Filskanning räcker inte längre – så här definierar NordVPN nästa generations antivirus

Antivirusprogram skapades för att fånga upp skadliga filer. Under flera decennier var det tillräckligt, men idag står vi inför en ny situation. De attacker som riktas mot internetanvändare sker inte alltid i form av filer. NordVPN lanserar nu ett nästa generations antivirus för att täppa till det glappet.

Domininkas Virbickas

28 maj 2026

9 min läsning

NordVPN och nästa generations antivirus.

Problemet med dagens definition

Cybersäkerhetsbranschen har alltid definierat olika generationer av antivirusprogram baserat på hur de identifierar skadliga filer. Tidiga verktyg matchade filer mot kända angreppssignaturer. Senare generationer lade till heuristik, beteendeanalys, sandboxning och maskininlärningsbaserad klassificering.

Varje generation har fokuserat på att besvara samma fråga: Är den här filen skadlig? Men hotbilden har förändrats. De flesta av dagens attacker – i form av nätfiske, bedrägerier, identitetsstöld och social manipulation – bygger inte på skadliga filer. Branschens definition av "antivirus" har inte hängt med.

Definition av antivirus

Ett antivirusprogram är en cybersäkerhetslösning vars mål är att förhindra, identifiera och ta bort virus från datorer. Antivirusprogram övervakar program för ovanligt beteende, jämför nya filer mot databaser över kända skadliga programvaror och placerar hot i karantän innan de hinner orsaka skada.

Virus är inte längre det största hotet

De flesta cybersäkerhetshot idag involverar inga virus. Tänk på vilka risker folk faktiskt står inför på nätet:

Bedrägerier förlitar sig på social manipulation och har blivit alltmer sofistikerade. Falska nätbutiker använder övertygande produktsidor, fabricerade recensioner och fungerande kassaflöden för att stjäla betalningsinformation. Bluffmejl och SMS utger sig för att komma från leveranstjänster, skattemyndigheter och banker. Telefonbedrägerier använder förfalskade nummerpresentationer och AI-genererade röster för att lura till sig pengar och personuppgifter. Inget av dessa angrepp kräver en skadlig fil för att lyckas.
Nätfiske har utvecklats långt bortom de felstavade mejlen vi såg för ett decennium sedan. Nätfiskesidor i dag är perfekta kopior av legitima webbplatser, och de hostas ofta på komprometterade domäner med giltiga SSL-certifikat. De är utformade för att stjäla inloggningsuppgifter, sessionstokens, multifaktorautentiseringskoder och personuppgifter som används för kontoåterställning.
Identitetsstöld är det hot som flest av NordVPN:s användare oroar sig för.¹ Angripare kan ta sig in i konton via credential stuffing, sessionskapning, SIM-swapping och social manipulation. Väl inne kan de låsa ute den ursprungliga ägaren och ta över kontot. Angripare kan också använda stulna personuppgifter för att ta lån eller begå bedrägerier i kontoägarens namn.
Skadlig kod och skadliga filer är fortfarande ett stort hot. Det som folk laddar ner och det som körs på deras enheter kräver fortfarande granskning och kontroll. Men filer är nu bara en angreppsvektor bland många.

Ett digitalt skyddsverktyg som enbart hanterar skadliga filer ignorerar de flesta angreppstyper som internetanvändare stöter på.

En ny definition av "antivirus"

Termen antivirus härstammar från en tid då skadliga filer var det primära digitala hotet. Decennier av marknadsföring från etablerade säkerhetsbolag förvandlade ordet "antivirus" till en synonym för säkerhetsprogramvara – ungefär som "Kleenex" blev ordet för näsdukar och "Post-it" för självhäftande lappar. Den kopplingen försvinner inte.

Företagssäkerhetsbranschen var först att sätta fingret på de traditionella antivirusprogrammens begränsningar. Ledande cybersäkerhetsbolag introducerade nästa generations antivirus (NGAV) för att komplettera eller ersätta signaturbaserad filskanning. NGAV:er kombinerar beteendebaserad detektion och maskininlärningsalgoritmer för att identifiera hot – och fångar upp skadliga processer, fileless malware och exploits som äldre antivirusprogram ofta missar.

För företag representerar NGAV:er fortfarande ett viktigt steg framåt. Men de har i huvudsak utvecklats för organisationer med centrala it-avdelningar, dedikerade säkerhetsteam och en hotmodell med fokus på kompromettering av endpoints. De förlitar sig på omfattande beteendetelemetri som en integritetsfokuserad konsumentprodukt inte bör samla in.

Ordet antivirus bär alltså på två definitioner – den gamla modellen som utvecklades för privatpersoner när skadliga filer var det primära hotet, och företags-NGAV-modellen som skapats för företag med centralt administrerade it-miljöer. Den gamla definitionen är föråldrad, och företagsversionen var aldrig avsedd för privatpersoner. Ingen av dem svarar på de hot som folk utsätts för på sina personliga enheter i dag.

