Når cyberangrep blir alvorlige: Slik rammes nordiske selskaper

– Vi ser det samme mønsteret igjen og igjen: Det er de grunnleggende sikkerhetshullene som blir utnyttet. Det er ikke de kompliserte angrepene som rammer flest selskaper. Det er områdene vi allerede vet at vi burde ha kontroll på, sier Vegard Kjerstad, leder for Ateas nordiske Incident Response Team (IRT). 

Ateas team er de første som håndterer saken når noe går galt. Teamet håndterer alt fra mindre IT-sikkerhetshendelser som løses på noen timer, til alvorlige hendelser som kan strekke seg over flere uker. 

Tre spesifikk angrepstyper dominerer

Når en ny type angrep dukker opp ett sted, bruker IRT-teamet erfaringen sin og sin nordiske rekkevidde til å lete etter de samme angrepene hos andre kunder. På den måten blir én hendelse til kunnskap som kan beskytte mange virksomheter på tvers av Norden. 

I 2025 håndterte teamet totalt 343 sikkerhetshendelser i Norden, og tre spesifikke angrepstyper sto bak det store flertallet: 

• AiTM-phishing (angriperen i midten):
  AiTM er en avansert form for phishing der angriperen plasserer seg mellom brukeren og et legitimt nettsted for å fange opp sensitiv informasjon som innloggingsdetaljer og sesjonskapsler. Angriperen kan kapre økten og få tilgang til systemer selv når virksomheten har tofaktor-autentisering (MFA). Konsekvensen er at én kompromittert konto kan bli inngangsporten til hele virksomhetens digitale miljø. 
• Eksponerte systemer og ekstern tilgang:  
  Internett-eksponerte tjenester som brannmurer, webapplikasjoner og VPN-løsninger uten multifaktorautentisering (MFA) er sårbare og blir hyppig utsatt for angrep. Virksomheter må ha kontroll over hvilke systemer som er eksponert, holde dem oppdatert og sørge for at de er beskyttet med riktige sikkerhetslag. 
• “Infostealers” 
  Infostealers er en type skadevare som brukere blir lurt til å laste ned på systemene sine, og som stjeler sensitiv informasjon som passord, nettleserkapsler og lagrede innloggingsdetaljer. Disse dataene kan brukes direkte av angripere eller selges videre, med mål om å få tilgang til virksomhetens systemer og data.    

Hva bør du gjøre?

– Den største risikoen oppstår når virksomheter ikke tar grunnleggende sikkerhet på alvor. De fleste angrep kunne vært unngått dersom riktig forberedelse og beskyttelse hadde vært på plass, forklarer Vegard Kjerstad. 

Virksomhetene som unngår angrep, eller kommer best gjennom dem, har fire ting til felles: 

• De øver på planer og beredskap:
  Nøkkelpersoner vet hvem de skal kontakte når noe virker mistenkelig. De har øvd på responsplanene sine, ikke bare skrevet dem ned. Roller og ansvar er testet i realistiske scenarioer, slik at ingen må
  finne opp prosesser midt i en krise. I tillegg finnes det mennesker og systemer som overvåker aktivt, slik at angrep oppdages tidlig. 
• De kjenner sine svake punkter:
  De vet hvilke systemer som er sårbare, hvilke som er eksponert mot internett, og hvem som har ansvar for dem. Når en ny sårbarhet blir oppdaget, kan de raskt vurdere om de er berørt og hva de må gjøre videre. 
• De beskytter identiteter, ikke bare nettverk:
  Flerfaktorautentisering er et grunnleggende prinsipp, særlig for ekstern tilgang og privilegerte kontoer. Tydelige regler styrer hvor og hvordan brukere kan logge inn, og disse reglene håndheves konsekvent. 
• Bruker ekstern kompetanse:
  For de fleste organisasjoner gir det lite mening å bygge opp en intern beredskapsfunksjon for hendelseshåndtering. En intern funksjon kan kanskje oppleve én hendelse i året, mens et spesialisert IRT håndterer nye saker nesten daglig på tvers av bransjer og land. Det gjør dem bedre rustet til å oppdage mønstre og respondere raskt og effektivt.