{"id":52,"date":"2026-06-11T08:53:45","date_gmt":"2026-06-11T08:53:45","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/11\/cyberangrep-bremanger-dam-2026\/"},"modified":"2026-06-11T20:45:50","modified_gmt":"2026-06-11T20:45:50","slug":"cyberangrep-bremanger-dam-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/2026\/06\/11\/cyberangrep-bremanger-dam-2026\/","title":{"rendered":"Cyberangrep Bremanger: 500 l\/s i 4 timer [2026]"},"content":{"rendered":"\n

Den 7. april 2025 mistet en vannkraftdemning i Bremanger p\u00e5 Vestlandet kontrollen over en luke i fire timer. En angriper hadde logget seg inn p\u00e5 et internetteksponert styringspanel, \u00e5pnet luken fullt og sluppet ut rundt 500 liter vann i sekundet f\u00f8r noen oppdaget det. Ingen ble skadet, og demningen t\u00e5lte belastningen. Men hendelsen ble et vendepunkt: i august 2025 pekte Politiets sikkerhetstjeneste (PST) for f\u00f8rste gang offentlig p\u00e5 prorussiske akt\u00f8rer som ansvarlige for et cyberangrep<\/strong> mot norsk kritisk infrastruktur<\/strong>.<\/p>\n\n\n\n

Saken ved Risevatnet-demningen viser hvor lite som skal til. Angriperne brukte verken avansert skadevare eller en kostbar nulldagss\u00e5rbarhet. De fant et webgrensesnitt p\u00e5 \u00e5pent internett og et svakt passord. For norske og nordiske virksomheter som drifter vann, kraft, olje og gass, er budskapet ubehagelig konkret: terskelen for \u00e5 n\u00e5 inn til styringssystemene er lavere enn mange tror, og motivet er ofte \u00e5 skape frykt, ikke \u00e5 \u00f8delegge.<\/p>\n\n\n\n

Denne analysen g\u00e5r gjennom hva som faktisk skjedde, hvordan PST landet p\u00e5 Russland, hva tallene fra Norden forteller, og hva eksperter og myndigheter mener norske bedrifter m\u00e5 gj\u00f8re n\u00e5. Vi ser ogs\u00e5 p\u00e5 markedsvirkningene for OT-sikkerhet og gir fem konkrete sp\u00e5dommer for 2026 og 2027.<\/p>\n\n\n\n

Hva skjedde ved Bremanger-demningen 7. april 2025<\/h2>\n\n\n\n

Risevatnet-demningen i Bremanger kommune styrer vannf\u00f8ringen til et lite vannkraftverk. Den 7. april 2025 fikk en uvedkommen ekstern tilgang til kontrollpanelet som styrer en utl\u00f8psluke. Angriperen \u00e5pnet luken til full kapasitet og \u00f8kte utslippet med omtrent 497 liter per sekund over den lovp\u00e5lagte minstevannf\u00f8ringen. If\u00f8lge offentlig tilgjengelig rapportering, blant annet en egen artikkel om saken p\u00e5 Wikipedia, sto luken \u00e5pen i rundt fire timer f\u00f8r driftspersonell oppdaget avviket og lukket den igjen.<\/p>\n\n\n\n

Vannmengden var liten nok til at det ikke oppsto fysisk skade nedstr\u00f8ms, og elveleiet t\u00e5lte den \u00f8kte vannf\u00f8ringen. Nettopp derfor mener norske myndigheter at hensikten ikke var \u00f8deleggelse. Angrepet leste mer som en demonstrasjon: et bevis p\u00e5 at noen kunne n\u00e5 helt inn til en fysisk ventil i norsk kraftforsyning, fjernstyre den, og slippe unna i timevis. Saken ble etterforsket av Kripos, og b\u00e5de NSM (Nasjonal sikkerhetsmyndighet) og Norges vassdrags- og energidirektorat (NVE) ble koblet inn i den nasjonale h\u00e5ndteringen.<\/p>\n\n\n\n

For et lite kraftverk p\u00e5 Vestlandet var konsekvensen i kroner og \u00f8re ubetydelig. For nasjonal beredskap var den symbolske kostnaden langt h\u00f8yere. Et angrep p\u00e5 en demning treffer noe folk forst\u00e5r intuitivt: vann, flom og fysisk fare. Det er denne psykologiske effekten som gj\u00f8r hendelsen interessant for en statlig akt\u00f8r, og som gj\u00f8r den til en sak hele Norden f\u00f8lger med p\u00e5.<\/p>\n\n\n\n

Slik tok hackerne kontroll: et \u00e5pent kontrollpanel og et svakt passord<\/h2>\n\n\n\n

Det tekniske bildet er nesten provoserende enkelt. Angriperne n\u00e5dde et webbasert menneske-maskin-grensesnitt (HMI) som l\u00e5 eksponert direkte mot internett. Innloggingen hvilte p\u00e5 et svakt passord, ikke p\u00e5 en sofistikert utnyttelse. Det betyr at angrepet i praksis kunne v\u00e6rt stoppet av grunnleggende sikkerhetshygiene: nettverkssegmentering, fjerning av direkte interneksponering og sterk autentisering.<\/p>\n\n\n\n

HMI-grensesnittet som l\u00e5 \u00e5pent mot nettet<\/h3>\n\n\n\n

I industrielle styringssystemer (OT, operasjonell teknologi) er HMI-panelet operat\u00f8rens vindu mot prosessen. N\u00e5r et slikt panel gj\u00f8res tilgjengelig over internett for \u00e5 forenkle fjerndrift, blir det samtidig en d\u00f8r for hvem som helst som finner adressen. S\u00f8kemotorer for tilkoblede enheter gj\u00f8r slike paneler enkle \u00e5 oppdage. Bremanger-saken er et l\u00e6rebokeksempel p\u00e5 hvorfor OT-systemer aldri b\u00f8r eksponeres uten et solid lag med tilgangskontroll foran.<\/p>\n\n\n\n

Z-Pentest og beviset p\u00e5 Telegram<\/h3>\n\n\n\n

If\u00f8lge flere rapporter postet den prorussiske gruppen Z-Pentest bevis p\u00e5 tilgangen p\u00e5 Telegram, en metode som har blitt vanlig blant hacktivist-grupper som vil dokumentere og spre frykt fra sine egne aksjoner. Slik selvpublisering tjener et form\u00e5l utover skrytet: den maksimerer den psykologiske effekten og inviterer media til \u00e5 forsterke budskapet. For en gruppe som vil skape uro, er omtalen en del av selve v\u00e5penet.<\/p>\n\n\n\n

PST peker p\u00e5 Russland: Beate Gangaas og attribusjonen i august 2025<\/h2>\n\n\n\n

Den offisielle norske attribusjonen kom i midten av august 2025. Under Arendalsuka knyttet PST-sjef Beate Gangaas angrepet til prorussiske akt\u00f8rer. Det var f\u00f8rste gang norske myndigheter formelt koblet Bremanger-hendelsen til Russland-tilknyttede milj\u00f8er.<\/p>\n\n\n\n

\u00abDet siste \u00e5ret har vi sett en endring i aktiviteten fra prorussiske cyberakt\u00f8rer.\u00bb<\/p>Beate Gangaas, sjef for PST<\/cite><\/blockquote>\n\n\n\n

PST beskrev hendelsen som en bevisst demonstrasjon av Moskvas evne til \u00e5 fjernkompromittere landets kritiske infrastruktur. Tjenesten mente form\u00e5let var \u00e5 p\u00e5virke og \u00e5 skape frykt og kaos i befolkningen, ikke \u00e5 p\u00e5f\u00f8re maksimal fysisk skade. Den russiske ambassaden avviste anklagene som grunnl\u00f8se og politisk motiverte, en standardrespons fra Moskva i lignende saker.<\/p>\n\n\n\n

Attribusjon er sjelden enkelt i cyberdomenet, og norske myndigheter er vanligvis varsomme med \u00e5 peke p\u00e5 en stat. At PST gjorde det offentlig, signaliserer b\u00e5de at de mente bevisene var sterke, og at de \u00f8nsket \u00e5 sende et politisk signal: Norge ser hva som skjer, og navngir avsenderen. Russland regnes av norsk etterretning som den st\u00f8rste trusselen mot rikets sikkerhet.<\/p>\n\n\n\n

Tallene: 21 hendelser i Norge mot 60 i Sverige<\/h2>\n\n\n\n

Bremanger var ikke en isolert episode, men en del av et bredere nordisk trusselbilde. En gjennomgang fra DNV registrerte 21 cyberhendelser som rammet norske virksomheter i 2025. Til sammenligning hadde Sverige 60, Finland 44 og Danmark 41. Norges tall er lavest i Norden, men Bremanger skiller seg ut nettopp fordi den kombinerer statlig attribusjon med fysisk infrastruktur.<\/p>\n\n\n\n

Land<\/th>Registrerte cyberhendelser 2025<\/th>Relativ andel i Norden<\/th>Profil<\/th><\/tr><\/thead>
Sverige<\/td>60<\/td>H\u00f8yest<\/td>Bred eksponering, mange angrep<\/td><\/tr>
Finland<\/td>44<\/td>Nest h\u00f8yest<\/td>Lang grense mot Russland<\/td><\/tr>
Danmark<\/td>41<\/td>Tredje<\/td>Energi og maritim sektor utsatt<\/td><\/tr>
Norge<\/td>21<\/td>Lavest<\/td>F\u00e6rre, men h\u00f8yprofilerte saker<\/td><\/tr><\/tbody><\/table>
Cyberhendelser mot virksomheter i Norden i 2025. Kilde: DNV-gjennomgang.<\/figcaption><\/figure>\n\n\n\n

Tallene m\u00e5 leses med forsiktighet. At Norge har f\u00e6rrest registrerte hendelser, betyr ikke at landet er tryggest. Det kan like gjerne reflektere ulik rapporteringskultur, ulik st\u00f8rrelse p\u00e5 \u00f8konomien og ulik grad av digital eksponering. Det viktige er trenden: prorussisk cyberaktivitet mot kritisk infrastruktur \u00f8ker i hele regionen, og Norge er ikke noe unntak.<\/p>\n\n\n\n

Hvorfor kritisk infrastruktur er m\u00e5let: vann, kraft, olje og sj\u00f8kabler<\/h2>\n\n\n\n

Norge er en energinasjon. Landet leverer en stor del av gassen Europa bruker, produserer nesten all str\u00f8mmen sin fra vannkraft, og har et omfattende nett av undersj\u00f8iske kabler og r\u00f8rledninger. Denne infrastrukturen er b\u00e5de ryggraden i \u00f8konomien og et \u00e5penbart m\u00e5l for en motstander som vil presse Vesten uten \u00e5 utl\u00f8se \u00e5pen krig.<\/p>\n\n\n\n

Vannkraftdemninger, transformatorstasjoner, pumpestasjoner og prosessanlegg ble bygget for fysisk sikkerhet og driftsstabilitet, ikke for \u00e5 motst\u00e5 en motstander p\u00e5 internett. Mange av styringssystemene er gamle, designet i en tid da \u00abluftgap\u00bb mot omverdenen var normen. N\u00e5r disse systemene kobles til nett for fjerndrift og effektivisering, oppst\u00e5r s\u00e5rbarheter som Bremanger-saken illustrerer.<\/p>\n\n\n\n

Sj\u00f8kabler og r\u00f8rledninger har f\u00e5tt s\u00e6rlig oppmerksomhet etter en rekke uforklarte hendelser i \u00d8stersj\u00f8en og Nordsj\u00f8en de siste \u00e5rene. For en angriper er kombinasjonen av fysisk sabotasje og cyberoperasjoner attraktiv: den skaper usikkerhet om hva som var en ulykke og hva som var et angrep, og gj\u00f8r det vanskelig \u00e5 svare. Det er denne gr\u00e5sonen hybridkrigf\u00f8ringen lever i.<\/p>\n\n\n\n

Ekspertene advarer: stemmer fra PST, NSM og bransjen<\/h2>\n\n\n\n

Bremanger-saken har samlet en sjelden tydelig konsensus blant norske sikkerhetsmilj\u00f8er. Budskapet g\u00e5r igjen: angrepet var teknisk enkelt, men strategisk alvorlig.<\/p>\n\n\n\n

\u00abHensikten var \u00e5 p\u00e5virke, og \u00e5 skape frykt og kaos i befolkningen.\u00bb<\/p>PSTs vurdering av Bremanger-angrepet<\/cite><\/blockquote>\n\n\n\n

NSM, som er Norges nasjonale fagmyndighet for cybersikkerhet og motstandsdyktig infrastruktur, har gjentatte ganger advart om at OT-systemer i energisektoren m\u00e5 skjermes bedre mot internett. Etter Bremanger ble NSM varslet om hendelsen og inng\u00e5r i det nasjonale responsapparatet sammen med PST og sektormyndigheten NVE.<\/p>\n\n\n\n

Internasjonale OT-sikkerhetsmilj\u00f8er trakk samme l\u00e6rdom. Analyser fra blant andre Phosphorus og ON2IT pekte p\u00e5 at saken f\u00f8rst og fremst var en vekker om grunnleggende hygiene: ikke eksponer styringssystemer mot nettet, bruk sterk autentisering og overv\u00e5k avvik i sanntid. Konsulentmilj\u00f8et beskrev hendelsen som en vekker for hele OT-bransjen, der det avgj\u00f8rende ikke var angriperens dyktighet, men forsvarets svakhet.<\/p>\n\n\n\n

Den r\u00f8de tr\u00e5den fra b\u00e5de myndigheter og bransje er at trusselen ikke lenger er teoretisk. En statlig akt\u00f8r har vist vilje til \u00e5 g\u00e5 fra rekognosering til faktisk manipulasjon av fysiske prosesser i Norge. Det flytter cybersikkerhet fra IT-avdelingens ansvar til styrerommets ansvar.<\/p>\n\n\n\n

Hybridkrigf\u00f8ring: angrepet som psykologisk v\u00e5pen<\/h2>\n\n\n\n

Det mest oppsiktsvekkende ved Bremanger er hvor lite fysisk skade angriperen ville p\u00e5f\u00f8re. 500 liter vann i sekundet fra en liten demning truer ingen liv. Verdien for avsenderen l\u00e5 et helt annet sted: i fortellingen om at russiske akt\u00f8rer kan n\u00e5 inn til norsk kraftforsyning n\u00e5r de vil.<\/p>\n\n\n\n

Dette er hybridkrigf\u00f8ringens logikk. M\u00e5let er ikke \u00e5 vinne en milit\u00e6r seier, men \u00e5 s\u00e5 tvil, splid og frykt under terskelen for det som utl\u00f8ser et samlet vestlig svar. En \u00e5pnet flomluke, en kuttet kabel, en mistenkelig drone over et anlegg: hver enkelt hendelse er for liten til \u00e5 v\u00e6re krig, men summen skaper en konstant f\u00f8lelse av s\u00e5rbarhet. Selvpubliseringen p\u00e5 Telegram er en del av strategien, fordi frykten f\u00f8rst virker n\u00e5r befolkningen f\u00e5r vite om angrepet.<\/p>\n\n\n\n

For beslutningstakere skaper dette et dilemma. Underreaksjon inviterer til flere angrep. Overreaksjon spiller potensielt motstanderen i hendene ved \u00e5 forsterke nettopp den frykten angrepet skulle skape. Norge valgte i Bremanger-saken en mellomvei: navngi avsenderen, beskriv hensikten n\u00f8kternt, og bruk hendelsen til \u00e5 stramme inn forsvaret.<\/p>\n\n\n\n

Markedsvirkning: OT-sikkerhet og forsikring i Norden<\/h2>\n\n\n\n

Bremanger traff et nordisk sikkerhetsmarked som allerede var i sterk vekst. Analyser fra Strategy& og PwC beskriver nordisk cybersikkerhet som posisjonert for langsiktig vekst, drevet av regulering, geopolitisk press og digitalisering av kritiske sektorer. Hendelser som Bremanger akselererer denne utviklingen ved \u00e5 flytte OT-sikkerhet fra \u00abb\u00f8r ha\u00bb til \u00abm\u00e5 ha\u00bb.<\/p>\n\n\n\n

Tre markedseffekter peker seg ut. For det f\u00f8rste \u00f8ker ettersp\u00f8rselen etter spesialisert OT-sikkerhet: nettverkssegmentering, anomalideteksjon i industrielle protokoller og kartlegging av eksponerte enheter. For det andre presser forsikringsbransjen frem strengere krav, der dekning for cyberhendelser i industrielle milj\u00f8er betinges av dokumentert sikkerhetshygiene. For det tredje \u00f8ker rekrutteringsbehovet: Norden mangler OT-sikkerhetskompetanse, og l\u00f8nningene i segmentet stiger.<\/p>\n\n\n\n

For norske energiselskaper betyr dette konkrete budsjettkonsekvenser. Investeringer som tidligere ble utsatt, som \u00e5 fjerne interneksponerte HMI-paneler eller innf\u00f8re toveis autentisering p\u00e5 fjerntilgang, blir n\u00e5 hastesaker. Kostnaden ved \u00e5 gj\u00f8re dette er beskjeden sammenlignet med omd\u00f8mmetapet og den politiske belastningen ved \u00e5 bli den neste Bremanger-saken.<\/p>\n\n\n\n

