Ukesnytt digital sikkerhet - Uke 41

8. okt 2025
Lesetid: 6 min

Denne ukens nyheter preges av et norsk sikkerhetsparadoks, der vi tar stadig større sjanser på nett til tross for økt kunnskap. Samtidig ser vi hvordan profesjonelle hackere utnytter menneskelig tillit i en stor utpressingskampanje, og hvordan AI nå kan gjennomføre hele angrep uten menneskelig innblanding. Vi ser også nærmere på EUs nye trusselrapport og de globale konsekvensene av at en sentral amerikansk lov for informasjonsdeling har utløpt.

Ny NorSIS-rapport om digital sikkerhetskultur

En ny rapport fra Norsk senter for informasjonssikring (NorSIS) og Nasjonal sikkerhetsmyndighet (NSM) ble lagt frem under åpningen av nasjonal sikkerhetsmåned. Rapporten viser til et et paradoks: Selv om nordmenn blir flinkere til å følge grunnleggende sikkerhetsråd, tar stadig flere bevisste sjanser på nett.

Rapporten «Nordmenn og digital sikkerhetskultur 2025» ble publisert i forbindelse med åpningen av Nasjonal sikkerhetsmåned. Rapporten viser til et paradoks, der nordmenn på den ene siden følger flere grunnleggende tiltak for digital sikkerhet. På den andre siden innrømmer en økende andel at de tar sjanser de vet kan være risikable. En sentral forklaring på dette er at over halvparten av befolkningen er usikre på om deres egne digitale verdier er interessante for kriminelle. Disse verdiene omfatter alt fra private bilder og meldinger til sensitive arbeidsdokumenter, helseopplysninger og økonomisk informasjon. Rapporten konkluderer med at digital beredskap er viktigere enn noensinne, men at den undergraves av en feilslått risikovurdering hos den enkelte.

Hva så?

For norske bedrifter er dette funnet en utfordring. Problemet er ikke lenger primært mangel på kunnskap, men en svikt i risikopersepsjon. Ansatte vet at de ikke bør gjenbruke passord eller klikke på ukjente lenker, men gjør det likevel fordi de undervurderer verdien av dataene de håndterer. Denne personlige risikovurderingen, der man tenker "mine data er ikke viktige nok til å bli et mål", kan også tas med inn på arbeidsplassen. Dette skaper en "bekvemmelighetskultur" som direkte nøytraliserer effekten av dyre tekniske sikkerhetsinvesteringer. Når en ansatt ikke ser verdien i et kunderegister eller et internt prosjektdokument, vil terskelen for å velge en enkel, men usikker løsning, være lavere. Bedrifter må derfor flytte fokus fra ren regelopplæring til å bygge en dypere forståelse for hvorfor dataene er verdifulle og hva konsekvensene av et tap er for både individet og virksomheten.

Lenke: https://norsis.no/forstar-ikke-hvor-verdifulle-data-vi-har/ (Publisert 25.09.2025 og 02.10.2025)

Utpresningskampanje mot Salesforce-kunder

En hackergruppe har lansert en omfattende utpressingskampanje mot kunder av skytjenesten Salesforce. Angriperne har ikke utnyttet en teknisk sårbarhet, men har brukt "vishing" (voice phishing) for å lure ansatte til å gi fra seg tilgang, og deretter utnyttet en tredjepartsapplikasjon for å eskalere angrepet.

Hackergruppen, kjent under navn som ShinyHunters og Scattered LAPSUS$ Hunters, har tatt på seg ansvaret for datainnbrudd hos en rekke store internasjonale selskaper. Angrepsmetoden har vært konsistent: De har ikke hacket Salesforce sin plattform direkte, men har ringt opp selskapenes IT-supportavdelinger og utgitt seg for å være ansatte med dataproblemer. Gjennom sosial manipulering har de lurt supportmedarbeidere til å godkjenne tilkoblingen av en ondsinnet applikasjon til selskapets Salesforce-miljø. Angrepet ble ytterligere forsterket da gruppen kompromitterte den populære tredjepartsappen Salesloft Drift, noe som ga dem tilgang til OAuth-tokens og dermed data fra en rekke andre skytjenester kundene hadde integrert. Gruppen har nå lansert et eget nettsted der de navngir ofre og krever løsepenger for å ikke publisere stjålne data.

Hva så?

Denne kampanjen er nok et eksempel på utviklingen i cyberkriminaliteten, der angriperne har profesjonalisert utnyttelsen av menneskelig tillit. Ved å målrette seg mot IT-helpdesken, angriper de kjernen i en organisasjons interne støtteapparat, de som er trent til å hjelpe. Dette viser at selv de beste tekniske forsvarsverkene er sårbare hvis de kan omgås med en overbevisende telefonsamtale. Videre illustrerer kompromitteringen av Salesloft-integrasjonen hvordan et moderne sky-økosystem er sårbart. Ett vellykket angrep mot én person kan gi tilgang til én applikasjon, som igjen har legitime, lagrede tilganger til en rekke andre kritiske systemer som Google Workspace, Azure og Slack. Norske bedrifter må se på IT-support som en frontlinje i sikkerhetsarbeidet og bør vurdere strengere verifikasjonsprosesser som ikke kan omgås kun via telefon.

Lenke: https://krebsonsecurity.com/2025/10/shinyhunters-wage-broad-corporate-extortion-spree/ (Publisert 07.10.2025)

ENISA: Løsepengevirus er den mest skadelige trusselen, men hacktivisme dominerer i antall

EUs byrå for cybersikkerhet (ENISA) har publisert sin årlige trusselrapport. Den konkluderer med at løsepengevirus utgjør trusselen med størst skadepotensial, mens politisk motiverte tjenestenektangrep (DDoS) fra hacktivister dominerer fullstendig i antall hendelser.

