Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 21

21. mai 2026
Lesetid: 6 min

Lørenskog kommune er rammet av et omfattende dataangrep som lammer interne IT-systemer , mens Nasjonal kommunikasjonsmyndighet varsler at BankID står i fare for å miste sin høyeste sikkerhetsklarering. Internasjonalt har utdanningsplattformen Canvas betalt løsepenger etter gjentatte cyberangrep , og Palo Alto Networks advarer om en kritisk sårbarhet i sine brannmurer som utnyttes aktivt. Samtidig ilegges eierselskapet bak taxiappen Yango et milliardgebyr for ulovlig overføring av personopplysninger til Russland.

Lørenskog kommune lammet av dataangrep

Lørenskog kommune ble natt til lørdag 10. mai rammet av et alvorlig dataangrep. Alle interne IT-systemer ble stengt, kriseledelse ble satt, og kommunen jobber fortsatt med å kartlegge omfanget.

Kommunens IT-avdeling fikk varselet fra et sykehjem som mistet nettilgang. Siden har det vært kontinuerlig krisehåndtering. Kommunikasjonssjefen bekrefter overfor Aftenposten at de vet hvem angriperen er, og at det er mottatt en melding fra aktøren, trolig et løsepengekrav, men at de har valgt å ikke gå i dialog. Per 15. mai er e-posttilgangen gjenopprettet for de ansatte, men det anslås to til tre uker før systemene er fullt operative. Mange tjenester kjøres nå manuelt, blant annet vaktlister på sykehjem.

Hva så?

Lørenskog-angrepet følger et mønster som er godt kjent: en ekstern aktør finner en inngang, etablerer fotfeste, og operasjonen oppdages først når tjenester slutter å fungere. For norsk næringsliv er kommunale IT-systemer relevant fordi mange virksomheter er direkte avhengige av kommunale fagsystemer. Responsen i Lørenskog – kriseledelse raskt på plass, ekstern partner engasjert, offentlig kommunikasjon fra første dag – er gode tegn, men det forteller lite om den bakenforliggende svakheten som ble utnyttet.

Lenke: Lørenskog kommune – pressemelding 11. mai (11. mai 2026)

BankID kan miste sikkerhetsklarering

Nasjonal kommunikasjonsmyndighet varslet i mars at BankID kan miste godkjenningen på sikkerhetsnivå "høyt". Konsekvensene for norsk nærings- og samfunnsliv er potensielt store, og debatten om hva som skal skje videre er ikke avgjort.

Bakgrunnen er avvik knyttet til bankenes praksis for utsendelse av kodebrikker, som Nkom mener ikke tilfredsstiller kravene til høyeste sikkerhetsnivå under eIDAS-regelverket. Nav-direktøren har i brev til Digdir advart om at en nedgradering vil gjøre det umulig for mange brukere å søke ytelser digitalt. Norsk helsenett peker på at HelseID og andre helsetjenester er direkte eksponert. Finans Norge har bedt om klageadgang og tilstrekkelig omstillingstid. Digdir understreker at de jobber for å sikre gode løsninger uavhengig av utfallet, men ingen endelig avklaring er offentliggjort per 20. mai. De eneste godkjente alternativene på høyt nivå per nå er Buypass og Commfides – begge med etableringsgebyr og lavere utbredelse enn BankID.

Hva så?

BankID-situasjonen avdekker en sårbarhet som ikke handler om cyberangrep, men om regulatorisk risiko i nasjonal digitalinfrastruktur. Med 4,6 millioner brukere er BankID den faktiske felleskomponenten i norsk digital autentisering – for banker, for offentlige tjenester og for en rekke private løsninger. Det mønsteret er en konsentrasjonsrisiko som NSM har advart mot i andre sammenhenger. Norske virksomheter som i dag bruker BankID som eneste autentiseringsmetode på høyt nivå bør kartlegge eksponeringen sin: hvilke tjenester krever sikkerhetsnivå "høyt", og hva er fallback-planen dersom BankID nedgraderes? Det er fortsatt uklart om og når Nkom fatter endelig vedtak, men usikkerheten alene tilsier at alternativene bør vurderes nå.

Lenke: Digi.no: Nav om BankID – vil få store samfunnsmessige konsekvenser (12. mai 2026)

ShinyHunters brøt inn i Canvas to ganger – 275 millioner brukere eksponert, løsepenger betalt

Hackergrupppen ShinyHunters kompromitterte utdanningsplattformen Canvas LMS to ganger på én uke, eksponerte data fra nær 275 millioner brukere ved over 8 800 institusjoner, og tvang frem en løsepengebetaling fra Instructure.

Vi omtalte dette angrepet i forrige nyhetsbrev. Angriperne utnyttet en svakhet i såkalte Free-For-Teacher-kontoer for å komme seg inn. Instructure forsøkte å lappe systemet uten å forhandle, men ShinyHunters kom tilbake 7. mai og overskrev påloggingssiden for millioner av brukere med en løsepengebeskjed midt i eksamensuken. Data som er kompromittert inkluderer navn, e-postadresser, studentnummer og milliarder av private meldinger mellom studenter og undervisere. Instructure bekrefter 11. mai at løsepenger er betalt og at hackerne har bekreftet sletting av dataene – uten at noen utenforstående kan verifisere dette. Norske universiteter og høyskoler benytter Canvas gjennom SIKT; Kristiania-studentenes informasjonssikkerhetsansvarlig bekrefter at norske institusjoner er berørt.

