{"id":115,"date":"2026-06-18T20:54:47","date_gmt":"2026-06-18T20:54:47","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/18\/bremanger-demning-russland-hack-2025\/"},"modified":"2026-06-18T20:56:57","modified_gmt":"2026-06-18T20:56:57","slug":"bremanger-demning-russland-hack-2025","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/bremanger-demning-russland-hack-2025\/","title":{"rendered":"Bremanger-demningen hacket av Russland: 7,2M liter ut [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Den 7. april 2025 satte en gruppe russiske hackere seg inn i styringssystemet til en norsk demning i Bremanger kommune i Vestland og \u00e5pnet en flomport til full kapasitet. I fire timer rant 500 liter vann per sekund ukontrollert nedstr\u00f8ms, totalt 7,2 millioner liter, f\u00f8r operat\u00f8rene oppdaget inntrengeringen og gjenopprettet kontrollen. Ingen ble skadet. Men hendelsen avdekket noe langt mer alvorlig enn en enkelt feil: et usikret kontrollpanel koblet direkte til internett, beskyttet av ett svakt passord.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Seks m\u00e5neder senere, i august 2025, sto Beate Gangaas, sjef for Politiets sikkerhetstjeneste (PST), offentlig frem og pekte finger mot Russland. Det var f\u00f8rste gang norske myndigheter formelt tilskrev et cyberangrep p\u00e5 norsk kritisk infrastruktur til sin \u00f8stlige nabo. Hendelsen ved Bremanger er n\u00e5 et ankerpunkt i en bredere debatt om Norges s\u00e5rbarhet mot statsst\u00f8ttet sabotasje og spionasje, og om hva som faktisk skiller en nesten-ulykke fra en katastrofe.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hendelsesforlopet-natt-til-7-april-2025\">Hendelsesforl\u00f8pet: Natt til 7. april 2025<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Tidlig om morgenen den 7. april 2025 fikk hackere tilgang til styringspanelet for en ventil ved Risevatnet-demningen i Bremanger, vest i Norge. Demningen eies og driftes av det lokale selskapet Breivika Eiendom. Angriperne brukte det internetteksponerte HMI-grensesnittet (Human-Machine Interface) til \u00e5 sette avl\u00f8psventilen til 100 prosent \u00e5pen, langt over den p\u00e5krevde minimumsstr\u00f8m.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Resultatet: 497 liter per sekund ekstra vannmasse ble sluppet ut over det som var normalt tillatt minimum. Innen angrepet ble oppdaget og stoppet, hadde omtrent 7,2 millioner liter vann forlatt reservoaret. Demningens flomkapasitet er beregnet til rundt 20 000 liter per sekund, slik at utslippet ikke ble ansett som en akutt flomsituasjon. Men Bjarte Steinhovden, teknisk sjef i Breivika Eiendom, innr\u00f8mmet overfor norske medier at et svakt passord sannsynligvis var det eneste som skilte hackerne fra full kontroll over anlegget. \u00abEt svakt passord har sannsynligvis gjort det mulig for inntrengerne \u00e5 f\u00e5 tilgang til systemet\u00bb, uttalte Steinhovden kort etter hendelsen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NSM (Nasjonal sikkerhetsmyndighet) og NVE (Norges vassdrags- og energidirektorat) ble varslet 10. april 2025, tre dager etter selve angrepet. Saken ble overlevert Kripos, den nasjonale kriminaletterretningsenheten, for etterforskning.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"den-tekniske-angrepsvektoren-hmi-pa-apent-nett\">Den tekniske angrepsvektoren: HMI p\u00e5 \u00e5pent nett<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Angrepet p\u00e5 Bremanger-demningen trengte ingen avansert skadevare, ingen nulldagss\u00e5rbarhet og ingen sofistikert spionprogramvare. Det trengte bare en nettleser og ett svakt passord.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Breivika Eiendoms kontrollpanel for demningsventilene var koblet direkte til internett via et web-tilgjengelig HMI-system. Slike grensesnitt er vanlige i vannkraft, kraftnett og industri. De er designet for fjernoverv\u00e5king, men representerer en alvorlig sikkerhetsrisiko n\u00e5r de eksponeres uten nettverkssegmentering, flerfaktorautentisering eller sterke passordkrav.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sikkerhetsselskapet Claroty, som analyserte hendelsen i detalj, konkluderte: \u00abAngriperne kompromitterte et svakt passord og klarte \u00e5 manipulere ventilene ved Risevatnet-demningen, og \u00e5pnet dem til full kapasitet. Angrepet forble uoppdaget i fire timer, men for\u00e5rsaket ingen fysisk skade eller fare for offentlig sikkerhet.\u00bb Claroty pekte spesielt p\u00e5 den initial tilgangsvektoren: et web-tilgjengelig kontrollpanel som administrerte ventilens minimumsstr\u00f8m, eksponert uten hensiktsmessig nettverksisolering.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hackergruppen som trolig sto bak, Z-PENTEST, publiserte til og med en video p\u00e5 Telegram der de demonstrerte tilgangen de hadde til kontrollpanelet. Det er en klassisk taktikk for hacktivistgrupper som \u00f8nsker oppmerksomhet og som \u00f8nsker \u00e5 sende et signal snarere enn \u00e5 for\u00e5rsake katastrofal skade.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"z-pentest-den-russiske-gruppen-bak-angrepet\">Z-PENTEST: Den russiske gruppen bak angrepet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Z-PENTEST er en pro-russisk hacktivistgruppe med spesiell interesse for industrielle kontrollsystemer (ICS). Gruppen er kjent for \u00e5 dokumentere og dele angrep p\u00e5 OT-infrastruktur via Telegram, og har tidligere rettet seg mot vannforsyning, kraftanlegg og produksjonsfasiliteter i vestlige land.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gruppen regnes ikke som en tradisjonell statlig APT-gruppe (Advanced Persistent Threat) som Sandworm eller APT28, men opererer med tydelig pro-russisk agenda og deler m\u00e5l med Kremls bredere strategi om \u00e5 destabilisere vestlig infrastruktur og skape usikkerhet i befolkningen. Norske etterretningstjenester beskrev hendelsen som et eksempel p\u00e5 s\u00e5kalt \u00abproxy-sabotasje\u00bb: angrep utf\u00f8rt av hacktivistgrupper som virker i tr\u00e5d med statens interesser uten direkte statlig kommando.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Radiflow, et selskap spesialisert p\u00e5 ICS-sikkerhet, beskrev angrepet som et kritisk varselskudd: \u00abAngriperne hadde faktisk sanntidskontroll over fysiske prosesser, og sikkerheten berodde p\u00e5 ren flaks og at operat\u00f8rene oppdaget dem i tide. Angrepet viste at Bremanger ikke var et m\u00e5l for avansert spionasje, men for demonstrasjon av kapabilitet og evne til frykt.\u00bb<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pst-sjef-gangaas-russland-formelt-utpekt-i-august-2025\">PST-sjef Gangaas: Russland formelt utpekt i august 2025<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den 13. august 2025 holdt Beate Gangaas, sjef for PST, et foredrag der hun for f\u00f8rste gang offentlig la skylden for Bremanger-angrepet p\u00e5 russiske hackere. Det var en historisk erkl\u00e6ring: Oslo hadde aldri tidligere formelt tilskrevet et cyberangrep p\u00e5 norsk infrastruktur til Russland.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00abHensikten med denne typen operasjoner er \u00e5 p\u00e5virke og skape frykt og kaos i befolkningen\u00bb, sa Gangaas if\u00f8lge Reuters. Hun beskrev angrepet p\u00e5 Bremanger som ett eksempel i et bredere m\u00f8nster av \u00f8kt aktivitet fra pro-russiske cybergrupper det siste \u00e5ret, og sa den offentlige attribusjonen var ment som en advarsel til allmennheten og som en avskrekkende faktor mot fremtidige russiske anslag.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den russiske ambassaden i Oslo avviste anklagene umiddelbart. \u00abDet er \u00e5penbart at PST sliter med \u00e5 bekrefte den konstruerte trusselen om russisk sabotasje mot norsk infrastruktur, som de diktet opp i sin februarrapport\u00bb, het det i en uttalelse til Reuters. Gangaas sto fast ved attribusjonen og la til at hun bevisst valgte \u00e5 g\u00e5 ut offentlig for \u00e5 sende et avskrekningssignal til statlige og proxy-akt\u00f8rer som vurderer fremtidige operasjoner mot norsk infrastruktur.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tidslinje-fra-angrep-til-offentlig-avsloring\">Tidslinje: Fra angrep til offentlig avsl\u00f8ring<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Dato<\/th><th>Hendelse<\/th><th>N\u00f8kkeldetalj<\/th><\/tr><\/thead><tbody><tr><td>7. april 2025<\/td><td>Angrep p\u00e5 Risevatnet-demningen i Bremanger<\/td><td>Ventil \u00e5pnet til 100%, 497 l\/s over minimum i 4 timer<\/td><\/tr><tr><td>7. april 2025<\/td><td>Breivika Eiendom oppdager bruddet<\/td><td>Operat\u00f8rer gjenoppretter manuell kontroll<\/td><\/tr><tr><td>10. april 2025<\/td><td>NSM og NVE varsles om hendelsen<\/td><td>Kripos overtar etterforskning<\/td><\/tr><tr><td>April 2025<\/td><td>Z-PENTEST publiserer Telegram-video<\/td><td>Gruppen viser tilgang til HMI-systemet offentlig<\/td><\/tr><tr><td>13. august 2025<\/td><td>PST-sjef Beate Gangaas peker p\u00e5 Russland<\/td><td>F\u00f8rste offisielle norske attribusjon mot Russland<\/td><\/tr><tr><td>August 2025<\/td><td>Russisk ambassade avviser anklagene<\/td><td>Kaller PSTs uttalelse \u00abgrunnl\u00f8s og politisk motivert\u00bb<\/td><\/tr><tr><td>Oktober 2025<\/td><td>Digital sikkerhetsloven trer i kraft<\/td><td>Nye IKT-sikkerhetskrav for kritisk infrastruktur<\/td><\/tr><tr><td>Februar 2026<\/td><td>PST bekrefter Salt Typhoon-brudd i norsk telekom<\/td><td>NSM utsteder overv\u00e5kingsdirektiver til ber\u00f8rte selskaper<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"det-bredere-trusselbildet-salt-typhoon-apt28-og-nordisk-energi\">Det bredere trusselbildet: Salt Typhoon, APT28 og nordisk energi<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bremanger-angrepet er ikke en isolert hendelse. Det er ett datapunkt i et m\u00f8nster av statslinket cyberaktivitet mot Norge og Norden som har eskalert siden 2024.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">I februar 2026 bekreftet PST at den kinesiske trusselgruppen Salt Typhoon hadde kompromittert norsk telekommunikasjonsinfrastruktur for \u00e5 avlytte regjeringskommunikasjon og forsvarsdata. NSM utstedte umiddelbart overv\u00e5kingsdirektiver til ber\u00f8rte selskaper. Hendelsen understrekte at den statsst\u00f8ttede cybertrusselen mot Norge ikke bare kommer fra Russland, men fra et bredt spekter av trusselakt\u00f8rer med motstridende interesser.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">APT28, den russiske milit\u00e6re etterretningens cyberenhet under GRU, rettet seg i 2025 mot norske logistikkoperat\u00f8rer med e-post-spearphishing. Angrepene bidro til \u00e5 presse antall l\u00f8sepengevirusangrep i maritim sektor til 72 hendelser, noe som fikk NORMA Cyber til \u00e5 innf\u00f8re krav om EDR (Endpoint Detection and Response) p\u00e5 fart\u00f8yniv\u00e5 innen 2027.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">PSTs nasjonale trusselvurdering for 2026, publisert i februar 2026, er krystallklar: \u00abRussisk etterretning kan se fordelen av \u00e5 gjennomf\u00f8re sabotasjeoperasjoner mot m\u00e5l i Norge i 2026.\u00bb Rapporten beskriver cybertrusler fra Russland, Kina, Iran og Nord-Korea, og fastsl\u00e5r at \u00abNorge n\u00e5 m\u00f8ter sin alvorligste sikkerhetssituasjon siden andre verdenskrig\u00bb.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Petroleumssektoren beskrives konsistent av NSM, PST og NIS (Etterretningstjenesten) som den mest utsatte. Sektoren er sterkt digitalisert, med komplekse forsyningskjeder som strekker seg over havbunnen til Europas gassforbrukere. \u00abS\u00e5rbarhetene knyttet til undersj\u00f8isk infrastruktur, kombinert med Russlands investeringer i evne til \u00e5 sabotere slik infrastruktur, preger trusselbildet for sektoren\u00bb, het det i den felles trusselvurderingen fra NSM, PST og NIS i 2025.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"nordisk-finanssektor-hoy-men-stabil-trussel\">Nordisk finanssektor: H\u00f8y, men stabil trussel<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NFCERT (Nordic Financial CERT) beskrev i sin Cyber Threat Landscape-rapport for 2025 trusselbildet mot nordisk finanssektor som \u00abh\u00f8yt, men stabilt\u00bb. Organiserte kriminalitetsgrupper (OCG) utgj\u00f8r den prim\u00e6re og mest alvorlige trusselen, med stadig mer sofistikerte og koordinerte l\u00f8sepengevirusangrep. Nasjonsstatakt\u00f8rer er forberedt p\u00e5 \u00e5 bruke forsyningskjedekompromisser som inngangsvektor for cyberspionasje, selv om finanssektoren sjelden er det direkte prim\u00e6rm\u00e5let. Trusselbildet for den nordiske finanssektoren inkluderer ogs\u00e5 hacktivister med hendelsesdrevet m\u00e5lvalg, der den geopolitiske situasjonen i Europa setter rammene.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"digital-sikkerhetsloven-2025-norges-lovfestede-forsvarslinje\">Digital sikkerhetsloven 2025: Norges lovfestede forsvarslinje<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">I oktober 2025 tr\u00e5dte Norges nye digital sikkerhetslov i kraft. Loven innf\u00f8rer skjerpede IKT-sikkerhetskrav for kritisk infrastruktur og stiller krav om revisjoner, risikovurderinger og insidenth\u00e5ndtering etter NSMs retningslinjer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Loven kom ikke som et direkte svar p\u00e5 Bremanger, men angrepet ga politisk tyngde til et lovverk som allerede var under utarbeidelse. Virksomheter innen energi, vann, transport og helse er n\u00e5 p\u00e5lagt \u00e5 rapportere alvorlige cyberhendelser til NSM innen 72 timer, og \u00e5 gjennomf\u00f8re jevnlige penetrasjonstester av kritiske systemer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Norges cybersikkerhetsmarked har respondert tilsvarende. If\u00f8lge Mordor Intelligence hadde markedet en st\u00f8rrelse p\u00e5 261,52 millioner USD i 2025 og forventes \u00e5 n\u00e5 283,53 millioner USD i 2026, med en sammensatt \u00e5rlig vekstrate (CAGR) p\u00e5 8,51 prosent frem til 2031. Overgangen til sky, modernisering av arktisk og offshore energiinfrastruktur, og den digitale sikkerhetslovens krav om samsvar driver investeringene oppover.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Men kompetansegapet er kritisk. Norge mangler ansl\u00e5tt 3 500 cybersikkerhetsspesialister innen 2030, og landets universiteter utdannet under 400 spesialister i 2025. Det er et strukturelt problem som ingen lov l\u00f8ser raskt nok. Den digitale sikkerhetslovens krav om samsvar kan paradoksalt nok forsterke gapet: bedrifter som ansetter for \u00e5 oppfylle lovkravene konkurrerer om den samme lille talentbasen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sektorsammenligning-norsk-kritisk-infrastruktur-og-sikkerhetsstatus\">Sektorsammenligning: Norsk kritisk infrastruktur og sikkerhetsstatus<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Sektor<\/th><th>Kjent trussel (2025-2026)<\/th><th>Viktigste s\u00e5rbarhet<\/th><th>Status etter Digital sikkerhetsloven<\/th><\/tr><\/thead><tbody><tr><td>Vannkraft og demninger<\/td><td>Z-PENTEST og pro-russiske hacktivister<\/td><td>Web-eksponerte HMI, svake passord<\/td><td>Revisjonskrav innf\u00f8rt, implementering varierer<\/td><\/tr><tr><td>Petroleum og olje og gass<\/td><td>Russisk sabotasjerisiko, forsyningskjedeangrep<\/td><td>Undersj\u00f8isk infrastruktur, leverand\u00f8rkjede<\/td><td>NSM krever vedvarende forh\u00f8yet beredskap<\/td><\/tr><tr><td>Telekommunikasjon<\/td><td>Salt Typhoon (Kina), bekreftet februar 2026<\/td><td>Avlytting av regjeringskommunikasjon<\/td><td>NSM-overv\u00e5kingsdirektiver utstedt<\/td><\/tr><tr><td>Maritim og shipping<\/td><td>APT28 (Russland), 72 l\u00f8sepengevirusangrep i 2025<\/td><td>E-postspearphishing, manglende EDR<\/td><td>NORMA Cyber: EDR p\u00e5 fart\u00f8yniv\u00e5 innen 2027<\/td><\/tr><tr><td>Finanssektoren<\/td><td>Organisert kriminalitet, hacktivister<\/td><td>Tredjeparts forsyningskjede, MFA-bypass<\/td><td>NFCERT: H\u00f8y, men stabil trussel<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hva-bremanger-betyr-for-ot-sikkerhet-globalt\">Hva Bremanger betyr for OT-sikkerhet globalt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bremanger-hendelsen er blitt et l\u00e6rebokeksempel i OT-sikkerhetsmilj\u00f8et fordi den er sjelden: et dokumentert, bekreftet og offentlig attribuert angrep p\u00e5 et fysisk kontrollsystem, der angriperne faktisk oppn\u00e5dde prosessmanipulasjon. De fleste ICS-angrep forblir enten uoppdaget, urapportert eller klassifisert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">OT-sikkerhetsekspert Fred Gordy, som analyserte hendelsen for Claroty, trakk frem den grunnleggende l\u00e6rdommen: \u00abDette var ikke et angrep som krevde avanserte verkt\u00f8y eller nulldagss\u00e5rbarheter. Det krevde bare internettilgang og ett svakt passord. Det er akkurat den typen eksponering som gj\u00f8r OT-systemer til lavthengende m\u00e5l for trusselakt\u00f8rer med minimale ressurser.\u00bb<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ON2IT, et sikkerhetsfirma med bred OT-erfaring, pekte i sin analyse p\u00e5 det som er det egentlige problemet: ikke selve angrepet, men de fire timene det tok \u00e5 oppdage det. \u00abAngriperne utnyttet eksponert tilgang og svake kontroller snarere enn avanserte utnyttelser eller skadevare. Men de fire timene som gikk f\u00f8r operat\u00f8rene gjenkjente manipulasjonen, er det som virkelig b\u00f8r bekymre oss\u00bb, konkluderte ON2IT.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For norske vannkraftoperat\u00f8rer, som kontrollerer rundt 88 prosent av Norges str\u00f8mproduksjon, er meldingen klar: internetteksponerte kontrollsystemer med enkle passord er ikke lenger akseptabelt. NSM anbefaler n\u00e5 spesifikt nettverkssegmentering, tidsbegrensede og MFA-beskyttede tilganger, og kontinuerlig overv\u00e5king som minstekrav for industrielle kontrollsystemer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"zero-trust-for-ot-den-eneste-veien-frem\">Zero trust for OT: Den eneste veien frem<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sikkerhetsmilj\u00f8et er nesten enstemmig om at zero trust-arkitektur er n\u00f8dvendig, men at overgangen er krevende i OT-milj\u00f8er der systemer kan v\u00e6re ti\u00e5r gamle og ikke er designet for moderne autentisering. Tre tiltak peker seg ut som umiddelbare prioriteringer: erstatt direkte internetteksponerte HMI-grensesnitt med bastionverter og jump-servere innenfor sikrede soner; krev MFA p\u00e5 alle fjernstyrte industrigrensesnitt; og innf\u00f8r kontinuerlig overv\u00e5king med varslingstid under 30 minutter, ikke fire timer. For et mer detaljert blikk p\u00e5 trusselbildet mot nordisk energisektor, se <a href=\"\/no\/nordisk-energisektor-ot-sikkerhet-2026\/\">v\u00e5r analyse av nordisk energisektor og OT-sikkerhet<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"norges-cybersikkerhetsinvesteringer-i-kontekst\">Norges cybersikkerhetsinvesteringer i kontekst<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Norges svar p\u00e5 cybertrusselen er delvis finansielt, delvis regulatorisk og delvis diplomatisk. Cybersikkerhetsmarkedet vokser, den digitale sikkerhetslovens krav driver samsvarsinvesteringer, og NSMs kapasitet er utvidet. Men tallene avsl\u00f8rer ogs\u00e5 et strukturelt underskudd som ikke l\u00f8ses raskt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diplomatisk har Norge styrket sitt engasjement i NATO Cyber Defence og ENISA, og bidrar aktivt til nordisk koordinering gjennom NCSC-samarbeidet. North European Cyber Days, som arrangeres i Oslo i november 2026, samler cybersikkerhets- og AI-ledere fra hele Norden for \u00e5 adressere nettopp disse utfordringene. Norges rolle som Europas viktigste gassleverand\u00f8r gir infrastrukturbeskyttelse en dimensjon som strekker seg langt utover landets egne grenser.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sp\u00f8rsm\u00e5let er om tempoet i implementeringen er h\u00f8yt nok. Bremanger viste at angriperne ikke trenger avanserte virkemidler. De trenger bare at ett system er feil konfigurert og ett passord er for svakt. Og i Norges energisektor finnes det fortsatt mange slike systemer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ekspertanalyse-hva-bremanger-forteller-om-ot-sikkerhetsgapet\">Ekspertanalyse: Hva Bremanger forteller om OT-sikkerhetsgapet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Radiflow oppsummerte den mest ubehagelige l\u00e6rdommen fra Bremanger-angrepet i sin tekniske gjennomgang: \u00abAngriperne hadde sanntidskontroll over fysiske prosesser. Sikkerheten var avhengig av ren flaks og at operat\u00f8rene oppdaget dem i tide. Angrepet var ikke et fors\u00f8k p\u00e5 \u00e5 for\u00e5rsake katastrofal skade, men det demonstrerte at evnen til \u00e5 gj\u00f8re det var teknisk tilgjengelig.\u00bb<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Det er essensen av hvorfor Bremanger er viktigere enn det umiddelbare utfallet tilsier. 7,2 millioner liter vann er mye, men det \u00f8dela ikke demningen, skadet ingen og satte ikke str\u00f8mforsyningen ut. Et neste angrep, mot et st\u00f8rre anlegg, med mer sofistikerte angripere, p\u00e5 et system n\u00e6r kapasitetsgrensen, kan ha et annet utfall.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For en bredere forst\u00e5else av den nordiske cybertrusselens omfang, se v\u00e5r <a href=\"\/no\/norden-166-cyberhendelser-2026\/\">analyse av 166 cyberhendelser i Norden<\/a> og hva de avsl\u00f8rte om ansvarsfraskrivelse i sektoren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-spadommer-for-norges-kritiske-infrastruktur-2026-2027\">5 sp\u00e5dommer for Norges kritiske infrastruktur 2026-2027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basert p\u00e5 trendene fra 2025 og tidlige signaler fra 2026 peker disse scenariene seg ut som de mest sannsynlige:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Raskere og mer offentlig attribusjon.<\/strong> PSTs beslutning om \u00e5 navngi Russland i Bremanger-saken br\u00f8t et langvarig m\u00f8nster av norsk tilbakeholdenhet. Forvent at Norge og andre nordiske land vil attribuere cyberhendelser raskere og mer offentlig i 2026, som del av en koordinert NATO-avskrekningsstrategi der synlighet er et bevisst politisk virkemiddel.<\/li><li><strong>Strengere regulering av ICS- og OT-tilgang.<\/strong> NVE og Energidepartementet vil trolig innf\u00f8re spesifikke tekniske minimumskrav til internetteksponering og autentisering for vannkraft og kraftnett innen utgangen av 2026, som et direkte svar p\u00e5 Bremanger-hendelsens avdekking av systemisk svakhet.<\/li><li><strong>\u00d8kt pro-russisk hacktivistaktivitet mot nordisk energi.<\/strong> Med Norges rolle som Europas viktigste gassleverand\u00f8r vil russisk-allierte grupper som Z-PENTEST fortsette \u00e5 teste norsk energiinfrastruktur. Minst to til fire offentlig kjente fors\u00f8k er sannsynlig i l\u00f8pet av 2026, spesielt knyttet til geopolitiske hendelser relatert til krigen i Ukraina.<\/li><li><strong>Norsk cybersikkerhetsmarked over 300 millioner USD.<\/strong> Det voksende reguleringslandskapet og eskalerende trusler vil presse markedsvolumet forbi 300 millioner USD i l\u00f8pet av 2026, s\u00e6rlig innen managed detection and response (MDR) og OT-spesifikke sikkerhetsl\u00f8sninger.<\/li><li><strong>EDR-krav sprer seg fra maritim til energi.<\/strong> NORMA Cybervs fart\u00f8ybaserte EDR-krav innen 2027 vil skape presedens. Regulatorer innen vannkraft og nettoperat\u00f8rer vil sannsynligvis f\u00f8lge etter med lignende krav til endepunktoverv\u00e5king i OT-milj\u00f8er, med et effektivitetskrav trolig satt til 2028.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"relatert-dekning\">Relatert dekning<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For mer kontekst om norsk og nordisk cybersikkerhet:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/no\/salt-typhoon-norge-pst-2026\/\">Salt Typhoon i Norge: PST bekrefter Kina-angrep mot telekominfrastruktur [2026]<\/a><\/li><li><a href=\"\/no\/nordisk-energisektor-ot-sikkerhet-2026\/\">Nordisk energisektor: 73% hacket via VPN [2026]<\/a><\/li><li><a href=\"\/no\/norden-166-cyberhendelser-2026\/\">Norden: 166 cyberhendelser, 52% skyver ansvaret [2026]<\/a><\/li><li><a href=\"\/no\/edr-vs-xdr\/\">EDR vs XDR: 10 min vs 4 timer MTTR [2026]<\/a><\/li><li><a href=\"\/no\/nettsvindel-norge-1-2-mrd-2026\/\">Nettsvindel i Norge: 1,2 mrd tapt i 2024 [2026]<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"videre-lesning-autoritative-kilder\">Videre lesning: Autoritative kilder<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/nsm.no\/areas-of-expertise\/cyber-security\/norwegian-national-cyber-security-centre-ncsc\/\" rel=\"noopener noreferrer\" target=\"_blank\">NSM: Nasjonalt cybersikkerhetssenter (NCSC)<\/a><\/li><li><a href=\"https:\/\/www.pst.no\/wp-content\/uploads\/2026\/02\/National-Threat-Assessment-2026.pdf\" rel=\"noopener noreferrer\" target=\"_blank\">PST: Nasjonal trusselvurdering 2026 (PDF)<\/a><\/li><li><a href=\"https:\/\/claroty.com\/blog\/cyberattack-on-norwegian-dam-highlights-password-exposure-risks\" rel=\"noopener noreferrer\" target=\"_blank\">Claroty: Cyberangrep p\u00e5 norsk demning avdekker passordrisiko<\/a><\/li><li><a href=\"https:\/\/www.radiflow.com\/radiflow-labs\/inside-norway-2025-dam-cyberattack-radiflow\/\" rel=\"noopener noreferrer\" target=\"_blank\">Radiflow: Innsiden av Norges 2025-demningangrep<\/a><\/li><li><a href=\"https:\/\/on2it.net\/blog\/the-norwegian-dam-cyberattack\/\" rel=\"noopener noreferrer\" target=\"_blank\">ON2IT: Det norske demningangrepet som OT-sikkerhetsvekkespark<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ofte-stilte-sporsmal\">Ofte stilte sp\u00f8rsm\u00e5l<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-skjedde-ved-bremanger-demningen-i-april-2025\">Hva skjedde ved Bremanger-demningen i april 2025?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Den 7. april 2025 fikk hackere tilgang til styringssystemet for Risevatnet-demningen i Bremanger via et internetteksponert HMI-kontrollpanel beskyttet av et svakt passord. De \u00e5pnet en avl\u00f8psventil til 100 prosent kapasitet. Over fire timer rant 500 liter per sekund over normalniv\u00e5, totalt 7,2 millioner liter vann, f\u00f8r bruddet ble oppdaget og stoppet. Det oppsto ingen fysisk skade og ingen personskader.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvem-sto-bak-angrepet-pa-bremanger-demningen\">Hvem sto bak angrepet p\u00e5 Bremanger-demningen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Norsk etterretning og PST har tilskrevet angrepet til pro-russiske hackere. Den spesifikke gruppen som pekes ut i tekniske analyser er Z-PENTEST, en pro-russisk hacktivistgruppe som spesialiserer seg p\u00e5 industrielle kontrollsystemer og som dokumenterte angrepet p\u00e5 Telegram. PST-sjef Beate Gangaas bekreftet russisk tilknytning offentlig i august 2025, som den f\u00f8rste norske myndighetsattribusjonen av et cyberangrep p\u00e5 infrastruktur til Russland.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-er-et-hmi-og-hvorfor-er-det-sarbart\">Hva er et HMI og hvorfor er det s\u00e5rbart?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">HMI (Human-Machine Interface) er kontrollpanelet som lar operat\u00f8rer overv\u00e5ke og styre industrielt utstyr som ventiler, pumper og generatorer. Mange eldre HMI-systemer ble designet for lukkede nettverk, men er koblet til internett for fjernoverv\u00e5king uten tilstrekkelig sikkerhet: manglende multifaktorautentisering, ingen nettverkssegmentering og svake passordkrav. Denne eksponeringen gj\u00f8r dem til enkle m\u00e5l som ikke krever avanserte angrepsverkt\u00f8y.