I rapporten «ENISA Threat Landscape 2025», publisert 1. oktober, analyseres nesten 5000 cyberhendelser i EU/EØS-området mellom juli 2024 og juni 2025. Hovedfunnene viser en klar todeling av trusselbildet. Løsepengevirus identifiseres som den mest innflytelsesrike trusselen, den som forårsaker størst økonomisk og operasjonell skade. Samtidig står hacktivisme for nesten 80% av det totale antallet rapporterte hendelser, primært i form av DDoS-angrep mot nettsidene til offentlige organer. Offentlig forvaltning er den desidert mest utsatte sektoren (38.2% av hendelsene). Rapporten fremhever også en økende bruk av kunstig intelligens (KI) for å automatisere og forbedre phishing-angrep, samt en bekymringsfull konvergens der kriminelle, statlige aktører og hacktivister i økende grad benytter de samme verktøyene og teknikkene.

Hva så?

Rapporten viser hvordan sikkerhetsledere må forsvare bedriften mot flere fundamentalt forskjellige trusler samtidig, og som krever ulike ressurser og strategier. På den ene siden har man de hyppige, støyende, men ofte mindre sofistikerte DDoS-angrepene. Disse truer tilgjengeligheten til selskapets tjenester og krever investeringer i robust infrastruktur. Dette er en kamp på den "ytre" forsvarslinjen. På den andre siden har man de sjeldnere, men potensielt svært alvorlige løsepengevirusangrepene. Disse truer selve eksistensen til virksomheten og krever avanserte løsninger for deteksjon av unormal aktivitet internt i nettverket, segmentering, og ikke minst, en bunnsolid backup- og gjenopprettingsplan. Dette er en kamp på den "indre" forsvarslinjen. Å balansere budsjetter og kompetanse for å håndtere både den konstante "støyen" og den eksistensielle "katastrofen" er en kjerneoppgave for enhver CISO i dag.

Lenke: https://www.enisa.europa.eu/news/etl-2025-eu-consistently-targeted-by-diverse-yet-convergent-threat-groups (Publisert 01.10.2025)

Usikkerhet i globalt trusselinformasjonssamarbeid

En sentral amerikansk lov som har sikret deling av trusselinformasjon mellom privat og offentlig sektor, har utløpt. Dette skaper usikkerhet og kan føre til at norske virksomheter og deres sikkerhetsleverandører får et dårligere og tregere bilde av det globale trusselbildet.

Den amerikanske loven «Cybersecurity Information Sharing Act of 2015» (CISA 2015) utløp 1. oktober 2025 som følge av den pågående budsjettkrisen i den amerikanske kongressen. Loven har vært en bærebjelke for det offentlig-private samarbeidet om cybersikkerhet i USA, ved at den gir selskaper juridisk beskyttelse mot søksmål når de frivillig deler informasjon om cyberangrep med myndighetene og med andre selskaper. Uten denne beskyttelsen frykter en bred koalisjon av bransjeorganisasjoner at selskapers juridiske avdelinger vil fraråde slik deling. Dette kan i praksis "skru av lyset" for en betydelig del av den private sektors bidrag til det kollektive cyberforsvaret.

Hva så?

Dette er en geopolitisk hendelse med direkte, praktiske konsekvenser for sikkerhetsnivået i Norge. Mange norske bedrifter, enten direkte eller via sine sikkerhetsleverandører, er avhengige av den globale strømmen av trusselinformasjon. USA er den desidert største kilden til slik informasjon. En reduksjon i informasjonsflyten der vil føre til et dårligere og mindre oppdatert trusselbilde globalt. I praksis betyr dette at nye angrepsmetoder, ondsinnede IP-adresser og signaturer for skadevare vil bli oppdaget og delt senere. Konsekvensen for en norsk bedrift er at deres brannmur, antivirusprogramvare og andre sikkerhetssystemer blir litt "dummere" og tregere til å reagere på nye trusler. Dette gir angriperne et større tidsvindu til å operere uoppdaget.

Lenke: https://www.washingtonpost.com/technology/2025/10/02/cisa-shutdown-cybersecurity/ (Publisert 02.10.2025)

AI-agenters rolle i cyberangrep

En fersk analyse i CSO Online beskriver hvordan kunstig intelligens (AI) brukes til å automatisere cyberangrep på nye måter . Eksempler omfatter russisk malware som benyttet et stort språkmodell-basert AI-verktøy til automatisk kartlegging og kommando-generering.

Også sikkerhetsselskapet Anthropic rapporterte at en kriminell trusselaktør brukte AI-modellen Claude til å fullautomatisere et innbrudd. AI utførte hele angrepskjeden, det vil si skanning, innbrudd, innsamling av legitimasjon og utpressing uten menneskelig styring. Sårbarhetstesting og utvikling av ransomware har blitt så enkel at både kommersielt tilgjengelige AI-verktøy og skreddersydde chatbotter (som HexStrike-AI) kan utføre avanserte angrep uten hjelp fra mennesker.

Hva så?

Norske virksomheter må forvente at angripere kan bruke AI-agentassistenter for mer skreddersydde og hurtige angrep. Bedriftens sikkerhetsteam bør se på AI som både trusselkatalysator og forsvarsteknologi , og vurdere å investere i tilsvarende verktøy for sårbarhetstesting og overvåkning. Rutinene for overvåkning av uvanlig trafikk og atferd bør skjerpes, siden AI-angrep kan utløses raskt.

Lenke: https://www.csoonline.com/article/4069075/autonomous-ai-hacking-and-the-future-of-cybersecurity.html#:~:text=In%20this%20future%2C%20attack%20capabilities,is%20no%20longer%20the%20case (Publisert 08.10.2025)

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.