{"id":58,"date":"2026-06-12T08:56:34","date_gmt":"2026-06-12T08:56:34","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/12\/nordisk-energisektor-ot-sikkerhet-2026\/"},"modified":"2026-06-12T12:45:56","modified_gmt":"2026-06-12T12:45:56","slug":"nordisk-energisektor-ot-sikkerhet-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/2026\/06\/12\/nordisk-energisektor-ot-sikkerhet-2026\/","title":{"rendered":"Nordisk energisektor: 73 % hacket via VPN [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Den nordiske energisektoren har blitt et hovedm\u00e5l for cyberoperasjoner, og tallene fra 2025 og 2026 tegner et alvorlig bilde. I en fersk kartlegging av nordiske akt\u00f8rer innen fornybar energi fant trusseletterretningsselskapet Dragos at <strong>54 prosent<\/strong> av de eksponerte VPN-l\u00f8sningene var utdaterte Cisco SSL-VPN-er, mens <strong>73 prosent<\/strong> av selskapets globale hendelsesoppdrag startet med en VPN eller gjenbrukte passord som inngangsport. Samtidig vokste antallet l\u00f8sepengegrupper som angriper industri fra 80 til <strong>119<\/strong> p\u00e5 ett \u00e5r. For Norge, der et vannkraftanlegg i Bremanger ble fjernstyrt av pro-russiske akt\u00f8rer i april 2025, er dette ikke lenger en teoretisk risiko. Det er driftsvirkelighet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Denne nyhetsanalysen g\u00e5r gjennom dataene bak trusselbildet, hva ekspertene faktisk sier, hvordan Norge ligger an mot Sverige, Finland og Danmark, og hva angrepene betyr for markedet, forsikringen og reguleringen av <strong>kritisk infrastruktur<\/strong> i Norden. Kjernen er <strong>OT-sikkerhet<\/strong>, alts\u00e5 sikring av de industrielle styresystemene som driver kraftverk, vannforsyning og transport.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hva-skjer-i-nordisk-energisektor-akkurat-na\">Hva skjer i nordisk energisektor akkurat n\u00e5<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Trusselen mot nordisk <strong>kritisk infrastruktur<\/strong> har endret karakter i l\u00f8pet av 2025 og inn i 2026. Tidligere handlet de fleste angrepene mot energiselskaper om datatyveri og industrispionasje. N\u00e5 retter akt\u00f8rene seg direkte mot driften: ventiler, transformatorstasjoner, fjernstyringssystemer og selve produksjonskontrollen. Skillet er viktig, fordi et angrep mot styresystemene kan stoppe str\u00f8m, slippe ut vann eller sette transport ut av spill, ikke bare lekke dokumenter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dragos beskriver den nordiske fornybarsektoren som et prim\u00e6rt m\u00e5l for cyberoperasjoner, og kartleggingen omfatter vind, sol, kjernekraft, vannkraft og biodrivstoff. Det er en logisk konsekvens av at Norden bygger ut fornybar produksjon raskere enn de fleste regioner i Europa. Hver ny vindpark, hvert solcelleanlegg og hver hydrogenfabrikk legger til fjernstyrte komponenter som m\u00e5 kobles til nett, og hver tilkobling utvider angrepsflaten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Parallelt har pro-russiske grupper trappet opp tjenestenektangrep. Dragos registrerte en \u00f8kning p\u00e5 <strong>40 prosent<\/strong> i DDoS-angrep mot kritisk infrastruktur det siste \u00e5ret, med transport og offentlige tjenester som tydeligst rammet. Disse angrepene er ofte st\u00f8yende og kortvarige, men de fungerer som rekognosering og som politisk signalisering. De viser kapasitet, kartlegger respons og holder forsvarerne opptatt. For en sektor som leverer samfunnskritiske tjenester hver time hele \u00e5ret, er selv kortvarige avbrudd kostbare.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Det norske bildet er sammensatt. Etter DNVs Nordic-oversikt rammet 21 cyberhendelser norske virksomheter i 2025, langt f\u00e6rre enn Sveriges 60. Men antallet hendelser sier lite om alvoret. Bremanger-saken viste at ett enkelt angrep mot et lite anlegg kan f\u00e5 nasjonal oppmerksomhet og utl\u00f8se formell attribusjon til en fremmed stat.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"dragos-rapporten-54-prosent-sarbare-vpn-er-i-nordisk-fornybar-energi\">Dragos-rapporten: 54 prosent s\u00e5rbare VPN-er i nordisk fornybar energi<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den mest konkrete dataen om nordisk <strong>OT-sikkerhet<\/strong> kommer fra Dragos&#8217; kartlegging av eksponerte fjernaksessl\u00f8sninger hos fornybarakt\u00f8rer. Selskapet unders\u00f8kte 30 offentlig tilgjengelige VPN-enheter hos nordiske eiere av fornybar energi. Resultatet var nedsl\u00e5ende lesning for en sektor som er definert som samfunnskritisk.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>54 prosent<\/strong> av de unders\u00f8kte VPN-ene var Cisco SSL-VPN-er, en kategori som har v\u00e6rt utsatt for flere alvorlige s\u00e5rbarheter og som regnes som utdatert for h\u00f8yrisikomilj\u00f8er.<\/li>\n<li><strong>27 prosent<\/strong> var Citrix-baserte fjernaksessl\u00f8sninger, en annen produktfamilie med en lang historie av kritiske s\u00e5rbarheter.<\/li>\n<li>Kartleggingen avdekket gjennomg\u00e5ende mangler: leverand\u00f8rstyrte styresystemer uten kundekontroll, frav\u00e6r av nettverkssegmentering mellom IT og OT, usikre filoverf\u00f8ringsprotokoller, OT-systemer koblet direkte til internett og svake mekanismer for fjernaksess.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Funnet om manglende segmentering er det farligste. I et godt sikret anlegg skal kontorsystemene og produksjonssystemene v\u00e6re atskilt, slik at et innbrudd i e-post ikke gir vei inn til turbinstyringen. N\u00e5r segmenteringen mangler, kan \u00e9n stj\u00e5let p\u00e5logging gi angriperen en rett linje fra internett til den fysiske prosessen. Det er n\u00f8yaktig denne kjeden Bremanger-saken demonstrerte i praksis.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For norske kraftselskaper er konklusjonen ubehagelig konkret. Mange av de samme produktene som ble funnet s\u00e5rbare i kartleggingen, er i bruk hos nettselskaper, produsenter og systemoperat\u00f8rer over hele landet. En utdatert VPN-portal er ikke en abstrakt risiko. Den er en \u00e5pen d\u00f8r som krever oppgradering n\u00e5, ikke ved neste budsjettrunde.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"73-prosent-av-angrepene-starter-med-vpn-eller-gjenbrukte-passord\">73 prosent av angrepene starter med VPN eller gjenbrukte passord<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den nordiske kartleggingen f\u00e5r tyngde av et globalt tall fra Dragos&#8217; OT-rapport for 2026: <strong>73 prosent<\/strong> av selskapets hendelsesoppdrag hadde en VPN eller gjenbrukte p\u00e5loggingsdetaljer som inngangspunkt. Dette er den enkeltstatistikken som best forklarer hvordan industrielle angrep faktisk skjer. Det er ikke avanserte nulldagss\u00e5rbarheter som dominerer. Det er gamle portaler og passord som aldri ble byttet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Rapporten fremhever ogs\u00e5 at olje- og gassektoren har den h\u00f8yeste andelen standardpassord av alle bransjer. Standardpassord betyr at utstyr settes i drift med fabrikkinnstillinger som \u00abadmin\/admin\u00bb, som angripere kan sl\u00e5 opp i offentlige lister. Kombinasjonen av eksponert VPN og standardpassord er en av de enkleste angrepsveiene som finnes, og den krever ingen statlig kapasitet \u00e5 utnytte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L\u00e6rdommen for nordiske virksomheter er at grunnleggende hygiene sl\u00e5r dyre verkt\u00f8y. Tofaktorp\u00e5logging p\u00e5 all fjernaksess, sletting av ubrukte kontoer og rask utskifting av utdaterte VPN-portaler ville fjernet flertallet av inngangspunktene Dragos observerte. Mer om hvorfor <a href=\"\/no\/passordsikkerhet\/\">passordsikkerhet og hashing<\/a> fortsatt er f\u00f8rstelinjeforsvaret, finner du i v\u00e5r gjennomgang av temaet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bremanger-dammen-et-forvarsel-om-ot-trusselen\">Bremanger-dammen: et forvarsel om OT-trusselen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den 7. april 2025 fikk uvedkommende kontroll over en ventil ved Risevatnet-dammen n\u00e6r Bremanger i Vestland. Angriperne \u00e5pnet en luke som slapp ut rundt <strong>500 liter vann i sekundet i omtrent fire timer<\/strong> f\u00f8r utslippet ble oppdaget og stanset. Det oppsto ingen fysisk skade, og vannmengden var langt under det dammen t\u00e5ler. Men hendelsen var et tydelig signal: noen kunne n\u00e5 styresystemet og bevege den fysiske prosessen utenfra.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-angrepet-faktisk-avslorte\">Hva angrepet faktisk avsl\u00f8rte<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">I august 2025 attribuerte norske myndigheter angrepet til russiske eller russiskforbundne akt\u00f8rer, f\u00f8rste gang Oslo formelt knyttet en slik hendelse til Russland. En gruppe som kaller seg Z-Alliance, hadde tidligere hevdet ansvar p\u00e5 Telegram. Det viktige er ikke vannmengden, men beviset p\u00e5 tilgang. Angriperne demonstrerte at de kunne n\u00e5 et industrielt styresystem og betjene det, et klassisk eksempel p\u00e5 <strong>OT-sikkerhet<\/strong> som svikter p\u00e5 det mest grunnleggende niv\u00e5et.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bremanger-saken er behandlet i dybden i v\u00e5r egen artikkel om <a href=\"\/no\/cyberangrep-bremanger-dam-2026\/\">cyberangrepet mot Bremanger-dammen<\/a>, og den inng\u00e5r n\u00e5 i et bredere m\u00f8nster som <a href=\"\/no\/cyberangrep-norge-ai-trussel-2026\/\">cyberangrep mot Norge<\/a> beskriver. Poenget i denne analysen er at dammen ikke var et s\u00e6rtilfelle. Den var et representativt eksempel p\u00e5 akkurat de svakhetene Dragos fant i hele den nordiske fornybarsektoren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tallenes-tale-angrep-mot-norden-i-2025\">Tallenes tale: angrep mot Norden i 2025<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For \u00e5 forst\u00e5 omfanget er det nyttig \u00e5 samle de verifiserte tallene fra de viktigste rapportene i ett bilde. Tabellen under viser n\u00f8kkeltallene som ligger til grunn for trusselvurderingen av nordisk <strong>kritisk infrastruktur<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>N\u00f8kkeltall<\/th><th>Verdi<\/th><th>Kilde<\/th><\/tr><\/thead><tbody>\n<tr><td>Andel s\u00e5rbare Cisco SSL-VPN i nordisk fornybar energi<\/td><td>54 %<\/td><td>Dragos Nordic OT<\/td><\/tr>\n<tr><td>Andel Citrix-fjernaksess i samme utvalg<\/td><td>27 %<\/td><td>Dragos Nordic OT<\/td><\/tr>\n<tr><td>Antall unders\u00f8kte VPN-enheter<\/td><td>30<\/td><td>Dragos Nordic OT<\/td><\/tr>\n<tr><td>\u00d8kning i DDoS mot kritisk infrastruktur<\/td><td>40 %<\/td><td>Dragos Nordic OT<\/td><\/tr>\n<tr><td>Hendelsesoppdrag med VPN eller gjenbrukt passord som inngang<\/td><td>73 %<\/td><td>Dragos 2026 OT<\/td><\/tr>\n<tr><td>L\u00f8sepengegrupper mot industri (2025)<\/td><td>119<\/td><td>Dragos 2026 OT<\/td><\/tr>\n<tr><td>L\u00f8sepengegrupper mot industri (2024)<\/td><td>80<\/td><td>Dragos 2026 OT<\/td><\/tr>\n<tr><td>Industrivirksomheter rammet globalt<\/td><td>3 300<\/td><td>Dragos 2026 OT<\/td><\/tr>\n<tr><td>Vannutslipp ved Bremanger-dammen<\/td><td>500 l\/s i 4 timer<\/td><td>Norske myndigheter<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Tabellen viser et tydelig m\u00f8nster. Veksten i antall l\u00f8sepengegrupper, fra 80 til 119 p\u00e5 ett \u00e5r, er en \u00f8kning p\u00e5 nesten 49 prosent. Samtidig peker inngangsstatistikken p\u00e5 at problemet ikke er mangel p\u00e5 sofistikerte verkt\u00f8y hos forsvarerne, men grunnleggende eksponering. De fleste angrep utnytter svakheter som har v\u00e6rt kjent i \u00e5revis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"losepengevirus-mot-industrien-119-grupper-3-300-ofre\">L\u00f8sepengevirus mot industrien: 119 grupper, 3 300 ofre<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L\u00f8sepengevirus har lenge v\u00e6rt en plage for kontornettverk. Det nye i 2025 og 2026 er at gruppene i \u00f8kende grad retter seg mot industri og OT-milj\u00f8er. Dragos sporet <strong>119 l\u00f8sepengegrupper<\/strong> som angrep industrielle organisasjoner i 2025, opp fra 80 \u00e5ret f\u00f8r, og anslo at rundt <strong>3 300 virksomheter<\/strong> ble rammet globalt. Det er en industrialisering av utpressing.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hvorfor flytter l\u00f8sepengeakt\u00f8rene seg mot industri? Fordi nedetid i produksjon er dyrere enn nedetid p\u00e5 kontoret. Et kraftselskap som mister styringen over produksjonen, taper inntekter hvert minutt og risikerer brudd p\u00e5 leveringsforpliktelser. Det gir angriperne et sterkere forhandlingskort og h\u00f8yere sannsynlighet for at offeret betaler. N\u00e5r et angrep treffer b\u00e5de IT og OT samtidig, blir presset enormt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For nordiske selskaper betyr dette at l\u00f8sepengeforsvar ikke lenger kan stoppe ved kontornettet. Sikkerhetskopier av OT-konfigurasjoner, segmentering som hindrer spredning fra IT til OT, og \u00f8vde gjenopprettingsplaner for industrielle systemer er blitt en forutsetning. Hvordan <a href=\"\/no\/datalekkasjer\/\">datalekkasjer og innbrudd<\/a> typisk forl\u00f8per, gir nyttig kontekst for \u00e5 forst\u00e5 hvordan disse angrepene eskalerer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hvorfor-energisektoren-er-et-hovedmal\">Hvorfor energisektoren er et hovedm\u00e5l<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Energi er attraktivt for angripere av tre grunner: politisk verdi, \u00f8konomisk verdi og teknisk s\u00e5rbarhet. Den politiske verdien er \u00e5penbar i en periode med spent forhold mellom Russland og Norden. Et angrep mot str\u00f8mforsyning sender et budskap uten \u00e5 avfyre et eneste skudd, og det kan benektes. Den \u00f8konomiske verdien ligger i at produksjonsnedetid umiddelbart koster penger, noe som gj\u00f8r sektoren til et godt m\u00e5l for utpressing.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den tekniske s\u00e5rbarheten er mer subtil. Mange industrielle styresystemer ble bygget for en tid da nettverk var lukkede. Protokollene mangler ofte kryptering og autentisering, fordi de aldri var ment \u00e5 n\u00e5s utenfra. N\u00e5r disse systemene n\u00e5 kobles til for fjernoverv\u00e5king og effektivisering, arver de internettets trusselbilde uten \u00e5 ha internettets forsvar. Fornybarutbyggingen forsterker dette, fordi spredte anlegg som vindparker og solparker krever fjernstyring for \u00e5 v\u00e6re l\u00f8nnsomme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dragos kartla risiko p\u00e5 tvers av vind, sol, kjernekraft, vannkraft og biodrivstoff, og fant gjennomg\u00e5ende de samme svakhetene. Det betyr at s\u00e5rbarheten ikke er knyttet til \u00e9n teknologi, men til m\u00e5ten hele sektoren digitaliseres p\u00e5. Jo raskere Norden bygger ut fornybar produksjon, desto st\u00f8rre blir angrepsflaten dersom sikkerheten ikke f\u00f8lger med i samme tempo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ekspertene-advarer-russland-er-den-storste-trusselen\">Ekspertene advarer: \u00abRussland er den st\u00f8rste trusselen\u00bb<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">De som leder Norges sikkerhetstjenester, har v\u00e6rt uvanlig tydelige om trusselbildet i 2025. Vurderingene deres gir kontekst til de tekniske funnene og forklarer hvorfor energisektoren prioriteres s\u00e5 h\u00f8yt.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>\u00abDet siste \u00e5ret har vi sett en endring i aktiviteten fra pro-russiske cyberakt\u00f8rer.\u00bb Bremanger-hendelsen var, if\u00f8lge henne, \u00abet eksempel p\u00e5 et slikt angrep\u00bb.<\/p><cite>Beate Gang\u00e5s, sjef for Politiets sikkerhetstjeneste (PST)<\/cite><\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>\u00abRussland er fortsatt den st\u00f8rste trusselen mot Norges sikkerhet.\u00bb<\/p><cite>Nils Andreas Stens\u00f8nes, sjef for Etterretningstjenesten<\/cite><\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Internasjonale fagfolk understreker det samme m\u00f8nsteret om at angrep mot forsyningssektorer drives av stater, ikke bare kriminelle. Mike Hamilton, field CISO i Lumifi Cyber, p\u00e5peker at angrep mot vannsektoren \u00f8ker, og beskriver det som \u00abet statlig anliggende mer enn et kriminelt\u00bb. Han viser til at russiske akt\u00f8rer nylig skal ha rettet seg mot et damanlegg i Norge, og advarer om at de er fullt kapable til \u00e5 gjenta det.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Det er verdt \u00e5 merke seg hva ekspertene ikke sier. Ingen av dem hevder at angriperne brukte ny eller hemmelig teknologi. Budskapet er at vanlige, kjente svakheter blir utnyttet av akt\u00f8rer med politisk motiv og t\u00e5lmodighet. Det flytter ansvaret fra etterretning til drift: forsvaret avgj\u00f8res av om virksomhetene faktisk lukker de kjente hullene.