Telenor blokkerte 539 millioner utrygge nettsider og forsøk på digital kriminalitet.
I første kvartal i år foretok Telenors sikkerhetsfiltre 515 millioner blokkeringer på nett. I tillegg blokkerte vi 9,7 millioner forsøk på svindel via anrop og 14,4 millioner SMS. Som i tidligere kvartaler utgjør phishingforsøk, forsøk på å spredning av skadevare samt kjente svindelsider de største kategoriene av blokkeringer på nett.
Telenor Cyberdefence håndterte 42 potensielt alvorlige cybersikkerhetshendelser i løpet av årets første kvartal – hendelser som hadde gjort stor skade om de ikke hadde blitt oppdaget og stanset. Phishing mot ansatte fortsetter å være en trend, samtidig som det er oppdaget nye sårbarheter med stort skadepotensial.
– Dette er heldigvis forsøk vi har stanset før de kan gjøre skade mot bedriftskundene våre. De som driver med denne type cyberkriminalitet har kompetanse og ressurser til å gjennomføre sofistikerte angrep i stor skala mot norske virksomheter, sier Henrik Buksholt, leder av sikkerhetssenteret til Telenor Cyberdefence, som overvåker og beskytter kunders nettverk og datautstyr døgnet rundt gjennom hele året.
Flere av de potensielt alvorlige hendelsene de har håndtert så langt i år har vært relatert til phishingforsøk mot ansatte.
– Phishing er og blir en av de vanligste formene for digital kriminalitet. Dette har vært en trend i lang tid og ser ut til å fortsette også fremover.
De kriminelle sender e-poster som kopierer visuell profil og ordlyd fra virksomheter og tjenester som for eksempel Altinn, Easypark, Microsoft, eller Posten. Målet er å få mottakere til å oppgi brukernavn, passord, BankID eller annen personlig informasjon som senere kan misbrukes.
Buksholt understreker at det største problemet er mangelfull sikring av identitet, som kan gi uvedkommende tilgang til systemer de ikke bør ha.
– Det som ofte stopper denne type angrep er riktig konfigurasjon av identitets- og tilgangsstyringssystemer, som Conditional Access (betinget tilgang) i Microsoft Entra ID, og ikke minst MFA og phishing resistent MFA.
I årets tre første måneder registrerte Telenor Cyberdefence også 196 bekreftede DDoS-angrep, eller tjenestenektangrep, som er en form for cyberangrep hvor man prøver å slå ut servere ved å overbelaste dem med trafikk. I 125 av disse var man nødt til å iverksette skadereduserende tiltak. Misbruk av DNS-tjenesten sto for 80 prosent av angrepene.
potensielt alvorlige cybersikkerhets-hendelser
bekreftede
DDoS-angrep*
*DDoS-angrep (Distributed Denial of Service) eller tjenestenektangrep er en form for cyberangrep hvor man prover à slá ut servere ved à overbelaste dem med trafikk.
mitigerte
DDoS-angrep
– Dette kvartalet har vi sendt ut seks varsler relatert til nye trusler og sårbarheter som vil kunne ramme kunder i det norske bedriftsmarkedet, forteller Buksholt.
Dette er typisk sårbarheter i produkter og tjenester som vi vet blir brukt i stort omfang i Norden, og som har et stort skadepotensial. Det ble blant annet sendt ut varler om såkalte nulldagssårbarheter i Fortinet, og i VMware.
– I tillegg til å varsle, gjør vi også søk i våre egne data etter sårbarhetene, og ser etter aktiv utnyttelse av disse.
Fem kunder var eksponert for nulldagssårbarheten i VMware, i tillegg til Telenor Cyberdefence selv. Maskinene det gjaldt ble funnet raskt og oppdatert umiddelbart.
– De sofistikerte angrepene og de nye sårbarhetene vi ser, gjør det helt essensielt for norske virksomheter å ha en beredskapsplan klar til å settes i verk raskt, avslutter han.
Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utdrag av dataen de påstår å ha stjålet, som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.
Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.
Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.
Kritisk sårbarhet i Palo Alto PAN-OS
Palo Alto PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet, som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon, VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av nett og oppdateres. Øvrige sårbare enheter bør oppdateres. Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med VPN, IP-hvitelister eller lignende.
Fortinet advarer om en sårbarhet i deres FortiOS og Fortproxy
Fortinet advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS og FortiProxy, som angripere aktivt utnytter for å få super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å opprette falske brukere, manipulere brannmurregler og få tilgang til interne nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer og lateral bevegelse i kompromitterte systemer.
