Trusselbildet i januar: Brukeren under angrep

Vi har sett en vesentlig økning i aktivitet i årets første måned. Det er et markant skifte der tekniske barrierer omgås ved å manipulere sluttbrukeren, samtidig som det geopolitiske bildet skaper nye dilemmaer for valg av sky blant norske virksomheter.

Mennesket som inngangsport

Den tydeligste trenden i januar er at angriperne går direkte på menneskene for å omgå teknisk sikkerhet. Det er flere metodikker som brukes:

• ClickFix: Brukere lures til å utføre ondsinnede kommandoer selv, ofte ved at de presenteres for falske systemfeilmeldinger eller en falsk «Blue Screen of Death» i nettleseren. Ved å få brukeren til å fikse problemet manuelt, omgås mange tradisjonelle tekniske forsvarsverk.
• Kalender-spam: Phishing leveres stadig oftere gjennom legitime e-posttjenester og kalenderinvitasjoner. Dette er effektivt fordi ondsinnede lenker blir liggende synlige i kalenderen selv om selve e-posten stoppes av et spamfilter.
• Infostealere og «OpenClaw»-kampanjen: Vi ser en bølge av ondsinnede nettleserutvidelser maskert som AI-assistenter.

Sikkerhetstrender

Thomas Havdal Rydland er leder for etterretning i Advania Cyber Defence Center. Han rapporterer månedlig til Computerworld om hva som beveger seg på sikkerhetsfronten for norske virksomheter. 

Hva er Cloud Act?

Mange tror feilaktig at så lenge dataene står på en server i Norge (f.eks. i datasentre i Oslo eller Stavanger), så er de beskyttet mot utenlandsk innsyn. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) endrer dette bildet totalt:

• Jurisdiksjon over selskaper, ikke geografi: Loven gir amerikanske myndigheter rett til å kreve utlevert data fra selskaper underlagt amerikansk jurisdiksjon (som Microsoft, Google og AWS). Dette er uavhengig av hvor i verden dataene fysisk er lagret.
• Kollisjon med GDPR: Dette skaper en direkte konflikt med EUs personvernforordning. Mens GDPR krever at europeiske data skal beskyttes, pålegger CLOUD Act amerikanske selskaper å utlevere dem hvis de får en rettslig ordre.
• «Digital utlevering»: For en norsk virksomhet betyr dette at sensitive data i praksis kan havne i hendene på amerikansk politi eller etterretning uten at norske myndigheter nødvendigvis blir involvert eller varslet.

Et alvorlig eksempel er OpenClaw, som lover avansert AI-funksjonalitet, men i realiteten stjeler sesjonskapsler for å utføre sesjonskapring. Denne teknikken lar angripere overta kontoer direkte uten å måtte omgå MFA, noe som gjør det til en av de mest effektive angrepsmetodene i 2026.

Infrastruktur under press

Selv om brukeren er et hovedmål, er angrep mot nettverksinfrastruktur fortsatt en betydelig risiko.

• Kritisk sårbarhet: Kripos og sikkerhetsmiljøene varsler om aktive angrep mot eksponerte SonicWall SSL VPN-løsninger. Dette gir angripere en inngangsport for løsepengevirus og datatyveri.
• Null dager: Tiden fra en sårbarhet blir kjent til den utnyttes i stor skala er nå nærmest eliminert. Angriperne opererer i sanntid, noe som setter enorme krav til rask patching.

Geopolitikk: Det store bildet treffer lokalt

Dagens situasjon tegner et bilde av en verden preget av digital fragmentering, noe som påvirker både sikkerhet og compliance for norske bedrifter.

• Russland: Sabotasje som strategisk verktøy Vi ser et vedvarende trykk mot europeiske nervepunkter, særlig innen energi og logistikk. Sabotasjeaksjonen mot det polske strømnettet i desember 2025, rettet mot vindparker og varmekraftverk, markerte et taktskifte.
• Kina i Arktis: Kina utvider sin “Digital Silk Road” til Arktis, blant annet gjennom satellittstasjoner på Svalbard. Dette er infrastruktur med potensial for militær etterretning, og vi ser en strategisk tilnærming mellom Kina og Russland for å omgå vestlig jurisdiksjon.
• Digital suverenitet som balansekunst: Forholdet mellom amerikansk teknologi (CLOUD Act) og europeisk regelverk (GDPR) tvinger frem nye valg. I 2026 handler det ikke om å velge bort skyen, men om å eie premissene for bruken.

Ved å kombinere moderne kryptering med hybride arkitekturvalg, kan norske virksomheter utnytte seg av den globale innovasjonskraften uten å miste kontrollen over sine “kronjuveler”.

Hva burde du tenke på videre?

Basert på dagens trusselbilde og gjeldende anbefalinger fra nasjonale og internasjonale sikkerhetsmyndigheter, anbefaler vi som jobber med cybersikkerhet følgende tiltak:

• Beskytt identiteten mot sesjonskapring: Siden verktøy som OpenClaw stjeler ferdig påloggede sesjoner, er ikke vanlig tofaktor (SMS/app) nok for kritiske brukere lenger. Innfør phishing-resistente sikkerhetsnøkler (f.eks. FIDO2) for ansatte med tilgang til sensitive data. Dette er det eneste tiltaket som effektivt stopper angrep som baserer seg på tyveri av sesjonskapsler.
• Ta kontroll over nettleseren: Mange av dagens angrep skjer via ondsinnede utvidelser. Virksomheter bør innføre sentrale regler for hvilke nettleserutvidelser som er tillatt. En “hviteliste”-tilnærming hindrer ansatte i å installere verktøy som OpenClaw, selv om de blir lurt av aggressiv markedsføring i sosiale medier.
• Rydd i den digitale yttergrensen: Sårbarheter i VPN-løsninger og brannmurer er fortsatt “hovedveien” inn for profesjonelle aktører. Sørg for at alt utstyr mot internett er innenfor støttet livssyklus.
• Dataklassifisering: Vit hva som er kritiske data. Dette gjør det mulig å velge trygge hybride løsninger der det trengs, mens resten kan ligge i skyen.
• Test gjenopprettingsevnen: Bruk lagring som ikke kan slettes av angripere, og gjennomfør tester på hvor raskt dere kan være tilbake i drift etter et angrep.