Ukesnytt digital sikkerhet - Uke 46
12. nov 2025
Lesetid: 5 min
Ukesnytt dekker denne gangen alt fra nye EU-krav som skjerper styrets personlige ansvar (NIS2/DORA) , til konkrete trusler mot hoteller via Booking.com og sårbarheter avdekket i Ruters elbusser.
Sårbarheter i elbusser avdekket av Ruter
Tester av nye elektriske busser avdekket risiko for ekstern styring. Ruter innfører nå strengere sikkerhetstiltak.
En nylig sikkerhetstest utført av Ruter viste at OTA-oppdateringssystemet på en kinesisk Yutong-elbuss kunne misbrukes for å fjernstoppe kjøretøyet . Ruter gjennomførte testene i isolerte fjellmiljøer sammenlignet med tre år gamle VDL-busser uten samme funksjon. Resultatene førte til at Ruter skal innføre strengere cybersikkerhetskrav og tiltak for alle busser med ekstern oppdateringsfunksjonalitet . Testen fastslo at mens VDL-modellene ikke støttet OTA-oppdateringer, hadde Yutong-bussen direkte tilgang for programvareoppdatering og diagnostikk. I teorien kunne hackere da stoppe bussen, men Ruter understreker at kritiske kjøresystemer er isolert for å hindre nettopp dette. Sårbarheten i den kinesiske oppdateringsplattformen er nå rapportert til leverandøren og adressert.
Hva så?
For norske bedrifter viser saken hvor viktig det er å stille krav til sikkerhet også i OT og IoT-utstyr. Slike kontrollerte tester viser at nye, oppkoblede løsninger kan åpne nye angrepsflater. Norske bedrifter bør derfor ha fokus på dette, og vurdere tekniske tiltak som bruk av segregerte nett og overvåkning av store oppdateringsoperasjoner for å forhindre misbruk.
Kilde: https://www.abc.net.au/news/2025-11-06/norway-controls-avert-potential-hacking-of-transport/105977160 (06. november 2025)
"ClickFix" phishing rammer hoteller via Booking.com
En storstilt phishing-kampanje retter seg mot hotellansatte ved å utgi seg for å være Booking.com. Målet er å stjele innlogging og deretter svindle hotellets gjester.
Kampanjen bruker spear-phishing-e-poster som utgir seg for å være fra Booking.com eller Expedia. E-postene lurer hotellansatte til en falsk "ClickFix"-side med en falsk reCAPTCHA for å "verifisere tilkoblingen". Dette er sosial manipulering for å få offeret til å kopiere og kjøre et skadelig PowerShell-skript, som installerer skadevaren PureRAT. Målet er å stjele hotellets innloggingsdetaljer til bookingplattformen. Angriperne bruker så denne tilgangen til å kontakte faktiske gjester og svindle dem for kredittkortinformasjon.
Hva så?:
Dette er et tillitsbasert leverandørkjedeangrep (B2B2C). Angriperen rammer bedriften (hotellet) for å få troverdig tilgang til kunden (gjesten). For et norsk hotell eller reiselivsaktør er konsekvensen dobbel: først blir de selv et offer, deretter blir de en ufrivillig partner i svindelen av sine egne kunder. Den omdømmemessige skaden kan bli stor.
Lenke: https://thehackernews.com/2025/11/large-scale-clickfix-phishing-attacks.html (10. november 2025)
Ny ENISA-rapport: Offentlig sektor er hovedmål for DDoS-angrep i Europa
EUs cybersikkerhetsbyrå, ENISA har publisert en ny trusselrapport som viser at offentlig administrasjon er den mest målrettede sektoren, primært av hacktivister.
ENISA-rapporten "Sectorial Threat Landscape - Public Administration" ble publisert 6. november 2025. Den konkluderer med at offentlig administrasjon i EU er den mest målrettede sektoren. Hovedtrusselen er DDoS-angrep (tjenestenekt), ofte utført av hacktivister. Andre trusler inkluderer datalekkasjer og løsepengevirus. Motivasjonen er ofte ideologisk eller geopolitisk, ikke bare finansiell.
Hva så?:
Denne rapporten hviler på et strategiske bakteppe med geopolitisk motiverte angrep. I Norge er det trolig ikke bare offentlig sektor som kan være tilsvarende utsatt, men også norske bedrifter som leverer varer og tjenester innen de samfunnsområdene som blir berørt av de geopolitiske endringene. Dette gjelder kanskje spesielt for bedrifter i energisektoren, forsvarsindustrien, telekom, eller om du er en sentral leverandør til det offentlige.