Hva så?

Canvas-hendelsen er interessant på flere måter. Angrepsvektoren var ikke en zero-day i kjernesystemet, men en lavstatuskonto uten MFA – en konto som ikke tilhørte en institusjon og dermed ikke var underlagt institusjonenes egne sikkerhetskrav. Det er et forsyningskjedemønster der angriperne fant svakeste ledd i leverandørens egne systemer, ikke hos sluttkundene. At Instructure betalte løsepenger etter å ha avvist kravene illustrerer dessuten en klassisk eskalering: forsøk på teknisk utbedring uten dialog endte med at angriperne valgte synlig sabotasje. For norske virksomheter som benytter store SaaS-plattformer, er spørsmålet om hvem som faktisk kontrollerer sikkerheten i gratiskontoer og integrasjoner som lever utenfor virksomhetens egen IAM-struktur.

Lenke: Inside Higher Ed: Instructure pays ransom to Canvas hackers (11. mai 2026)


Kritisk sårbarhet i Palo Alto PAN-OS aktivt utnyttet – trolig statlig aktør

En kritisk buffer overflow-sårbarhet i Palo Alto Networks brannmurer ble publisert 6. mai og lagt til CISA KEV samme dag. En trolig statsstøttet gruppe hadde allerede utnyttet den mot eksponerte systemer.

CVE-2026-0300 (CVSS 9.3) sitter i User-ID Authentication Portal-komponenten i PAN-OS og rammer PA-Series og VM-Series brannmurer der denne portalen er eksponert mot internett eller upålitelige nettverk. Sårbarheten gir en uautentisert angriper mulighet til å kjøre vilkårlig kode med root-rettigheter. Palo Alto Networks egne trusselanalytikere tilskriver observert utnyttelse til trusselaktøren CL-STA-1132, som etter avsløringen etablerte tunneleringsverktøy og gjennomførte Active Directory-kartlegging på kompromitterte systemer. Patcher begynte å rulles ut fra 13. mai; en midlertidig mitigering er å begrense portaltilgang til betrodde soner. Organisasjoner som allerede har blitt kompromittert vil trolig ikke se effekt av patching alene.

Hva så?

Palo Alto-brannmurer er utbredt i norske virksomheter, og nettverksperimeteren er fortsatt et høyverdig mål for statlige aktører som ønsker langvarig tilgang. Mønsteret her – kompromittert brannmur, deretter intern kartlegging – er en kjent fremgangsmåte for aktører som vil ligge stille i et nettverk over tid. Det interessante er at sårbarheten satt i en tilleggsfunksjon (User-ID Authentication Portal) som mange organisasjoner trolig ikke hadde oversikt over at var eksponert. Det er ikke uvanlig: store plattformer har mange funksjoner, og ikke alle aktiveres bevisst. Organisasjoner som kjører PAN-OS bør sjekke om portalen er tilgjengelig utenfra – og om det finnes tegn på kompromittering i perioden før patchingen.

Lenke: The Hacker News: Palo Alto PAN-OS flaw under active exploitation (6. mai 2026)

Yango ilegges 100 millioner euro-gebyr for dataoverføring til Russland

Det nederlandske datatilsynet har ilagt Yandex-eide Yango et gebyr på 100 millioner euro – rundt 1,1 milliarder kroner – for ulovlig overføring av norske og finske brukeres personopplysninger til Russland.

Undersøkelsen, som ble gjennomført i nært samarbeid med norsk og finsk datatilsyn, viser at Yango samlet og overførte omfattende persondata til russiske servere: nøyaktige lokasjoner, tur- og hentestedsdata, kopier av førerkort, personnummer, bostedsadresser, kontonummer, bilder og innhold i chatsamtaler mellom sjåfør og passasjer. Det nederlandske datatilsynets direktør understreker at russiske myndigheter potensielt har kunnet overvåke norske innbyggeres bevegelser gjennom tjenesten. Eierselskapet MLU bestrider vedtaket og hevder dataene var kryptert og lagret i EU. Gebyret er det klart høyeste norsk Datatilsynet har vært med på å utforme.

Hva så?

Yango-saken er ikke primært en sak om en taxiapp. Den er et eksempel på at en tjeneste med tilsynelatende lav sikkerhetsrelevans – bestilling av taxi – kan samle inn og eksportere et datafundament som gir statlige aktører innsikt i enkeltpersoners bevegelsesmønstre over tid. For norsk næringsliv er implikasjonene: hvilke tredjepartsapper bruker ansatte i jobbsammenheng, og hvilke jurisdiksjoner behandler dataene disse appene samler inn? Det norske Datatilsynets aktive rolle i etterforskningen illustrerer at tverrnasjonalt tilsynssamarbeid fungerer, og at leverandørers geografiske tilknytning er et reelt risikoparameter som virksomheter bør vurdere i leverandørkartleggingen sin.

Lenke: Datatilsynet: Yango får gebyr på 100 millioner euro (8. mai 2026)

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk