Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 19

6. mai 2026
Lesetid: 3 min

Denne uken ser vi på at Kripos melder om systematisk underrapportering og eskalerende OT-risiko. Europol slår fast at ransomware og statlig etterretning nå opererer gjennom de samme kriminelle nettverkene. Et pågående forsyningskjedeangrep har kompromittert Bitwarden og Checkmarx – verktøy norske IT-avdelinger stoler blindt på. Og CISA har lagt til åtte aktivt utnyttede sårbarheter i KEV-katalogen, inkludert tre i Cisco SD-WAN.

Kripos: underrapportering og OT-risiko preger trusselbildet

Kripos la 14. april frem årsrapporten Cyberkriminalitet 2026. For næringslivet er bildet alvorlig – og bekymringen handler mye manglende kunnskap om nye angrep.

Et gjennomgående funn er omfanget av underrapportering. Kun 24 prosent av virksomheter som opplevde datainnbrudd anmeldte forholdet, basert på NSRs Mørketallsundersøkelse 2024. Kripos konkluderer med at reelle tall er vesentlig høyere enn politistatistikken viser.

Rapporten løfter frem operasjonell teknologi (OT) – systemene som styrer fysiske prosesser i industri, energi og kritisk infrastruktur – som et særlig sårbart område. Kripos vurderer det som sannsynlig at cyberangrep vil påvirke norske OT-avhengige virksomheter i 2026, med mulig produksjonsstans og store økonomiske kostnader som følge.

Videre beskrives tredjepartsangrep som en viktig angrepsvei, der kriminelle utnytter sårbarheter hos én leverandør for å få tilgang til andre virksomheter.

Hva så?

Virksomheter med OT-systemer – produksjon, energi, bygg og anlegg – bør gjennomføre en risikovurdering av nettverkssegmentering mellom IT og OT umiddelbart. Tredjepartsleverandører med tilgang til interne systemer bør kartlegges og risikovurderes. Lav terskel for å anmelde til Kripos/NC3.

Kilde: https://www.politiet.no/globalassets/tall-og-fakta/datakriminalitet/cyberkriminalitet-2026.pdf (14. april 2026)

Bitwarden og Checkmarx kompromittert i pågående forsyningskjedeangrep

Angrep mot verktøy utviklermiljøer stoler blindt på kan føre til særlig alvorlige konsekvenser.

Et forsyningskjedeangrep som startet 23. mars 2026 har rammet en rekke sikkerhets- og utviklingsverktøy, inkludert sikkerhetsscanneren Checkmarx og passordbehandleren Bitwarden CLI.

Angriperne, koblet til grupperingen TeamPCP og Lapsus$, gikk etter verktøy som er dypt integrert, høyt betrodd og ofte tildelt utvidede rettigheter, noe som gjør dem til effektive angrepspunkter for datatyveri og videre spredning.

Bitwarden brukes av over 10 millioner brukere og mer enn 50 000 virksomheter globalt. Lapsus$ hevder å ha stjålet kildekode, API-nøkler og legitimasjonsdata.

Hva så?

Alle norske virksomheter som benytter Bitwarden CLI, Checkmarx-plugins fra Open VSX eller GitHub Actions-workflows fra disse leverandørene, bør umiddelbart gjennomgå logger fra perioden etter 23. mars. Vurder om Bitwarden-hemmeligheter og API-nøkler bør roteres. Dette angrepet viser at sikkerhetsverktøy ikke er unntatt fra angrep og at tilliten til dem kan utnyttes.

Kilde: https://www.theregister.com/2026/04/27/supply_chain_campaign_targets_security/ (27. april 2026)

CISA: 8 aktivt utnyttede sårbarheter lagt til KEV, inkludert tre i Cisco SD-WAN

Cisco SD-WAN er bredt i bruk i norske bedriftsnettverk. Når CISA utsteder nødvarsler, er tidsvinduet for å patche kort.

CISA la 20. april til åtte nye sårbarheter i katalogen over kjente utnyttede svakheter (KEV), inkludert tre kritiske hull i Cisco Catalyst SD-WAN Manager: feil bruk av privilegerte API-er, passord lagret i gjenopprettbart format, og eksponering av sensitiv informasjon til uautoriserte aktører.

Blant de øvrige sårbarhetene er et PaperCut NG/MF-autentiseringsbypass og et relativt stisøk i JetBrains TeamCity, begge med CVSS-skårer over 7. CISA har satt frister for føderal patching til 23. april og 4. mai 2026.

Hva så?

Virksomheter som bruker Cisco SD-WAN Manager, PaperCut (vanlig i print-miljøer) eller JetBrains TeamCity (CI/CD-pipelines) bør prioritere patching nå. Sjekk leverandørenes sikkerhetsnotater mot KEV-listen. Sårbarhetene er bekreftet aktivt utnyttet, det er ikke bare hypotetisk risiko.

Kilde: https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalog (20. april 2026)

Europol IOCTA 2026: ransomware og statlige aktører smelter sammen

Europols årsrapport er en av de viktigste trusseloversikten Europa produserer. Årets utgave tegner et bilde med direkte konsekvenser for norske virksomheter.

Ransomware er fortsatt den dominerende trusselen i EU, med over 120 aktive ransomware-typer observert av Europol i 2025. Kriminelle aktører utnytter sårbarheter i digitale forsyningskjeder og benytter stadig mer sofistikert sosial manipulasjon.

Utpressingsmodellen skifter fra datakryptering til ren datatyveri, der trusselen om eksponering brukes for å tvinge frem betaling.

Grensen mellom hybride trusselaktører og kriminelle nettverk viskes ut – hybride aktører bruker kriminelle nettverk som mellommenn for forstyrrende operasjoner, inkludert DDoS, innbrudd og ransomware.

Hva så?

Norske virksomheter, blant annet innen kritisk infrastruktur, energi og finans, bør forstå at ransomware-hendelser i 2026 kan ha en statlig dimensjon. Selv om angriperen fremstår som kriminell. Det stiller høyere krav til hendelseshåndtering og varsling. Vurder om virksomheten har en beredskap som dekker scenarioer med hybrid motivasjon.

Kilde: https://www.europol.europa.eu/cms/sites/default/files/documents/IOCTA-2026.pdf (April 2026)

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk