som färdas på den.

Hotbilden har förändrats snabbt de senaste åren.

Cyberangrepp mot kommunikationsvägar är bland de vanligaste enligt Arctic Wolfs hotrapport. Det handlar om allt från attacker via VPN och brandväggar, till kapade konton utan MFA, bristfällig segmentering och missbruk av oskyddad DNS-trafik. Därför är det avgörande att ha full kontroll på hur kommunikationen sker – och hur den skyddas.

Detta gör att frågor som tidigare ansågs tekniska – som brandväggsplacering, fjärranslutning och Wi-Fi-arkitektur – idag är direkta affärsrisker. Särskilt när många attacker kan ske utan att användaren märker det.

Den här guiden är till för dig som vill förstå hur säker kommunikation fungerar och vilka byggstenar som krävs för att skapa ett nätverk som inte bara fungerar – utan skyddar.

Alternativa versioner av guiden

Guiden går även att ladda ner som PDF för dig som vill kunna läsa den offline.

Och för dig som inte vill eller har möjlighet att läsa, så har vi med hjälp av AI tagit fram ljud- och video-sammanfattningar av guiden.
Samtliga ljud-podar finns även på Cuebids Spotify-konto och alla videos hittar du även på Cuebids YouTube. 

Alternativa versioner

Vad är ”Säker Kommunikation”?

Säker kommunikation handlar om att skydda det digitala samtalet – oavsett om det sker inom kontorets väggar, mellan kontor, från distans, eller mellan olika tekniska system. Det omfattar både nätverksarkitektur, teknikval och det sätt man styr trafiken på.

Det är lätt att dras med i tekniska termer som SD-WAN, VPN och SASE. Men i grunden handlar det om något mycket enkelt: att bara rätt personer, enheter och system ska få prata med varandra, och att det sker på ett sätt som inte kan avlyssnas eller manipuleras.

1. Det lokala nätverket

Brandväggen – navet i nätverket

Idag börjar allt i brandväggen, på olika sätt. Oavsett om du pratar om ett lokalt nätverk, anslutningar mellan kontor, fjärranslutningar eller en global infrastruktur, så är alltid brandväggen en vital del. Brandväggen är inte längre bara en ”barriär” i det lokala nätverket på kontoret eller datacentret – den är idag navet i HELA nätverkets säkerhetsarkitektur. Den moderna brandväggen – Next Generation Firewall (NGFW)

  • Förstår applikationer och användare
  • Blockerar kända och okända hot
  • Integreras med identitetsplattformar och EDR-lösningar
  • Styr och loggar all trafik i nätverket – även intern kommunikation
  • Identifierar och stoppar attacker som utnyttjar krypterad trafik

I praktiken fungerar brandväggen som en kontrollstation och trafikledare, oavsett i vilken riktning kommunikationen går – inom nätverket, till molnet, till ett annat kontor eller från en ansluten fjärranvändare. Den säkerställer att bara auktoriserad, kontrollerad och trygg trafik tillåts passera.

Man kan tänka på den moderna brandväggen som en avancerad och ständigt bemannad gränskontroll. Den inspekterar all trafik som skall över gränsen, både inkommande och utgående. – Var kommer den ifrån, vart skall den och vad innehåller den. Den ser även till att allt dokumenteras och spärrar all typ av trafik som inte tillåten. Gränskontrollen är oftast även i direkt kontakt med både polisen och underrättelsetjänsten, samt tullmyndigheterna som kan utföra fördjupande undersökningar om något är misstänkt.

Brandväggen spelar alltså inte bara en central roll i det lokala nätverket – den är också en kritisk del när det gäller att koppla samman kontor, tillåta säkra fjärranslutningar och skapa en säker helhetsarkitektur. T ex med hjälp av SD-WAN och SASE, vilket vi återkommer till nedan. 

Brandväggen är även ytterst central när vi pratar segmentering.

Segmentering – att begränsa påverkan

Segmentering, att dela upp nätverket i olika delar, är en av de mest kraftfulla åtgärderna för att minska konsekvenserna av ett angrepp. Genom att dela upp nätverket i mindre delar – med olika säkerhetsnivåer och regler – förhindrar man att ett intrång i en del sprider sig till hela verksamheten. 

Segmentering är idag en grundläggande funktion som många pratar och är medvetna om, men som dessvärre ofta är lite eftersatt. Det blir tyvärr ofta en sak som ”vi har börjat med det, men inte kommit i mål med fullt ut ännu”. 

Vi menar att detta är otroligt viktigt för säkerheten och för att kraftigt kunna begränsa påverkan vid ett eventuellt angrepp.

Det fungerar ungefär som vattentäta skott på ett fartyg. Om ett skott fylls med vatten, sjunker inte hela skeppet – tack vare att övriga delar är avskilda.

Det finns olika nivåer av segmentering. En grundläggande nivå kan vara att dela nätverket i olika zoner – för gäster, medarbetare och servrar. Men man kan gå längre. Med mikrosegmentering skapar man mycket finmaskiga avgränsningar även mellan system, applikationer eller användargrupper. (Man kan sätta upp det så att varje enskild dator, server och/eller applikation/system i praktiken blir en egen ö där man kräver kontroll av all trafik till och från ön eller ”mikrosegmentet”.)

Mikrosegmentering är därför särskilt effektivt i miljöer där många applikationer kommunicerar med varandra – t.ex. i datacenter eller molnmiljöer. Det gör att man kan isolera attacker tidigt och minska spridning inom nätverket.

Segmentering i olika former utgör också grunden för tekniker som Zero Trust Network Access (ZTNA), där åtkomst alltid styrs utifrån kontext och verifiering.

ZTNA är ett sätt att styra åtkomst till applikationer och tjänster baserat på principen att aldrig automatiskt lita på någon (”Zero Trust”), oavsett om de befinner sig innanför eller utanför nätverket.

Istället måste varje begäran om åtkomst verifieras i realtid utifrån:

  • Vem användaren är
  • Vad de försöker komma åt
  • Vilken enhet de använder
  • Varifrån anslutningen sker

ZTNA motsvarar i den digitala världen lite det som är vanligt på många fysiska kontor. Att man alltid skall ha en badge synlig (med bild så att ingen kan stjäla din badge) och att den måste användas för att gå mellan olika våningar, zoner och låsta rum. Ibland tillsammans med en PIN-kod för låset. Det räcker helt enkelt inte med att du kommit förbi receptionen och första grinden

Zero Trust handlar i grunden om att aldrig lita blint på någon – inte ens de som redan tagit sig in. All åtkomst granskas, varje gång.

LAN och Wi-Fi

På våra olika kontor behöver vi fortfarande ha sätt för att ansluta alla våra enheter, som datorer, mobiler och servrar. Här kommer LAN (Local Area Network) och trådlösa nätverk (där den vanligaste sorten är Wi-Fi) in. När vi pratar lokala nätverk för ett företag är det dock lite annorlunda än vad man kanske är van vid hemma, även om det till stor del handlar om samma grundläggande teknik.

Tänk på kontorsnätverket som rum och våningar på ett hotell. Om alla har nycklar till allt, blir det snabbt rörigt och väldigt osäkert. Man behöver begränsa tillgången till våningsplan, rum och andra utrymmen så att bara de som har behov och är betrodda kommer åt rätt saker. Lobbyn kanske är öppen för alla, serviceutrymmen och kök enbart för anställda, gästhissar och rum är enbart tillgängliga för de som bor på hotellet, osv. Precis som att hotell är indelade i olika ”zoner” eller ”Segment” så behöver man på samma sätt segmentera lokala nätverk, vilket vi redan pratat om en del i avsnittet ovan. Det gäller både de trådanslutna nätverksuttagen och det trådlösa Wi-Fi-systemet. Allt måste vara uppsatt på ett säkert sätt med tydlig kontroll, så att man inte får access till hela nätverket bara för att man exempelvis råkar komma åt ett nätverksuttag i ett konferensrum, eller för att man hittat koden till det trådlösa gästnätverket

Ett vanligt missförstånd är att trådlösa nätverk (Wi-Fi) automatiskt är sämre än trådade (LAN) – eller tvärtom. I själva verket handlar det om att använda rätt teknik på rätt plats. 

  • LAN där styrkan är stabilitet, prestanda och bättre fysisk åtkomstkontroll. 
  • Wi-Fi där flexibilitet, mobilitet och volym är avgörande faktorer.

Trådat LAN är som att dra fysiska rör med vatten till en kran eller dusch – snabbt, stabilt och kontrollerat. (Men, skall vem som helst kunna vrida på vattnet bara för att man har tillgång till kranen?)

Wi-Fi är som att ha flera fyllda bassänger med vatten där man kan svalka sig vid behov – flexibelt, enkelt och tillgängligt för alla som är i närheten. Dock känsliga för störningar om bassängen blir full eller det blir problem med reningen. (Och skall alla ha tillgång till samtliga bassänger eller skall man dela upp det på olika sätt, barnpool, hopptorn, tävlingsbassäng etc. ?)

Det bästa är ofta att kombinera båda. Stationära skrivare, servrar och säkerhetssystem bör ligga på det trådade nätverket – medan mobiler, laptops och gäster med fördel kopplas till det trådlösa. Viktigt är att båda hanteras med samma noggrannhet och säkerhet.

Wi-Fi-nät är oftast mer utsatta för angrepp då de ofta används av många olika typer enheter och användare och för att de ofta kan nås från platser där man kan gömma sig enklare (t ex från grannhuset eller gatan utanför). För att skapa ordning, kontroll och säkerhet i det trådlösa nätverket behöver man därför jobba med:

  • Smidig inloggning kopplad till vem du är – Istället för att bara använda ett lösenord till nätverket, kan det kopplas till din användaridentitet som i sin tur kan vara en del av nätverkssegmentering. Det är lite som att behöva visa ID-kort, inte bara veta portkoden.
  • Separata nät för gäster och interna användare – Tänk dig att du har två olika dörrar till ditt hus: en för familjen och en för gäster. Gäster får sitta i vardagsrummet, men inte gå in i sovrummet. På samma sätt håller man besökare avskilda från känsliga system.
  • En säker anslutning till Wi-Fi (WPA3) – Det är ungefär som att ha en dörrnyckel med en unik kod som inte går att kopiera. Den ser till att bara rätt personer kommer in – och att ingen kan tjuvlyssna på vad som sägs där inne. Den nyare WPA3-tekniken skyddar också bättre mot överbelastningar och öppnar upp för framtidens trådlösa nätverk. Äldre lösningar (WEP, WPA och WPA2) har svagheter som inte går att rätta till – därför är det viktigt att uppgradera. 
  • Upptäckt av okända eller misstänkta enheter – Nätverket kan varna om en okänd dator försöker ansluta, ungefär som ett hemlarm som reagerar på en främmande rörelse i huset.

2. Kommunikation mellan kontor
(WAN, SD-WAN och SASE)

Förr gick all trafik via huvudkontoret – som att alltid behöva köra till centralstationen innan man får ta tåget vidare. Med SD-WAN och SASE bygger man istället smartare vägar som går direkt dit de ska, men med full övervakning och säkerhetskontroll.

I ett traditionellt WAN (Wide Area Network) köpte företag ofta en dedikerad linje mellan sina olika kontor, en så kallad MPLS-förbindelse. Det var en stabil och pålitlig lösning, men också dyr och svår att anpassa. All trafik gick via dessa fasta förbindelser, oavsett om den skulle till huvudkontoret, en molntjänst eller internet.

SD-WAN (Software-Defined WAN) ändrar spelplanen. Istället för att vara beroende av en enda, kostsam väg kan man kombinera flera olika typer av uppkopplingar – som fiber, 4G/5G och internet – och styra trafiken beroende på vad den innehåller och vart den ska.

Det innebär bland annat:

  • Trafik till molntjänster kan gå direkt ut till rätt tjänst istället för omvägen via huvudkontoret
  • Känslig data kan styras genom de säkraste och snabbaste vägarna
  • Video- och rösttrafik kan prioriteras över t.ex. filnedladdningar
  • Istället för för att köpa en dyr, dedikerad förbindelse mellan kontor kan man utnyttja vanliga internetanslutningar – så länge de har tillräcklig prestanda och tillförlitlighet

Brandväggarna har en mycket viktig roll när det gäller anslutningar mellan kontor, i ett SD-WAN. Det är brandväggarna på de olika kontoren som pratar ihop sig med varandra och bygger ett helt krypterat ”virtuellt” WAN mellan sig. Det är alltså brandväggarna tillsammans med alla typer av förbindelse man har tillgång till som utgör SD-WANet, som därmed definieras av mjukvara i brandväggarna (Software Defined) och inte av fysiska anslutningar mellan olika kontor.

Den stora fördelen är att man kan använda det som redan finns. Med andra ord: i stället för att bygga en privat väg mellan två kontor, använder man den befintliga motorvägen (oftast internet) – men med egna, krypterade körbanor som ingen annan kan köra på. Tack vare stark kryptering och smart trafikstyrning kan det vara lika säkert som att ha en helt egen förbindelse.

Tänk dig att du skall åka från kontoret till en kund och du har flera olika vägar och sätt att ta dig dit på. Med en smart app i mobilen vet du direkt vilken väg som är bäst just nu, baserat på dina krav och behov. SD-WAN fungerar på samma sätt när det gäller nätverkskommunikation mellan olika platser, t ex mellan kontor eller till andra externa tjänster på internet. Ett SD-WAN väljer automatiskt det bästa och snabbaste sättet beroende på vad du skall nå och vad som finns tillgängligt

SD-WAN gör det alltså möjligt att bygga ett flexibelt, kostnadseffektivt och säkert nätverk – utan att kompromissa med tillförlitligheten. Det ger full kontroll över hur trafiken färdas genom nätet, vilket är särskilt värdefullt när kontor är spridda geografiskt eller när molntjänster används i stor utsträckning.