Microsoft advarer om svakhet i ASP.NET
Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.
CISA informerer om at Windows- og Cisco-sårbarheter blir aktivt utnyttet
CISA har advart amerikanske føderale byråer om å sikre sine systemer mot angrep som utnytter sårbarheter i Cisco- og Windows-systemer. Den første sårbarheten (CVE-2023-20118) tillater angripere å utføre vilkårlige kommandoer på flere Cisco VPN-rutere. Selv om denne sårbarheten krever gyldige administrative legitimasjoner, kan angripere oppnå dette ved å kombinere den med CVE-2023-20025, som gir root-privilegier. Den andre sårbarheten (CVE-2018-8639) er en Win32k-privilegiumeskaleringsfeil som lokale angripere kan utnytte for å kjøre vilkårlig kode i kjernemodus, endre data eller opprette falske kontoer med fulle brukerrettigheter.
CISA advarer om aktivt utnyttede VMware-sårbarheter og oppfordrer til umiddelbar oppdatering
Den amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har lagt til tre kritiske VMware-sårbarheter i sin katalog over kjente utnyttede sårbarheter (KEV) etter bekreftet aktiv utnyttelse. Disse sårbarhetene, identifisert som CVE-2025-22224, CVE-2025-22225 og CVE-2025-22226, kan tillate angripere med privilegert tilgang til virtuelle maskiner (VM) å eskalere privilegier, utføre kode på hypervisorer og hente ut sensitiv minnedata. Sårbarhetene påvirker VMware-produkter som ESXi, Workstation, Fusion, Cloud Foundation og Telco Cloud Platform.
Hacking-gruppen ‘Dark Storm’ tar på seg ansvaret for DDoS-angrep på X
Den 10. mars 2025 opplevde det sosiale medieplattformen X (tidligere Twitter) betydelige tjenesteavbrudd globalt, noe som påvirket både mobil- og desktopbrukere. Elon Musk, eier av X, uttalte at plattformen ble utsatt for et “massivt cyberangrep” utført med betydelige ressurser, muligens av en stor, koordinert gruppe eller en nasjon. Det pro-palestinske hacktivistkollektivet Dark Storm hevdet ansvar for angrepet, og delte skjermbilder og lenker som bevis på deres DDoS-angrep mot X. Som respons aktiverte X DDoS-beskyttelsestjenester fra Cloudflare for å håndtere angrepet.
TIBER står for Threat Intelligence-Based Ethical Red-teaming, og er et felleseuropeisk rammeverk der myndigheter, finansforetak og leverandører samarbeider om testing av cybersikkerhet i det finansielle systemet.
Bruk av målrettet trusseletterretning og eksterne testspesialister (“Red Team”) bidrar til at testingen blir realistisk. Viktige IKT-systemer testes ved å etterligne taktikker, teknikker og prosedyrer som benyttes av reelle trusselaktører. Hensikten er å avdekke sårbarheter slik at risikoreduserende tiltak kan iverksettes.
En TIBER-test er en avansert sikkerhetstest av evnen til forsvar mot cyberangrep. Testen etterligner så langt som mulig hvordan reelle trusselaktører vil angripe et foretak. En egen målrettet trusselrapport utarbeides først basert på de samfunnskritiske funksjonene foretaket ivaretar. Den aktive testperioden tester produksjonssystemer uten at de som jobber med å forsvare disse mot angrep er kjent med testen på forhånd. Formålet er at resultatene fra en avansert test som TIBER gir stor verdi og læringsutbytte om egne systemer, kontroller og prosesser.
DORA (Digital Operational Resilience Act) inneholder felleseuropeiske regler for å styrke den digitale operasjonelle motstandskraften til foretak i finanssektoren. De fleste foretakene i finanssektoren som er regulert av EU/EØS-sektorregelverket, omfattes av DORA, med enkelte unntak. I Norge tilsvarer dette i hovedsak foretak under tilsyn, jf. finanstilsynsloven § 1.
DORA artikkel 26 setter krav til trusselstyrt penetrasjonstesting . TIBER-EU har nettopp blitt oppdatert for å tilpasse det til de regulatoriske tekniske standardene (RTS) i DORA for trusselstyrt penetrasjonstesting. TIBER gir med det detaljerte retningslinjer for hvordan DORA TLPT skal gjennomføres på en kvalitativ, kontrollert og sikker måte.
De viktigste oppdateringene i TIBER-EU er:
Det oppdaterte TIBER-EU-rammeverket tydeliggjør nå kravene til trussel-etterretningsbaserte red-team tester i finanssektoren i tråd med DORA. Oppdaterte dokumenter og ytterligere informasjon er tilgjengelig via en egen nettside, og en kort ECB-rapport fra september 2024 beskriver hvordan TIBER-EU kan hjelpe til med å oppfylle DORA TLPT-kravene.
Annonsebilag i Aftenposten
I urolige tider er alle utsatt for digital sårbarhet og potensielle angrep. Ikke minst gjelder det virksomheter av betydning for helse, økonomi, industri og offentlig forvaltning. Heldigvis er det mye vi kan gjøre for å sikre oss.
Thomas Kronen, CEO i Telenor, peker på at gammel infrastruktur ofte er preget av «teknisk gjeld». Det handler om løsninger som er lappet på, men som mangler en helhetlig sikring. Phishing er også et stort problem.
– Det største problemet er nemlig mangelfull sikring av identitet, som kan gi uvedkommende tilgang til systemer de ikke bør ha. Derfor er flerfaktor-autentisering og god tilgangsstyring så viktig, forklarer han.
Kronen peker på at ledelsen i mange virksomheter ikke prioriterer sikkerhet høyt nok.
– Det koster penger, og mange antar at leverandørene har full kontroll, men virksomheter må selv stille krav til sikkerheten i egen infrastruktur, sier han. Videre understreker han at lange og uoversiktlige verdikjeder vanskeliggjør kontroll. Det er avgjørende å tenke helhetlig om sikkerhet gjennom hele verdikjeden, og sikre data og prosesser, selv under et angrep.
– Derfor er det viktig å øve på hendelser, og ha en klar strategi for hvem som tar ansvar når noe skjer. Mange undervurderer hvor raskt et angrep kan eskalere, og uten en gjennomarbeidet plan, kan skadene bli store, sier Kronen. For å unngå det, anbefaler han virksomheter å gjennomføre sikkerhetsøvelser.
– En beredskapsplan må være oppdatert og testet i praksis. Den skal ikke bare ligge i en skuff, understreker han.
Telenor Cyberdefence bistår virksomheter med en strategisk tilnærming til sikkerhet.
– Vi starter med en risiko- og sårbarhetsanalyse, for å avdekke risikoer og hvordan disse kan minimeres. Deretter hjelper vi med å bygge sikkerhet, for eksempel basert på NSMs grunn- prinsipper eller ISO-standarder, sier Kronen.
Men sikkerhet handler ikke bare om forebygging – det krever også kontinuerlig overvåking. Vi overvåker kundenes miljø for å avdekke hendelser, og har et respons-team som kan hjelpe om noe skulle skje. Vi ser en økning i sofistikerte angrep som gjør det essensielt å ha en beredskapsplan klar til å settes i verk raskt, fortsetter han.
– Å bygge et ISMS (Information Security Management System), og ha et strategisk rammeverk på plass, er avgjørende. Mange tror at de er sikre fordi de har investert i teknologi, men uten en helhetlig strategi og klare ansvarsforhold kan sikkerheten fortsatt være sårbar. Til slutt understreker Thomas Kronen viktigheten av å forstå hvor man står.
– Vit hvor du står, hvor du skal, hvilke investeringer som kreves, og sørg for å ha en kompetent sikkerhetspartner. Da er du godt rustet for å møte utfordringene, avslutter han.
Brage and Daniel are ethical hackers. They are skilled in finding ways through the digital defenses of businesses and organizations. Their motivation is to set things right.
Hackers come in (at least) two categories. Those that wear a black hat will be out to do harm – either for financial gain, to target enemies or opponents, or simply to cause havoc.
White hat hackers start out with entirely different intentions – they are mainly triggered by a desire to identify security flaws – which they then report on – so that organizations can take steps to bridge any security gaps. Our guys are in white.
Both got involved when they were still in school – alongside friends with similar interests. There was a YouTube community where tips and stories of the successes of others provided inspiration. Today, they have made their hobbies into jobs.
Daniel: “I was starting to get into this – and at one point I discovered an error in one of Telenor’s systems. I pointed this out to them – and they quickly picked up on what I showed them. Then I received an unexpected invitation to meet with them – and with one thing leading to another, I was offered a job. So that’s my somewhat unusual pathway to joining Telenor.”
Today he is part of the security community at Telenor Norway – and his skills are constantly applied to ensure that we continue to stress test our own systems. An important part of that is “penetration testing”, to uncover any weaknesses or vulnerabilities so they can be rectified.
Brage is part of Telenor Cyberdefence, which is set up to deliver cloud-based Managed Security Services in the Nordics. The company is still in an early phase – but the demand in this sector is growing fast, and they are already one of the leading providers of penetration testing in Norway.
But how well prepared are Norwegian and Nordic companies to meet emerging threats? “I think it is fair to say that there is room for improvement in many areas. In the financial sector they have, for good reasons, come quite far, but other sectors are less well prepared. Also, the reporting mechanisms are often poor, which means we aren’t very good at learning form the incidents that do occur.”
A few years back there was a large-scale attack on one of Norway’s leading companies, Norsk Hydro. This clearly rattled the Norwegian business community – and in the wake of that incident many were upping their budgets and mobilizing to get their defensive lines in better shape,” says Daniel.
“But when you are under pressure to act fast you are often less sure that the measures you put in place are fit for purpose. Regrettably, this is an area where you need to be prepared to meet rapidly changing threats. My advice would be to anchor this effort at CXO-level and accept that this is an area that will need vigilance and continuous investment,” adds Brage.
Baard Larsen, journalist i Grimstad Adressetidende
Digital kriminalitet er et økende problem. Det merker de spesielt ved Telenor Cyberdefence i Teknologiparken.
Vi tar i bruk stadig flere og flere apper og programmer, uten å lese gjennom hva vi egentlig sier ja til å dele av informasjon som blir samlet inn. Hvor denne informasjonen havner, er ikke alltid like lett å vite. At noe havner på «ville veier», kan fort skje.
Men det som er klart, er at de små summene med data som vi deler, på lengre sikt kan gjøre oss mer sårbare for dataangrep og annen digital kriminalitet. Ved sikkerhetssenteret til Telenor Cyberdefence følger de med døgnet rundt på trafikken mot deres kunder.
I fjerde kvartal av 2024 håndterte Telenor Cyberdefence 39 alvorlige hendelser i forbindelse med tjenestene knyttet til sikkerhetsovervåking. Det er en nedgang fra 60 alvorlige hendelser i tredje kvartal.
Flere av de alvorlige hendelsene Telenor Cyberdefence håndterte i fjerde kvartal var relatert til phishing av ansatte, som var en trend gjennom hele høsten.
Det ble registrert 294 bekreftede DDoS-angrep i Telenors infrastruktur dette kvartalet, ned fra 370 i tredje kvartal. Godt over halvparten, 180, av angrepene i Q4 ble mitigert.
Et gjennomsnittlig angrep var på 11.5 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 278 Gbps og varte i 12 minutter.
Tre av Telenor Cyberdefence sine bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep dette kvartalet, ned fra elleve forrige kvartal.
Dette kvartalet opplevde vi et aggressivt DDoS-angrep mot en av våre kunder. Angrepet var ikke så stort i volum – kun 2.5Gbps – men det bestod av en lang rekke små pakker, såkalte SYN-pakker, som normalt brukes for å opprette nye sesjoner.
I stedet for å angripe bare én adresse hos kunden, som er det normale, ble 255 adresser angrepet samtidig. Et stort antall angrepspakker mot en rekke samtidige mål kan være ekstra ressurskrevende for nettverksutstyr og servere.
Angrepet ble mitigert ved å midlertidig blokkere en del geografiske regioner som stod bak mesteparten av angrepstrafikken, såkalt geo-blokkering. Denne typen blokkering blir gjort ved hjelp av forhåndsdefinerte lister over hvilke nettverk som tilhører forskjellige land og regioner.
Phishing er og blir en av de vanligste formene for digital kriminalitet, og rettes både mot privatpersoner og bedrifter. En vesentlig andel av blokkeringene som gjøres på nett er phishingforsøk. Dette kvartalet har vi sett en markant økning i antall phishingforsøk. Metodene er de samme som tidligere. De kriminelle sender e-poster som kopierer visuell profil og ordlyd fra virksomheter og tjenester som Altinn, Easypark, Microsoft, og Posten. Hensikten med disse e-postene er å få mottakere til å oppgi brukernavn, passord, BankID eller annen personlig informasjon som senere kan misbrukes.
