Av: Jan Terje Sæterbø, Sikkerhetsleder, F24 Nordics
I løpet av fjoråret så vi en kraftig vekst i både ransomware og ulike former for utpressing. Angrepene var ikke lenger tilfeldige eller bredt spredte – de var målrettet, planlagt og ofte basert på inngående kartlegging av virksomhetene som ble rammet. Mange angrep startet i leverandørkjeden, der svakheter hos en enkelt IT-leverandør kunne få konsekvenser for et helt knippe virksomheter samtidig. Samtidig ble desinformasjon et mer synlig virkemiddel. Når et system falt ned, var det ikke uvanlig at rykter spredte seg på sosiale medier lenge før fakta var kjent, og det skapte usikkerhet både internt og eksternt.
Det mest slående fra 2025 er likevel tempoet. Tiden fra en angriper får fotfeste til konsekvensene merkes, har blitt dramatisk kortere. Mange virksomheter oppdaget at selv gode tekniske løsninger ikke er nok dersom prosessene rundt dem ikke fungerer. Uklare ansvarslinjer, lite trening og manglende beredskap gjorde at hendelser som kunne vært håndtert raskt og kontrollert, i stedet utviklet seg til omfattende kriser.
2026: Angrepene blir smartere – og mer menneskelige
Året vi nå står i, vil trolig bli preget av en enda større grad av automatisering og kunstig intelligens – ikke bare på forsvarssiden, men også hos angriperne. KI gjør det enklere å produsere troverdig phishing, realistiske stemmeopptak og kommunikasjon som er vanskeligere å avsløre som falsk. Sårbarheter i programvare blir skannet og utnyttet nærmest i sanntid, lenge før virksomheten rekker å reagere. I tillegg vil vi se en økning i kombinerte angrep der tekniske hendelser og påvirkningskampanjer skjer parallelt for å skape maksimal forvirring.
Alt dette betyr at det ikke lenger er realistisk å tro at man kan forebygge alle hendelser. Den nye normalen er at digitale hendelser kommer – spørsmålet er når, og hvor godt forberedt man er når de inntreffer. Presset på ledelsen øker også, både i form av forventninger fra omverdenen og gjennom skjerpede krav fra myndigheter.
NIS2 – når sikkerhet blir et ledelsesansvar
NIS2-direktivet gjør 2026 til et år der cybersikkerhet ikke lenger er en IT-oppgave som kan delegeres nedover i organisasjonen. Direktivet stiller tydelige krav til risikostyring, dokumentasjon og hendelsesrapportering, og legger ansvaret direkte på ledelsen. Virksomheter må kunne vise hvordan de vurderer risiko, hvilke prioriteringer som er gjort, og hvordan både interne og eksterne avhengigheter håndteres. Leverandørkjeder blir like viktige som interne systemer.
For å lykkes med dette må virksomheter starte med det grunnleggende: identifisere hvilke tjenester som er kritiske, forstå hvilke avhengigheter som finnes, og gjennomføre en ærlig vurdering av hva som fungerer – og hva som ikke gjør det. Uten tydelig ledelsesforankring stopper arbeidet før det har kommet i gang.
Krisehåndtering og kommunikasjon: den gamle svakheten
Når en hendelse først oppstår, er det fortsatt kommunikasjon og rolleavklaring som skaper størst problemer. Mange virksomheter har gode planer og tekniske løsninger, men mangler et tydelig svar på hvem som faktisk leder når noe skjer, hvem som skal uttale seg, eller hvordan man kommuniserer internt når systemene er nede.
Stillhet skaper spekulasjon, og spekulasjon skaper stress – både hos ansatte, brukere og offentligheten. Å være åpen, tydelig og rask er like viktig som å være korrekt. De organisasjonene som klarer seg best, er de som har øvd regelmessig, som har kommunikasjonsmaler klare, og som har trent på å samarbeide på tvers av avdelinger – også utenfor IT.
Tekniske tiltak alene holder ikke
Selv om tekniske sikkerhetstiltak fortsatt er helt nødvendige, er det ikke nok med gode verktøy. Zero Trust må være en naturlig del av infrastrukturen, alle brukere må ha multifaktorautentisering, og loggføring og overvåkning må være kontinuerlig. Men uten en kultur for sikkerhet vil disse tiltakene ha begrenset effekt.
De fleste sikkerhetshendelser involverer mennesker – både som mål og som ufrivillige medvirkende. En sterk sikkerhetskultur kjennetegnes av tydelige forventninger fra ledelsen, kort og relevant opplæring, og en lav terskel for å melde fra når noe virker unormalt. Det er denne kulturen som gjør at feil blir fanget opp tidlig, og at små hendelser ikke vokser til store kriser.
Et helhetlig sikkerhetsarbeid
Det viktigste steget norske virksomheter kan ta i 2026, er å tenke helhetlig. Risikovurderinger må oppdateres jevnlig, beredskapsplaner må testes og forbedres, og samarbeidet mellom IT, ledelse og fagmiljøer må styrkes. Like viktig er det å ha reelle reserveløsninger for drift – offline-backup, alternative kommunikasjonskanaler, og planer for bortfall av eksterne leverandører.
Cybersikkerhet er ikke en engangsoppgave. Det er en prosess som må vedlikeholdes, testes og videreutvikles kontinuerlig. De virksomhetene som tar dette på alvor, står langt bedre rustet når – ikke hvis – neste hendelse inntreffer.
Jan Terje Sæterbø
Jan Terje Sæterbø er sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder. Han har en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet og en master i kriseledelse og beredskap fra Nord Universitet.
Gratis e-bøker
Synes du det er vanskelig å komme i gang med ROS-analyse og beredskapsplanlegging, eller har du behov for å vite mer om hvordan du skal sikre god beredskap, varsling og krisekommunikasjon?
Våre gratis e-bøker gir deg en rekke gode råd og tips.
