Många av de nätverksenheter som var tänkta att skydda finansbolag har istället blivit en riskfaktor och utgör numera den primära attackytan.
Enligt Armis Labs rapport Early Warning Insights for the Financial Services Industry 2026 sker mer än 40 procent av intrången via nätverkskantenheter som brandväggar, VPN:er och routrar.
En stor del av förklaringen till detta är tredje- och fjärdepartsrisker. När organisationer samlar sina arbetsuppgifter på stora SaaS-plattformar uppstår via betrodda plattformar, det som kallas Cloud Concentration Risk (CCR).
Finansföretagens säkerhetsteam måste därför se till att ha full insyn i sårbar kod som körs i det egna nätverket och även utöka den insynen till tredje- och fjärdepartskedjor. Detta är inte längre ”en nice to have” utan en grundförutsättning för cyberresiliens.
Asymmetriska attacker
Finanssektorn har blivit allt snabbare. Idag mäter algoritmiska handelsplattformar konkurrensfördelar i millisekunder. Cybersäkerheten har dock inte hängt med i takten.
När en sårbarhet publiceras i CISA:s katalog – en lista som visar på brister och sårbarheter i mjuk- och hårdvara – över kända exploaterade sårbarheter (KEV) ser vi på Armis en drastisk ökning av antalet attacker, i vissa fall så mycket som 29 procent redan på eller innan publiceringsdagen. Den traditionella processen för att hantera sårbarheter kan däremot ta veckor eller till och med månader. Det är i just det gapet, mellan offentliggörande och åtgärd, som den största risken finns.
Michael Freeman, Head of Threat Intelligence, Armis from ServiceNow
AI-drivna cyberattacker förvärrar situationen ytterligare. Attackerna kan automatisera skanning, utnyttja sårbarheter och ta sig vidare in i nätverket, vilket komprimerar hela attackförloppet från timmar eller dagar till minuter.
Hotaktörer har fullt ut anammat automatisering, men samtidigt förlitar sig många säkerhetsteam fortfarande på manuella processer, statiska skanningar och mänsklig prioritering. Komplexa miljöer, där IT och OT möts, gamla system lever kvar och skuggenheter finns i nätverket, förvärrar problemet ytterligare.
Inom finanssektorn är detta möte mellan IT och OT ett kritiskt beroende: säkerheten för digitala transaktioner hänger numera ihop med hur motståndskraftiga de fysiska systemen är — allt från kantenheter på handelsgolvet och bankomater i bankfilialer till de betalningslösningar som utgör ryggraden i den globala handeln.
Hotaktörer vänder upp och ner på säkerhetsperimetern
Det strukturella haveriet av nätverksperimetern kan liknas vid att den beväpnade vakten är bankrånaren. Enheter som designats för att skydda nätverket har istället blivit den primära attackvägen. Sårbara nätverksenheter ger angripare insyn, förtroende och kontroll.
Fjärdepartsrisk blir förstapartsansvar
Finanssektorn är en av de mest reglerade branscherna och nya regler gör ansvaret ännu mer påtagligt. FINRA:s Annual Regulatory Oversight Report 2026 betonar hantering av tillgångar, integration av tredjeparts incidentrespons och hantering av fjärdepartsrisker.
EU:s Digital Operational Resilience Act (DORA) går ännu längre: banker måste föra ett informationsregister över alla IKT-leverantörer, kartlägga beroenden i leveranskedjan och aktivt hantera fjärdepartsrisker. De aktörer som brister i detta riskerar böter på upp till två procent av den globala omsättningen.
Vikten av att bygga resiliens genom förebyggande arbete
Samma automatisering som angripare använder kan vändas till ett försvarsverktyg då skanning och korrelation i maskinhastighet äntligen gör det möjligt för försvarare att ligga steget före i attackförloppet.
Att stänga exponeringsgapet kräver förebyggande skydd. Exponeringshantering är den moderna disciplin som ersätter statisk skanning då den är kontinuerlig, heltäckande och kontextualiserad.
Säkerhetsteam inom finanssektorn arbetar utifrån ramverket för kontinuerlig hantering av hot och exponering (CTEM), som omfattar identifiering, prioritering, validering och mobilisering. Ledande banker mäter idag genomsnittlig åtgärdstid för KEV:er och minskad sprängradie som nyckeltal kopplade direkt till styrelserapportering.
Kontinuerlig övervakning ger den kontext som omvandlar rådata till prioriterade åtgärder, medan egna hotintelligensflöden ger tidig varning.
Cyberresiliens är inte ett teknikproblem, utan ett strategiskt och operativt ledarskapsproblem. Finansiella organisationer måste minska gapet mellan offentliggörande och utnyttjande, eliminera blinda fläckar hos fjärdeparter och säkerställa insyn i sårbar kod, både på egna kantenheter och hos leverantörers leverantörer. Bättre kontext ger bättre prioritering. Bättre underrättelser möjliggör verkligt förebyggande skydd.
De säkerhetsteam som behandlar CTEM som ett regulatoriskt åtagande snarare än ett tekniskt projekt är de som kommer att gå vinnande ut striden och samtidigt få betydande konkurrensfördelar.
Michael Freeman, Head of Threat Intelligence, Armis from ServiceNow
