Vi har anställt en insider men den är inte mänsklig
I dag pratar vi mycket om cyberhot, AI och digitalisering. Det är rimligt. Teknikutvecklingen förändrar snabbt förutsättningarna för både säkerhet och sårbarhet. Men i takt med att fokus allt mer riktas mot system, kod och tekniska lösningar riskerar vi att missa något mer grundläggande. Vi har börjat introducera system i våra organisationer som kan agera i vårt namn, utan att vi fullt ut behandlar dem som säkerhetsrisker. I praktiken innebär det att insiderhot inte längre bara handlar om vem som har tillgång, utan om vilken kapacitet och vilket mandat organisationer själva har valt att delegera. Det som tidigare var kopplat till individen är i dag i ökande grad kopplat till funktioner, system och automatiserade beslut som sker inom ramen för legitima rättigheter. Det innebär att insiderhotet håller på att förändras, utan att vi riktigt har justerat vårt sätt att förstå det.
Insiderhot i förändring
Insiderhot är komplext, men handlar i grunden om människor med legitim tillgång som orsakar skada i en organisation, oavsett avsikt. Det kan vara anställda, konsulter eller leverantörer. Traditionellt har detta ofta beskrivits som en illvillig individ med ett tydligt motiv. Samtidigt finns även den lojala, medvetna insidern, vilket ytterligare understryker komplexiteten. Den bilden är i dag otillräcklig för att förstå hur insiderhot faktiskt utvecklas.
Insiderhandlingen uppstår sällan plötsligt, utan växer snarare fram. Ofta börjar det i små avvikelser, i situationer där människor befinner sig under press eller påverkan som organisationen inte fångar upp. I de flesta fall finns det signaler tidigt, men de uppfattas inte eller tas inte på allvar. Samtidigt har hotbilden förändrats. I dag utnyttjas i allt större utsträckning personer som redan finns i systemen, parallellt med att nya fortsatt rekryteras. Det innebär att insiderhot inte längre enbart handlar om illvilja eller lojalitet, utan om utsatthet, påverkan och tillgång. Gränsen mellan intern risk och extern hotbild suddas därmed ut. Mot denna bakgrund tillkommer nu ytterligare en dimension, en som vi ännu inte fullt ut har tagit in: AI-agenter.
Den nya insidern
En AI-agent är inte bara ett verktyg som svarar på frågor och hjälper till att redigera texter. Den kan ha tillgång till interna system, hämta information, fatta beslut och utföra handlingar. I många fall har den dessutom bredare tillgång än en enskild individ, eftersom den är tänkt att effektivisera flera delar av verksamheten samtidigt. Det innebär att vi i praktiken har börjat introducera aktörer i våra organisationer som kan agera med operativ kapacitet inom ramen för legitima rättigheter. Ur ett säkerhetsperspektiv är det en avgörande förändring. En AI-agent kopplas ofta till flera interna system samtidigt. Det kan handla om e-post, dokumenthantering, ärendesystem eller ekonomisystem. Den ges tillgång för att kunna effektivisera arbetet, till exempel genom att sammanställa information, föreslå beslut eller utföra återkommande uppgifter. I det läget arbetar agenten inom ramen för sin tilldelade åtkomst och gör inget intrång, utan använder den tillgång organisationen själv har valt att ge den.
Problemet uppstår när denna funktionalitet kombineras med påverkan eller felaktig styrning och börjar användas på ett sätt som organisationen inte har avsett. Det kan handla om att agenten tolkar en instruktion på ett annat sätt än avsett, att den kombinerar data från flera källor till en känslig helhetsbild, eller att en extern aktör indirekt påverkar hur agenten används genom att förstå dess logik och beslutspunkter. Skillnaden mot traditionella angrepp är att inget behöver brytas upp och att ingen behöver ta sig in. Agenten finns redan där med tillgång, mandat och förtroende och agerar i organisationens namn. Det som internationellt beskrivs som en ”syntetisk insider” är i praktiken just detta: system som agerar med den tillgång och det mandat organisationen själv har valt att delegera.
Den osynliga insidern
Vi är fortfarande vana vid att insiderhot går att koppla till en individ. En person, ett beteende och en handling. Någon att förstå, analysera och i bästa fall påverka. AI-agenter förändrar det. De kan agera inom organisationens system utan att någon tydlig individ står bakom varje enskild handling. Aktivitet kan ske inom tillåtna processer, men utan den transparens vi normalt förlitar oss på. Det innebär att vi riskerar att få en form av osynlig insider, där aktivitet sker inom ramen för legitima rättigheter, men utan den mänskliga närvaro som normalt skapar friktion, eftertanke och ansvar. Problemet uppstår inte nödvändigtvis för att agenten är felkonstruerad, utan för att den kan påverkas eller utnyttjas.
När system blir en angreppsyta
Om en extern aktör lyckas styra hur en agent agerar, direkt eller indirekt, kan organisationens egna system i praktiken användas för att hämta information eller utföra handlingar. Det kan handla om att manipulera input, påverka hur agenten tolkar instruktioner eller utnyttja hur den är kopplad till olika system. Eftersom agenten ofta har tillgång till flera informationskällor kan den kombinera data på ett sätt som en enskild individ inte gör. Det kan skapa en sammanställd lägesbild som i sig är känslig, utan att någon enskild handling bryter mot regler.
Det som gör detta särskilt allvarligt är skalan. En individ är alltid begränsad i tid, kapacitet och räckvidd, medan en AI-agent inte är det. Den kan arbeta kontinuerligt, interagera med flera system parallellt och genomföra handlingar utan att tveka eller ifrågasätta. Och det går fort. Väldigt fort.
Det innebär att en sårbarhet som tidigare varit begränsad snabbt kan få en betydligt större effekt. Traditionellt har insiderhot krävt rekrytering, påverkan eller tvång. Med AI-agenter uppstår en ny situation där en extern aktör inte längre behöver rekrytera en insider, utan i många fall kan nöja sig med att förstå och utnyttja hur organisationens egna system fungerar.
Ett system vi inte fullt ut förstår
Mot denna bakgrund uppstår en annan risk: att organisationer börjar skydda fel saker. Om hotet uppfattas som primärt tekniskt, byggs också skyddet därefter. Fokus läggs på verktyg, system och kontroller, medan den mänskliga dimensionen där många angrepp fortfarande börjar underskattas.
Samtidigt har organisationer börjat bygga system som bygger på tillit i skala. AI-agenter ges tillgång för att effektivisera verksamheten, ofta över flera funktioner samtidigt. Problemet är att tillit som skalas upp utan motsvarande kontroll också skalar upp konsekvenserna när något går fel. Det som tidigare var en begränsad risk kopplad till en individ kan i dag bli en systemeffekt. Det innebär att AI-agenter behöver behandlas som riskbärare, inte bara som verktyg. Det kräver tydliga begränsningar i åtkomst, kontinuerlig uppföljning och en faktisk förståelse för vad agenten kan göra i praktiken.
Ett ansvar som inte kan delegeras
I grunden är detta inte en teknisk fråga utan en ledningsfråga. Det handlar om hur organisationer förstår och hanterar aktörer som agerar i deras namn, och vilket ansvar de tar för konsekvenserna.
Vi har börjat bygga system som kan agera på organisationens vägnar, med tillgång till våra mest centrala funktioner. Problemet är att vi fortfarande behandlar dem som verktyg, trots att de i praktiken agerar med både tillgång och mandat. Det innebär att vi har introducerat en ny typ av insider utan att anpassa vårt sätt att förstå, styra eller ta ansvar för den risk det innebär. I praktiken handlar det om ett nytt insiderparadigm. Det innebär också att vi redan ligger efter. Det är 2026 och Sverige har precis börjat förstå insiderhot ur ett mänskligt perspektiv, samtidigt som vi redan har infört system som agerar med tillgång, mandat och förtroende.
Frågan är inte om detta kommer att bli ett problem.
Frågan är om vi kommer att förstå det i tid.