Ukesnytt digital sikkerhet - Uke 49
3. des 2025
Lesetid: 3 min
Denne uken markerer et viktig skifte for digital suverenitet når EUs nye sertifiseringsregime for skytjenester nå trer i kraft. På hjemmebane sender Personvernnemnda et tydelig signal til næringslivet ved å opprettholde gebyret mot Argon Medical Devices. Samtidig viser det tekniske trusselbildet en urovekkende utvikling: ENISA advarer om at 80 % av sosial manipulering nå støttes av AI , og verktøyet "Evilginx" brukes aktivt for å omgå tofaktorautentisering hos norske bedrifter.
EUs nye cybersikkerhetssertifisering for skytejenester trer i kraft
EU-kommisjonen har denne uken iverksatt sertifiseringsregimet for skytjenester (EUCS). Dette setter en ny standard for hvordan skyleverandører må dokumentere sikkerhet for å kunne levere til kritisk infrastruktur i Europa.
Det nye rammeverket, som ble publisert mandag, stiller strenge krav til suverenitet og datakontroll. For det høyeste sikringsnivået ("High") kreves det nå immunitet mot ikke-europeiske lover med ekstraterritoriell virkning (som amerikanske Cloud Act). Dette har skapt umiddelbare reaksjoner fra amerikanske teknologigiganter, som nå må restrukturere sine europeiske leveransemodeller for å kunne konkurrere om kontrakter innen helse, forsvar og offentlig forvaltning. Sertifiseringen er ikke bare en teknisk sjekkliste, men krever organisatorisk skille og drift lokalisert innenfor EØS-området.
Hva så?
Hvis din bedrift leverer tjenester til offentlig sektor eller kritisk infrastruktur, må dere være forberedt på at kunder kan kreve EUCS-sertifiserte leverandører i anbudsprosesser fra Q1 2026.
Lenke: https://digital-strategy.ec.europa.eu/en/news/first-eu-wide-cybersecurity-certification-scheme-make-european-digital-space-safer (Publisert: 01.12.2025)
Personvernnemnda opprettholder gebyr mot Argon Medical Devices
Personvernnemnda i Norge har denne uken konkludert i saken mot Argon Medical Devices, og opprettholder Datatilsynets vedtak om overtredelsesgebyr. Dette markerer slutten på en lang klageprosess og stadfester Datatilsynets myndighet.
Saken omhandler Argon Medical Devices' behandling av personopplysninger og deres etterlevelse av GDPR. Etter at Datatilsynet opprinnelig vedtok et gebyr i 2023, klaget selskapet avgjørelsen inn for Personvernnemnda. Den 1. desember 2025 kom den endelige avgjørelsen: Vedtaket er gyldig. Saken er prinsipielt viktig fordi den bekrefter at norske tilsynsmyndigheter har ryggdekning for strengere sanksjoner når virksomheter ikke kan dokumentere tilstrekkelig internkontroll eller rettslig grunnlag for behandling av data. Avgjørelsen sender et tydelig signal til internasjonale aktører som opererer i Norge om at norske personvernregler skal følges til punkt og prikke, uavhengig av selskapsstruktur.
Hva så?
For norske virksomheter, og spesielt de som opererer innen helseteknologi eller har internasjonale eierstrukturer, er dette en påminnelse om risikoen ved manglende compliance. Det holder ikke å ha retningslinjene i en skuff; de må etterleves. Sjekk deres egne rutiner for avvikshåndtering og sørg for at dokumentasjonen er vanntett før et eventuelt tilsyn. En tapt klagesak i Personvernnemnda betyr ikke bare en økonomisk smell, men også en betydelig omdømmerisiko.
Lenke: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2025/personvernnemnda-opprettholder-overtredelsesgebyr-til-argon-medical-devices/ (Publisert: 01.12.2025)
ENISAs trusselvurdering for 2025
Det europeiske cybersikkerhetsbyrået ENISA har sluppet nye data som viser hvordan trusselbildet har utviklet seg i 2025. Rapporten peker spesielt på hvordan kunstig intelligens (AI) nå brukes effektivt i phishing og sosial manipulasjon.
I sin oppdaterte trusselvurdering fremhever ENISA at angripere nå utnytter "misbruk av AI" som en av de fremste nye truslene. Hele 80 % av observerte hendelser knyttet til sosial manipulering i starten av 2025 hadde elementer av AI-støtte, for eksempel ved generering av feilfri tekst til phishing-eposter eller deepfake-lyd. Rapporten viser også at selv om antallet løsepengevirus-angrep (ransomware) har stabilisert seg noe, er de angrepene som gjennomføres langt mer målrettede og skadelige mot kritiske sektorer som helse og finans. Det tradisjonelle skillet mellom "sikre" og "usikre" soner viskes ut når angriperne bruker AI til å etterligne toppledere eller kolleger.
Hva så?
Norske bedrifter må oppdatere opplæringen av ansatte til å omfatte AI-trusler. Vurder å innføre rutiner for verifisering av betalinger og sensitive forespørsler som går utenom digitale kanaler.
Lenke: https://www.purevpn.com/white-label/the-2025-enisa-threat-landscape/ (Publisert: 02.12.2025)
"Evilginx" brukes aktivt for å omgå tofaktorautentisering
Nye rapporter viser en oppblussing i bruken av verktøyet "Evilginx" blant cyberkriminelle. Verktøyet er designet spesifikt for å stjele sesjonskapsler (cookies) og dermed omgå tofaktorautentisering (MFA).
Evilginx fungerer som en "man-in-the-middle"-proxy (AiTM). Når et offer klikker på en phishing-lenke, sendes de til en side som ser ekte ut, men som faktisk kontrolleres av angriperen. Angriperen sender trafikken videre til den ekte tjenesten (f.eks. Microsoft 365). Når brukeren logger inn og godkjenner med MFA, stjeler Evilginx den ferdige innloggingstokenet (cookie). Dette gir angriperen tilgang til kontoen uten å trenge passordet eller MFA-koden på nytt. Rapporter fra 2. desember indikerer at hackere nå bruker dette verktøyet i stor skala for å ta over skykontoer.
I løpet av det siste året har NSR varslet nær 1400 norske bedrifter om at de har blitt utsatt for slike AiTM-angrep.
Hva så?
MFA er ikke lenger tilstrekkelig for å holde kontoen trygg. Bedrifter må vurdere å gå over til FIDO2-baserte fysiske sikkerhetsnøkler eller Passkey autentisering som er resistente mot slik phishing. Det er også viktig å overvåke innlogginger for mistenkelige IP-adresser eller geografiske hopp, selv om MFA er godkjent.
Lenke: https://cybersecuritynews.com/hackers-leverage-evilginx/ (Publisert: 02.12.2025)