SASE (Secure Access Service Edge) är nästa steg i utvecklingen – ett helhetstänk där både säkerhet och uppkoppling levereras från molnet som en samlad tjänst. I praktiken innebär det att:

  • Användare, oavsett plats, ansluter automatiskt till närmsta och bästa anslutningspunkt, eller ”Säkerhetsnod” i molnet
  • Trafiken kontrolleras och filtreras redan där, med hjälp av brandväggsfunktioner (NGFW), DNS-skydd, Zero Trust (ZTNA) och andra säkerhetslager
  • Det spelar ingen roll om användaren är på kontoret, hemma eller på ett café – säkerheten är densamma
  • Systemet kontrollerar också användarens identitet och enhetens tillstånd innan åtkomst ges, inte bara vid inloggning utan vid varje åtkomstförsök

Vad är skillnaden på SD-WAN och SASE?

SD-WAN är alltid en del av en SASE-lösning. SD-WAN hanterar hur trafiken styrs – för att skapa smartare, snabbare och säkrare vägar mellan olika kontor och/eller molntjänster. När man sedan lägger till säkerhetslagret kopplat till användare (Secure Access), samt den centrala hanteringen över alla delar, så får vi SASE. 

SD-WAN = ett smart GPS-system som automatiskt väljer bästa väg.
SASE = När GPS:en dessutom har inbyggt alkolås, färdskrivare, spårning och även kräver inloggning med ID-kort – direkt i molnet.

Tillsammans skapar de en arkitektur där uppkoppling och säkerhet samverkar – oavsett plats eller enhet.

*Läs mer om SASE i stycket kring ”Fjärranslutningar” nedan och i vår separata Fokus-Guide kring SASE

3. Visibilitet och nätverksanalys - att se för att förstå

För att kunna skydda sitt nätverk måste man först förstå det. Det gäller både IT- och OT-miljöer. Du behöver veta:

  • Vilka enheter är anslutna?
  • Vilken trafik flödar i nätverket – och mellan vilka punkter?
  • Vilken kommunikation är normal, och vad sticker ut?

Detta kallas visibilitet – och utan det famlar man i mörker.

Ett av de mest effektiva verktygen för att skapa denna insyn är NDR (Network Detection and Response). Genom att analysera trafiken i realtid, både internt och externt, upptäcks misstänkt aktivitet innan den hinner orsaka skada.

NDR fungerar som en digital övervakningskamera – den ser vad som händer i nätverket och larmar direkt om något avviker från det normala.

När NDR kombineras med en SOC-funktion (Security Operations Center) skapas en kraftfull förmåga: inte bara att se vad som händer, utan att agera snabbt när något är fel.

NDR är inte bara för OT – det är ett värdefullt verktyg i alla nätverk där man vill upptäcka avvikande trafik, oönskade accesser och hot som annars skulle passera obemärkta.

Centraliserad hantering - grunden för kontroll

För att visibilitet ska leda till faktisk säkerhet krävs också kontroll. Med centraliserad hantering (oftat kallat “Single pane of glass”) – till exempel via säkerhetsplattformar som Fortinets Security Fabric – får man en gemensam vy över hela nätverket:

  • Brandväggar, switchar, Wi-Fi och säkerhetsfunktioner hanteras på ett ställe
  • Regler och policyer kan tillämpas konsekvent
  • Avvikelser upptäcks snabbt oavsett var de sker

Det gör att man inte bara ser vad som händer – man kan också styra, reagera och förebygga.

För många verksamheter blir visibilitet genom sammanhållen teknik och aktiv övervakning också en nyckel för att uppfylla kraven i NIS2.

4. Fjärranslutningar

Fjärranslutningar har länge byggt på två huvudlösningar: VPN och fjärrskrivbord. Dessa metoder har fungerat – men med dagens krav på säkerhet, flexibilitet och kontroll räcker de inte längre till som ensam lösning.

Vad är problemet med VPN och fjärrskrivbord

VPN (Virtual Private Network) skapar en säker tunnel mellan användaren och nätverket. Men när användaren väl är inne i nätverket har de ofta tillgång till långt mer än vad som krävs. Det är svårt att kontrollera exakt vad de kan göra, och vad som händer om kontot blir kapat.

Tänk dig att någon får en nyckel till hela byggnaden – inte bara det rum de egentligen ska in i. Så fungerar många VPN idag. Kan du ansluta och logga in (oftast utan extra säkerhetskontroller), så har du tillgång till samma saker som om du var på kontoret. Det är lite som att släppa in ett spöke, som ingen på kontoret kan se, och ge den nyckeln till alla rum.

Fjärrskrivbordslösningar – som Remote Desktop Protocol (RDP) – har också använts i stor utsträckning. De fungerar ofta smidigt, men har flera säkerhetsrisker:

  • De öppnar ofta portar direkt mot internet, vilket kan utnyttjas vid attacker
  • De saknar ofta detaljerad åtkomstkontroll – användaren får tillgång till hela datorn (som dock kan styras via andra lösningar)
  • Säkerheten är starkt beroende av lösenordsskydd och konfiguration
  • RDP är ett vanligt mål vid t.ex. ransomwareattacker

RDP-attacker ligger högt på listan över vanliga intrångsvektorer enligt globala incidentrapporter – särskilt i organisationer utan MFA.

Enligt Arctic Wolfs trendrapport saknar fortfarande en stor andel organisationer MFA (Multi-Factor Authentication) – vilket gör speciellt VPN- och fjärrskrivbordslösningar särskilt sårbara för intrång via stulet användarnamn och lösenord. 

Att ha MFA aktiverat är idag ett absolut grundkrav för att skydda fjärråtkomst.

Det blir även mer och mer viktigt att välja så kallade ”Phishingsäkra” MFA-lösningar, t ex sådana som bara fungerar från godkända datorer eller kräver en fysisk USB-nyckel.

Men, det räcker inte med MFA. För att en VPN och fjärrskrivbord skall vara säker krävs flera extra säkerhetslager:

  • Begränsad åtkomst till det som är nödvändigt
  • Övervakning och loggning av användaraktivitet
  • Helst integration med ZTNA för att styra åtkomst per användare, enhet och session

Men, ju fler separata säkerhetslager man lägger till, desto mer ökar den tekniska komplexiteten – vilket i sig kan bli en säkerhetsrisk på sikt. 

Istället för att bygga vidare på en redan skör lösning – med olika tillägg som i längden skapar mer risk än nytta, så ersätter idag många de traditionella lösningarna för fjärranslutningar med SASE (Secure Access Service Edge). Det är en helt ny modell för säker anslutning – där uppkoppling och säkerhet är integrerade från start.

SASE - Framtidens sätt att koppla upp och skydda

SASE är ett nytt sätt att skydda användare, enheter och system – oavsett var de befinner sig.

Idag är det vanligare att användare arbetar från olika platser – hemma, på resande fot eller från kontor runt om i världen. Därför måste säkerheten följa användaren, inte vara bunden till en fysisk plats. Det är här SASE kommer in. Istället för att låta all trafik passera genom företagets nätverk, styrs den via säkra globala knutpunkter i en slags molntjänst. Där inspekteras, kontrolleras och filtreras trafiken innan den når känsliga resurser. Det ger hög säkerhet, bra prestanda och enkel hantering – i en och samma lösning.

  • Trafik dirigeras via molnbaserade säkerhetsnoder "PoPs", som kan ägas av verksamheten själv men oftast ingår i tjänsten från leverantören
    • Fakta: Vad är en PoP?
      En Point of Presence (PoP) är en lokal säkerhetsnod i molnet som du ansluter till – ungefär som att gå genom en säkerhetskontroll innan du går ombord på flyget. PoP:en ser till att trafiken är granskad, skyddad och korrekt dirigerad – innan den når företagets resurser.
  • Åtkomst ges baserat på identitet, plats, enhet och risknivå. Dvs man säkerställer alltid att det är rätt användare, att datorn (enheten) är säker samt även vad det är för typ av data man skall nå. T ex så kan säga att viss typ av information endast kan läsas på specifika datorer, på specifika platser och kräva extra autentiseringar eller en mix av det. Det gör det otroligt mycket svårare för någon annan att få tillgång till informationen.
  • Trafiken inspekteras innan den når företagets resurser
  • Alla säkerhetsfunktioner (ZTNA, CASB, DNS-skydd, brandvägg) ingår redan i plattformen
  • Allt hanteras centralt, vilket utöver förenklad hantering även innebär en mycket bättre överblick över hela lösningen och dess alla delar.

Det gör att SASE inte bara ersätter VPN som teknik – utan hela tankesättet kring fjärråtkomst.

Vill du förstå mer om hur SASE fungerar – både tekniskt och strategiskt – rekommenderar vi att du läser vår separata guide kring just SASE: “SASE – Modern och säker anslutning”. Där går vi igenom definitioner, arkitektur, PoP:ar, CASB och vad som skiljer olika leverantörers lösningar åt.

