5 scenarier din bedrift bør øve på
Fra langvarig strømbrudd til KI-assistert sosial manipulering: Her er fem realistiske sikkerhetshendelser alle virksomheter bør forberede seg på.
Klokken er 10.17 på morgenen og strømmen på kontoret går. Nettet er nede. Situasjonen er uoversiktlig. Ingen vet helt hva årsaken er, eller hvor lenge det varer.
Har bedriften din en klar plan for hva dere gjør dersom normal drift settes ut av spill?
– Alle bedrifter må forberede seg på alvorlige hendelser, sier Bjarte Malmedal, fagdirektør for digital sikkerhet hos Næringslivets Sikkerhetsråd.
– Det gjelder enten det er snakk om et cyberangrep, teknisk svikt eller en større nasjonal krisesituasjon.
KI – et potent våpen for cyberkriminelle
Krigen i Europa har flyttet beredskap nærmere hverdagen. I Totalforsvarsåret 2026 ber myndighetene både offentlige og private aktører om å forberede seg på alvorlige kriser og krig.
Samtidig utvikler den digitale trusselen seg raskt og kunstig intelligens har blitt et svært potent våpen i hendene på cyberkriminelle.
– Det betyr at både den enkelte bedrift, og vi som samfunnn, må forberede oss på hendelser som treffer bredt og samtidig, på tvers av sektorer og verdikjeder, både i det fysiske og det digitale rommet, sier Malmedal.
Sammen med NSR og sikkerhetsselskapet mnemonic har vi skissert opp fem scenarier alle bedrifter bør øve på –inspirert av ekte hendelser og nasjonale sikkerhetsmyndigheters trusselvurderinger.
1. Langvarig strømbrudd
Det er mandag morgen. Plutselig går strømmen på kontoret.
Dørene med adgangskort slutter å virke. Ventilasjonen stopper. Alarmen piper kort før bygget går over på nødstrøm i enkelte soner.
Ingen vet foreløpig hvor omfattende strømbruddet er, men det blir raskt tydelig at det dreier seg om en målrettet sabotasjeaksjon mot norsk kraftinfrastruktur. Store områder på Østlandet er rammet.
I løpet av det første kvarteret begynner de praktiske problemene å hope seg opp,
De som sitter midt i leveranser, får ikke gjort ferdig arbeidet. Driftspersonell kommer ikke inn i systemene sine.
Hva gjør dere nå?
Hvilke tjenester må holdes gående?
Hvis samfunnet er avhengig av at bedriften din fungerer i en krise, må dere vite hvordan dere skal opprettholde de viktigste tjenestene – også når strømmen er borte.
– Når går man egentlig over i en krisemodus? Hvem tar beslutningene? Hvilke partnere har man kontakt med når strømmen ryker, og hvordan?
– Man bør ha en plan for hvordan dette ser ut, sier Malmedal.
Råd: Definer hvilke funksjoner virksomheten må opprettholde i 72 timer uten normal strømforsyning.
2. Bortfall av sentrale digitale systemer
I ordreavdelingen sitter Marianne og forsøker for tredje gang å sende en faktura. Outlook henger. Ved siden av henne klager en kollega over at Teams «laster og laster».
SMSer sendes rundt. Det blir fort tydelig at problemet gjelder for langt flere: Det er alvorlige tilkoblingsproblemer i alle bedriftens avdelinger over hele landet.
Internett er nede, og beskjeden fra leverandøren tyder på at det er snakk om noe langt mer alvorlig enn kortvarig nedetid.
Er bedriften angrepet? Er det en driftsfeil? Hvilke beskjeder gir man til kunder? Hvilke systemer kan kjøres analogt? Hvilke arbeidsoppgaver må opprettholdes?
Ganske samtidig får beredskapslederen Ingrid beskjed om å samle kriseteamet, men hun får ikke tilgang på mappen med kontaktliste og prosedyrer, som ligger lagret i SharePoint.
Hva gjør dere nå?
Ha en lokal plan
Malmedal peker på viktigheten av å øve på hvordan bedriften reagerer på en krise, også når man mister tradisjonelle verktøy for koordinering, varsling og ledelse.
– Det høres nesten banalt ut, men beredskapsplanen må finnes som en fysisk perm, og den må oppdateres jevnlig, sier han.
– Virksomheten må også vite hvilke systemer, data og arbeidsoppgaver som må kunne håndteres lokalt, offline eller manuelt når de vanlige digitale tjenestene faller bort.
Råd: Øv på hvordan bedriften kan fungere uten tradisjonelle digitale systemer og applikasjoner. Hvilke oppgaver kan løses analogt, uten de vanlige arbeidsverktøyene?
