Statlige aktører og kriminelle nettverk angriper kritisk infrastruktur med økende presisjon og hastighet. AI gjør angriperne raskere, billigere og vanskeligere å oppdage. For norske virksomheter innen energi, maritim sektor og offentlig tjenesteyting er dette ikke et fremtidsscenario – det er dagens trusselbilde.
Norges rolle i NATO, vår digitaliserte økonomi og vår posisjon som energileverandør til Europa gjør oss til et prioritert mål for både statlig etterretning og kriminelle aktører. NSM har gjentatte ganger advart om at norske virksomheter er utsatt for vedvarende, avanserte angrep, såkalte APT-er (Advanced Persistent Threats), der angriperne kan ligge skjult i systemene i måneder før de slår til.
AI forsterker disse angrepene på tre måter:
.
Digitaliseringssikkerhetsloven (DSL), som trådte i kraft 1. oktober 2025, skjerper kravene til risikovurdering, hendelseshåndtering og samarbeid for norske virksomheter. Det kommende NIS2-direktivet, forventet innlemmet i norsk lov i 2026, vil utvide disse kravene til flere sektorer og innføre betydelige sanksjoner ved manglende etterlevelse.
Men lovverket beskriver minimumskrav, ikke tilstrekkelig beskyttelse. Virksomheter som kun sikter mot etterlevelse, er allerede på etterskudd i møte med et trusselbilde som utvikler seg raskere enn regelverket.
Still deg selv disse spørsmålene:
1. Leverandørkjeder er din største blindsone
De mest alvorlige angrepene de senere år har ikke gått rett på målet, de har gått gjennom leverandører og underleverandører med svakere sikkerhet. For norske virksomheter i olje, gass og teknologi er dette særlig kritisk. Strenge sikkerhetskrav til leverandører, løpende overvåking og jevnlig oppfølging er ikke lenger valgfritt, det er en forutsetning for å kunne stole på egen infrastruktur.
2. Mennesket er et attraktivt angrepsmål
AI-genererte phishingangrep er i dag så overbevisende at tekniske hjelpemidler, ikke bare opplæring, er nødvendig for å fange dem. Samtidig er psykologisk trygghet rundt rapportering – at ansatte faktisk melder fra om mistenkelige hendelser uten frykt for konsekvenser – det som skiller virksomheter med god sikkerhetskultur fra dem uten. Simuleringsfrekvens og rapporteringskultur er målbare indikatorer ledelsen bør følge.
3. Sanntidsvarsling og samarbeid er ikke teknisk luksus
Dynamiske trusler krever dynamisk forsvar. Tilknytning til NSMs varslingssystemer og deling av trusselinformasjon med relevante sikkerhetspartnere gir norske virksomheter mulighet til å handle på nye angrepsmønstre før de når egne systemer. Dette er ikke et IT-spørsmål, det er et strategisk valg om hvor raskt virksomheten kan respondere på en krise.
I mai 2024 ble sensitive resept- og helseopplysninger for nesten 13 millioner pasienter eksponert etter et angrep mot en australsk e-reseptleverandør. Angriperne kom inn via et system som håndterte kritisk helseinfrastruktur, ikke gjennom en åpenbar sårbarhet, men gjennom et tillit man ikke hadde verifisert. Lignende scenarier er fullt mulige i norsk helsesektor, og løsepengeangrep mot nordiske virksomheter som Norrmejerier og Umeå Universitet viser at ingen sektor er immun.
Felles for disse hendelsene er at gjenoppretting var kostbart, tidkrevende og omdømmemessig skadelig – og at beredskapsplanene i mange tilfeller ikke var testet under realistiske forhold.
Leverandørkjeder, særlig innen olje, gass og teknologi, utgjør et sårbart punkt. Strenge krav til sikkerhet hos leverandører, overvåking og regelmessig oppfølging er nødvendig for å redusere risikoen.
Cybersikkerhet kan ikke delegeres fullt ut til IT-avdelingen. Styret og toppledelsen må eie risikobildet, sette ambisjonsnivå og sikre at investeringer i deteksjon, respons og kompetanse holder tritt med trusselen. Det handler ikke bare om teknologi – det handler om hvilken risiko virksomheten er villig til å akseptere, og om man har kapasitet til å håndtere det verste når det skjer.
AI endrer ikke bare hvordan angriperne opererer, det endrer også hva som er mulig å forsvare seg med. Automatiserte angrep mot kritisk infrastruktur kan i dag skje i et tempo og en skala som gjør manuell respons utilstrekkelig. Kraftnett, vannforsyning og digitale styringssystemer i industrien er alle sektorer der et vellykket angrep kan få umiddelbare fysiske konsekvenser, ikke bare datatap. Samtidig åpner AI for forsvarssiden: systemer som kontinuerlig overvåker trafikkmønstre, oppdager avvik og varsler før skaden er skjedd. Forskjellen mellom virksomheter som overlever et angrep og de som ikke gjør det, vil i økende grad handle om hvor raskt de oppdager det, og det avgjøres av om man har investert i riktig teknologi i forkant.
Virksomheter som lykkes fremover er ikke nødvendigvis de med flest sikkerhetsverktøy. Det er de som har bygget en kultur der sikkerhet er alles ansvar, der ledelsen stiller de riktige spørsmålene – og der man øver på kriser før de inntreffer.