Folk söker fortfarande efter "antivirus" när de i själva verket behöver skydd mot skadlig kod, nätfiske, identitetsstöld, bedrägerier och kontoövertaganden. Definitionen behöver anpassa sig till de hot den förväntas täcka.

NordVPN definierar "nästa generations antivirus" som ett heltäckande digitalt skyddsverktyg. Under den definitionen hanterar ett nästa generations antivirus skydd inom fem områden:

Bedrägeriskydd – identifierar bedrägliga webbplatser och falska nätbutiker, varnar för bluff-SMS, identifierar misstänkta samtal och skyddar banksessioner.
Nätfiskeskydd – utvärderar URL:er, e-postlänkar och webbinnehåll i realtid för att stoppa inloggningsstöld innan den når användaren.
Identitets- och kontoskydd – övervakar för försök till identitetsstöld, identifierar bedrägerimönster, söker igenom dark web-läckor efter exponerade personuppgifter och larmar vid komprometterade inloggningsuppgifter. På kontosidan ingår även detektion av och larm för obehöriga inloggningsförsök via credential stuffing, sessionskapning, SIM-swapping och social manipulation – samt flaggning av svaga inloggningsuppgifter innan angripare hinner utnyttja dem.
Spårar- och annonsblockning – tar bort spårare som följer användare mellan webbplatser, fingeravtrycksskript och störande annonser som urholkar integriteten, sänker prestandan och skapar extra ingångspunkter för riktad social manipulation.
Fil- och enhetsskydd – skannar nedladdningar, placerar skadliga filer i karantän eller raderar dem innan de hinner köras.

NordVPN har inte återuppfunnit antiviruskategorin – vi utökar helt enkelt begreppet till att täcka de hot folk redan förväntar sig att ett antivirusprogram ska hantera.

Så byggde vi vårt nästa generations antivirus

Ett effektivt digitalt skydd kräver en balans mellan tre konkurrerande utgångspunkter – vi profilerar aldrig användare, vi mäter data som hjälper oss förbättra produkten, och vi utvecklar produkten så att den ska fungera utan att kräva uppmärksamhet från användaren.

Att optimera för en av dem på bekostnad av de andra ger en produkt som antingen är påträngande, opålitlig eller för komplex för att använda. En produkt med täckning för alla tre principerna är svårare att bygga – men den är också lättare att lita på.

Vi profilerar inte

NordVPN är ett integritetsbolag. Våra användare litar på oss eftersom vi inte övervakar dem. Det åtagandet skapar en strikt begränsning – hotdetektionen måste fungera med mindre data än vad den annars skulle behöva.

Vår regel är enkel – enbart de data som behövs för att identifiera ett hot lämnar enheten. När analys måste ske på våra servrar i stället för på enheten, så raderar vi allt som skulle kunna koppla dessa data till användaren innan de förs över.

I praktiken innebär det att:

Filer kontrolleras via hash-värde där det är möjligt – inte via innehåll.
URL:er rensas på frågeparametrar och personliga sökvägar innan någon molnsökning görs – ingen URL kopplas till en specifik användare.
Autentiseringscookies hashas och bara de första åtta tecknen lämnar enheten.

Vårt dataschema har inget fält för direkta användaridentifierare. Det innebär att integritetsskyddet inte beror på att någon följer reglerna – systemet upprätthåller det per design.

Vi mäter utan att övervaka

Hotdetektion utan mätning är en ren gissningslek. Vi behöver veta om vår nätfiskeklassificerare förbättras, om vår bedrägeridetektering fångar upp nya mönster och var våra modeller missar hot. Att svara på de frågorna kräver återkopplingsdata.

Men återkopplingsdata som samlas in utan begränsningar är hur säkerhetsprogramvara förvandlas till övervakningsprogramvara. Vi undviker den risken genom att mäta detektionssystemen – inte samla in personliga data. Varje lager i vår stack genererar aggregerad prestandadata:

Maskininlärningsklassificerare rapporterar detektionsgrad och andelen falsklarm.
Fuzzy hashing rapporterar klassificeringshastighet.
Hotintelligensflöden rapporterar hur aktuell informationen är.

Produkten beräknar dessa mätvärden över urval på populationsnivå. Modellerna tränas om på anonymiserade hotexempel och statistiska sammanfattningar. Ingen användares webbhistorik ingår i återkopplingsflödet. Vi kan säga om vår nätfiskemodell förbättras – men vi kan inte säga vad en specifik användare höll på med när den flaggade ett hot.

Vi designar produkten för att vara osynlig

Den bästa säkerheten är den folk aldrig behöver tänka på – ingen konfiguration, ingen flodvåg av varningsmeddelanden, ingen teknisk expertis krävs. För att bygga en produkt som är osynlig för användarna behöver vi förstå hur folk interagerar med den. Vi definierar den minsta mängd data vi behöver för att förbättra användarupplevelsen – och stannar där.