Cybersikkerhet i arbeidshverdagen: Slik beskytter du deg
Kurset passer for alle ansatte og gir en enkel innføring i cybersikkerhet samt dagens trusselbilde når det gjelder cyberangrep. Kurset er utviklet som del av kampanjen Hele Norge Øver, et samarbeid med fagpersoner i Digital Norway, DNB, DNV, Telenor, Posten og Secure Practice. Du vil lære mer om: - Dagens trusselbilde - Sosial manipulasjon - Hvilke metoder brukes - Hvem beskytter vi oss mot - Hvordan du kan sikre deg i praksis
Start kurs3. Ransomware, datatyveri og utpressing
Beskjeden fra den unge IT-konsulenten til administrerende direktør er tydelig:
Flere servere er kryptert. Det ligger en tekstfil i hver mappe fra en anonym gruppe, som hevder å ha lastet ned 400 GB med data – inkludert kundedatabasen og personalmappene.
Kravet er betaling i kryptovaluta innen 72 timer. Hvis ikke publiseres alt på det mørke nettet.
Neste morgen samles ledergruppen. En ekstern forhandler anbefaler at dere kjøper tid gjennom å be trusselaktøren verifisere hva som faktisk er stjålet. Hvis angrepet blir offentlig kjent, kan en stor kontrakt ryke, påpekes det fra siden.
Når varsler man NSM, politiet og Datatilsynet?
Hvilke systemer er faktisk låst? Hvilke data er stjålet? Er sikkerhetskopiene intakte? Hvem er i beredskapsteamet? Hvem beslutter varsling av styret, kunder og Datatilsynet – og i hvilken rekkefølge?
Øv på beslutninger under press
– Det vi egentlig øver på her, er beslutningsevne under press og et ufullstendig bilde, sier Malmedal.
For hvem beslutter egentlig om man betaler, eller lar være? Hvor lenge har bedriften råd til at serverne er nede?
– Den vanligste feilen er at virksomheter har tenkt gjennom det tekniske, men aldri øvd på den faktiske beslutningsdynamikken i ledergruppen – og oppdager først midt i krisen at fullmaktene er uklare og at styreleder ikke kan nås.
Ifølge Morten Weea fra IT-sikkerhetsselskapet mnemonic starter slike angrep ofte lenge før serverne blir kryptert,
Før løsepengekravet dukker opp, kan angriperne ha funnet en vei inn, kartlagt systemene, hentet ut data og valgt ut det som gir størst pressmiddel.
– Mange angrep starter med noe så enkelt som en eksponert tjeneste på internett. En VPN-løsning, en brannmur eller en server med en kjent sårbarhet kan være nok. Angriperne skanner bredt og automatisert, og de trenger bare én inngang, sier Weea.
Råd: Øv mer og øv realistisk på angrep. Ledelsen, ansatte og virksomhetens viktigste kunder og leverandører bør delta, slik at dere trener på rollene, valgene og samspillet som faktisk oppstår i en reell hendelse.
4. Moderne sosial manipulering: vishing, deepfake og KI-støttede angrep
Se for deg at CFO hasteringer på Teams angående en konfidensiell oppkjøpsprosess.
– Det må overføres 480 000 kroner til en sperret klientkonto før klokken 16 i dag for å sikre en garantiforpliktelse overfor selgers advokat, sier hun, og sender deg kontonummeret på mail.
Du er nyansatt på økonomi, og gjør som du får beskjed om – før du rekker å stusse noe særlig mer over det høye beløpet og den korte fristen.
En halvtime senere møter du CFO ved kaffemaskinen, og du forstår at det slettes ikke er hun som har ringt deg, men at du i realiteten har latt deg lure av sofistikert KI-klone.
Hva gjør dere nå – og hvordan sikrer dere at noe lignende aldri skjer igjen?
Reduser den tekniske risikoen
Phishing skjer ikke lenger bare på e-post. Nå kommer angrep også på telefon, i videomøter og i chat, gjerne støttet av KI. Utviklingen går raskt, og det blir stadig vanskeligere å oppdage hva som er ekte.
– I 2026 kan ikke virksomheter basere forsvaret sitt på at enkeltpersoner alene skal kjenne igjen sosial manipulering, sier Malmedal.
Angriperne utnytter tillit, tidspress og ønsket om å hjelpe. Det er mekanismer som også gjør en organisasjon effektiv i hverdagen.
Derfor holder det ikke å bare be ansatte om å «være mer skeptiske». Virksomheten må ha arbeidsprosesser og tekniske barrierer som tåler at noen lar seg lure.
– Mange virksomheter snakker mye om kultur, varsling og bevisstgjøring, og det er viktig. Men i phishing- og vishingangrep må man også kunne redusere den tekniske risikoen. Ansatte kan bli lurt, dele innloggingsinformasjon eller håndtere sensitiv informasjon feil. Da må virksomheten ha tiltak som begrenser skadeomfanget, sier Weea i mnemonic.
Man må ha rutiner for rask respons: varsle bank, sperre kontoer, involvere forsikring, følge faste varslingsløp – samt mitigere konsekvensene med teknologi.
Samtidig må de redusere risikoen på forhånd, med verifisering av betalingsordre, totrinnskontroll, beløpsgrenser, godkjenning fra flere personer og systemstøtte som fanger opp avvik.
Til syvende og sist handler det også om kultur: at ansatte tør å stille spørsmål, stoppe opp og varsle tidlig når noe virker mistenkelig.
Råd: Test hvordan virksomheten verifiserer en mistenkelig henvendelse, stopper en betaling, sperrer kontoer, begrenser tilganger, varsler internt og involverer bank, forsikring og andre relevante aktører. Øvelsen bør vise om både mennesker, rutiner og tekniske tiltak fungerer når noen faktisk lar seg lure.
5. Bortfall av nøkkelpersonell
En alvorlig nasjonal cyberhendelse rammer flere virksomheter samtidig. Hos dere er systemene fortsatt oppe, men situasjonen er uoversiktlig. Varslene tikker inn, leverandører ber om avklaringer, og ledelsen vil ha et bilde av risikoen her og nå.
Så kommer beskjeden: den ene personen som kjenner infrastrukturen best, og som til daglig leder hendelseshåndtering, blir umiddelbart trukket inn i et regionalt beredskapsarbeid knyttet til håndteringen av krisen.
Fra det øyeblikket mister virksomheten både en fagperson, en beslutningsstøtte og et samlingspunkt for den videre responsen.
Ingen andre har helt samme oversikt over hvilke systemer som må skjermes først, hvilke avhengigheter som er mest kritiske, og hvilke leverandører som må varsles i hvilken rekkefølge. Samtidig øker presset fra kunder, eiere og ansatte.
Hva gjør dere nå?
– Folk kan forsvinne til andre oppgaver
De fleste virksomheter har opplevd at noe stopper opp fordi én person er borte.
– Jeg har aldri jobbet et sted der dette ikke har vært en problemstilling, i både store og små virksomheter, sier Malmedal.
Årsaken bak bortfall av nøkkelpersonell er strengt tatt ikke så relevant: Det kan være snakk om sykdom, ferie eller personlige grunner. Men den kan også være mer alvorlig.
– Når samfunn settes under press, kan kritisk kompetanse bli en mangelvare. Hva gjør du om de du er avhengig av mobiliseres til andre oppgaver, eller om utenlandske nøkkelansatte ikke er tilgjengelig fordi det er krig i hjemlandet?
– Når ting blir alvorlig, kan folk forsvinne til andre oppgaver, sier han.
Har virksomheten en plan for hvem som skal ta over slike oppgaver – og hvordan? Er tilganger, passord, dokumentasjon, tilgjengelig? Er mandater klarert?
Råd: Kartlegg hvilke nøkkelpersoner dere er avhengige av, og hvilken kritisk kunnskap, hvilke oppgaver og hvilke fullmakter som er knyttet til dem. Vurder også risikoen for at de blir borte eller trukket ut til andre oppgaver. Sørg deretter for at andre kan ta over i en krise.
– Hold dere oppdatert på trusselbildet
Ingen virksomheter kan forutse alle kriser. Det viktigste er derfor å bygge beredskap som tåler usikkerhet.
– Hold dere oppdatert trusselbildet, juster planene underveis og følg med på relevante sikkerhets- og beredskapsmiljøer, er rådet fra Malmedal.
Hos sikkerhetsselskapet mnemonic ser de samme utvikling fra et operativt ståsted. Mange virksomheter har planer, avtaler og tekniske sikkerhetstiltak på plass, men har i mindre grad testet hvordan de faktisk fungerer når en hendelse utvikler seg raskt.
– Når krisen først treffer, kommer spørsmålene fort: Hva har skjedd? Hvilke systemer er berørt? Hvem tar beslutningene? Har noen kontroll? Det er ofte først i øvelser eller reelle hendelser at virksomheter oppdager hvor uklare svarene er, sier Weea i mnemonic.
– Terrenget er komplisert og teknisk utfordrende, og det går så fort at virksomheter må vite hvem som gjør hva før en hendelse inntreffer. Hvis kompetansen ikke finnes internt, må det også være avklart på forhånd.
For virksomheter som vil jobbe videre med beredskap, digital sikkerhet og øving, finnes det flere norske sikkerhetsmiljøer som tilbyr råd, veiledning og oppdatert kunnskap:
Fakta: Norske sikkerhetsmiljøer
- NSM og Nasjonalt cybersikkerhetssenter for grunnprinsipper, råd om digital sikkerhet, hendelseshåndtering og varsling av alvorlige digitale angrep. NCSC er Norges nasjonale responsfunksjon for alvorlige digitale dataangrep.
- DSB for generell beredskap og egenberedskap i virksomheter. De har egne råd for virksomheter som skal forberede seg på kriser, med vekt på kritiske funksjoner, avhengigheter, tiltak for drift og plan for gjenoppretting.
- Næringslivets Sikkerhetsråd for råd, kurs, kontakt med sikkerhetsmiljøer og varsler rettet mot næringslivet. NSR er utpekt som cybersikkerhetssenter og sektorvis responsmiljø for deler av næringslivet.
Det digitale totalforsvaret - hva det er og hva det betyr
Dette er et dybdekurs for alle ansatte og ledere på tvers av sivil sektor og forsvaret. Du lærer hva det er, hvorfor det er viktig og hvordan det fungerer i praksis.
Start kurs