När är VPN fortfarande relevant?

Trots att SASE är en mer modern och heltäckande lösning, finns det fortfarande situationer där VPN kan vara ett rimligt val – till exempel:

  • När verksamheten har äldre system som ännu inte kan integreras med ZTNA eller molnbaserade lösningar
  • När tillfällig åtkomst till ett begränsat antal interna resurser krävs
  • Vid övergångsperioder där delar av infrastrukturen fortfarande är beroende av traditionell åtkomst

Men då krävs också att VPN-lösningen är rätt konfigurerad och avgränsad. Den bör:

  • Skyddas med MFA – vilket är ett grundkrav enligt dagens säkerhetsstandarder
  • Begränsas strikt till specifika resurser som användaren verkligen behöver
  • Övervakas med loggning och aktivitetskontroll

VPN bör idag betraktas som en begränsad teknisk komponent, inte som en komplett lösning för fjärranslutning. För de flesta organisationer är det enklare, säkrare och mer hållbart att gå direkt på en centralt hanterad SASE-lösning – där säkerheten är inbyggd från början och anpassad för en modern, uppkopplad vardag.

VPN vs. SASE - Vad är skillnaden?

VPNSASE
SäkerhetKräver tillägg av MFA, segmentering och övervakningInbyggd säkerhet: ZTNA, CASB, brandvägg och DNS-skydd
ÅtkomstkontrollGer ofta bred åtkomst till nätverketGer åtkomst enbart till det som krävs – per användare, enhet och kontext
SkalbarhetKräver manuell konfiguration och fler komponenterSkalbar som molntjänst – enkel att rulla ut till många användare
HanteringKräver flera olika verktyg och integrationerCentral hantering av hela lösningen
AnvändarupplevelseKan vara långsam och omständlig, särskilt över långa avståndOptimerad prestanda via globala PoP:ar
Bäst för...Specifika system med lokal åtkomst eller äldre applikationerModern, utspridd arbetsstyrka och hybrid-/molnmiljöer

5. OT-kommunikation - gamla möjligheter med nya krav

Många OT-miljöer (Operational Technology – teknik som används för att styra fysiska system, t.ex. inom industri och produktion) utvecklades i en tid när uppkoppling inte stod på agendan. Dessa system är byggda för stabilitet och lång livslängd – inte för dagens hotbild. Men i takt med att OT kopplas upp mot nätverk och internet förändras spelplanen drastiskt.

Det räcker inte längre att lita på att “ingen hittar hit”. Istället måste OT-säkerhet byggas aktivt – med struktur, insikt och kontroll.

Molnet förenklar - men ansvaret kvarstår

Många OT-enheter kan inte skyddas med traditionella verktyg som antivirus eller EDR-klienter. De har ofta föråldrade operativsystem, låg prestanda och oföränderliga konfigurationer – eller så går de helt enkelt inte att hantera med samma verktyg som resten av nätverket.

Därför måste man angripa problemet från ett annat håll – via nätverket.

Visibilitet och NDR - nyckeln till säkerhet

Eftersom det inte går att installera klientskydd direkt på enheterna blir visibilitet över nätverkstrafiken helt avgörande. Det handlar om att förstå:

  • Vilka enheter som finns
  • Vad de kommunicerar med
  • Hur kommunikationen ser ut

Fördjupning finns i kapitlet Visibilitet och nätverksanalys – att se för att förstå.

Ett kraftfullt verktyg för detta är NDR (Network Detection and Response), som övervakar trafiken till, från och mellan OT-enheter. Det möjliggör snabb upptäckt av avvikelser – utan att påverka systemen.De utgör kontrollplanet i hela IT-miljön – oavsett om de hanteras i Microsoft Entra ID, i ett lokalt Active Directory eller i en hybridlösning där båda samverkar. 

Arkitektur och segmentering

För att minska risken för spridning av ett intrång bör OT-systemen hållas åtskilda från övrig IT. Det kan uppnås genom:

  • Segmentering och brandväggar mellan nätverk
  • Styrd kommunikation via särskilda övergångszoner
  • Strikta regler för fjärråtkomst

Tänk på OT-nätet som en äldre exklusiv butik i ett köpcentrum. Den behöver ha egna dörrar, lås och kanske egna säkerhetsvakter som har koll på alla i butiken och kanske behöver den även ha en egen lastkaj som tillåter direktleveranser. Men, den är en del av ett större köpcentrum och behöver därför även vara uppkopplad och direkt integrerad med köpcentrumets säkerhet på ett modernt sätt för att säkerheten skall fungera optimalt.

