{"id":67,"date":"2026-06-13T08:54:39","date_gmt":"2026-06-13T08:54:39","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/13\/salt-typhoon-norge-pst-2026\/"},"modified":"2026-06-13T12:45:51","modified_gmt":"2026-06-13T12:45:51","slug":"salt-typhoon-norge-pst-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/2026\/06\/13\/salt-typhoon-norge-pst-2026\/","title":{"rendered":"Salt Typhoon i Norge: PST bekrefter Kina-angrep [2026]"},"content":{"rendered":"\n

Den 6. februar 2026 bekreftet Politiets sikkerhetstjeneste (PST) noe norske sikkerhetsmilj\u00f8er hadde fryktet i over et \u00e5r: den kinesiske statsst\u00f8ttede hackergruppen Salt Typhoon<\/strong> har kompromittert s\u00e5rbare nettverksenheter i norske virksomheter. Bekreftelsen kom i PSTs Nasjonale trusselvurdering 2026<\/em>, og gjorde Norge til det f\u00f8rste skandinaviske landet som offentlig knytter sitt eget navn til den globale spionasjekampanjen som amerikanske myndigheter har kalt det groveste telekom-innbruddet i USAs historie.<\/p>\n\n\n\n

Saken er ikke et isolert innbrudd. Den er toppen av en b\u00f8lge. If\u00f8lge sikkerhetsselskapet DNV ble 21 norske organisasjoner rammet av registrerte cyberhendelser i 2025, mens Norden samlet talte 166 hendelser fordelt p\u00e5 Sverige (60), Finland (44), Danmark (41) og Norge (21). Salt Typhoon er det mest synlige uttrykket for en strukturell endring: avanserte statsakt\u00f8rer har flyttet fokus fra engangstyveri av data til vedvarende, skjult tilgang i kjerneinfrastruktur. Denne analysen g\u00e5r gjennom hva som faktisk skjedde, hvem som st\u00e5r bak, hvordan de kom inn, og hva det betyr for norsk og nordisk digital sikkerhet resten av 2026.<\/p>\n\n\n\n

Hva PST faktisk bekreftet 6. februar 2026<\/h2>\n\n\n\n

Trusselvurderingen ble lagt frem samtidig av PST, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet (NSM). I dokumentet beskriver PST Salt Typhoon som \u00abet eksempel p\u00e5 en akt\u00f8r som har kompromittert s\u00e5rbare nettverksenheter i norske organisasjoner\u00bb, og legger til at amerikanske myndigheter karakteriserer gruppen som spesialisert p\u00e5 cyberoperasjoner mot telekommunikasjonsinfrastruktur.<\/p>\n\n\n\n

PST-sjef Beate Gang\u00e5s understreket at den samlede etterretningstrusselen mot Norge er \u00abbetydelig\u00bb, og at fremmede stater bruker sammensatte virkemidler p\u00e5 norsk jord, fra cyberoperasjoner til p\u00e5virkning og sabotasje. Vurderingen peker eksplisitt p\u00e5 Kina, Russland og Iran som de tre statene med st\u00f8rst etterretningsaktivitet rettet mot Norge. Kinesiske cyberoperasjoner forventes \u00e5 forbli en av Norges mest betydelige etterretningstrusler gjennom hele 2026.<\/p>\n\n\n\n

Det PST ikke gjorde, var \u00e5 navngi de rammede virksomhetene eller oppgi n\u00f8yaktig antall. Det er bevisst. Salt Typhoon-operasjoner handler om vedvarende tilgang, ikke umiddelbar skade, og offentlig navngiving kan b\u00e5de skade etterforskning og avsl\u00f8re hva myndighetene vet. Denne tilbakeholdenheten er i seg selv en del av historien: omfanget er sannsynligvis st\u00f8rre enn det som er bekreftet.<\/p>\n\n\n\n

Hvem er Salt Typhoon?<\/h2>\n\n\n\n

Salt Typhoon er navnet Microsoft bruker p\u00e5 en kinesisk statsst\u00f8ttet trusselakt\u00f8r som har v\u00e6rt aktiv siden minst 2019. Andre sikkerhetsmilj\u00f8er sporer den samme aktiviteten under navn som GhostEmperor og FamousSparrow. Gruppen knyttes til kinesisk etterretning, og PSTs vurdering peker p\u00e5 at private kinesiske cybersikkerhetsselskaper spiller en sentral rolle i statlige operasjoner. Det visker ut skillet mellom kommersielle akt\u00f8rer og statsapparat.<\/p>\n\n\n\n