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ot-versus-it-hvorfor-industrielle-systemer-er-vanskelige-a-sikre\">OT versus IT: hvorfor industrielle systemer er vanskelige \u00e5 sikre<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For \u00e5 forst\u00e5 hvorfor energisektoren henger etter p\u00e5 sikkerhet, m\u00e5 man forst\u00e5 forskjellen mellom IT og OT. IT handler om data: e-post, dokumenter, databaser. OT, operasjonell teknologi, handler om fysiske prosesser: turbiner, ventiler, pumper og brytere. De to verdenene har motsatte prioriteringer, og det skaper friksjon i sikkerhetsarbeidet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"tilgjengelighet-foran-alt-annet\">Tilgjengelighet foran alt annet<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">I IT er konfidensialitet ofte viktigst. I OT er tilgjengelighet konge. Et kraftverk kan ikke sl\u00e5s av for en sikkerhetsoppdatering midt i en kuldeb\u00f8lge. Dette gj\u00f8r at OT-systemer ofte kj\u00f8rer gammel programvare i \u00e5revis, fordi enhver endring inneb\u00e6rer risiko for driftsstans. Resultatet er at s\u00e5rbarheter som forlengst er fikset i kontorverdenen, fortsatt lever i produksjonsmilj\u00f8et.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Segmentering er det viktigste mottiltaket, men ogs\u00e5 det vanskeligste \u00e5 innf\u00f8re i ettertid. N\u00e5r Dragos finner OT-systemer koblet direkte til internett, er det ofte fordi noen trengte fjerntilgang og valgte den raskeste l\u00f8sningen. Sikker fjernaksess, helst basert p\u00e5 en arkitektur uten implisitt tillit, er svaret. Det krever investering, men kostnaden er lav sammenlignet med et vellykket angrep mot produksjonen. Selve transportkrypteringen som beskytter slike forbindelser, forklarer vi i artikkelen om <a href=\"\/no\/https-og-tls\/\">HTTPS og TLS<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"markedseffekt-hva-angrepene-betyr-for-kraftselskaper-og-forsikring\">Markedseffekt: hva angrepene betyr for kraftselskaper og forsikring<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Trusselbildet flytter penger. Den mest direkte effekten ser vi i cyberforsikringsmarkedet, der forsikringsselskaper i \u00f8kende grad krever dokumentert OT-overv\u00e5king, segmentering og tofaktorp\u00e5logging f\u00f8r de tilbyr dekning til energiselskaper. Premiene stiger, og noen forsikringsgivere innf\u00f8rer egne grenser for OT-relaterte tap. For kraftselskaper betyr det at sikkerhet ikke lenger bare er en IT-kostnad, men en forutsetning for \u00e5 v\u00e6re forsikringsbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den andre effekten er investeringer i OT-spesifikk overv\u00e5king. Markedet for plattformer som overv\u00e5ker industrielle nettverk vokser raskt, drevet av nettopp den typen funn Dragos publiserer. Nordiske nettselskaper og produsenter setter av st\u00f8rre budsjetter til synlighet i OT-laget, fordi du ikke kan forsvare det du ikke ser. Et interessant signal fra 2026 er at bare 9 prosent av nordiske sikkerhetsledere rapporterte en \u00f8kning i alvorlige hendelser, ned fra 53 prosent i 2025, if\u00f8lge en bransjeindeks. Det kan tyde p\u00e5 at investeringene begynner \u00e5 virke, selv om eksponeringen fortsatt er h\u00f8y.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den tredje effekten er regulatorisk. EUs NIS2-direktiv og den norske digitalsikkerhetsloven stiller strengere krav til vesentlige virksomheter i blant annet energisektoren. Det presser styrer til \u00e5 behandle <strong>OT-sikkerhet<\/strong> som et sp\u00f8rsm\u00e5l om etterlevelse og ansvar, ikke bare teknikk. Hva regelverket inneb\u00e6rer i praksis, har vi gjennomg\u00e5tt i artikkelen om <a href=\"\/no\/nis2-norge-digitalsikkerhetsloven-2026\/\">NIS2 i Norge<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"konkurrentbildet-hvordan-norge-ligger-an-mot-nabolandene\">Konkurrentbildet: hvordan Norge ligger an mot nabolandene<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Norge opererer ikke i et vakuum. De nordiske landene deler kraftnett, leverand\u00f8rer og trusselakt\u00f8rer, men hendelsesbildet varierer. DNVs oversikt over cyberhendelser i 2025 gir et sammenligningsgrunnlag, selv om antall hendelser m\u00e5 tolkes med forsiktighet, fordi rapporteringskultur og synlighet er ulik fra land til land.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Land<\/th><th>Cyberhendelser 2025<\/th><th>Relativ posisjon<\/th><\/tr><\/thead><tbody>\n<tr><td>Sverige<\/td><td>60<\/td><td>H\u00f8yest antall i Norden<\/td><\/tr>\n<tr><td>Finland<\/td><td>44<\/td><td>Nest h\u00f8yest<\/td><\/tr>\n<tr><td>Danmark<\/td><td>41<\/td><td>Tett bak Finland<\/td><\/tr>\n<tr><td>Norge<\/td><td>21<\/td><td>Lavest av de fire<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">At Norge har f\u00e6rrest registrerte hendelser, er ikke det samme som at Norge er tryggest. Bremanger-saken viser at ett angrep kan ha uforholdsmessig stor effekt n\u00e5r det treffer fysisk infrastruktur. Norges geografiske eksponering mot Russland, den store andelen vannkraft og den raske havvindutbyggingen gj\u00f8r at konsekvensene av et vellykket angrep kan bli st\u00f8rre enn antallet hendelser antyder.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sverige og Finland, som begge nylig ble Nato-medlemmer, har sett flere hendelser, noe som kan henge sammen med b\u00e5de \u00f8kt eksponering og bedre rapportering. For Norden samlet er konklusjonen den samme: trusselen er regional, leverand\u00f8rene er felles, og et angrep mot ett land gir l\u00e6ring som akt\u00f8rene kan bruke mot de andre. Felles forsvar og informasjonsdeling er derfor like viktig som nasjonale tiltak.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"historisk-kontekst-fra-stuxnet-til-moderne-ot-aktorer\">Historisk kontekst: fra Stuxnet til moderne OT-akt\u00f8rer<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dagens trusselbilde har en lang forhistorie. Vendepunktet var Stuxnet rundt 2010, ormen som \u00f8dela sentrifuger i Irans atomprogram og beviste at kode kan \u00f8delegge fysisk utstyr. Stuxnet viste verden at industrielle styresystemer kunne angripes med presisjon, og den \u00e5pnet et kappl\u00f8p der stater bygde kapasitet mot hverandres infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">I \u00e5rene etter fulgte angrepene mot det ukrainske str\u00f8mnettet i 2015 og 2016, som slo ut str\u00f8mmen for hundretusenvis av mennesker. Disse hendelsene knyttes til akt\u00f8rer som senere er fulgt tett av selskaper som Dragos, og de etablerte malen for moderne angrep mot energi: rekognosering, tilgang gjennom fjernaksess, og til slutt manipulasjon av styresystemet. Bremanger f\u00f8yer seg inn i denne linjen, om enn i mindre skala.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Det nye i 2025 og 2026 er bredden. Dragos rapporterer at flere distinkte trusselgrupper n\u00e5 systematisk kartlegger industrielle kontrollsystemer, og at grupper som KAMACITE har vist evne til \u00e5 avbilde slike milj\u00f8er i detalj. Kombinert med veksten i l\u00f8sepengegrupper betyr det at b\u00e5de statlige og kriminelle akt\u00f8rer n\u00e5 ser p\u00e5 OT som et felt. Det som en gang var forbeholdt de mest avanserte etterretningstjenestene, er i ferd med \u00e5 bli allemannseie blant angripere.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fem-spadommer-for-ot-sikkerhet-mot-2027\">Fem sp\u00e5dommer for OT-sikkerhet mot 2027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basert p\u00e5 dataene og ekspertvurderingene over peker utviklingen i en ganske tydelig retning. Sp\u00e5dommene under er analyse, ikke fasit, men de f\u00f8lger logisk av trendene i 2025 og 2026.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Flere pro-russiske hacktivist-angrep mot nordisk kraft.<\/strong> S\u00e5 lenge det sikkerhetspolitiske forholdet til Russland er spent, vil signaliseringsangrep mot synlig infrastruktur fortsette, s\u00e6rlig DDoS og demonstrasjoner av tilgang.<\/li>\n<li><strong>Regelverket tvinger frem OT-segmentering.<\/strong> NIS2 og digitalsikkerhetsloven vil gj\u00f8re manglende segmentering og fjernaksesskontroll til et etterlevelsesproblem med reelle b\u00f8ter, ikke bare en teknisk anbefaling.<\/li>\n<li><strong>VPN-porten erstattes av tillitsl\u00f8s aksess.<\/strong> Den utdaterte VPN-en blir den mest angrepne komponenten, og overgangen til arkitektur uten implisitt tillit (ZTNA) akselererer i sektoren.<\/li>\n<li><strong>L\u00f8sepengegrupper rammer OT direkte.<\/strong> Veksten fra 80 til 119 grupper fortsetter, og flere vil utvikle evne til \u00e5 ramme produksjonssystemer, ikke bare kontornett, for \u00e5 maksimere presset.