Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 50

10. des 2025
Lesetid: 4 min

Denne uken ser vi at Riksadvokaten slår fast at cyberkriminalitet ikke etterforskes godt nok, noe som betyr at bedrifter i større grad må basere seg på egen evne til å sikre digitale spor og håndtere hendelser. Behovet for rask respons understrekes ytterligere av en kritisk sårbarhet i React, som allerede er under aktivt angrep knappe døgnet etter at feilen ble kjent. Samtidig ser vi konsekvensene av sårbare leverandørkjeder, der et angrep mot en programvareleverandør har ført til at norske kommuner har fått sensitive beredskapsplaner på avveie.

Riksadvokaten: «Cyberkriminalitet blir ikke etterforsket godt nok»

Riksadvokaten retter kritikk etter gjennomgang av politiets håndtering av cyberkriminalitet. Flere alvorlige saker prioriteres ikke og kompetansen på digitale spor er mangelfull.

Riksadvokatens nasjonale gjennomgang (Cyberundersøkelsen 2024) konkluderer med at svært mange cyberhendelser, inkludert saker mot samfunnskritiske aktører, enten henlegges eller ikke får tilstrekkelig etterforskning. Rapporten peker på manglende ressurser, utilstrekkelig kompetanse i digitale spor og svikt i prioriteringsrutiner. Rapporten og mediedekningen ble publisert 8. desember 2025, og anbefaler både kortsiktige tiltak for å følge riksadvokatens føringer og langsiktig kapasitetssatsing.

Hva så?

Norske bedrifter må anta at politiets evne til å etterforske raskt og grundig fortsatt er begrenset for mange typer cyberhendelser. Det betyr økt ansvar på virksomhetsnivå: solid logging, egen evne til å sikre digitale spor, hurtig intern hendelseshåndtering og kontraktsfestet krav til leverandør-støtte ved etterforskning.

Lenke: https://www.tu.no/artikler/riksadvokaten-cyberkriminalitet-blir-ikke-etterforsket-godt-nok-av-politiet/565700 (Publisert 8. desember 2025)

Kritisk feil i React rammer moderne webapplikasjoner

En alvorlig sårbarhet (CVE-2025-55182) er oppdaget i React, et av verdens mest brukte JavaScript-biblioteker. Feilen kan tillate fjernkjøring av kode på servere som kjører webapplikasjoner bygget med React.

Sårbarheten ligger spesifikt i Reacts "Server Components"-funksjonalitet, som er en relativt ny og mye brukt metode for å bygge raske og effektive webapplikasjoner. Feilen, som har fått en høy alvorlighetsgrad, tillater angripere å utføre en «Remote Code Execution» (RCE) på applikasjonsserveren. Dette betyr at en ondsinnet bruker potensielt kan kjøre vilkårlig kode på serveren, noe som kan føre til full overtakelse av systemet. Cisco og andre teknologipartnere har gått ut med advarsler, da dette treffer et bredt spekter av moderne nettsider og applikasjoner, fra store e-handelsplattformer til interne dashbord-løsninger. Dette understreker at til og med de mest populære og pålitelige utviklerverktøyene kan inneholde alvorlige sårbarheter.

Hva så?

Dette treffer utviklingsmiljøene i Norge midt i hjertet, da React er standarden for frontend-utvikling. Mange norske selskaper har digitalisert tjenestene sine ved hjelp av nettopp dette rammeverket. Utviklere må umiddelbart verifisere om deres implementasjon av "Server Components" er sårbar, og i så fall sørge for en rask oppgradering av rammeverket. En midlertidig løsning kan være å deaktivere denne funksjonaliteten. Dette er en påminnelse om at applikasjonssikkerhet krever kontinuerlig overvåking av tredjepartsbiblioteker, ikke bare koden man skriver selv.

Lenke: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-react-flight-TYw32Ddb (Publisert: 04.desember 2025)

CISA bekrefter angrep mot React-servere

Bare én dag etter at sårbarheten i React ble offentliggjort, la CISA den til i sin KEV-katalog, noe som bekrefter at trusselaktører allerede utnytter feilen aktivt mot webservere.

Trusselbildet endrer seg stadig raskere, og denne saken er et godt eksempel på det. Etter at den kritiske RCE-sårbarheten i React ble kjent (se sak over), gikk CISA raskt ut med en ny advarsel den 5. desember. Ved å inkludere React-feilen (CVE-2025-55182) i listen over kjente, utnyttede sårbarheter, melder CISA at angrepene ikke er teoretiske men at de blir aktivt utnyttet. Det betyr at trusselgrupper nå aktivt skanner internett for sårbare React-servere for å identifisere systemer som kan angripes. Dette korte tidsvinduet mellom offentliggjøring og aktiv utnyttelse er nå normen, ikke unntaket, og det stiller enorme krav til virksomheters evne til rask respons.

Hva så?

Når en sårbarhet går fra å være teknisk dokumentert til å være "under aktivt angrep" på under 48 timer, viser det hvor akselerert trusselbildet er. Norske virksomheter med eksponerte webløsninger, spesielt de som har høy trafikkomfang, må anta at de blir skannet for denne feilen nå. Det er nå svært viktig å planlegge og iverksette oppdateringene umiddelbart.

Lenke: https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog (Publisert: 05.desember 2025)

Dataangrep rammer norske kommuner via leverandør

Innbruddet hos programvareleverandøren Extend AS har ført til et alvorlig sikkerhetbrudd i leverandørkjeden, og resultatet er at sensitiv informasjon fra norske kommuner som Drammen og Ringsaker nå kan være på avveie.

Angrepet mot Extend AS, en sentral leverandør av fagsystemer til norsk offentlig sektor, ble utført med løsepengevirus. Selv om kommunene foreløpig har rapportert at personsensitive data i stor grad er skånet, er omfanget likevel alvorlig. Det er bekreftet at interne beredskapsplaner, avviksmeldinger og sårbarhetsanalyser er blant dokumentene trusselaktørene har fått tilgang til. Dette representerer et betydelig sikkerhetsbrudd, da angriperne nå kan sitte på et detaljert kart over kommunenes digitale og fysiske svakheter. Saken understreker den skjulte sårbarheten som ligger i tredjepartsleverandører, spesielt for små og mellomstore virksomheter (SMB) som ofte ikke har samme robuste sikkerhetsbudsjett som de store aktørene. Videre er det urovekkende at beredskapsinformasjon har blitt kompromittert, da dette kan lamme kommunale tjenester ved fremtidige hendelser.

Hva så?

Dette er en klassisk leverandørkjede-hendelse. Norske bedrifter, spesielt de som leverer kritiske tjenester, må innse at deres sikkerhet er direkte avhengig av underleverandørenes digitale sikkerhet. Lekkasje av detaljerte beredskapsplaner kan gi ondsinnede aktører oppskriften på hvordan de skal maksimere skade og lamme kommunale tjenester i fremtiden. Norske bedrifter bør gjennomgå sine beredskapsplaner og sin styring av IKT-leverandørrisiko. En slik styring omfatter blant annet at bedriften må gjennomføre en risikovurdering av alle kritiske tredjeparter og kreve innsyn i deres sikkerhetsrutiner og loggføring. Dette handler om å flytte fokuset fra bare egen sikkerhet til hele verdikjeden. NSR har utarbeidet en veileder for styring av IKT-leverandørrisiko, basert på kravene i NIS2.

Lenke: https://www.tv2.no/direkte/jpybz/siste-nytt/686c1e62d287a66e404c997c/flere-kommuner-rammet-av-dataangrep (Publisert: 04.desember 2025)

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk