Ukesnytt digital sikkerhet - Uke 13
25. mar 2026
Lesetid: 4 min
Uke 13 byr på et bredt trusselbilde: Kripos dokumenterer et profesjonalisert cyberkriminalitetsmiljø der KI senker terskelen for angrep, NSM varsler om phishing mot Signal-brukere, og ni kritiske sårbarheter i Linux AppArmor berører millioner av systemer. I tillegg ser vi løsepengevirus-aktører som utnytter nulldagssårbarheter i Cisco-brannmurer, EU-midler til norsk kraftsikkerhet, og en voksende debatt om konsentrasjonsrisiko i datasentre.
Kripos rapport: Cyberkriminalitet 2026
Kripos’ fjerde årlige situasjonsbilde av cyberkriminalitet tegner et bilde der gradvise endringer i metoder og aktørlandskap utgjør større risiko enn enkelthendelser.
Kripos publiserte 20. mars rapporten «Cyberkriminalitet 2026». Rapporten beskriver et digitalt økosystem der kriminelle samarbeider på tvers av landegrenser og der kommersialisering og arbeidsdeling gjør det enklere å begå alvorlig kriminalitet. Kripos forventer at kunstig intelligens fører til at volumet av automatiserte angrep vokser, fordi kriminelle med stadig lavere kompetanse kan gjennomføre dem. Digitale bedragerier og cybersstøttede seksuallovbrudd utgjør størstedelen av volumet, men angrep rettet mot virksomheter har det største skadepotensialet. Kripos peker på store mørketall som følge av underrapportering.
Hva så?
Rapporten bekrefter at trusselen ikke lenger er forbeholdt store mål. Automatiserte verktøy og KI-støttet phishing rammer bredt og gjør norskspråklige virksomheter like utsatt som engelskspråklige. Sikkerhetsansvarlige bør bruke rapporten som grunnlag for å oppdatere sine trusselbilder og forankre behovet for forebyggende tiltak i ledelsen. Underrapportering betyr at de fleste virksomheter mangler fullstendig oversikt over reell eksponering.
Kilde: https://www.politiet.no/nyheter-og-presse/kripos/nyhet/2026-03-19/cyberkriminalitet-2026-sma-endringer-med-store-konsekvenser (20. mars 2026)
NSM advarer: Trusselaktører utgir seg for Signal-support
Europeiske myndigheter har varslet om phishing-kampanjer rettet mot brukere av meldingsappen Signal. NSM ber norske virksomheter skjerpe oppmerksomheten.
NSM publiserte 18. mars et varsel om at trusselaktører utgir seg for å være kundesupport i Signal. Tyske myndigheter dokumenterte at angriperne forsøker å lure brukere til å oppgi pinkoden sin, som gir tilgang til kontaktlister og lukkede gruppesamtaler. Ansatte i myndigheter, forsvarsindustri og journalister er særlig utsatt. Signal brukes av ansatte i justis-, forsvars- og utenrikssektoren i Norge.
Hva så?
Virksomheter der ansatte bruker Signal for sensitiv kommunikasjon bør umiddelbart informere brukerne om dette angrepsmønsteret. Sikkerhetsansvarlige bør verifisere at ansatte har aktivert registreringslås i Signal og at de aldri deler pinkoden med noen, heller ikke noen som hevder å være Signal-support. Virksomheter i forsvarsindustrien, offentlig forvaltning og medier er primærmål.
Kilde: https://nsm.no/aktuelt/angrepsforsok-i-popular-meldingsapplikasjon (18. mars 2026)
CrackArmor: ni kritiske sårbarheter i Linux AppArmor
Qualys avdekket ni sårbarheter i AppArmor som har eksistert siden 2017. Kombinert muliggjør de root-eskalering på millioner av Linux-systemer.
Qualys Threat Research Unit offentliggjorde 12. mars ni sårbarheter i AppArmor, sikkerhetsmodulen som er aktivert som standard i Ubuntu, Debian og SUSE. Sårbarhetene utnytter en «confused deputy»-feil som lar en lokal bruker uten privilegier manipulere AppArmor-profiler, eskalere til root og bryte kontainerisolasjon. Qualys anslår at over 12,6 millioner Linux-instanser er berørt. To CVE-numre er nå tildelt: CVE-2026-23268 og CVE-2026-23269. NSM publiserte eget varsel og anbefaler oppdatering. Canonical, Debian og SUSE har levert sikkerhetsoppdateringer.
Hva så?