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-innebaerer-digital-sikkerhetsloven-som-tradte-i-kraft-i-2025\">Hva inneb\u00e6rer Digital sikkerhetsloven som tr\u00e5dte i kraft i 2025?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Digital sikkerhetsloven, som tr\u00e5dte i kraft i oktober 2025, innf\u00f8rer skjerpede IKT-sikkerhetskrav for norske virksomheter som eier eller drifter kritisk infrastruktur. Kravene inkluderer obligatorisk rapportering av alvorlige cyberhendelser til NSM innen 72 timer, regelmessige sikkerhetsrevisjoner og gjennomf\u00f8ring av risikovurderingsbaserte tiltak etter NSMs rammeverk. Loven er et svar p\u00e5 det eskalerende trusselbildet mot norsk infrastruktur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"er-norsk-vannkraftinfrastruktur-generelt-sikker\">Er norsk vannkraftinfrastruktur generelt sikker?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Norsk vannkraft produserer rundt 88 prosent av landets str\u00f8m og er et naturlig sabotasjem\u00e5l. Sikkerheten varierer betydelig mellom anlegg: store operat\u00f8rer med dedikerte sikkerhetsavdelinger har mer robuste forsvar, mens mindre selskaper kan ha eldre systemer med svakere sikkerhetspraksis. NSM og NVE arbeider n\u00e5 med \u00e5 standardisere minimumskrav p\u00e5 tvers av sektoren som et direkte svar p\u00e5 Bremanger-hendelsen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-er-pst-og-nsms-rolle-i-norsk-cybersikkerhet\">Hva er PST og NSMs rolle i norsk cybersikkerhet?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">PST (Politiets sikkerhetstjeneste) er Norges sikkerhetstjeneste for kontraterrorisme og kontraspionasje, inkludert statsst\u00f8ttede cyberoperasjoner mot norske interesser. NSM (Nasjonal sikkerhetsmyndighet) er Norges tekniske cybersikkerhetsorgan, som driver NorCERT (Computer Emergency Response Team) og VDI (varslingssystem for digital infrastruktur). Disse to etatene koordinerer Norges respons p\u00e5 alvorlige cyberangrep mot kritisk infrastruktur i samarbeid med NIS (Etterretningstjenesten).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-bor-norske-infrastrukturoperatorer-gjore-na\">Hva b\u00f8r norske infrastrukturoperat\u00f8rer gj\u00f8re n\u00e5?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NSM anbefaler tre umiddelbare prioriteringer: Fjern direkte internetteksponering av kontrollsystemer og erstatt med bastionvertbasert, MFA-beskyttet tilgang. Innf\u00f8r kontinuerlig overv\u00e5king av OT-nettverk med varslingstider under 30 minutter. Gjennomf\u00f8r regelmessige penetrasjonstester av ICS\/SCADA-systemer med ekstern ekspertise. Bremanger viste at fire timer er for lang tid \u00e5 vente p\u00e5 \u00e5 oppdage et angrep i et system med fysiske konsekvenser.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Den 7. april 2025 satte en gruppe russiske hackere seg inn i styringssystemet til en norsk demning i Bremanger kommune i Vestland og \u00e5pnet en flomport til full kapasitet. I\u2026<\/p>\n","protected":false},"author":6,"featured_media":116,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-115","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/comments?post=115"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/115\/revisions"}],"predecessor-version":[{"id":117,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/115\/revisions\/117"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media\/116"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media?parent=115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/categories?post=115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/tags?post=115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}