<\/li>\n<li><strong>Forsikring blir en sikkerhetsdriver.<\/strong> Cyberforsikring for energiselskaper vil kreve dokumentert OT-overv\u00e5king og tofaktorp\u00e5logging som vilk\u00e5r, og markedet for OT-synlighet vokser videre.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"slik-bor-nordiske-virksomheter-respondere\">Slik b\u00f8r nordiske virksomheter respondere<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den gode nyheten er at dataene peker mot konkrete, gjennomf\u00f8rbare tiltak. Fordi flertallet av angrepene starter med eksponert fjernaksess og svake passord, gir grunnleggende tiltak uforholdsmessig stor effekt. Prioriteringen b\u00f8r v\u00e6re tydelig og rask.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Kartlegg alle internettvendte VPN-er og fjernaksesspunkter, og fjern eller oppgrader utdaterte Cisco- og Citrix-l\u00f8sninger f\u00f8rst.<\/li>\n<li>Innf\u00f8r tofaktorp\u00e5logging p\u00e5 all fjernaksess, og fjern standardpassord og ubrukte kontoer umiddelbart.<\/li>\n<li>Segmenter IT og OT, slik at et innbrudd i kontornettet ikke gir vei til produksjonsstyringen.<\/li>\n<li>Etabler overv\u00e5king i OT-laget, fordi du ikke kan forsvare det du ikke ser.<\/li>\n<li>\u00d8v p\u00e5 gjenoppretting av OT-systemer, med sikkerhetskopier av konfigurasjoner og en plan som er testet, ikke bare skrevet.<\/li>\n<li>Del informasjon p\u00e5 tvers av nordiske akt\u00f8rer, fordi trusselen er regional og felles l\u00e6ring forkorter responstiden.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">For styrer og ledelse er hovedbudskapet at <strong>OT-sikkerhet<\/strong> n\u00e5 er en del av virksomhetsrisikoen p\u00e5 linje med marked og finans. N\u00e5r en sjef for etterretningstjenesten kaller Russland den st\u00f8rste trusselen, og en kartlegging viser at over halvparten av VPN-ene i sektoren er utdaterte, er avstanden mellom risiko og tiltak et styreansvar. Trusselen mot <strong>kritisk infrastruktur<\/strong> i Norden l\u00f8ses ikke med ett verkt\u00f8y, men med disiplin i det grunnleggende.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"relatert-lesning\">Relatert lesning<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/no\/security-hub\/\">Nettsikkerhet: datalekkasjer, passord, HTTPS og phishing<\/a><\/li>\n<li><a href=\"\/no\/cyberangrep-bremanger-dam-2026\/\">Cyberangrep Bremanger: 500 l\/s i 4 timer<\/a><\/li>\n<li><a href=\"\/no\/cyberangrep-norge-ai-trussel-2026\/\">Cyberangrep Norge: AI-trussel og 21 angrep<\/a><\/li>\n<li><a href=\"\/no\/nis2-norge-digitalsikkerhetsloven-2026\/\">NIS2 i Norge: 5.000 virksomheter, 4 % bot<\/a><\/li>\n<li><a href=\"\/no\/datalekkasjer\/\">Datalekkasjer: hvordan de skjer og hvordan du beskytter deg<\/a><\/li>\n<li><a href=\"\/no\/passordsikkerhet\/\">Passordsikkerhet: sterke passord, hashing og tofaktor<\/a><\/li>\n<li><a href=\"\/no\/https-og-tls\/\">HTTPS og TLS: slik beskyttes forbindelsen din<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ofte-stilte-sporsmal\">Ofte stilte sp\u00f8rsm\u00e5l<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-er-ot-sikkerhet\">Hva er OT-sikkerhet?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">OT-sikkerhet er sikring av operasjonell teknologi, alts\u00e5 de industrielle styresystemene som driver fysiske prosesser i kraftverk, vannforsyning, transport og produksjon. I motsetning til IT-sikkerhet, som beskytter data, beskytter OT-sikkerhet selve driften: turbiner, ventiler, pumper og brytere. Et brudd kan derfor f\u00e5 fysiske konsekvenser, ikke bare tap av informasjon.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvorfor-er-nordisk-energisektor-sa-utsatt\">Hvorfor er nordisk energisektor s\u00e5 utsatt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sektoren kombinerer h\u00f8y politisk verdi, h\u00f8y \u00f8konomisk verdi og teknisk s\u00e5rbarhet. Den raske utbyggingen av fornybar energi legger til mange fjernstyrte anlegg, og kartlegging viser at over halvparten av de eksponerte VPN-ene er utdaterte. Samtidig gj\u00f8r det spente forholdet til Russland energi til et attraktivt m\u00e5l for politisk motiverte angrep.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-skjedde-egentlig-ved-bremanger-dammen\">Hva skjedde egentlig ved Bremanger-dammen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Den 7. april 2025 fikk uvedkommende kontroll over en ventil ved Risevatnet-dammen n\u00e6r Bremanger og \u00e5pnet en luke som slapp ut rundt 500 liter vann i sekundet i fire timer. Det oppsto ingen fysisk skade. I august 2025 attribuerte norske myndigheter angrepet til russiske eller russiskforbundne akt\u00f8rer. Hendelsen regnes som et tydelig eksempel p\u00e5 et angrep mot kritisk infrastruktur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvordan-kommer-angriperne-seg-inn-i-industrielle-systemer\">Hvordan kommer angriperne seg inn i industrielle systemer?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">If\u00f8lge Dragos startet 73 prosent av hendelsesoppdragene med en VPN eller gjenbrukte passord som inngangspunkt. Det er sjelden avanserte nulldagss\u00e5rbarheter som dominerer. Det er utdaterte fjernaksessportaler, standardpassord og manglende tofaktorp\u00e5logging som \u00e5pner d\u00f8ren. Derfor gir grunnleggende sikkerhetshygiene st\u00f8rst effekt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"er-norge-tryggere-enn-nabolandene\">Er Norge tryggere enn nabolandene?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Norge hadde f\u00e6rrest registrerte cyberhendelser i Norden i 2025 med 21, mot 60 i Sverige, 44 i Finland og 41 i Danmark. Men f\u00e6rre hendelser betyr ikke n\u00f8dvendigvis h\u00f8yere sikkerhet. Norges store andel vannkraft, geografiske n\u00e6rhet til Russland og raske havvindutbygging gj\u00f8r konsekvensene av et vellykket angrep potensielt store.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-kan-virksomheter-gjore-med-en-gang\">Hva kan virksomheter gj\u00f8re med en gang?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">De viktigste strakstiltakene er \u00e5 kartlegge og oppgradere utdaterte VPN-er, innf\u00f8re tofaktorp\u00e5logging p\u00e5 all fjernaksess, fjerne standardpassord, segmentere IT og OT, og etablere overv\u00e5king i OT-laget. Disse tiltakene treffer nettopp de svakhetene angriperne oftest utnytter, og krever ikke avansert teknologi for \u00e5 gjennomf\u00f8res.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"kilder-og-videre-lesning\">Kilder og videre lesning<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.dragos.com\/ot-cybersecurity-year-in-review\" target=\"_blank\" rel=\"noopener nofollow\">Dragos 2026 OT Cybersecurity Year in Review<\/a><\/li>\n<li><a href=\"https:\/\/industrialcyber.co\/reports\/dragos-reports-surge-in-cyber-threats-across-nordic-region-flags-vulnerability-in-renewable-energy-sector\/\" target=\"_blank\" rel=\"noopener nofollow\">Industrial Cyber: Dragos om nordisk trusselbilde<\/a><\/li>\n<li><a href=\"https:\/\/www.sans.org\/blog\/top-takeaways-from-the-dragos-ot-cybersecurity-report-2026\" target=\"_blank\" rel=\"noopener nofollow\">SANS: Hovedfunn fra Dragos 2026-rapporten<\/a><\/li>\n<li><a href=\"https:\/\/www.enisa.europa.eu\/topics\/national-cyber-security-strategies\/ncss-map\/national-cyber-security-strategies-interactive-map\" target=\"_blank\" rel=\"noopener nofollow\">ENISA: Nasjonale cybersikkerhetsstrategier<\/a><\/li>\n<li><a href=\"https:\/\/en.wikipedia.org\/wiki\/Bremanger_dam_sabotage\" target=\"_blank\" rel=\"noopener nofollow\">Bremanger dam sabotage (bakgrunn)<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Den nordiske energisektoren har blitt et hovedm\u00e5l for cyberoperasjoner, og tallene fra 2025 og 2026 tegner et alvorlig bilde. I en fersk kartlegging av nordiske akt\u00f8rer innen fornybar energi fant\u2026<\/p>\n","protected":false},"author":4,"featured_media":59,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-58","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/58","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/comments?post=58"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/58\/revisions"}],"predecessor-version":[{"id":60,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/58\/revisions\/60"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media\/59"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media?parent=58"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/categories?post=58"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/tags?post=58"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}