Det som skiller Salt Typhoon fra mer opportunistiske kriminelle grupper, er t\u00e5lmodigheten. Der l\u00f8sepengevirus-bander vil ha rask uttelling, jakter Salt Typhoon p\u00e5 langvarig, usynlig posisjonering i nettverk som b\u00e6rer samfunnskritisk kommunikasjon. M\u00e5let er etterretning: hvem snakker med hvem, hva sier de, og hvilke metadata kan kartlegges over tid. Det gj\u00f8r gruppen vanskeligere \u00e5 oppdage og langt farligere p\u00e5 strategisk niv\u00e5 enn en typisk datalekkasje.<\/p>\n\n\n\n

Slik kom hackerne inn: s\u00e5rbare nettverksenheter og CVE-er<\/h2>\n\n\n\n

Salt Typhoons inngangsport er nettverksenheter som st\u00e5r eksponert mot internett: rutere, brannmurer, VPN-konsentratorer og kantenheter fra leverand\u00f8rer som Cisco, Fortinet og Ivanti. Disse enhetene er attraktive fordi de ofte mangler endepunktbeskyttelse, sjelden patches like raskt som servere, og gir dyp tilgang til trafikken som passerer gjennom dem.<\/p>\n\n\n\n

Internasjonalt har gruppen blitt knyttet til utnyttelse av kjente s\u00e5rbarheter i Cisco IOS XE, blant annet CVE-2023-20198, en kritisk feil som gir uautorisert tilgang p\u00e5 administratorniv\u00e5. Etter f\u00f8rstegangstilgang bruker Salt Typhoon i stor grad \u00abliving-off-the-land\u00bb-teknikker: de utnytter legitime verkt\u00f8y og funksjoner som allerede finnes p\u00e5 enheten, fremfor \u00e5 laste opp synlig skadevare. Det gj\u00f8r at aktiviteten smelter inn i normal drift og kan overleve i m\u00e5neder eller \u00e5r.<\/p>\n\n\n\n

For norske virksomheter er l\u00e6rdommen ubehagelig konkret: angrepsflaten ligger ikke n\u00f8dvendigvis i de ansattes innbokser, men i utdaterte fastvareversjoner p\u00e5 enheter som IT-avdelingen kanskje knapt vet at de har. NSMs nasjonale cybersikkerhetssenter (NCSC) gikk i februar 2026 ut og oppfordret norske tjenesteleverand\u00f8rer og teleselskaper til \u00e5 oppdatere fastvare og gjennomg\u00e5 tilgangslogger.<\/p>\n\n\n\n

Telekom i kikkerten: fra AT&T til norske operat\u00f8rer<\/h2>\n\n\n\n

Salt Typhoon ble verdenskjent gjennom angrepene p\u00e5 amerikansk telekom. I l\u00f8pet av 2024 og 2025 br\u00f8t gruppen seg inn hos store amerikanske operat\u00f8rer, deriblant AT&T, Verizon og Lumen. Amerikanske myndigheter har omtalt minst ni teleselskaper som rammet. Gjennom denne tilgangen kunne akt\u00f8ren n\u00e5 systemer brukt til lovlig avlytting og potensielt overv\u00e5ke kommunikasjonen til h\u00f8ytst\u00e5ende politikere.<\/p>\n\n\n\n

Den amerikanske senatoren Mark Warner, leder av Senatets etterretningskomit\u00e9, beskrev kampanjen som \u00abdet verste telekom-innbruddet i v\u00e5r nasjons historie\u00bb. FBIs ledelse bekreftet i februar 2026 at Salt Typhoons operasjoner fortsatt er \u00absv\u00e6rt aktive\u00bb. At den samme akt\u00f8ren n\u00e5 er bekreftet inne i norske nettverksenheter, er derfor ikke en kuriositet, men en bekreftelse p\u00e5 at Norden er en del av det samme operasjonsteateret.<\/p>\n\n\n\n

Hvorfor telekom? Fordi den som kontrollerer ruterne, kontrollerer metadataene. En akt\u00f8r med tilgang til en operat\u00f8rs kjernenett trenger ikke \u00e5 knekke kryptering for \u00e5 vite hvem som ringer hvem, n\u00e5r, hvor ofte og fra hvilken lokasjon. For en etterretningstjeneste er dette gull. Norge, med sin geografiske n\u00e6rhet til russisk territorium og sin rolle i NATO og energiforsyning, er et naturlig m\u00e5l.<\/p>\n\n\n\n

Norden i tall: hvor utsatt er regionen?<\/h2>\n\n\n\n

DNVs nordiske cybersikkerhetsrapport for 2026 gir det klareste tallmaterialet p\u00e5 regionens eksponering. Tallene under viser registrerte cyberhendelser mot organisasjoner i de fire st\u00f8rste nordiske landene i 2025. Norge fremst\u00e5r som minst rammet i antall, men eksperter advarer mot \u00e5 lese dette som trygghet: lavere tall kan like gjerne reflektere underrapportering som lavere reell eksponering.<\/p>\n\n\n\n

Land<\/th>Cyberhendelser 2025<\/th>Andel av nordisk total<\/th>Mest utsatte sektorer<\/th><\/tr><\/thead>
Sverige<\/td>60<\/td>36 %<\/td>Industri, offentlig sektor<\/td><\/tr>
Finland<\/td>44<\/td>27 %<\/td>Telekom, helse<\/td><\/tr>
Danmark<\/td>41<\/td>25 %<\/td>Maritim, finans<\/td><\/tr>
Norge<\/td>21<\/td>13 %<\/td>Energi, telekom<\/td><\/tr>
Norden totalt<\/strong><\/td>166<\/strong><\/td>100 %<\/strong><\/td>Tverrsektorielt<\/strong><\/td><\/tr><\/tbody><\/table>
Kilde: DNV nordisk cybersikkerhetsrapport 2026.<\/figcaption><\/figure>\n\n\n\n

Tallene forteller en historie om en region som angripes bredt og samtidig. At Sverige har nesten tre ganger s\u00e5 mange registrerte hendelser som Norge, henger sammen med landets st\u00f8rre industribase og NATO-medlemskap fra 2024, som har gjort svensk infrastruktur til et mer fremtredende m\u00e5l for b\u00e5de russiske og kinesiske akt\u00f8rer. Finland, med over 1300 kilometer grense mot Russland, ser et tilsvarende forh\u00f8yet trusselbilde, s\u00e6rlig mot telekom og helse.<\/p>\n\n\n\n

Salt Typhoon vs Volt Typhoon: to kinesiske strategier<\/h2>\n\n\n\n

For \u00e5 forst\u00e5 hvor alvorlig Salt Typhoon er, m\u00e5 man skille gruppen fra sin mer beryktede s\u00f8sterakt\u00f8r Volt Typhoon, og fra andre kjente APT-grupper. Forskjellen ligger i hensikt. Salt Typhoon driver spionasje gjennom telekom. Volt Typhoon posisjonerer seg i kritisk infrastruktur for mulig sabotasje i en fremtidig konflikt. Russiske og iranske grupper opererer etter andre logikker igjen.<\/p>\n\n\n\n

Gruppe<\/th>Opphav<\/th>Prim\u00e6rt m\u00e5l<\/th>Hovedmetode<\/th>Strategisk hensikt<\/th><\/tr><\/thead>
Salt Typhoon<\/td>Kina<\/td>Telekom, nettverksenheter<\/td>CVE-utnyttelse, living-off-the-land<\/td>Etterretning og avlytting<\/td><\/tr>
Volt Typhoon<\/td>Kina<\/td>Energi, vann, transport<\/td>Vedvarende skjult tilgang<\/td>Forh\u00e5ndsposisjonering for sabotasje<\/td><\/tr>
APT41<\/td>Kina<\/td>Programvare, helse<\/td>Forsyningskjedeangrep<\/td>Spionasje og \u00f8konomisk vinning<\/td><\/tr>
APT29 (Cozy Bear)<\/td>Russland<\/td>Myndigheter, diplomati<\/td>Phishing, skytjenester<\/td>Politisk etterretning<\/td><\/tr><\/tbody><\/table>
Kilde: offentlige trusselvurderinger og leverand\u00f8ranalyser, 2025-2026.<\/figcaption><\/figure>\n\n\n\n

