En ny rapport fra Sopra Steria avslører at 44,4 prosent av alle sikkerhetshendelser i nordiske virksomheter i 2025 var phishing-relaterte. Samtidig dokumenterer Hoxhunts trusselrapport en 14 ganger økning i AI-genererte phishing-angrep i løpet av ett kvartal. Kombinasjonen av disse to funnene tegner et alvorlig bilde av trusselbildet i Norden i 2026.
Tallene kommer frem i State of Cyber Security 2026, Sopra Sterias nye rapport om cybersikkerhet i Norden, og bekreftes av internasjonale analyser fra World Economic Forum og Hoxhunt. Rapporten slår fast at phishing forblir den dominerende inngangsveien for angrep i regionen, og at kunstig intelligens har fundamentalt endret angrepsvolumet og sofistikeringen.
Sopra Sterias rapport: Norden under press
Sopra Steria, en av de største leverandørene av IT-sikkerhetstjenester i Skandinavia, publiserte sin State of Cyber Security 2026-rapport i juni 2026. Rapporten bygger på observasjoner fra selskapets SOC-tjenester (Security Operations Center) på tvers av norske, svenske, danske og finske kunder gjennom hele 2025.
Konklusjonen er klar: 44,4 prosent av alle registrerte sikkerhetshendelser i Sopra Sterias kundebase var phishing-relaterte. Ingen annen angrepsvektor kom i nærheten. Rapporten slår videre fast at det nordiske trusselbildet er eksponert mot trusselaktører på alle nivå i det som kalles trusselaktørpyramiden, fra hacktivister til statsstøttede APT-grupper (Advanced Persistent Threat).
Sopra Steria konkluderer med at den nordiske regionen er et høyprioritert mål for statsstøttede operasjoner, begrunnet med regionens strategiske posisjon, nærhet til Russland og Arktis, samt NATOs nordlige ekspansjon. Finansielt motiverte angrep er fortsatt den absolutt dominerende kategorien, men grensen mellom kriminelle og statlige aktører viskes i økende grad ut gjennom delt infrastruktur og verktøyutveksling.
14 ganger økning: AI-phishingens gjennombrudd
Mens phishing historisk har vært assosiert med dårlig grammatikk og åpenbare tegn på svindel, viser data fra Hoxhunts globale trusseldeteksjonsnettverk en dramatisk kvalitetsforbedring. I november 2025 utgjorde AI-assistert phishing kun 4 prosent av alle rapporterte phishing-e-poster. I desember 2025 var andelen 56 prosent. I januar 2026 stabiliserte den seg på 40 prosent.
Dette representerer en eksplosiv vekst på tre måneder. Hoxhunt karakteriserer økningen som en “14 ganger surge” i AI-genererte phishing-angrep gjennom julessesongen. Veksten sammenfaller med at neste generasjon AI-verktøy ble tilgjengelig for kriminelle aktører til svært lave kostnader, og at phishing-kit med åpenbare feil som dominerte trusselbildet tidligere nå suppleres med svært overbevisende, AI-skrevet innhold.
De vanligste temaene i AI-assisterte phishing-angrep er falske tilbud og kampanjer, impersonering av finansinstitusjoner, ubetalt faktura-svindel og HR-impersonering. 18,6 prosent av de AI-assisterte truslene promoterte svindelaktige tilbud som gratis telefoner, nødssett til bilen eller flyreisepremier, ifølge Hoxhunt.
Det nordiske trusselbildet i tall: land for land
DNVs rapport How Cyber Resilient Are the Nordics? 2026 gir den mest detaljerte oversikten over observerte cyberhendelser i regionen. Tallene for 2025 viser store variasjoner mellom de nordiske landene, og til sammen utgjorde de 166 observerte cyberhendelser på tvers av regionen.
| Land | Observerte cyberhendelser (2025) | Andel av nordisk total | Viktigste funn |
|---|---|---|---|
| Sverige | 60 | 36,4 % | 1 av 5 innbyggere berørt i hverdagen |
| Finland | 44 | 26,7 % | Statsstøttede APT-grupper er primærtrussel |
| Danmark | 41 | 24,8 % | Uklar ansvarsfordeling for cybersikkerhet |
| Norge | 21 | 12,7 % | 52 % av ledere skyver ansvaret |
| Norden totalt | 166 | 100 % | AI-drevet phishing dominerer som inngangsvektor |
Sverige hadde flest observerte hendelser med 60, etterfulgt av Finland med 44 og Danmark med 41. Norge hadde lavest antall med 21 hendelser, men DNV-rapporten advarer om at det lave tallet delvis kan reflektere underrapportering og uklarhet rundt ansvarsforhold snarere enn faktisk bedre sikkerhet.
Norges akilleshæl: 52 prosent skyver ansvaret
Blant de mest urovekkende funnene i DNV-rapporten er holdningene blant norske toppledere. Av norske ledere i sektorer som EU definerer som kritisk infrastruktur, svarer 52 prosent at ledelsen i deres organisasjon ser motstandskraft i kritisk infrastruktur som “noen andres ansvar”. Ytterligere 32 prosent er ikke engang sikre på om organisasjonen deres er involvert i kritisk infrastruktur.
Dette representerer et grunnleggende problem i norsk cybersikkerhet. Mens phishing-truslene vokser og AI gjør dem mer sofistikerte, er ansvarsstrukturen i mange norske virksomheter uklar. Resultatet er at angriperne kan utnytte hull som ingen tror det er deres jobb å tette.
Norsk lov setter klare rammer for dette. Sopra Sterias rapport peker på at under sikkerhetsloven kan enkeltpersoner i ledelsen stilles personlig økonomisk ansvarlig for opp til 25 ganger grunnbeløpet, tilsvarende 3.254.000 kroner per 2025, dersom sikkerhetsplikter ikke overholdes. Likevel ser flertallet av norske kritisk infrastruktur-ledere bort fra dette ansvaret.
AI-phishingens tekniske mekanismer
For å forstå hvorfor AI-phishing er så effektivt, er det nødvendig å se på de tekniske mekanismene bak. Tradisjonelle phishing-kit produserte e-poster med karakteristiske feil: oversettelsessvikt, feil formatering, generiske hilsener og ikke-personlig innhold. Disse feilene trente brukere og filtreringssystemer til å gjenkjenne angrep.
AI-generert phishing eliminerer disse svakhetene på tre måter. For det første bruker store språkmodeller (LLMs) autentisk kommunikasjonsinnhold til å lage overbevisende phishing-lure som er nesten umulige å skille fra ekte e-post. For det andre kan AI analysere stjålet data og identifisere verdifull informasjon om målpersonen, slik at angrepene personaliseres. For det tredje kan AI-drevet rekognosering kartlegge hele nettverk med høy nøyaktighet, slik at angriperne vet hvilke ansatte som er høyverdi-mål.
World Economic Forums Global Cybersecurity Outlook 2026 dokumenterer at generativ AI aktivt senker barrierene for phishing-angrep mens den øker sofistikeringen. Kriminelle aktører utnytter generativ AI til å automatisere og skalere sosial manipulering, produsere realistiske phishing-e-poster, deepfake-lyd og -video, og falsifiserte dokumenter som kan unngå tradisjonelle deteksjonssystemer og menneskelig vurdering.
Sopra Sterias rapport legger til at AI-drevet rekognosering kombineres med automatisert infrastrukturutnyttelse, der kriminelle grupper og statsstøttede aktører i økende grad samarbeider og deler verktøy. Dette gjør angrepene raskere og vanskeligere å oppdage enn noen gang tidligere.
Deepfake-svindel: fra eksperiment til industri
En av de mest urovekkende trendene i 2025 og 2026 er at deepfake-teknologi har blitt et effektivt verktøy for svindel i næringslivet. Globalt ble deepfake-svindelstap estimert til 25 milliarder dollar i 2024, ifølge Deloitte. Trenden har fortsatt oppover i 2025 og 2026 ettersom verktøyene for å lage deepfakes er blitt billigere og mer tilgjengelige.
Typiske deepfake-angrep mot nordiske virksomheter inkluderer lydopptak som etterligner lederens stemme for å autorisere betalingsoverføringer, videomøter der angriperen utgir seg for å være en kollega eller ekstern partner, og falsifiserte dokumenter med realistisk utseende som brukes i e-poster for å legitimere svindelforsøk.
Sopra Sterias rapport understreker at AI-drevne verktøy gjør disse angrepene stadig mer tilgjengelige. Det som for to år siden krevde avansert teknisk kunnskap, kan i dag gjennomføres av kriminelle med begrenset kompetanse ved hjelp av rimelige AI-verktøy tilgjengelig på det åpne internett. Grensen mellom phishing og deepfake-svindel viskes gradvis ut, ettersom angripere kombinerer begge teknikkene i same angrepskjede.
WEF-rapporten: 77 prosent bruker AI i forsvar
Mens angriperne utnytter AI, svarer forsvarssiden med det samme. Global Cybersecurity Outlook 2026 fra World Economic Forum viser at 77 prosent av organisasjoner har tatt i bruk AI i cybersikkerhet. Bruksområdene fordeler seg slik:
| AI-bruksområde i cybersikkerhet | Andel virksomheter (WEF 2026) | Nøkkeleffekt |
|---|---|---|
| Phishing-deteksjon | 52 % | Atferds- og kontekstuell analyse erstatter signaturbaserte filtre |
| Inntrengnings- og avviksrespons | 46 % | 108 dager raskere inneslutningstid (IBM) |
| Brukeradferd-analyse (UEBA) | 40 % | Oppdager kompromitterte kontoer i sanntid |
| SOC-automatisering | Bredt adoptert | Frigjør analytikere til å håndtere avanserte trusler |
| Trusseljakt (threat hunting) | Voksende andel | AI-analyse kombinert med menneskelig vurdering |
Tallene viser at phishing-deteksjon er den viktigste prioriteten for AI-implementering i sikkerhet, noe som bekrefter phishingens dominerende rolle som trusselvektor. Organisasjoner som bruker AI og automatisering i sikkerhetsoperasjoner klarte å inneslutte sikkerhetsbrudd 108 dager raskere enn organisasjoner uten AI-forsvar, og sparte i gjennomsnitt 2,22 millioner dollar mer per hendelse, ifølge IBMs Cost of a Data Breach Report.
WEF-rapporten understreker imidlertid at AI-adopsjonen skaper en kapprustning. For hvert AI-basert forsvarssystem som implementeres, utvikler angriperne metoder for å omgå det. Organisasjoner kan ikke basere seg på AI alene, men må kombinere teknologiske forsvar med kompetansebygging og organisatorisk klarhet rundt ansvar.
Finansielle konsekvenser: hva koster et vellykket phishing-angrep?
Det globale gjennomsnittet for kostnadene ved et databrudd nådde 4,88 millioner dollar i 2025, ifølge IBMs rapport. I 2026 forventes dette å øke ytterligere ettersom angrepene blir mer sofistikerte og inneholder stadig mer personlig og finansiell data.
FBI IC3s rapport for 2025 dokumenterer at rapporterte cyberkriminalitetstap oversteg 16,6 milliarder dollar globalt, en økning på 33 prosent fra 2023s 12,5 milliarder dollar. Phishing er en av de viktigste bidragsyterne til disse tallene, ettersom det er inngangsporten til de fleste av de større angrepene. Phishing-angrep mot finansinstitusjoner globalt har økt med 1.265 prosent siden 2022, ifølge SlashNext State of Phishing Report.
For norske virksomheter er kostnadsperspektivet ekstra relevant. Et vellykket phishing-angrep fører gjennomsnittlig til:
- Kompromittering av brukerkontoer og tilgangsdata som muliggjør videre angrep
- Ransomware i etterkant, der phishing er inngangsveien i majoriteten av tilfellene
- GDPR-rapporteringsplikt og potensielle bøter på inntil 4 prosent av global omsetning
- Omdømmeskade og kundelekkasje som kan ta år å gjenopprette
- Personlig ledelsesansvar under norsk sikkerhetslov
Hvem er i størst faresone i Norden?
Sopra Sterias rapport identifiserer klare prioriteringer blant trusselaktørene i Norden. Den nordiske regionen er eksponert mot risiko fra alle nivåer i trusselaktørpyramiden, men noen sektorer peker seg ut som primære mål avhengig av hva angriperne er ute etter.
Kritisk infrastruktur, inkludert energi, transport, helse og finans, er høyest prioritert av statsstøttede APT-grupper. Rapporten understreker at Nordens strategiske posisjon, med nærhet til Russland, Arktis og NATO-grensen, gjør regionen til et spesielt attraktivt mål for statlige aktører som søker strategisk og etterretningsmessig informasjon. Geopolitiske spenninger i 2025 og 2026 har forsterket dette.
For cyberkriminelle organisasjoner er finanssektoren, e-handel og profesjonelle tjenesteytere høyest prioritert. Disse sektorene kombinerer høy verdidensitet med digitaliserte prosesser som er sårbare for phishing-baserte kompromitteringer. Hacktivister retter seg typisk mot offentlige myndigheters nettsider og statlige aktørers kommunikasjonsflater, spesielt i perioder med geopolitiske spenninger. Rapporten peker på at disse tre kategoriene av aktører i 2025 i økende grad samarbeider og deler infrastruktur, noe som gjør det vanskeligere å attribuere og respondere på angrep.
AI mot AI: kapprustningen i nordisk cybersikkerhet
Det som gjør situasjonen i 2026 fundamentalt annerledes enn tidligere år, er at begge sider i cyberkonflikten nå bruker AI aktivt. På angrepssiden bruker trusselaktørene AI til å oppdage og utnytte sårbarheter raskere enn forsvarerne klarer å respondere, generere phishing-innhold i industriell skala, automatisere rekognosering og kartlegging av mål, og drive agentic ransomware som kan gjennomføre rekognosering, sårbarhetsskanning og forhandlinger uten menneskelig involvering.
På forsvarssiden bruker sikkerhetsoperasjonsteam AI til å analysere hendelseslogger og identifisere avvik, automatisere respons på kjente trusler, kombinere AI-analyse med menneskelig trusseljakt, og trene brukere mer effektivt gjennom personaliserte simuleringer. SentinelOne peker i sin 2026 trendrapport på at SOC-automatisering og orkestrering ekspanderer fordi alarmvolumet fortsetter å vokse, og at team nå automatiserer oppgaver som IP-blokkering, vertsisolering og hendelseskorrelasjon.
Sopra Sterias rapport konkluderer at AI-drevet deteksjon, analyse og automatisert respons vil bli kjernekapabiliteter for nordiske sikkerhetsoperasjoner, og vil fungere som en kraftmultiplikator for forsvarere. Den kritiske konsekvensen er at uten AI i forsvar er det ikke realistisk å håndtere volumet av moderne trusler manuelt.
Phishing-angrepenes evolusjon: 2024 mot 2025
Trusselbildet har endret seg markant fra 2024 til 2025. Sopra Sterias rapport dokumenterer en klar dreining i angripernes foretrukne inngangsveier og metoder.
I 2024 dominerte tradisjonelle phishing-kit med åpenbare feil. Angriperne var avhengig av store volum for å oppnå suksess, og e-postfiltrering og brukertrening hadde god effekt. I 2025 skjedde et skifte: AI-verktøy ble billigere og mer tilgjengelige, og kvaliteten på phishing-e-poster økte dramatisk. Fake CAPTCHA-sider ble et nytt og effektivt angrepsverktøy. SVG-filer og kalenderinvitasjoner ble brukt som vedlegg for å omgå e-postfiltrering, der disse filtypene ikke ble fanget opp av tradisjonelle sikkerhetssystemer.
Rapporten understreker at phishing forblir den ledende inngangsveien for angrep i Norden, og at kombinasjonen av AI-generert innhold, nye filtyper som angrepsvektor og mobile phishing-angrep gjør at tradisjonelle forsvarstilnærminger er utilstrekkelige. Organisasjoner som kun baserer seg på løsninger utviklet for 2022-trusselbildet, er ikke tilstrekkelig beskyttet mot det de møter i 2026.
Slik beskytter du virksomheten mot AI-phishing i 2026
Sopra Sterias rapport og de internasjonale funnene peker på konkrete tiltak som nordiske virksomheter bør prioritere. Tiltakene deles naturlig i tekniske og organisatoriske kategorier.
Tekniske forsvarstiltak
- AI-basert e-postfiltrering: Tradisjonelle signaturbaserte løsninger er ikke tilstrekkelige mot AI-generert phishing. Implementer løsninger som bruker atferdsanalyse og kontekstuell analyse for å oppdage avansert innhold.
- Phishing-resistente autentiseringsmetoder: Overgang til FIDO2/passkeys og biometrisk autentisering eliminerer risikoen for at stjålne passord kan brukes etter et phishing-angrep. WEF anbefaler dette eksplisitt i sin 2026-rapport.
- Zero Trust-arkitektur: Anta at alle enheter og brukere kan være kompromitterte. Implementer strengt minste-privilegium-prinsipp og kontinuerlig verifisering av alle tilganger.
- Nettverksegmentering: Begrens skadeomfanget av et vellykket phishing-angrep ved å hindre lateral bevegelse på tvers av systemer.
Organisatoriske tiltak
- Klar ansvarsfordeling: DNV-rapporten viser at 52 prosent av norske ledere ser ansvaret som noe andre har. Klargjør eksplisitt hvem som eier cybersikkerhetsansvaret på styrenivå, og sørg for at dette er dokumentert og etterprøvbart.
- Regelmessig phishing-trening: Hoxhunts data viser at brukere med nylig gjennomgått trening rapporterer phishing-forsøk betydelig raskere. Kontinuerlig simulert phishing-trening er svært kostnadseffektivt sammenlignet med kostnadene ved et reelt angrep.
- Deepfake-verifiseringsprosedyrer: Innfør prosedyrer for å verifisere forespørsler om betalingsoverføringer og sensitiv tilgangsdeling gjennom uavhengige kanaler, uavhengig av om forespørselen virker å komme fra lederskap via video eller telefon.
- Incidentresponseplan: Ha en testøvd beredskapsplan klar for phishing-hendelser, slik at responstiden minimeres og spredning begrenses. Planen bør inkludere kommunikasjonsprotokoll, isoleringsrutiner og rapporteringsplikt til NSM.
NIS2 og sikkerhetsloven: rammeverket skjerpes
Norske virksomheter som håndterer phishing-trusler i 2026, gjør det innenfor et lovverk under endring. NIS2-direktivet, som trer i kraft gjennom ny lovgivning i Norge, stiller strengere krav til sikkerhetsstyring og hendelsesrapportering. Virksomheter i kritiske sektorer er pålagt å rapportere sikkerhetshendelser innen 24 timer og implementere risikobaserte sikkerhetstiltak.
Kombinert med sikkerhetsloven, som legger personlig ansvar på ledere for svikt i sikkerhetsarbeidet, er konsekvensene av passivitet alvorlige. Sopra Sterias rapport peker på at personlig straffeansvar på opp til 3.254.000 kroner per 2025 kan gjøre seg gjeldende for individer som unnlater å ta cybersikkerhetsarbeid tilstrekkelig alvorlig, og at dette ansvaret eksplisitt ikke kan delegeres bort. Nasjonal sikkerhetsmyndighet anbefaler at alle norske virksomheter gjennomfører en gap-analyse mot NIS2-kravene.
Fem spådommer for AI-phishing i Norden 2026 og 2027
Basert på funnene i Sopra Sterias rapport, WEFs Cybersecurity Outlook og Hoxhunts trusseldata, peker trendene i retning av fem konkrete utviklinger:
- AI-phishing vil dominere over 50 prosent av alle phishing-angrep innen utgangen av 2026. Hoxhunts data viste 56 prosent i desember 2025. Trenden peker oppover ettersom AI-verktøy blir billigere og mer tilgjengelige for kriminelle aktører.
- Deepfake-angrep mot norske virksomheter vil mangedobles. Teknologien er nå tilgjengelig uten avansert teknisk kompetanse, og norske selskaper mangler i stor grad prosedyrer for å håndtere dette.
- Statsstøttede APT-grupper intensiverer angrep mot nordisk kritisk infrastruktur i takt med økte geopolitiske spenninger i Arktis og rundt NATO-grensen, med phishing som primær inngangsvektor.
- NIS2-implementeringen vil øke rapporteringsgraden, noe som sannsynligvis vil avdekke at de norske tallene er høyere enn de 21 registrerte hendelsene for 2025. Underrapportering anslås å være betydelig.