Telenor Cyberdefence har allerede skrevet om denne økningen, og gir i denne artikkelen noen råd mot phishing-angrep: https://www.telenorcyberdefence.com/hoytid-for-svindelforsok/. Vi ønsker også å fremheve NSMs anbefaling om å implementere phishingresistent autentisering.
Europol ledet en global aksjon mot ransomware-syndikatet LockBit, som har stått bak over 1,800 ransomware-angrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslag av IT-infrastruktur som ble brukt av syndikatet. Myndigheter mener at grupperingen har tjent over 1 milliard USD i løpet av de fire årene de var aktive.
Operasjonen var en del av Operation Cronos, og myndighetene innførte sanksjoner mot tilknyttede personer. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom No More Ransom-prosjektet. I samarbeid med japansk politi, Storbritannias National Crime Agency og FBI er disse verktøyene nå tilgjengelige gratis på nomoreransom.org.
CERT-UA har avdekket en sofistikert phishing-kampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina og allierte land. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture.
De vedlagte RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere. Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer.
Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon.
Vi anbefaler å blokkere .rdp-filer i e-poster, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.
I starten av november gikk det rykter om en kritisk svakhet i administrasjons-grensesnittet til brannmurer fra Palo Alto, som allerede 8. november ga ut rådgivning til kundene om kun å gi tilgang til admin-grensesnittet fra godkjente enheter. Den 18. november ga Palo Alto ut patcher og informasjon om to svakheter, som allerede hadde vært utnyttet i målrettede angrep.
Den ene svakheten (CVE-2024-0012) lå i admin-grensesnittet og kunne gi administrator-tilgang til angripere med nettverkstilgang til enheten, uten å ha konto på enheten. Den andre svakheten (CVE-2024-9474) ble også allerede utnyttet i angrep. Denne lot en vanlig bruker av brannmuren utføre kommandoer som root-brukeren.
Overvåkingsplattformen Shadowserver meldte i forbindelse med at patchene ble gitt ut at over 8700 admin-grensesnitt var eksponert mot nettet, på tross av rådene om å ikke eksponere disse mot internett.
En russisk APT-gruppe, antatt å være Fancy Bear (APT28), har benyttet en ny angrepsmetode kalt “Nearest Neighbor Attack” for å få tilgang til Wi-Fi-nettverk. Metoden innebærer å utnytte nettverk i nærheten av målet for å omgå sikkerhetstiltak som multifaktorautentisering (MFA).
Angriperne kompromitterer først et nærliggende nettverk og bruker deretter enheter med tilgang til begge nettverk, som bærbare datamaskiner eller rutere, som en bro for å få tilgang til målet. Volexity avdekket angrepet i februar 2022, rettet mot en organisasjon i Washington D.C. med tilknytning til Ukraina. Angrepet involverte blant annet passordspraying, utnyttelse av sårbarheter og “living-off-the-land”-teknikker.
Organisasjoner bør behandle WiFi-nettverk (spesielt de med delte passord) som åpne nettverk og kreve VPN-tilkobling eller lignende for å få tilgang til interne tjenester.
NSM kom i desember ut med en anbefaling om at virksomheter går over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering. NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering.
NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.
Vi i Telenor har for første gang samlet sikkerhetsstatistikk og innsikt fra vårt sikkerhetsmiljø gjennom et helt år, og kan her presentere samlede tall for 2024. I løpet av fjoråret foretok Telenors sikkerhetsfiltre 2,1 milliarder blokkeringer på nett. I tillegg blokkerte vi 54,5 millioner svindelforsøk via anrop og 64,1 millioner via SMS. Totalt stoppet vi 2,2 milliarder hendelser knyttet til digital kriminalitet. Det betyr at vi hver eneste dag blokkerte mer enn 6 millioner utrygge nettsider og forsøk på digital kriminalitet.
Det er hard konkurranse om kunder og ressurser i denne nisjen. Pengene hentes ikke med trillebår, sier Thomas Kronen.
Digin ønsker stolt velkommen til Telenor Cyberdefence som ny medlemsbedrift. Som et utspring fra Telenor SOC (Security Operations Center) har Telenor Cyberdefence etablert seg som en sterk norsk aktør innen cybersikkerhet, med en skybasert tjenesteportefølje og god innsikt i trusselbildet som truer både private og offentlige virksomheter i Norge og Norden.