Med användarens samtycke spårar vi:

Information om huruvida funktioner är aktiverade eller inaktiverade och hur ofta de används.
Volymmätvärden – hur många hot som blockerats under en given period.
Nöjdhetsgrad bland användare, vilket samlas in via direkta undersökningar.

Ingen av dessa datapunkter berättar vad en specifik användare höll på med. De berättar om produkten fungerar tillräckligt bra för att användarna aldrig ska behöva tänka på den.

Data på den här nivån är icke-känsliga per design. De kan inte kombineras för att rekonstruera beteende, dra slutsatser om avsikter eller bygga upp en profil.

NordVPN:s approach till AI – små modeller för specifika uppgifter

NordVPN använder små och dedikerade maskininlärningsmodeller, var och en tränad för en väldefinierad detektionsuppgift. I stället för att bygga en enda modell som försöker klassificera alla hot, utvecklar vi ändamålsbyggda modeller för distinkta hotkategorier:

En modell som tränats för att utvärdera URL:er för tecken på nätfiske.
En modell med inriktning på att identifiera mönster hos bedrägliga e-handelssidor.
En modell som analyserar filbeteende för tecken på skadlig kod.
En modell som anpassats för att identifiera social manipulationsmönster i meddelanden.

Vissa modeller är tillräckligt lätta för att köras direkt på användarens enhet. Andra körs i webbläsartillägget. Modeller som kräver mer processorkraft körs i backend. När bearbetningen sker lokalt stannar alla relevanta data på enheten och skickas inte till externa servrar för analys.

Varje modell kan valideras och uppdateras oberoende av de andra, vilket gör att vi kan spåra orsaken när effektiviteten sjunker. Och eftersom varje modell körs separat kräver ingen av dem uppmärksamhet från användaren eller stör upplevelsen.

Den här separationen gör också mätningen precis. När en dedikerad nätfiskemodell underpresterar vet vi exakt vad vi behöver träna om och på vilka data. När en bedrägeridetekteringsmodell ger falsklarm kan vi justera den utan att det påverkar detektionen av skadlig kod. Eftersom varje modell har en enda uppgift kan vi peka ut exakt vad som gick fel och varför.

Maskininlärningsmodeller fungerar bra inom ett definierat tillämpningsområde, men fallerar när de behandlas som en komplett lösning. Våra modeller arbetar sida vid sida med regelbaserade system, hotintelligensflöden och manuell granskning – var och en täcker det de andra inte klarar.

För att klassificera hot i realtid på miljontals olika enheter och i varierande sammanhang är små och dedikerade modeller det effektivaste tillvägagångssätt vi hittat som inte kompromissar med användarnas integritet.

Vad väntar härnäst?

Termen antivirus försvinner inte. Det är så folk tänker på digitalt skydd, söker efter det och skaffar det. Branschen kan antingen fortsätta att begränsa definitionen till filskanning och behandla resten av hotmiljön som någon annans problem – eller bygga produkter som matchar vad ordet redan betyder för de som använder dem.

Vi valde det sistnämnda alternativet. Vi har byggt en produkt som täcker bedrägeriskydd, nätfiskedetektion, identitetsövervakning och filsäkerhet – med integritet som ledstjärna, noggranna mätningar och design som fungerar utan att användarna behöver bli säkerhetsexperter.

Ett digitalt skyddsverktyg som täcker nätfiske, bedrägerier, identitetsstöld och skadlig kod – det är vad vi anser att antiviruskategorin bör leverera i dag.

Källor

¹ Šlekytė, I. (2025, 25 juni). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/

Du förtjänar att känna dig trygg online

Oavsett om du surfar, arbetar eller spelar så skyddar du din integritet med NordVPN.

Skaffa NordVPN

Finns även på: Deutsch,English,English,Español Latinoamericano,Español,Français,Italiano,‪한국어‬,Nederlands,Polski,Português Brasileiro,繁體中文 (台灣),简体中文.

Domininkas Virbickas

Domininkas är ingenjör i grunden och hans passion för produktutveckling har lett honom till positioner som VP of Engineering, CTO och slutligen produktchef på NordVPN. Hans intresse för cybersäkerhet började med ett hackat Uber-konto – en ovälkommen överraskning som visade sig vara både en läxa och ett första steg på vägen mot att bidra till ett säkrare internet. Domininkas är övertygad om att bedrägerier på nätet är det största hotet för vanliga internetanvändare. Även om han tror att tiderna med nigerianska prinsbedrägerier ligger bakom oss, så instämmer den här experten med att deras efterträdare är betydligt mer sofistikerade och farligare än någonsin. Kombinationen av hans ingenjörsbakgrund och ledarskap inom produktledning gör att Domininkas representerar det bästa av två världar samtidigt som han förser användare med effektiva, säkra och användarvänliga produkter.