Den 7. april 2025 satte en gruppe russiske hackere seg inn i styringssystemet til en norsk demning i Bremanger kommune i Vestland og åpnet en flomport til full kapasitet. I fire timer rant 500 liter vann per sekund ukontrollert nedstrøms, totalt 7,2 millioner liter, før operatørene oppdaget inntrengeringen og gjenopprettet kontrollen. Ingen ble skadet. Men hendelsen avdekket noe langt mer alvorlig enn en enkelt feil: et usikret kontrollpanel koblet direkte til internett, beskyttet av ett svakt passord.
Seks måneder senere, i august 2025, sto Beate Gangaas, sjef for Politiets sikkerhetstjeneste (PST), offentlig frem og pekte finger mot Russland. Det var første gang norske myndigheter formelt tilskrev et cyberangrep på norsk kritisk infrastruktur til sin østlige nabo. Hendelsen ved Bremanger er nå et ankerpunkt i en bredere debatt om Norges sårbarhet mot statsstøttet sabotasje og spionasje, og om hva som faktisk skiller en nesten-ulykke fra en katastrofe.
Hendelsesforløpet: Natt til 7. april 2025
Tidlig om morgenen den 7. april 2025 fikk hackere tilgang til styringspanelet for en ventil ved Risevatnet-demningen i Bremanger, vest i Norge. Demningen eies og driftes av det lokale selskapet Breivika Eiendom. Angriperne brukte det internetteksponerte HMI-grensesnittet (Human-Machine Interface) til å sette avløpsventilen til 100 prosent åpen, langt over den påkrevde minimumsstrøm.
Resultatet: 497 liter per sekund ekstra vannmasse ble sluppet ut over det som var normalt tillatt minimum. Innen angrepet ble oppdaget og stoppet, hadde omtrent 7,2 millioner liter vann forlatt reservoaret. Demningens flomkapasitet er beregnet til rundt 20 000 liter per sekund, slik at utslippet ikke ble ansett som en akutt flomsituasjon. Men Bjarte Steinhovden, teknisk sjef i Breivika Eiendom, innrømmet overfor norske medier at et svakt passord sannsynligvis var det eneste som skilte hackerne fra full kontroll over anlegget. «Et svakt passord har sannsynligvis gjort det mulig for inntrengerne å få tilgang til systemet», uttalte Steinhovden kort etter hendelsen.
NSM (Nasjonal sikkerhetsmyndighet) og NVE (Norges vassdrags- og energidirektorat) ble varslet 10. april 2025, tre dager etter selve angrepet. Saken ble overlevert Kripos, den nasjonale kriminaletterretningsenheten, for etterforskning.
Den tekniske angrepsvektoren: HMI på åpent nett
Angrepet på Bremanger-demningen trengte ingen avansert skadevare, ingen nulldagssårbarhet og ingen sofistikert spionprogramvare. Det trengte bare en nettleser og ett svakt passord.
Breivika Eiendoms kontrollpanel for demningsventilene var koblet direkte til internett via et web-tilgjengelig HMI-system. Slike grensesnitt er vanlige i vannkraft, kraftnett og industri. De er designet for fjernovervåking, men representerer en alvorlig sikkerhetsrisiko når de eksponeres uten nettverkssegmentering, flerfaktorautentisering eller sterke passordkrav.
Sikkerhetsselskapet Claroty, som analyserte hendelsen i detalj, konkluderte: «Angriperne kompromitterte et svakt passord og klarte å manipulere ventilene ved Risevatnet-demningen, og åpnet dem til full kapasitet. Angrepet forble uoppdaget i fire timer, men forårsaket ingen fysisk skade eller fare for offentlig sikkerhet.» Claroty pekte spesielt på den initial tilgangsvektoren: et web-tilgjengelig kontrollpanel som administrerte ventilens minimumsstrøm, eksponert uten hensiktsmessig nettverksisolering.
Hackergruppen som trolig sto bak, Z-PENTEST, publiserte til og med en video på Telegram der de demonstrerte tilgangen de hadde til kontrollpanelet. Det er en klassisk taktikk for hacktivistgrupper som ønsker oppmerksomhet og som ønsker å sende et signal snarere enn å forårsake katastrofal skade.