- AI-kapprustningen vil kreve spesialisert kompetanse som Norden i dag mangler. Etterspørselen etter AI-sikkerhetseksperter vil langt overstige tilbudet, og organisasjoner som ikke investerer i kompetansebygging i 2026, vil henge alvorlig etter i 2027.
Relatert dekning
Les også
- Cyberangrep Norge: AI-Trussel, 21 Angrep mot norske virksomheter [2026]
- Norden: 166 cyberhendelser i 2025, 52% skyver cybersikkerhetsansvaret [2026]
- Nettsvindel i Norge: 1,2 milliarder kroner tapt i 2024 [2026]
- Verizon DBIR 2026: 31% angrep via sårbarhet, 22.000 brudd analysert [2026]
- Phishing: Hvordan svindel på nett fungerer og kjennes igjen
- Sikkerhet: datalekkasjer, passord, HTTPS og phishing forklart
Ofte stilte spørsmål
Hva er AI-phishing?
AI-phishing er phishing-angrep der angriperen bruker kunstig intelligens, typisk store språkmodeller, til å generere overbevisende phishing-e-poster, SMS-er eller videoer. AI-generert phishing er betydelig vanskeligere å oppdage enn tradisjonell phishing fordi innholdet er grammatisk korrekt, personalisert og kontekstuelt relevant for mottakeren.
Hvor mye har AI-phishing økt i 2025 og 2026?
Hoxhunts trusselrapport dokumenterer en 14 ganger økning i AI-generert phishing mellom november 2025 og desember 2025. Andelen AI-generert phishing gikk fra 4 prosent i november til 56 prosent i desember, og stabiliserte seg på 40 prosent i januar 2026.
Hva er de vanligste AI-phishing-temaene i Norden?
De vanligste temaene er falske tilbud og kampanjer, impersonering av finansinstitusjoner, ubetalt faktura-svindel og HR-impersonering. 18,6 prosent av AI-assisterte phishing-angrep bruker svindelaktige tilbud som gratis telefoner eller airline-belønninger som lokkemiddel, ifølge Hoxhunt.
Hvilket nordisk land er hardest rammet av cyberangrep?
Sverige hadde flest observerte cyberhendelser i 2025 med 60, ifølge DNVs Nordic-rapport. Finland hadde 44, Danmark 41 og Norge 21. Sverige er også det eneste nordiske landet der en av fem innbyggere rapporterer at hverdagen er blitt direkte påvirket av cyberhendelser.
Hva sier norsk sikkerhetslov om ledelsesansvar?
Under norsk sikkerhetslov kan enkeltpersoner i ledelsen stilles personlig økonomisk ansvarlig for opp til 25 ganger grunnbeløpet, tilsvarende 3.254.000 kroner per 2025, dersom sikkerhetsplikter ikke overholdes. Dette gjelder spesielt for virksomheter i sektorer definert som kritisk infrastruktur.
Hvordan beskytter jeg virksomheten mot AI-phishing?
De viktigste tiltakene er AI-basert e-postfiltrering, overgang til phishing-resistente autentiseringsmetoder som FIDO2 og passkeys, Zero Trust-arkitektur, regelmessig phishing-simulering og opplæring av ansatte, og klare prosedyrer for å verifisere betalingsforespørsler og sensitiv tilgangsdeling gjennom uavhengige kanaler.
Hva er deepfake-phishing?
Deepfake-phishing kombinerer phishing-teknikker med AI-genererte lyd- eller videoopptak som etterligner kjente personer, typisk en kollega eller leder. Angriperne bruker disse for å gi svindelforsøk ekstra troverdighet. Globalt ble tap fra deepfake-svindel estimert til 25 milliarder dollar i 2024, ifølge Deloitte.
Hva er NIS2 og hva betyr det for norske virksomheter?
NIS2 er EUs direktiv for nettverks- og informasjonssikkerhet som nå implementeres i norsk lov. Det stiller strengere krav til sikkerhetsstyring og hendelsesrapportering for virksomheter i kritiske sektorer, inkludert energi, transport, helse og finans. Brudd kan medføre bøter og personlig ledelsesansvar.
Kilder: Sopra Steria: State of Cyber Security 2026 | Hoxhunt Phishing Trends Report 2026 | AI Security Statistics 2026 | ENISA Threat Landscape | Nasjonal sikkerhetsmyndighet (NSM)