Skillet er ikke akademisk. Det avgj\u00f8r hvordan en virksomhet b\u00f8r forsvare seg. Mot Salt Typhoon handler forsvar om \u00e5 redusere eksponert angrepsflate p\u00e5 nettverksenheter og overv\u00e5ke unormal trafikk i kjernenettet. Mot Volt Typhoon handler det om \u00e5 beskytte styringssystemer (OT) i energi og vann mot manipulasjon. En norsk energiakt\u00f8r m\u00e5 i praksis forholde seg til begge samtidig, slik vi har sett i analysen av nordisk energisektor og OT-sikkerhet<\/a>.<\/p>\n\n\n\n

Ekspertene advarer<\/h2>\n\n\n\n

Reaksjonene fra fagmilj\u00f8ene har v\u00e6rt samstemte i alvorsgraden. Beate Gang\u00e5s, sjef for PST, knyttet Salt Typhoon til et bredere bilde da hun la frem trusselvurderingen: etterretningstrusselen mot Norge er \u00abbetydelig\u00bb, og fremmede stater bruker sammensatte virkemidler mot norske m\u00e5l gjennom hele \u00e5ret.<\/p>\n\n\n\n

\u00abDen kinesiske cyberakt\u00f8ren Salt Typhoon er et eksempel p\u00e5 en akt\u00f8r som har kompromittert s\u00e5rbare nettverksenheter i norske organisasjoner.\u00bb<\/p>PST, Nasjonal trusselvurdering 2026<\/cite><\/blockquote>\n\n\n\n

Den finske sikkerhetsveteranen Mikko Hypp\u00f6nen, mange\u00e5rig forskningssjef i WithSecure, har gjentatte ganger beskrevet kinesiske statsakt\u00f8rers dype og vedvarende tilgang til kritisk infrastruktur som en av tidens definerende trusler. Poenget hans er at denne typen tilgang er stille: den merkes ikke f\u00f8r den utnyttes, og da kan det v\u00e6re for sent.<\/p>\n\n\n\n

Det amerikanske industrisikkerhetsselskapet Dragos har dokumentert en markant \u00f8kning i cybertrusler p\u00e5 tvers av Norden, og advarer spesifikt mot risikoen for \u00abwiper\u00bb-skadevare som kan slette systemer, etter m\u00f8nster fra angrep sett i Ukraina. I en stikkpr\u00f8ve av 30 internett-eksponerte VPN-enheter hos nordiske fornybarakt\u00f8rer fant Dragos at 54 prosent var Cisco SSL VPN og 27 prosent Citrix, nettopp den typen kantenheter Salt Typhoon foretrekker.<\/p>\n\n\n\n

Den r\u00f8de tr\u00e5den fra ekspertene er at Norden ikke lenger kan regne seg som en perifer del av verdens trusselbilde. Regionen er et prim\u00e6rm\u00e5l, ikke en tilskuer.<\/p>\n\n\n\n

Historisk kontekst: fra spredte angrep til vedvarende tilgang<\/h2>\n\n\n\n

Salt Typhoon-saken markerer et skifte som har bygget seg opp over et ti\u00e5r. Tidlig p\u00e5 2010-tallet handlet de mest omtalte angrepene mot Norge om datatyveri og industrispionasje med relativt synlige spor. Helsedataangrepet mot Helse S\u00f8r-\u00d8st i 2018 og det mye omtalte innbruddet i Stortingets e-postsystemer i 2020 viste at norske institusjoner var i s\u00f8kelyset, men angrepene var ofte avgrensede i tid.<\/p>\n\n\n\n

Det nye med Salt Typhoon er varigheten og dybden. I stedet for \u00e5 bryte seg inn, stjele og forsvinne, etablerer akt\u00f8ren seg permanent i infrastrukturen. Dette er en utvikling fra \u00abhendelse\u00bb til \u00abtilstand\u00bb. For sikkerhetsledere betyr det at sp\u00f8rsm\u00e5let ikke lenger er om man blir angrepet, men om man allerede er kompromittert uten \u00e5 vite det. Den erkjennelsen ligger til grunn for hele tankegangen bak nulltillit-arkitektur og kontinuerlig overv\u00e5king.<\/p>\n\n\n\n

Bekreftelsen i 2026 f\u00f8yer seg inn i et m\u00f8nster av eskalerende hendelser i Norge, fra cyberangrepet mot demmen i Bremanger<\/a> til den bredere AI-drevne trusselb\u00f8lgen vi har dokumentert i analysen av cyberangrep mot Norge og AI-trusselen<\/a>.<\/p>\n\n\n\n

Markedseffekt: hva trusselen koster Norden<\/h2>\n\n\n\n

Salt Typhoon-bekreftelsen treffer et marked som allerede er i kraftig vekst. Norske og nordiske virksomheter \u00f8ker sikkerhetsbudsjettene, og ettersp\u00f8rselen etter spesialister p\u00e5 nettverkssikkerhet, trusseljakt og hendelsesh\u00e5ndtering overstiger tilbudet. Mangelen p\u00e5 kvalifisert personell driver l\u00f8nninger opp og presser flere virksomheter mot administrerte sikkerhetstjenester (MSSP).<\/p>\n\n\n\n

De direkte kostnadene ved en kompromittering av typen Salt Typhoon driver, er vanskelige \u00e5 tallfeste fordi skaden er etterretningsmessig snarere enn operasjonell. Men de indirekte kostnadene er reelle: full utskifting og herding av nettverksenheter, eksterne granskninger, juridisk eksponering under personvernregelverk og NIS2, samt tap av tillit hos kunder og partnere. For en mellomstor norsk virksomhet kan en grundig opprydning etter et statsst\u00f8ttet innbrudd lett l\u00f8pe opp i flere millioner kroner.<\/p>\n\n\n\n

Det skapes ogs\u00e5 et marked p\u00e5 leverand\u00f8rsiden. Ettersp\u00f8rselen etter sikre kantenheter, fastvare med verifiserbar integritet og verkt\u00f8y for kontinuerlig overv\u00e5king av nettverksenheter vokser. For nordiske sikkerhetsselskaper representerer den \u00f8kte trusselen b\u00e5de en kostnad og en forretningsmulighet.<\/p>\n\n\n\n

Energisektoren: det neste store m\u00e5let<\/h2>\n\n\n\n

NSM peker p\u00e5 energi og telekom som de mest utsatte sektorene i 2026, og det er ikke tilfeldig. Norden er en energistormakt: norsk vannkraft og gass, svensk og finsk kjernekraft, og en raskt voksende fornybarsektor med havvind og batterilagring. Denne infrastrukturen er digitalisert, sammenkoblet og dermed eksponert.<\/p>\n\n\n\n

Dragos’ funn om at over halvparten av de unders\u00f8kte fornybar-VPN-ene var Cisco SSL VPN, illustrerer problemet konkret. Mange fornybarakt\u00f8rer er nyetablerte, vokser raskt og har ikke samme modne sikkerhetskultur som tradisjonelle kraftselskaper. Samtidig styrer de stadig st\u00f8rre deler av str\u00f8mnettet. En akt\u00f8r som Salt Typhoon kan bruke en s\u00e5rbar VPN hos en liten vindparkoperat\u00f8r som inngang til langt mer sensitive systemer lenger inne i verdikjeden.<\/p>\n\n\n\n

Skillet mellom spionasje og sabotasje blir her flytende. Selv om Salt Typhoon prim\u00e6rt driver etterretning, gir tilgangen de skaffer seg ogs\u00e5 et fundament som en mer destruktiv akt\u00f8r, for eksempel Volt Typhoon eller russiske grupper, kan bygge videre p\u00e5. Det er denne overlappen mellom kinesisk posisjonering og russisk sabotasjevilje som bekymrer nordiske myndigheter mest.<\/p>\n\n\n\n

NIS2 og det regulatoriske svaret<\/h2>\n\n\n\n

Salt Typhoon-saken kommer midt i innf\u00f8ringen av EUs NIS2-direktiv, som i Norge implementeres gjennom den nye digitalsikkerhetsloven. Regelverket utvider kraftig hvilke virksomheter som omfattes av krav til risikostyring, hendelsesrapportering og leverand\u00f8rsikkerhet. Anslag tyder p\u00e5 at rundt 5000 norske virksomheter vil falle inn under det nye regimet.<\/p>\n\n\n\n

NIS2 stiller konkrete krav som er direkte relevante for Salt Typhoon-typen trusler: kartlegging av angrepsflate, herding av nettverksutstyr, og rask rapportering av hendelser til myndighetene. Brudd kan straffes med b\u00f8ter p\u00e5 opptil fire prosent av global omsetning. For ledelsen betyr det at cybersikkerhet ikke lenger kan delegeres bort som et teknisk anliggende, men er et styreansvar. Vi har g\u00e5tt grundig gjennom konsekvensene i analysen av NIS2 i Norge og digitalsikkerhetsloven<\/a>.<\/p>\n\n\n\n