Z-PENTEST: Den russiske gruppen bak angrepet
Z-PENTEST er en pro-russisk hacktivistgruppe med spesiell interesse for industrielle kontrollsystemer (ICS). Gruppen er kjent for å dokumentere og dele angrep på OT-infrastruktur via Telegram, og har tidligere rettet seg mot vannforsyning, kraftanlegg og produksjonsfasiliteter i vestlige land.
Gruppen regnes ikke som en tradisjonell statlig APT-gruppe (Advanced Persistent Threat) som Sandworm eller APT28, men opererer med tydelig pro-russisk agenda og deler mål med Kremls bredere strategi om å destabilisere vestlig infrastruktur og skape usikkerhet i befolkningen. Norske etterretningstjenester beskrev hendelsen som et eksempel på såkalt «proxy-sabotasje»: angrep utført av hacktivistgrupper som virker i tråd med statens interesser uten direkte statlig kommando.
Radiflow, et selskap spesialisert på ICS-sikkerhet, beskrev angrepet som et kritisk varselskudd: «Angriperne hadde faktisk sanntidskontroll over fysiske prosesser, og sikkerheten berodde på ren flaks og at operatørene oppdaget dem i tide. Angrepet viste at Bremanger ikke var et mål for avansert spionasje, men for demonstrasjon av kapabilitet og evne til frykt.»
PST-sjef Gangaas: Russland formelt utpekt i august 2025
Den 13. august 2025 holdt Beate Gangaas, sjef for PST, et foredrag der hun for første gang offentlig la skylden for Bremanger-angrepet på russiske hackere. Det var en historisk erklæring: Oslo hadde aldri tidligere formelt tilskrevet et cyberangrep på norsk infrastruktur til Russland.
«Hensikten med denne typen operasjoner er å påvirke og skape frykt og kaos i befolkningen», sa Gangaas ifølge Reuters. Hun beskrev angrepet på Bremanger som ett eksempel i et bredere mønster av økt aktivitet fra pro-russiske cybergrupper det siste året, og sa den offentlige attribusjonen var ment som en advarsel til allmennheten og som en avskrekkende faktor mot fremtidige russiske anslag.
Den russiske ambassaden i Oslo avviste anklagene umiddelbart. «Det er åpenbart at PST sliter med å bekrefte den konstruerte trusselen om russisk sabotasje mot norsk infrastruktur, som de diktet opp i sin februarrapport», het det i en uttalelse til Reuters. Gangaas sto fast ved attribusjonen og la til at hun bevisst valgte å gå ut offentlig for å sende et avskrekningssignal til statlige og proxy-aktører som vurderer fremtidige operasjoner mot norsk infrastruktur.
Tidslinje: Fra angrep til offentlig avsløring
| Dato | Hendelse | Nøkkeldetalj |
|---|---|---|
| 7. april 2025 | Angrep på Risevatnet-demningen i Bremanger | Ventil åpnet til 100%, 497 l/s over minimum i 4 timer |
| 7. april 2025 | Breivika Eiendom oppdager bruddet | Operatører gjenoppretter manuell kontroll |
| 10. april 2025 | NSM og NVE varsles om hendelsen | Kripos overtar etterforskning |
| April 2025 | Z-PENTEST publiserer Telegram-video | Gruppen viser tilgang til HMI-systemet offentlig |
| 13. august 2025 | PST-sjef Beate Gangaas peker på Russland | Første offisielle norske attribusjon mot Russland |
| August 2025 | Russisk ambassade avviser anklagene | Kaller PSTs uttalelse «grunnløs og politisk motivert» |
| Oktober 2025 | Digital sikkerhetsloven trer i kraft | Nye IKT-sikkerhetskrav for kritisk infrastruktur |
| Februar 2026 | PST bekrefter Salt Typhoon-brudd i norsk telekom | NSM utsteder overvåkingsdirektiver til berørte selskaper |
Det bredere trusselbildet: Salt Typhoon, APT28 og nordisk energi
Bremanger-angrepet er ikke en isolert hendelse. Det er ett datapunkt i et mønster av statslinket cyberaktivitet mot Norge og Norden som har eskalert siden 2024.
