Cyberforsvaret advarer: – En reell situasjon flere bør forholde seg til
Statlige cyberaktører kan bruke små og mellomstore bedrifter som inngangsport for å ramme norsk sikkerhet, advarer Cyberforsvaret.
Hva ville du gjort om du visste at profesjonelle, statsfinansierte cyberkriminelle jobbet med å infiltrere og angripe bedriften du jobber i?
Ifølge norske sikkerhetsmyndigheter er ikke dette bare et hypotetisk spørsmål. Det er en høyst reell risiko – og noe som mest sannsynlig foregår allerede.
– Små og mellomstore norske bedrifter står trolig på listen over mål for statlige aktører som vil ramme norsk sikkerhet, sier Halvor Johansen, sjef for Cyberforsvaret.
– Jeg tror ikke næringslivet helt har tatt innover seg hvor utsatte mange bedrifter faktisk er.
Kort oppsummert
- Cyberforsvaret advarer om at små og mellomstore bedrifter i leverandørkjeder kan bli brukt som inngangsport for større cyberangrep.
- Sigmund Lien (Cybersikkerhetssenteret) understreker at bedrifter må ta med kunder og leverandører i beredskapsarbeidet for å redusere risiko i hele kjeden.
- PST og NSM bekrefter i sine trusselvurderinger at verdikjedeangrep øker og kan få nasjonale konsekvenser.
- Halvor Johansen (Cyberforsvaret) minner om at næringslivet er en del av totalforsvaret og at styrket beredskap beskytter hele samfunnet.
- Birgitte Engebretsen (Telenor) advarer om at KI gjør angrep mer automatiserte og vanskeligere å oppdage – Telenor blokkerte over én milliard trusler i årets første kvartal.
- Liv Dingsør (Digital Norway) etterlyser tettere samarbeid og mer tilgjengelig kunnskap på tvers av sektorer.
(Oppsummeringen er KI-generert og kvalitetssikret).
Ikke alltid ute etter penger
Det er lenge siden cyberkriminalitet ble sett på som uorganiserte hackere som svindlet fra gutterommet.
Dagens trusselbilde er langt mer sammensatt. Grensene mellom statlige aktører, organiserte kriminelle nettverk og løst organiserte grupper viskes ut.
Det finnes flere kjente angrep som kan spores til hackergrupper som jobber for russisk etterretning. Egne militære avdelinger i Kina driver med målrettede cyberangrep mot bedrifter.
De er ikke nødvendigvis ute etter penger, men snarere kontroll og informasjon.
– Målet er ofte å få innpass i systemer, kartlegge personell, organisasjon, infrastruktur og hente ut vesentlig informasjon som de kan bruke, sier Sigmund Lien, nestkommanderende ved Cyberforsvarets Cybersikkerhetssenter.
Dette er verdier som mange norske bedrifter og underleverandører sitter på i dag. Som del av større verdikjeder og nettverk har de tilgang til systemer, data og infrastruktur som kan brukes som inngangspunkt for å ramme andre.
En liten bedrift som leverer stål til et broprosjekt. En lokal IT-aktør med tilgang til en kommunes driftssystemer. En lunsjleverandør med nøkkelkort til et statlig kontorbygg. Slike aktører kan være attraktive mål – nettopp fordi de gir angriperen en vei inn til noe større.
Nasjonale rapporter peker på det samme
PST peker nettopp på økningen av verdikjedeangrep i sin nasjonale trusselvurdering for 2025.
NSM, som også har en årlig trusselvurdering, fremhever at angrep ofte rettes mot små og mellomstore bedrifter:
«Selv om virksomhetene ikke forvalter samfunnsviktige funksjoner kan angrepene likevel få konsekvenser hvis selskapene har informasjon om kundeforhold, leveranse eller leverandørkjeder som kan være attraktiv å selge. Informasjon knyttet til nasjonale verdier kan på denne måten bli kjøpt av utenlandske etterretningstjenester», står det i rapporten til NSM.
Lien mener det derfor er viktig for bedrifter å være bevisste på hvordan virksomheten henger sammen med kunder og leverandører – og at man tar disse samarbeidene inn i beredskapsarbeidet på lik linje med andre risikovurderinger.
Selv om tematikken beveger seg utenfor områder Cyberforsvaret vanligvis har ansvar for, mener Lien likevel det er et tema det er nødvendig å løfte frem.
– Dette er en reell situasjon som flere bør forholde seg til, sier han.
Meld deg på Hele Norge Øver her
Digitaliseringen har gjort norske bedrifter og leverandørkjeder sårbare for cyberangrep, men det er en manglende bevissthet knyttet til digital sikkerhet i norsk næringsliv. Vi øver rett og slett alt for lite!
Autonome angrep
Metodene blir også stadig mer sofistikerte og vanskeligere å forutse. Her spiller særlig den eksplosive utviklingen innen kunstig intelligens en nøkkelrolle.
– Vi ser en økende grad av automatisering i angrepene, der kunstig intelligens brukes til å skanne systemer, kartlegge sårbarheter og hente ut informasjon – raskt og i stor skala, sier Johansen.
Samtidig har fremveksten av autonome KI-agenter åpnet døren for en ny type angrep.
I dag kan KI-agenter sende ut e-poster, generere troverdige landingsider og videoer, hente ut informasjon fra datalekkasjer og bryte seg inn i nettverk. Dette er helautomatiserte angrep – fra start til slutt – uten menneskelig innblanding.
– Slik teknologi gjør det enklere for enda flere å gjennomføre store, vedvarende, komplekse og skreddersydde operasjoner med færre ressurser, sier Birgitte Engebretsen, administrerende direktør i Telenor.
I løpet av første kvartal 2025 blokkerte Telenor mer enn én milliard digitale trusler. Mange av disse var rettet mot små og mellomstore, norske bedrifter.
Engebretsen påpeker at kunstig intelligens er i ferd med å bli et allestedsnærværende verktøy for trusselaktører.
– De siste årene har vi sett hvordan generativ KI åpner snarveier for kriminelle. For folk flest er det snart ikke lenger mulig å skille deepfakes og manipulert innhold fra hva som er ekte. Det gjør det langt enklere å manipulere, påvirke og lure folk når de er på sitt mest sårbare.
PST skriver i sin trusselvurdering at de forventer at statlige aktører vil bruke KI i cyberoperasjoner i Norge i 2025.
Må styrke motstandskraften i samfunnet
Sjefen i Cyberforsvaret mener norske bedrifter må forberede seg på et økt angrepstrykk, og hvordan de skal reagere når angrepet først treffer.
– Ikke bare for å beskytte seg selv, men også for å styrke felles motstandskraft i samfunnet, sier han.
Det siste poenget henger sammen med ideen om det norske totalforsvaret.
I Norge er det nemlig ikke Forsvarets oppgave alene å forsvare landet. Også sivilsamfunnet og næringslivet er en del av beredskapen som skal beskytte Norge mot kriser, konflikter og krig.
Lien bemerker: Om bedrifter mangler kompetanse på cybersikkerhet og relevant informasjon om trusselbildet, så er ikke det kun bedriftens problem. Da utgjør det også en sårbarhet i totalforsvaret.
Derfor understreker han nødvendigheten av en felles situasjonsforståelse på tvers av aktører.
– Klarer man å løfte det samlede kunnskapsnivået og samarbeidsevnen – og forstå at man står i dette sammen – står man langt bedre rustet til å håndtere trusler, sier han.
I det daglige samarbeider aktører som NSM, PST, Etterretningstjenesten og Cyberforsvaret om å hente inn og dele informasjon om sikkerhetssituasjonen og hendelser.
I tillegg finnes det egne sektorvise responsmiljøer – altså fagmiljøer med ansvar for å overvåke digitale trusler innenfor sin sektor. Disse skal spre varsler og råd, samt bistå virksomheter i møte med digitale kriser.
– Samtidig må vi sørge for at også de mindre spissede miljøene er sitt ansvar bevisst. Det er ikke de store virksomhetene vi er mest bekymret for – det er de små. Vi trenger at også de får en felles situasjonsforståelse av hvilke trusler vi står overfor og hvilke verdier de beskytter, sier Johansen.
Behov for felles situasjonsforståelse, også for næringslivet
Liv Dingsør, daglig leder i Digital Norway, understreker viktigheten av at næringslivet tar inn over seg at vi lever i en verden som har blitt mer uforutsigbar.
– Geopolitiske faktorer påvirker norske bedrifter og organisasjoner på en helt annen måte enn før. Det handler ikke bare om handel og konkurransekraft, men også om sikkerhet, sier hun.
Dingsør peker på næringslivet som en kritisk del av norsk samfunnsinfrastruktur – og dermed også som en viktig del av totalforsvaret, med alt det som følger av ansvar og forpliktelser.
– Skal vi styrke Norges evne til å forebygge og håndtere sikkerhetspolitiske kriser, må alle med. Beredskap må bygges i fellesskap. Mellom offentlig og privat sektor, mellom store og små aktører. Det er ikke én parts ansvar – det er noe vi må løfte sammen, sier hun.
Digital Norway har i flere år jobbet for å øke bevisstheten rundt digital sikkerhet og bedrifters ansvar i leverandørkjeden. Blant annet ble den interaktive beredskapsøvelsen Hele Norge Øver i fjor gjennomført for fulle saler over hele landet – en øvelse som høstet internasjonal anerkjennelse.
Til høsten rulles det ut en ny sesong av øvelsesturneen, som skal innom flere av de større byene i Norge.
Når Cyberforsvaret peker på behovet for en bredere situasjonsforståelse på tvers av aktører, sier Dingsør at et slikt totalforsvarsperspektiv er helt i tråd med Digital Norways kjerneoppgave.
– Vi tror på samordning, samarbeid og om å være gode sammen. Når flere aktører styrker sin kompetanse og forståelse, på tvers av sektorer og oppgaver, står vi samlet sterkere, sier hun.
Samtidig understreker hun at det ikke alltid er like lett å vite hvem man egentlig skal forholde seg til – eller hvor man finner kunnskapen man trenger. NSM, PST, Cyberforsvaret og enda flere instanser sitter på ulike deler av sikkerhetsbildet.
– Det finnes mange gode ressurser der ute, men for mange bedrifter kan dette landskapet fort fremstå fragmentert og vanskelig å navigere. Her trengs det en innsats for å gjøre dette enklere, tydeligere og mer tilgjengelig.