En fungerande återställningsförmåga ger organisationen motståndskraft vid cyberangrepp, kontroll vid mänskliga misstag, stabilitet vid tekniska fel och trygghet inför framtida hot.  

Säkerhet uppstår inte när kopian tas. Den uppstår när återställningen fungerar. 

6. DNS - navet som allt bygger på

DNS (Domain Name System) är en grundläggande del av internet – det är systemet som översätter namn som "cuebid.se" till rätt IP-adress. DNS uppfattas sällan som kommunikation – men det är precis vad det är. Och utan DNS stannar all digital trafik.

DNS-säkerhet – för att undvika att bli utnyttjad

DNS-funktionen används inte bara för att styra trafik, utan kan också missbrukas. En dåligt säkrad DNS-tjänst kan användas för att leda interna användare till falska adresser (DNS spoofing), eller för att slå ut verksamhetens egna namnuppslagningstjänster (DNS DoS). Dessutom är DNS nära kopplat till IP-hantering – därför är säker hantering av DDI (DNS, DHCP och IPAM) en avgörande del av en fungerande nätverksmiljö.

En vanlig utmaning med DNS är att det ofta inte är helt tydligt vem som ansvarar för säkerheten kring DNS då det kan ses som både en kommunikations- och server-funktion (ofta två olika team). 

DNS-skydd – när DNS blir en säkerhetsfunktion

Men, DNS kan också användas aktivt för att skydda mot hot, som ett effektivt skyddslager. Genom att inspektera, logga och filtrera DNS-förfrågningar kan man upptäcka och blockera farliga domäner innan skadlig trafik når användarna – eller innan skadlig kod får kontakt med angriparens servrar.

Det är inte ovanligt att hotaktörer använder DNS för att smuggla in och ut data till/från ett nätverk genom att använda den som en hemlig tunnel som är svår att övervaka (DNS Tunneling). På samma sätt kan hotaktörer även styra och kommunicera med skadlig kod som man lyckats få in i nätverket på olika sätt. Detta sker via så kallade Command & Control servrar som den skadliga koden kopplar upp sig mot. Genom att identifiera dessa Command & Control servrar och aktivt blockera all trafik mot dem (vilket man kan göra med hjälp av just DNS), kan man effektivt stoppa den typen av skadlig kommunikation och trafik.

Över 90% av alla cyberangrepp använder sig av DNS någonstans i kedjan. 
Kan du blockera den trafiken kan du kraftigt minska risken för angrepp.

Att övervaka DNS-trafiken är därför inte bara en teknisk detalj – det är en aktiv säkerhetsåtgärd som stärker hela nätverkets motståndskraft och ger tidiga varningssignaler om att något är fel.

Det finns idag DNS-tjänster som både blockerar skadliga domäner och adresser,
loggar användarbeteende och varnar för dataläckage – helt automatiserat.

För dig som vill fördjupa dig mer i ämnet rekommenderar vi att läsa Cuebids guide till DNS-säkerhet

7. Vanliga myter om säker kommunikation

“Vi har ju en brandvägg, det räcker väl?”

Nej, en brandvägg är bara en komponent. Det krävs arkitektur, styrning och insikt.

“VPN = säkert”

VPN är ett transportmedel, inte en säkerhetslösning.

“Vi har aldrig haft ett intrång, så vi behöver inte göra något”

Det är ungefär som att säga att man inte behöver brandvarnare för att det aldrig brunnit.

“OT och IT är separerade, så vi är skyddade”

Inte om det finns en kabel däremellan – då är attackytan redan öppen.

“DNS? Det är bara ett tekniskt namnregister.”

Nej – DNS är både en potentiell attackyta och en värdefull säkerhetsfunktion.

“Vårt nätverk är litet, så vi är inget intressant mål.”

Många angrepp är helt automatiserade och letar efter enkla ingångar – inte stora företag.

“Säkerhet löser vi med antivirus.”

Ett antivirus är som att låsa ytterdörren – men vad händer om fönstret står öppet?

“IT-avdelningen har koll.”

Säker kommunikation är ett gemensamt ansvar – teknik, processer och medvetenhet behövs i hela verksamheten.

“Vi har molntjänster – de är säkra från början.”

Molnet är inte per automatik säkert. Säkerheten beror på hur tjänsterna konfigureras och skyddas.

8. Regelverk och förväntningar - NIS2

NIS2 (Network and Information Security Directive) är EU:s skärpta regelverk för att stärka den digitala säkerheten inom samhällsviktiga och digitalt beroende verksamheter. För många svenska företag innebär det helt nya krav – och ett ökat ansvar.

Målet är tydligt: att alla verksamheter med en kritisk funktion i samhället ska ha förmåga att förebygga, upptäcka och hantera cyberhot.

Vad innebär NIS2 i praktiken?

NIS2 innebär att man som verksamhet måste:

  • Ha en robust nätverks- och säkerhetsarkitektur på plats
  • Kunna upptäcka, rapportera och hantera incidenter – snabbt
  • Genomföra och dokumentera riskbedömningar
  • Säkerställa spårbarhet i kommunikation och åtkomst
  • Säkerställa kontinuerlig visibilitet över nätverk och trafik
  • Utbilda och höja medvetenheten hos personal

I praktiken betyder det att säker kommunikation inte längre är valfritt – det är en skyldighet.

Hur påverkar det nätverkskommunikationen?

För att möta kraven behöver man:

  • Segmentera nätverk och begränsa åtkomst
  • Säkerställa att brandväggar och trafikloggar är korrekt konfigurerade
  • Använda lösningar som ZTNA och MFA för att skydda fjärråtkomst
  • Använda verktyg som NDR och DNS-skydd för att övervaka och analysera trafik
  • Ha centraliserad hantering och möjlighet att snabbt samla in loggar vid incidenter

Tänk på NIS2 som ett körkort för digital infrastruktur – du behöver kunna visa att du kör säkert, har bilen i skick, och att du vet vad du ska göra om något går fel.

9. Checklista: Hur säker är er kommunikation

Testa er själva – hur många “ja” kan ni svara på?

  • Är nätverket segmenterat?
    För att stoppa intrång från att sprida sig.
  • Vet ni vilka enheter som är anslutna – och vad de gör?
    Visibilitet är grunden för att upptäcka hot i tid.
  • Övervakas DNS-trafiken?
    Attackvägar som ofta missas – men enkelt kan säkras.
  • Går molntrafik direkt ut – eller via omvägar?
    Smart trafikstyrning ger både säkerhet och prestanda.
  • Är fjärranslutningar skyddade med MFA och ZTNA?
    Alla som ansluter bör kontrolleras – varje gång.
  • Har ni en bra översikt över vem som ansluter externt och hur detta sker?
    Central kontroll kring fjärranslutningar ger dem både högre säkerhet och bättre prestanda.
  • Är OT- och IT-näten tydligt separerade?
    OT kräver särskilt skydd – både logiskt och fysiskt.
  • Har ni en central vy över hela nätverket?
    För att kunna agera snabbt när det verkligen gäller.

Ju fler “ja” – desto tryggare grund. Ju fler “nej” – desto större anledning att ta hjälp redan idag.

Nästa steg: Låt Cuebid hjälpa er vidare

Kontakta Cuebid – så hjälper vi er att kartlägga nuläge och ta första steget mot en säker kommunikationsarkitektur.

Med över 15 års erfarenhet inom cybersäkerhet och nätverkskommunikation, samt ett stort antal högt certifierade experter och högsta partnerstatus hos ledande leverantörer, har vi byggt en stark leveransförmåga som skapar verkligt värde för våra kunder.

Vi vet vad som krävs för att skydda, upptäcka och hantera dagens hot – och vi vet hur man designar och implementerar en modern, trygg och skalbar kommunikationsarkitektur – från grunden.

Säker kommunikation handlar inte om en produkt – det handlar om att tänka rätt från början - och bygga för framtiden. Vi hjälper dig att hitta den bästa lösningen för din verksamhets behov och förutsättningar. Vi kallar det Secure Design by Cuebid.

Kontakta oss så kartlägger vi nuläget, identifierar luckor och skapar en plan för att bygga ett robust nätverk – tillsammans.

Förkortningar

CASB

Cloud Access Security Broker

DHCP

Dynamic Host Configuration Protocol

DDI

DNS, DHCP, and IP Address Management

DoS

Denial of Service

EDR

Endpoint Detection and Response

IoT

Internet of Things

IPAM

IP Address Management

LAN

Local Area Network

MFA

Multi-Factor Authentication

MPLS

Multiprotocol Label Switching

NDR

Network Detection and Response

NGFW

Next Generation Firewall

OT

Operational Technology

PoP

Point of Presence

SASE

Secure Access Service Edge

SD-WAN

Software-Defined WAN

SOC

Security Operations Center

VPN

Virtual Private Network

WAN

Wide Area Network

ZTNA 

Zero Trust Network Access

VILL DU VETA MER ?

Fyll i formuläret så kontaktar vi dig så fort vi kan!
Vanligtvis inom 8 timmar (kontorstid).






Kontakta oss