I februar 2026 bekreftet PST at den kinesiske trusselgruppen Salt Typhoon hadde kompromittert norsk telekommunikasjonsinfrastruktur for å avlytte regjeringskommunikasjon og forsvarsdata. NSM utstedte umiddelbart overvåkingsdirektiver til berørte selskaper. Hendelsen understrekte at den statsstøttede cybertrusselen mot Norge ikke bare kommer fra Russland, men fra et bredt spekter av trusselaktører med motstridende interesser.
APT28, den russiske militære etterretningens cyberenhet under GRU, rettet seg i 2025 mot norske logistikkoperatører med e-post-spearphishing. Angrepene bidro til å presse antall løsepengevirusangrep i maritim sektor til 72 hendelser, noe som fikk NORMA Cyber til å innføre krav om EDR (Endpoint Detection and Response) på fartøynivå innen 2027.
PSTs nasjonale trusselvurdering for 2026, publisert i februar 2026, er krystallklar: «Russisk etterretning kan se fordelen av å gjennomføre sabotasjeoperasjoner mot mål i Norge i 2026.» Rapporten beskriver cybertrusler fra Russland, Kina, Iran og Nord-Korea, og fastslår at «Norge nå møter sin alvorligste sikkerhetssituasjon siden andre verdenskrig».
Petroleumssektoren beskrives konsistent av NSM, PST og NIS (Etterretningstjenesten) som den mest utsatte. Sektoren er sterkt digitalisert, med komplekse forsyningskjeder som strekker seg over havbunnen til Europas gassforbrukere. «Sårbarhetene knyttet til undersjøisk infrastruktur, kombinert med Russlands investeringer i evne til å sabotere slik infrastruktur, preger trusselbildet for sektoren», het det i den felles trusselvurderingen fra NSM, PST og NIS i 2025.
Nordisk finanssektor: Høy, men stabil trussel
NFCERT (Nordic Financial CERT) beskrev i sin Cyber Threat Landscape-rapport for 2025 trusselbildet mot nordisk finanssektor som «høyt, men stabilt». Organiserte kriminalitetsgrupper (OCG) utgjør den primære og mest alvorlige trusselen, med stadig mer sofistikerte og koordinerte løsepengevirusangrep. Nasjonsstataktører er forberedt på å bruke forsyningskjedekompromisser som inngangsvektor for cyberspionasje, selv om finanssektoren sjelden er det direkte primærmålet. Trusselbildet for den nordiske finanssektoren inkluderer også hacktivister med hendelsesdrevet målvalg, der den geopolitiske situasjonen i Europa setter rammene.
Digital sikkerhetsloven 2025: Norges lovfestede forsvarslinje
I oktober 2025 trådte Norges nye digital sikkerhetslov i kraft. Loven innfører skjerpede IKT-sikkerhetskrav for kritisk infrastruktur og stiller krav om revisjoner, risikovurderinger og insidenthåndtering etter NSMs retningslinjer.
Loven kom ikke som et direkte svar på Bremanger, men angrepet ga politisk tyngde til et lovverk som allerede var under utarbeidelse. Virksomheter innen energi, vann, transport og helse er nå pålagt å rapportere alvorlige cyberhendelser til NSM innen 72 timer, og å gjennomføre jevnlige penetrasjonstester av kritiske systemer.
Norges cybersikkerhetsmarked har respondert tilsvarende. Ifølge Mordor Intelligence hadde markedet en størrelse på 261,52 millioner USD i 2025 og forventes å nå 283,53 millioner USD i 2026, med en sammensatt årlig vekstrate (CAGR) på 8,51 prosent frem til 2031. Overgangen til sky, modernisering av arktisk og offshore energiinfrastruktur, og den digitale sikkerhetslovens krav om samsvar driver investeringene oppover.
Men kompetansegapet er kritisk. Norge mangler anslått 3 500 cybersikkerhetsspesialister innen 2030, og landets universiteter utdannet under 400 spesialister i 2025. Det er et strukturelt problem som ingen lov løser raskt nok. Den digitale sikkerhetslovens krav om samsvar kan paradoksalt nok forsterke gapet: bedrifter som ansetter for å oppfylle lovkravene konkurrerer om den samme lille talentbasen.
Sektorsammenligning: Norsk kritisk infrastruktur og sikkerhetsstatus
| Sektor | Kjent trussel (2025-2026) | Viktigste sårbarhet | Status etter Digital sikkerhetsloven |
|---|---|---|---|
| Vannkraft og demninger | Z-PENTEST og pro-russiske hacktivister | Web-eksponerte HMI, svake passord | Revisjonskrav innført, implementering varierer |
| Petroleum og olje og gass | Russisk sabotasjerisiko, forsyningskjedeangrep | Undersjøisk infrastruktur, leverandørkjede | NSM krever vedvarende forhøyet beredskap |
| Telekommunikasjon | Salt Typhoon (Kina), bekreftet februar 2026 | Avlytting av regjeringskommunikasjon | NSM-overvåkingsdirektiver utstedt |
| Maritim og shipping | APT28 (Russland), 72 løsepengevirusangrep i 2025 | E-postspearphishing, manglende EDR | NORMA Cyber: EDR på fartøynivå innen 2027 |
| Finanssektoren | Organisert kriminalitet, hacktivister | Tredjeparts forsyningskjede, MFA-bypass | NFCERT: Høy, men stabil trussel |
Hva Bremanger betyr for OT-sikkerhet globalt
Bremanger-hendelsen er blitt et lærebokeksempel i OT-sikkerhetsmiljøet fordi den er sjelden: et dokumentert, bekreftet og offentlig attribuert angrep på et fysisk kontrollsystem, der angriperne faktisk oppnådde prosessmanipulasjon. De fleste ICS-angrep forblir enten uoppdaget, urapportert eller klassifisert.
OT-sikkerhetsekspert Fred Gordy, som analyserte hendelsen for Claroty, trakk frem den grunnleggende lærdommen: «Dette var ikke et angrep som krevde avanserte verktøy eller nulldagssårbarheter. Det krevde bare internettilgang og ett svakt passord. Det er akkurat den typen eksponering som gjør OT-systemer til lavthengende mål for trusselaktører med minimale ressurser.»
ON2IT, et sikkerhetsfirma med bred OT-erfaring, pekte i sin analyse på det som er det egentlige problemet: ikke selve angrepet, men de fire timene det tok å oppdage det. «Angriperne utnyttet eksponert tilgang og svake kontroller snarere enn avanserte utnyttelser eller skadevare. Men de fire timene som gikk før operatørene gjenkjente manipulasjonen, er det som virkelig bør bekymre oss», konkluderte ON2IT.
For norske vannkraftoperatører, som kontrollerer rundt 88 prosent av Norges strømproduksjon, er meldingen klar: internetteksponerte kontrollsystemer med enkle passord er ikke lenger akseptabelt. NSM anbefaler nå spesifikt nettverkssegmentering, tidsbegrensede og MFA-beskyttede tilganger, og kontinuerlig overvåking som minstekrav for industrielle kontrollsystemer.
Zero trust for OT: Den eneste veien frem
Sikkerhetsmiljøet er nesten enstemmig om at zero trust-arkitektur er nødvendig, men at overgangen er krevende i OT-miljøer der systemer kan være tiår gamle og ikke er designet for moderne autentisering. Tre tiltak peker seg ut som umiddelbare prioriteringer: erstatt direkte internetteksponerte HMI-grensesnitt med bastionverter og jump-servere innenfor sikrede soner; krev MFA på alle fjernstyrte industrigrensesnitt; og innfør kontinuerlig overvåking med varslingstid under 30 minutter, ikke fire timer. For et mer detaljert blikk på trusselbildet mot nordisk energisektor, se vår analyse av nordisk energisektor og OT-sikkerhet.
Norges cybersikkerhetsinvesteringer i kontekst
Norges svar på cybertrusselen er delvis finansielt, delvis regulatorisk og delvis diplomatisk. Cybersikkerhetsmarkedet vokser, den digitale sikkerhetslovens krav driver samsvarsinvesteringer, og NSMs kapasitet er utvidet. Men tallene avslører også et strukturelt underskudd som ikke løses raskt.
Diplomatisk har Norge styrket sitt engasjement i NATO Cyber Defence og ENISA, og bidrar aktivt til nordisk koordinering gjennom NCSC-samarbeidet. North European Cyber Days, som arrangeres i Oslo i november 2026, samler cybersikkerhets- og AI-ledere fra hele Norden for å adressere nettopp disse utfordringene. Norges rolle som Europas viktigste gassleverandør gir infrastrukturbeskyttelse en dimensjon som strekker seg langt utover landets egne grenser.