Historisk kontekst: fra departementsangrepet i 2023 til Bremanger<\/h2>\n\n\n\n

Bremanger st\u00e5r ikke alene. I juli 2023 ble tolv norske departementer rammet av en cyberkampanje som ble knyttet til russiske akt\u00f8rer, gjennom en s\u00e5rbarhet i en plattform for mobil enhetsadministrasjon. Det angrepet rammet IT-systemer og dokumenter. Bremanger rammet noe nytt: en fysisk prosess i den virkelige verden.<\/p>\n\n\n\n

Linjen fra 2023 til 2025 viser en utvikling i ambisjon. F\u00f8rst informasjonstyveri og spionasje mot statsforvaltningen. Deretter manipulasjon av industriell styring. Hver hendelse flytter grensen for hva en motstander er villig til \u00e5 gj\u00f8re, og hva Norge er villig til \u00e5 akseptere uten \u00e5 svare. Internasjonale registre som CSIS sitt arkiv over betydelige cyberhendelser plasserer begge sakene i en st\u00f8rre europeisk trend med statlig st\u00f8ttet aktivitet mot kritisk infrastruktur.<\/p>\n\n\n\n

Konteksten er forverret etter Russlands fullskala invasjon av Ukraina. Cyberoperasjoner og hybride aksjoner mot Vesten har blitt et permanent trekk ved sikkerhetsbildet, som svenske forsvarskilder har understreket. Norge, med sin lange grense og sin rolle som Europas gassleverand\u00f8r, er et naturlig m\u00e5l.<\/p>\n\n\n\n

Konkurrentbildet: Norge mot Sverige, Finland og Danmark<\/h2>\n\n\n\n

De nordiske landene m\u00f8ter samme motstander, men med ulike s\u00e5rbarheter og ulik beredskap. Sverige har flest registrerte hendelser og en bred industriell og forsvarsindustriell flate. Finland har den lengste landgrensen mot Russland og en lang tradisjon for totalforsvar. Danmark er s\u00e6rlig eksponert gjennom energi og maritim infrastruktur. Norge skiller seg ut med sin energirolle og sin avhengighet av fjerntliggende, automatiserte anlegg.<\/p>\n\n\n\n

Tidspunkt<\/th>Hendelse i Bremanger-saken<\/th><\/tr><\/thead>
Februar 2025<\/td>Norsk etterretning advarer om fortsatt russisk cyberaktivitet mot kritisk infrastruktur<\/td><\/tr>
7. april 2025<\/td>Angriper \u00e5pner utl\u00f8psluken via eksponert HMI, ca. 500 l\/s slippes ut<\/td><\/tr>
7. april 2025<\/td>Luken st\u00e5r \u00e5pen i ca. fire timer f\u00f8r driftspersonell oppdager avviket<\/td><\/tr>
April 2025<\/td>Kripos etterforsker, NSM og NVE kobles inn i den nasjonale h\u00e5ndteringen<\/td><\/tr>
August 2025<\/td>PST-sjef Beate Gangaas knytter angrepet til prorussiske akt\u00f8rer under Arendalsuka<\/td><\/tr><\/tbody><\/table>
Tidslinje for cyberangrepet mot Risevatnet-demningen i Bremanger.<\/figcaption><\/figure>\n\n\n\n

Felles for hele Norden er at NIS2-direktivet og nasjonal sikkerhetslovgivning n\u00e5 skjerper kravene til operat\u00f8rer av kritisk infrastruktur. Det betyr obligatorisk hendelsesrapportering, krav til risikostyring og personlig ansvar i ledelsen. Bremanger blir en case som regulatorer i alle de fire landene vil bruke for \u00e5 begrunne strengere tilsyn.<\/p>\n\n\n\n

Hva norske virksomheter b\u00f8r gj\u00f8re n\u00e5<\/h2>\n\n\n\n

L\u00e6rdommen fra Bremanger er at de viktigste tiltakene er de enkleste. Ingen kostbar teknologi var n\u00f8dvendig for \u00e5 stoppe angrepet, bare disiplin i grunnsikringen. Virksomheter som drifter OT-milj\u00f8er b\u00f8r prioritere f\u00f8lgende:<\/p>\n\n\n\n