Enhver virksomhet som kjører Ubuntu, Debian eller SUSE, enten som servere, i Kubernetes-klynger eller i skyinfrastruktur, bør prioritere oppdatering. Kontainermiljøer er særlig utsatt fordi sårbarhetene kan utnyttes uten samarbeid fra et privilegert program. Sikkerhetsansvarlige bør kartlegge alle systemer med AppArmor aktivert og verifisere at kjerneversjon er oppdatert.
Kilde: https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root oghttps://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-nsm/kritiske-sarbarheter-i-linux-kjernen (13. mars 2026)
CRESCENDO: sju norske virksomheter får EU-støtte til cybersikkerhet i kraftsektoren
Nordisk samarbeidsprosjekt deler ut 1 million euro til prosjekter som styrker digital sikkerhet i energisektoren.
NSM og Forskningsrådet annonserte at sju norske virksomheter mottar EU-støtte gjennom CRESCENDO-prosjektet. Midlene skal styrke cybersikkerhet i kraftsektoren, med prosjekter som spenner fra IT til operasjonell teknologi. Blant mottakerne er Defendable AS (cybersikkerhet i landstrømsystemer), Midlaier AS (KI-støtte for NIS2-etterlevelse), EYD AS (risikoreduksjon ved nye strømleverandører) og NC-Spectrum AS (OT-operasjonssentre i kraftbransjen). Neste utlysning kommer i 2027 med et rammebudsjett på 3 millioner euro.
Hva så?
Tildelingene viser at EU og nasjonale myndigheter prioriterer OT-sikkerhet i kraftsektoren konkret. Virksomheter i energisektoren bør følge med på resultatene fra disse prosjektene, som kan gi tilgang til nye verktøy og metoder for sikring av driftskontrollsystemer. Den neste utlysningsrunden i 2027 gir muligheter for virksomheter som ønsker finansiering til egne cybersikkerhetsprosjekter.
Kilde: https://nsm.no/aktuelt/ncc-no-sju-norske-virksomheter-far-stotte-til-innovativ-cybersikkerhet-i-kraftsektoren (17. mars 2026)
Nulldagssårbarhet utnyttet i brannmurer
Cyberkriminelle har utnyttet en ukjent sårbarhet i administrasjonsprogramvare for brannmurer over lengre tid for å distribuere løsepengevirus.
Løsepengegruppen Interlock har siden slutten av januar aktivt utnyttet sårbarheten CVE-2026-20131. Sårbarheten ligger i programvaren Secure Firewall Management Center fra Cisco. Amazon sin trusseletterretning avdekket at gruppen brukte sårbarheten for å plante tilpassede fjernstyringsverktøy og utføre rekognosering i nettverk før de rullet ut krypteringsprogramvare.
Hva så?
Sikkerhetsinfrastruktur er et prioritert mål fordi utstyret står direkte eksponert mot internett. Mange norske bedrifter benytter det aktuelle utstyret for å beskytte virksomhetskritiske nettverk. Virksomhetene som har slikt utstyr må installere sikkerhetsoppdateringen som ble utgitt tidligere denne måneden, og lete etter tegn på kompromittering i systemlogger tilbake til slutten av januar.
Kilde: https://www.securityweek.com/cisco-firewall-vulnerability-exploited-as-zero-day-in-interlock-ransomware-attacks/ (19. mars 2026)
Økt konsentrasjonsrisiko i datasentre
En ny norsk forskrift og økt trusselaktivitet krever en revurdering av risiko knyttet til sentralisering av datakraft.
I lys av nylige fysiske angrep mot datasentre internasjonalt, diskuteres digital infrastruktur som nasjonal sikkerhetspolitikk fremfor ren næringspolitikk. Samtidig som en ny norsk datasenterforskrift innfører strengere registreringsplikt for operatører, advares det mot at konsolidering av tjenester i et fåtall store datasentre skaper sårbarheter for ondsinnede hybride operasjoner.
Hva så?
Bedrifter som plasserer alle forretningskritiske tjenester hos én skyleverandør eller i ett geografisk datasenter, aksepterer en høy konsentrasjonsrisiko. Virksomhetene må evaluere avhengighetene i sin egen skyportefølje, vurdere geografisk spredning av data, og revidere katastrofeplaner for å sikre at kjernevirksomheten overlever utfall av regionale knutepunkter.
Kilde: https://www.digi.no/artikler/debatt-datasentre-blir-sikkerhetspolitikk/569820 (24. mars 2026)
Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838