Lenke: https://www.enisa.europa.eu/publications/enisa-sectorial-threat-landscape-public-administration (6. november 2025)
NIS2 og DORA: Nye analyser skjerper styrets personlige ansvar for cybersikkerhet
En analyse av EU-direktivene NIS2 og DORA understreker at ansvaret for cybersikkerhet nå er flyttet fra IT-avdelingen til styret og ledelsen.
En analyse fra Microsoft fremhever at NIS2 (Network and Information Systems Directive 2) og DORA (Digital Operational Resilience Act) krever at CISO-rollen må arbeide strategisk og bidra til at ledelsen og styret kan utøve sin plikt til å godkjenne og overvåke implementeringen av sikkerhetstiltak. De kan i følge regelverkene holdes personlig ansvarlige for manglende overholdelse.
Hva så?:
Dette er en av de største endringene i styring av sikkerhet på mange år. Cybersikkerhet er nå juridisk sidestilt med finansiell rapportering. Et styre kan like lite si "jeg forstår ikke cyber" som de kan si "jeg forstår ikke regnskap". Dette endrer jobben til norske sikkerhetsledere: Det blir en hovedoppgave å utdanne styret og oversette teknisk risiko til forretningsrisiko. Et styre som ikke har cyber-risiko som et fast punkt på agendaen, gjør ikke lenger jobben sin etter loven.
Lenke: https://www.microsoft.com/en-us/security/blog/2025/11/05/securing-critical-infrastructure-why-europes-risk-based-regulations-matter/ (5. november 2025)
CrowdStrike: Mer koordinert ransomware- og statlige angrep i Europa
Ny rapport fra CrowdStrike advarer om raskere, mer målrettede angrep i Europa.
Sikkerhetsselskapet CrowdStrike har publiserte en rapport om trusselbildet i Europa. Den advarer om at kriminelle grupper og statssponsete aktører blir mer aggressive og raske . Ifølge rapporten har angrepshyppigheten økt dramatisk, og nye metoder gjør at offerets nettverk låses i løpet av 24 timer. Ransomware-presset er størst, og de kriminelles profesjonalisering gjør at de sprer datainnbrudd raskere enn før.
Hva så?
Virksomheter må forberede seg på at driftsforstyrrelser kan komme raskt og uanmeldt. Det innebærer at virksomhetene bør styrke proaktiv overvåking og backup-rutiner, og følge beste sikkerhetspraksis. Ikke minst bør virksomheter vurdere «zero trust»-prinsipper der interne brukere og enheter aldri stoles fullt ut på, slik CrowdStrike påpeker som sentralt . Fokus på cybersikkerhet i samarbeidsformer, for eksempel bransjesamarbeid om trusselinformasjon, kan også hjelpe norske selskaper å redusere risikoen.
Lenke: https://industrialcyber.co/reports/enisa-2025-threat-landscape-report-highlights-eu-faces-escalating-hacktivist-attacks-and-state-aligned-cyber-threats/ (05. november)
Forslag om å vanne ut GDPR og AI-loven skaper usikkerhet
Lekkasjer fra en kommende EU-reformpakke indikerer et ønske om å myke opp deler av GDPR og utsette håndhevelsen av AI-loven, i et forsøk på å styrke konkurranseevnen.
En lekket reformpakke, "Digital Omnibus", forventes lagt frem 19. november. Målet er å "forenkle" og "redusere byråkrati" for å styrke europeisk konkurranseevne mot USA og Kina. Forslagene inkluderer å svekke GDPR, blant annet ved å endre definisjonen av pseudonyme data, noe som kan gjøre mer sporing og profilering lovlig. Det foreslås også å utsette håndhevelsen av AI-loven, spesielt for høyrisiko KI-systemer.
Hva så?:
Dette kan bety at det er en strategisk bekymring i EU, som ser at strenge personvernregler kan være en ulempe i det globale KI-kappløpet. For norske bedrifter som opererer i EU, eller som generelt er bundet av EØS kan dette skape en regulatorisk usikkerhet. På den ene siden kan det bety mindre byråkrati. På den andre siden kan det skape et juridisk vakuum, samtidig som KI-truslene akselererer. Norske bedrifter bør ikke stoppe arbeidet med personvern eller KI-sikkerhet, men følge nøye med på denne debatten.
Lenke: https://www.techpolicy.press/eu-set-the-global-standard-on-privacy-and-ai-now-its-pulling-back (10. november 2025)