Kritikere p\u00e5peker at regelverk ikke stanser statsakt\u00f8rer som Salt Typhoon, og det er riktig. Men NIS2 hever gulvet. Ved \u00e5 tvinge frem grunnleggende hygiene, som oppdatert fastvare og logging, fjernes de enkleste inngangene gruppen utnytter, og oppdagelsestiden kortes ned.<\/p>\n\n\n\n

Slik beskytter virksomheter seg mot Salt Typhoon<\/h2>\n\n\n\n

Forsvar mot en avansert statsakt\u00f8r handler ikke om ett enkelt produkt, men om \u00e5 systematisk fjerne de mulighetene akt\u00f8ren utnytter. Tre omr\u00e5der peker seg ut.<\/p>\n\n\n\n

1. Reduser og herd angrepsflaten<\/h3>\n\n\n\n

Kartlegg alle internett-eksponerte nettverksenheter, og still sp\u00f8rsm\u00e5let: m\u00e5 denne enheten faktisk v\u00e6re tilgjengelig fra utsiden? Administrasjonsgrensesnitt p\u00e5 rutere, brannmurer og VPN-konsentratorer b\u00f8r aldri eksponeres direkte. Hold fastvaren oppdatert, og prioriter kritiske s\u00e5rbarheter i kantenheter like h\u00f8yt som s\u00e5rbarheter i servere.<\/p>\n\n\n\n

2. Overv\u00e5k for living-off-the-land-aktivitet<\/h3>\n\n\n\n

Fordi Salt Typhoon unng\u00e5r synlig skadevare, m\u00e5 forsvaret se etter unormal bruk av legitime verkt\u00f8y: uventede konfigurasjonsendringer, ny trafikk fra nettverksenheter, og innlogginger p\u00e5 tidspunkter eller fra lokasjoner som bryter m\u00f8nsteret. Sentralisert logging fra nettverksutstyret er en forutsetning, ikke et tillegg.<\/p>\n\n\n\n

3. Anta kompromittering og segmenter<\/h3>\n\n\n\n

Bygg nettverket slik at en kompromittert kantenhet ikke gir fri ferdsel innover. Nettverkssegmentering, sterk autentisering mellom soner og prinsippet om minste privilegium begrenser hva en akt\u00f8r kan n\u00e5 etter f\u00f8rstegangstilgang. Kombinert med grunnleggende tiltak mot datalekkasjer<\/a> reduserer dette skadepotensialet betydelig.<\/p>\n\n\n\n

5 sp\u00e5dommer for resten av 2026<\/h2>\n\n\n\n
  1. Flere nordiske land vil bekrefte Salt Typhoon-tilgang.<\/strong> Norge var f\u00f8rst ut i Skandinavia. Sverige, Finland og Danmark vil sannsynligvis f\u00f8lge med egne bekreftelser f\u00f8r \u00e5ret er omme, etter hvert som etterforskninger modnes.<\/li>
  2. Energisektoren blir det neste bekreftede m\u00e5let.<\/strong> Med NSMs varsel og Dragos’ VPN-funn er det h\u00f8y sannsynlighet for at en konkret hendelse i nordisk energi- eller fornybarinfrastruktur kobles til kinesisk statsaktivitet i l\u00f8pet av 2026.<\/li>
  3. Kantenheter blir hovedslagmarken.<\/strong> S\u00e5rbarheter i rutere, brannmurer og VPN-er vil dominere de mest kritiske CVE-varslene, og leverand\u00f8rene presses mot raskere patching og signert fastvare.<\/li>
  4. NIS2 utl\u00f8ser en b\u00f8lge av sikkerhetsinvesteringer.<\/strong> N\u00e5r digitalsikkerhetsloven f\u00e5r tenner, vil rundt 5000 norske virksomheter m\u00e5tte oppgradere overv\u00e5king og styring, noe som driver kraftig vekst i markedet for administrerte sikkerhetstjenester.<\/li>
  5. Skillet mellom spionasje og sabotasje viskes videre ut.<\/strong> Frykten for at kinesisk posisjonering kan brukes som springbrett for russisk sabotasje vil prege b\u00e5de trusselvurderinger og forsvarsbudsjetter i hele Norden.<\/li><\/ol>\n\n\n\n

    Konklusjon: Norden er i frontlinjen<\/h2>\n\n\n\n

    Bekreftelsen av Salt Typhoon i norske nettverksenheter er ikke en enkeltst\u00e5ende nyhet, men en milep\u00e6l i en lengre utvikling. Den viser at avanserte statsakt\u00f8rer behandler Norden som en del av samme operasjonsteater som USA og Vest-Europa, og at telekom og energi er de mest utsatte m\u00e5lene. Trusselen er stille, vedvarende og strategisk, og den lar seg ikke l\u00f8se med ett produkt eller \u00e9n forskrift.<\/p>\n\n\n\n

    De gode nyhetene er at de grunnleggende mottiltakene er kjente og oppn\u00e5elige: redusert angrepsflate, oppdatert fastvare, logging og segmentering. Salt Typhoon utnytter fors\u00f8mmelse, ikke magi. For norske og nordiske virksomheter er 2026 \u00e5ret da nettverksenhetenes sikkerhet flytter fra IT-avdelingens periferi til styrets agenda. De som tar det p\u00e5 alvor n\u00e5, slipper \u00e5 lese sitt eget navn i neste trusselvurdering.<\/p>\n\n\n\n

    Ofte stilte sp\u00f8rsm\u00e5l<\/h2>\n\n\n\n

    Hva er Salt Typhoon?<\/h3>\n\n\n\n

    Salt Typhoon er en kinesisk statsst\u00f8ttet hackergruppe som har v\u00e6rt aktiv siden minst 2019. Gruppen spesialiserer seg p\u00e5 cyberspionasje mot telekommunikasjonsinfrastruktur ved \u00e5 kompromittere s\u00e5rbare nettverksenheter som rutere, brannmurer og VPN-er.<\/p>\n\n\n\n

    N\u00e5r bekreftet PST angrepet mot Norge?<\/h3>\n\n\n\n

    PST bekreftet 6. februar 2026, i den nasjonale trusselvurderingen, at Salt Typhoon har kompromittert s\u00e5rbare nettverksenheter i norske organisasjoner. Vurderingen ble lagt frem samtidig av PST, Etterretningstjenesten og NSM.<\/p>\n\n\n\n

    Hvilke virksomheter i Norge er rammet?<\/h3>\n\n\n\n

    PST har ikke offentliggjort navn p\u00e5 de rammede virksomhetene eller eksakt antall. Energi og telekom regnes som de mest utsatte sektorene, og det reelle omfanget antas \u00e5 v\u00e6re st\u00f8rre enn det som er bekreftet offentlig.<\/p>\n\n\n\n

    Hva er forskjellen p\u00e5 Salt Typhoon og Volt Typhoon?<\/h3>\n\n\n\n

    Begge er kinesiske statsakt\u00f8rer, men med ulik hensikt. Salt Typhoon driver spionasje gjennom telekominfrastruktur. Volt Typhoon posisjonerer seg i kritisk infrastruktur som energi og vann for mulig sabotasje i en fremtidig konflikt.<\/p>\n\n\n\n

    Hvordan kommer Salt Typhoon seg inn?<\/h3>\n\n\n\n

    Gruppen utnytter kjente s\u00e5rbarheter i internett-eksponerte nettverksenheter fra leverand\u00f8rer som Cisco, Fortinet og Ivanti. Etter f\u00f8rstegangstilgang bruker de \u00abliving-off-the-land\u00bb-teknikker med legitime verkt\u00f8y for \u00e5 unng\u00e5 oppdagelse over lang tid.<\/p>\n\n\n\n

    Hva kan norske virksomheter gj\u00f8re for \u00e5 beskytte seg?<\/h3>\n\n\n\n

    De viktigste tiltakene er \u00e5 redusere og herde angrepsflaten p\u00e5 nettverksenheter, holde fastvaren oppdatert, overv\u00e5ke for unormal aktivitet i kjernenettet, og segmentere nettverket slik at en kompromittert enhet ikke gir fri tilgang innover.<\/p>\n\n\n\n

    P\u00e5virker NIS2 hvordan Norge h\u00e5ndterer denne trusselen?<\/h3>\n\n\n\n

    Ja. EUs NIS2-direktiv, implementert i Norge gjennom digitalsikkerhetsloven, stiller krav til risikostyring, herding av nettverksutstyr og rask hendelsesrapportering for rundt 5000 norske virksomheter, med b\u00f8ter p\u00e5 opptil fire prosent av global omsetning ved brudd.<\/p>\n\n\n\n

    Relatert innhold<\/h3>\n\n\n\n