Økt risiko for cyberangrep mot Norge

DNV Cyber Priority Report avdekker alvorlige sikkerhetshull i norske virksomheters forsyningskjeder, med mulige konsekvenser for økonomien, samfunnet og menneskeliv. Den globale studien er gjennomført blant 1150 sikkerhetsfagfolk i virksomheter innen kritisk infrastruktur, på tvers av sektorer som energi, maritim og helse.

4 av 10 norske respondenter oppgir at virksomheten deres ikke har full oversikt over sikkerhetsrisikoene i forsyningskjeden. Nesten like mange (39 %) oppgir at selskapet kan ha blitt infiltrert uten at leverandører har rapportert hendelsen.

Sikkerhetshull i beredskapen

Politiets sikkerhetstjenestes (PST) sikkerhetsvurdering for 2025 peker på økende og mer uforutsigbare trusler fra statlige aktører. Ifølge Nasjonal sikkerhetsmyndighets (NSM) direktør Arne Christian Haugstøyl er altfor mange norske virksomheter «åpne som låvedører» og E-tjenesten fastslår at verden har blitt farligere det siste året.

– Fred kan ikke lenger tas for gitt. Samtidig ser vi en økende trend hvor leverandører blir brukt som inngangsport for cyberangrep mot kritiske samfunnsfunksjoner. Det hjelper lite om vi er aldri så nøye med å låse inngangsdøren hvis bakdøren står på gløtt. En manglende oversikt over forsyningskjeden skaper et alvorlig sikkerhetshull i Norges beredskap,» sier Arve Johan Kalleklev, direktør for DNV Cyber.

– 9 av 10 norske virksomheter i studien har økt fokus på cybersikkerhet som følge av geopolitiske spenninger, men funnene etterlater ingen tvil om at mer må gjøres for å sikre verdier og liv, påpeker Kalleklev.

Energibransjen særlig utsatt

Norges lange kystlinje og omfattende leverandørindustri gjør kraftsektoren til et hovedmål for statssponsede cyberangrep gjennom forsyningskjeden. NVE har de siste årene styrket veiledningen for digital sikkerhet i kraftbransjen, blant annet gjennom rapporter om sikkerhet i leverandørkjeder og skytjenester i kritisk infrastruktur, men den nye rapporten fra DNV Cyber viser at sårbarhetene fortsatt er betydelige.

– Kraftsektoren kombinerer fysisk og digital infrastruktur i en grad få andre sektorer gjør, og takten i digitaliseringen har på kort tid gjort operasjonelle teknologisystemer (OT) mer komplekse og mer utfordrende å beskytte enn tradisjonelle IT-systemer, sier Kalleklev.

Han legger til at 77 % av norske aktører mener virksomheten er mer sårbar enn noensinne for cyberangrep mot denne typen miljøer. Samtidig har norsk kraft blitt enda mer kritisk å sikre både Norge og Europa etter krigen i Ukraina. Det krever målrettede tiltak, mener han.

Gratis cybersikkerhetsvurdering

DNV har, sammen med forsikringsselskapet Gjensidige, utviklet et modenhetsverktøy som tilbys fritt gjennom Finans Norge Forsikringsdrift, forteller adm. direktør i Finans Norge Forsikringsdrift, Ståle Solem Ingebrigtsen.

– Ikke alle bedrifter tar cybersikkerhet alvorlig nok. Det er viktig å finne eventuelle sikkerhetshull og å få dem tettet. Her er det så absolutt både lurt og lønnsomt å være føre var, sier han.

Denne cybersikkerhetsvurderingen er gratis i bruk, og er noe forsikringsselskapene samlet tilbyr gjennom Finans Norge Forsikringsdrift, for å øke cybersikkerheten i norsk næringsliv som helhet.

Kalleklev mener at en slik modenhetsvurdering for cybersikkerhet kan være et viktig bidrag til en positiv utvikling, og etterlyser nå en dugnad i norsk næringsliv for å tette sikkerhets- og kompetansegapet i forkant av EU-direktivene:

– Vi ser en positiv utvikling, men funnene viser også at vi har en vei å gå. Sikkerhetskulturen må styrkes, og ledere og ansatte må få bedre opplæring i hvordan de skal håndtere dagens trusler. Cybersikkerhet er ikke lenger bare en sak for ITavdelingen – det er et toppleder- og styreansvar. Selskaper må teste sin egen responskapasitet, stille strengere krav til leverandører og bygge en sterk sikkerhetskultur, sier Kalleklev.