Spørsmålet er om tempoet i implementeringen er høyt nok. Bremanger viste at angriperne ikke trenger avanserte virkemidler. De trenger bare at ett system er feil konfigurert og ett passord er for svakt. Og i Norges energisektor finnes det fortsatt mange slike systemer.
Ekspertanalyse: Hva Bremanger forteller om OT-sikkerhetsgapet
Radiflow oppsummerte den mest ubehagelige lærdommen fra Bremanger-angrepet i sin tekniske gjennomgang: «Angriperne hadde sanntidskontroll over fysiske prosesser. Sikkerheten var avhengig av ren flaks og at operatørene oppdaget dem i tide. Angrepet var ikke et forsøk på å forårsake katastrofal skade, men det demonstrerte at evnen til å gjøre det var teknisk tilgjengelig.»
Det er essensen av hvorfor Bremanger er viktigere enn det umiddelbare utfallet tilsier. 7,2 millioner liter vann er mye, men det ødela ikke demningen, skadet ingen og satte ikke strømforsyningen ut. Et neste angrep, mot et større anlegg, med mer sofistikerte angripere, på et system nær kapasitetsgrensen, kan ha et annet utfall.
For en bredere forståelse av den nordiske cybertrusselens omfang, se vår analyse av 166 cyberhendelser i Norden og hva de avslørte om ansvarsfraskrivelse i sektoren.
5 spådommer for Norges kritiske infrastruktur 2026-2027
Basert på trendene fra 2025 og tidlige signaler fra 2026 peker disse scenariene seg ut som de mest sannsynlige:
- Raskere og mer offentlig attribusjon. PSTs beslutning om å navngi Russland i Bremanger-saken brøt et langvarig mønster av norsk tilbakeholdenhet. Forvent at Norge og andre nordiske land vil attribuere cyberhendelser raskere og mer offentlig i 2026, som del av en koordinert NATO-avskrekningsstrategi der synlighet er et bevisst politisk virkemiddel.
- Strengere regulering av ICS- og OT-tilgang. NVE og Energidepartementet vil trolig innføre spesifikke tekniske minimumskrav til internetteksponering og autentisering for vannkraft og kraftnett innen utgangen av 2026, som et direkte svar på Bremanger-hendelsens avdekking av systemisk svakhet.
- Økt pro-russisk hacktivistaktivitet mot nordisk energi. Med Norges rolle som Europas viktigste gassleverandør vil russisk-allierte grupper som Z-PENTEST fortsette å teste norsk energiinfrastruktur. Minst to til fire offentlig kjente forsøk er sannsynlig i løpet av 2026, spesielt knyttet til geopolitiske hendelser relatert til krigen i Ukraina.
- Norsk cybersikkerhetsmarked over 300 millioner USD. Det voksende reguleringslandskapet og eskalerende trusler vil presse markedsvolumet forbi 300 millioner USD i løpet av 2026, særlig innen managed detection and response (MDR) og OT-spesifikke sikkerhetsløsninger.
- EDR-krav sprer seg fra maritim til energi. NORMA Cybervs fartøybaserte EDR-krav innen 2027 vil skape presedens. Regulatorer innen vannkraft og nettoperatører vil sannsynligvis følge etter med lignende krav til endepunktovervåking i OT-miljøer, med et effektivitetskrav trolig satt til 2028.
Relatert dekning
For mer kontekst om norsk og nordisk cybersikkerhet:
- Salt Typhoon i Norge: PST bekrefter Kina-angrep mot telekominfrastruktur [2026]
- Nordisk energisektor: 73% hacket via VPN [2026]
- Norden: 166 cyberhendelser, 52% skyver ansvaret [2026]
- EDR vs XDR: 10 min vs 4 timer MTTR [2026]
- Nettsvindel i Norge: 1,2 mrd tapt i 2024 [2026]
Videre lesning: Autoritative kilder
- NSM: Nasjonalt cybersikkerhetssenter (NCSC)
- PST: Nasjonal trusselvurdering 2026 (PDF)
- Claroty: Cyberangrep på norsk demning avdekker passordrisiko
- Radiflow: Innsiden av Norges 2025-demningangrep
- ON2IT: Det norske demningangrepet som OT-sikkerhetsvekkespark
Ofte stilte spørsmål
Hva skjedde ved Bremanger-demningen i april 2025?
Den 7. april 2025 fikk hackere tilgang til styringssystemet for Risevatnet-demningen i Bremanger via et internetteksponert HMI-kontrollpanel beskyttet av et svakt passord. De åpnet en avløpsventil til 100 prosent kapasitet. Over fire timer rant 500 liter per sekund over normalnivå, totalt 7,2 millioner liter vann, før bruddet ble oppdaget og stoppet. Det oppsto ingen fysisk skade og ingen personskader.
Hvem sto bak angrepet på Bremanger-demningen?
Norsk etterretning og PST har tilskrevet angrepet til pro-russiske hackere. Den spesifikke gruppen som pekes ut i tekniske analyser er Z-PENTEST, en pro-russisk hacktivistgruppe som spesialiserer seg på industrielle kontrollsystemer og som dokumenterte angrepet på Telegram. PST-sjef Beate Gangaas bekreftet russisk tilknytning offentlig i august 2025, som den første norske myndighetsattribusjonen av et cyberangrep på infrastruktur til Russland.
Hva er et HMI og hvorfor er det sårbart?
HMI (Human-Machine Interface) er kontrollpanelet som lar operatører overvåke og styre industrielt utstyr som ventiler, pumper og generatorer. Mange eldre HMI-systemer ble designet for lukkede nettverk, men er koblet til internett for fjernovervåking uten tilstrekkelig sikkerhet: manglende multifaktorautentisering, ingen nettverkssegmentering og svake passordkrav. Denne eksponeringen gjør dem til enkle mål som ikke krever avanserte angrepsverktøy.
Hva innebærer Digital sikkerhetsloven som trådte i kraft i 2025?
Digital sikkerhetsloven, som trådte i kraft i oktober 2025, innfører skjerpede IKT-sikkerhetskrav for norske virksomheter som eier eller drifter kritisk infrastruktur. Kravene inkluderer obligatorisk rapportering av alvorlige cyberhendelser til NSM innen 72 timer, regelmessige sikkerhetsrevisjoner og gjennomføring av risikovurderingsbaserte tiltak etter NSMs rammeverk. Loven er et svar på det eskalerende trusselbildet mot norsk infrastruktur.
Er norsk vannkraftinfrastruktur generelt sikker?
Norsk vannkraft produserer rundt 88 prosent av landets strøm og er et naturlig sabotasjemål. Sikkerheten varierer betydelig mellom anlegg: store operatører med dedikerte sikkerhetsavdelinger har mer robuste forsvar, mens mindre selskaper kan ha eldre systemer med svakere sikkerhetspraksis. NSM og NVE arbeider nå med å standardisere minimumskrav på tvers av sektoren som et direkte svar på Bremanger-hendelsen.
Hva er PST og NSMs rolle i norsk cybersikkerhet?
PST (Politiets sikkerhetstjeneste) er Norges sikkerhetstjeneste for kontraterrorisme og kontraspionasje, inkludert statsstøttede cyberoperasjoner mot norske interesser. NSM (Nasjonal sikkerhetsmyndighet) er Norges tekniske cybersikkerhetsorgan, som driver NorCERT (Computer Emergency Response Team) og VDI (varslingssystem for digital infrastruktur). Disse to etatene koordinerer Norges respons på alvorlige cyberangrep mot kritisk infrastruktur i samarbeid med NIS (Etterretningstjenesten).
Hva bør norske infrastrukturoperatører gjøre nå?
NSM anbefaler tre umiddelbare prioriteringer: Fjern direkte internetteksponering av kontrollsystemer og erstatt med bastionvertbasert, MFA-beskyttet tilgang. Innfør kontinuerlig overvåking av OT-nettverk med varslingstider under 30 minutter. Gjennomfør regelmessige penetrasjonstester av ICS/SCADA-systemer med ekstern ekspertise. Bremanger viste at fire timer er for lang tid å vente på å oppdage et angrep i et system med fysiske konsekvenser.
