– Bedrifter som ikke tar cybersikkerhet på alvor, risikerer både økonomiske tap og å falle utenfor leverandørkjeder, advarer Næringslivets sikkerhetsråd.
Næringslivets sikkerhetsråd (NSR) har det siste året varslet over 1.400 norske virksomheter om at de allerede er kompromittert av digitale angrep.
– Det betyr at skaden har skjedd. De kriminelle er allerede inne. Det har gått galt, sier Bjarte Malmedal, fagdirektør for digital sikkerhet i NSR.
Han understreker at dette bare er angrepene de klarer å oppdage.
– Mørketallsundersøkelsen viser at det reelle tallet er langt høyere.
En vanlig misforståelse blant mindre bedrifter er at de ikke er «interessante nok» for kriminelle aktører. Små og mellomstore bedrifter har også i mindre grad et rammeverk eller system for informasjonssikkerhet, noe som straffer seg. For ifølge Malmedal treffer angrepene bredt.
– Cyberkriminalitet rammer ikke bare de store konsernene. De kriminelle går ikke etter én spesiell type virksomhet, i én spesiell bransje eller del av landet. De rammer alle slags virksomheter over hele landet, og her er det flest små og mellomstore bedrifter, sier han.
Et av de mest utsatte punktene er tilgang til Microsoft 365-kontoer. Når kriminelle får tak i påloggingsinformasjon og tofaktor-koder, kan de:
– Sende ut nye phishing-angrep fra bedriftens egne e-postadresser
– Kartlegge ledelsen
– Instruere regnskapsavdelinger om falske betalinger
– Vi har sett norske virksomheter som har tapt flere hundre tusen på rene e-postsvindler, sier Malmedal.
Angrepene blir smartere, takket være KI
Kunstig intelligens gjør det vanskeligere å avsløre svindelforsøk.
– Glem tiden med dårlig språk og rare formuleringer. KI gjør det mulig for kriminelle fra andre land og kontinenter å formulere nærmest perfekte angrep som vi mennesker ikke klarer å avsløre, sier Malmedal.
Han mener derfor norske virksomheter nå må gå fra å stole på menneskelig vurdering til rutiner, systemer og teknologi som stanser angrep før og etter at ansatte blir lurt.
– Det er urimelig å legge hele ansvaret på ansatte. Det er ledelsens ansvar å ha både rutiner og systemer som hindrer og begrenser skade.
Nye EU-krav vil treffe hele leverandørkjeden
Innen 1,5–2 år vil Norge etter planen implementere den nye NIS2-forordningen fra EU.
– Dette er et paradigmeskifte, sier Malmedal.
Direktivet vil stille krav til:
– Varslingsrutiner
– Risikostyring
– Sikkerhet i leverandørkjeden
– De nye reguleringene vil ikke bare treffe de store og definerte virksomhetene som er omfattet, men hele underskogen av leverandører.
Han mener mange små og mellomstore bedrifter vil merke de nye kravene gjennom kontrakter før loven trer i kraft.
– Store kunder vil begynne å stille sikkerhetskrav. Klarer du ikke å dokumentere sikkerhet, kan du falle ut av leverandørkjeden. Dette påvirker konkurransekraften direkte.
Etablerer egen satsning på cyber sikkerhet
Flere aktører i markedet rigger seg nå for å hjelpe SMB-er med nye krav. En av dem er IT konsulentene i Randstad Digital, som nylig har etablert en egen enhet for cybersikkerhet.
– Vi ser at norske bedrifter får noen av de strengeste sikkerhetskravene vi har hatt, og tiden frem mot nye EU-regler er kort. Derfor har vi rekruttert jurister med spesialkompetanse på IT-sikkerhet for å hjelpe kunder med å etterleve kravene som allerede har begynt å komme, sier Marianne Hagen, administrerende direktør i Randstad.
Selskapet har lenge jobbet med hvordan kunder håndtere tilgangsstyring på en sikker måte, med gode rammeverk og hjelpemidler.
– Det blir stadig viktigere med systemer og rutiner for autentisering (hvem er du) og autorisering (hva har du lov til) slik at de kriminelle ikke kommer seg inn. For mange SMB-er er dette ikke lenger et «kjekt å ha», men et krav for å kunne drive og vokse, sier Hagen.
De som begynner nå, vil ligge flere steg foran
Malmedal mener norske SMB-er må tenke mer langsiktig:
– Cybertrygghet handler ikke om å bli perfekt, men om å være forberedt. De som starter nå, vil komme bedre ut enn de som venter.
Hans tre råd til SMB-ledere:
1. Kutt ned tiden kriminelle kan misbruke tilgang. Kortere innloggingsvinduer og bedre tilgangskontroll.
2. Sikre e-post som angrepsflate, stans forsøk før de når ansatte.
3. Planlegg for NIS2, kravene kommer gjennom lover og kontrakter. Dette vil treffe alle, enten direkte eller gjennom kunder. Det er bare å starte arbeidet nå.
FLERE SAKER
To av tre lar julelysene stå på om natta
Nå kan du sjekke skattekortet for 2026
Glans, glitter og søppel: Gavepapirfella vi alle går i