En sterk sikkerhetsaktør med lokal forankring
I løpet av sitt første år som eget selskap har Telenor Cyberdefence lagt grunnlaget for en reorganisert virksomhet som har fokus på å beskytte norske virksomheter mot cybertrusler. De har flyttet inn i nye lokaler ved siden av Universitetet i Agder, Campus Grimstad, og nærheten til akademia spiller en viktig rolle. Samarbeidet med UiA gir selskapet tilgang til ny kompetanse, blant annet gjennom forelesninger, lab-oppgaver, bachelor- og masterprosjekter, og tilrettelagte hacking-konkurranser arrangert i det innovative Bluebox-miljøet.
– Grimstad-miljøet og næringsklynger som Digin er utrolig viktige for oss i Telenor Cyberdefence. Disse miljøene gir oss muligheten til å møte andre aktører, utveksle ideer og jobbe sammen for å finne gode løsninger. Samtidig bidrar vi til å bygge opp kunnskap om sikkerhet i det lokale miljøet, noe som er viktig for både oss og andre som jobber med teknologi og utvikling, sier Vidar Strand. Med på praten er også Henrik Buksholt som er leder av sikkerhets- og overvåkningsdelen.
Telenor Cyberdefence kombinerer år med operativ erfaring fra telecom og infrastruktur med en sterk satsing på moderne sikkerhetsteknologier. Med spisskompetanse innen detection, prevention og response, samt skybaserte løsninger som Microsoft Azure, er selskapet godt posisjonert til å møte den økende etterspørselen etter cybersikkerhet i det norske markedet.
– Vi bygger på mange års erfaring der vi har håndtert alt fra målrettede phishing-angrep og ransomware-utpressing til mer komplekse angrep på kritisk infrastruktur. Dette gjør vi mens vi samtidig ser fremover og utvikler oss med moderne sikkerhetsteknologier, sier Henrik. De ansatte i Telenor Cyberdefence bringer mangfoldig erfaring fra ulike sektorer, inkludert oljeindustrien, konsulentvirksomhet og offentlig forvaltning. Henrik har vært en nøkkelspiller i oppbyggingen av Telenors 24/7 SOC og har et klart fokus på det kommersielle aspektet ved sikkerhetstjenester.
– Vi ønsker å gjøre sikkerhetstjenester relevante, skalerbare og kostnadseffektive for kundene våre. Vi vet at sikkerhet ikke er en «one-size-fits-all»-løsning, og derfor legger vi vekt på å forstå kundens spesifikke behov og risikoer. Vårt mål er å levere tjenester som ikke bare beskytter mot trusler, men som også gir forretningsverdi ved å styrke kundens tillit i markedet og sikre kontinuitet i deres drift, forteller Henrik.
Fokus på samarbeid og rekruttering
Gjennom medlemskapet i Digin ønsker Telenor Cyberdefence å styrke samarbeidet med andre medlemsbedrifter og utvide sine faglige nettverk. Rekruttering er også et viktig satsningsområde. Ved å samarbeide tett med studenter og lokale utdanningsinstitusjoner, samt delta aktivt i uformelle arenaer som Agder Sec, ønsker selskapet å inspirere unge talenter til å satse på en karriere innen cybersikkerhet.
– For oss er det viktig å vise unge talenter at dette er en bransje med enorme muligheter, hvor de kan være med på å løse komplekse utfordringer som har stor betydning for samfunnet, sier Vidar.
Denne tilnærmingen viser hvordan Telenor Cyberdefence ikke bare styrker egen virksomhet, men også bidrar til å bygge et robust og fremtidsrettet fagmiljø i regionen – en innsats som vi i Digin ser frem til å støtte og utvikle videre. Vi ser også frem til å følge Telenor Cyberdefence på reisen videre og gleder oss til å skape nye arenaer for samarbeid og vekst i fellesskap. Velkommen om bord!
Norsk næringsliv er stadig mer utsatt for digitale angrep. Mange bedrifter er ikke godt nok forberedt på denne trusselen.
Telenor-konsernet har nylig intervjuet 300 norske bedriftsledere. En av fem svarer at bedriften har blitt utsatt for digitale angrep eller lignende sikkerhetshendelser det siste året. Dette stemmer godt overens med andre undersøkelser om samme tema.
«Norsk næringsliv og offentlige virksomheter er utsatt for stadig flere og mer alvorlige cyberangrep. Aldri før har vi opplevd så hyppige og alvorlige cybertrusler som i dag. Eksponentiell vekst av data og økende digitalisering av alle deler av samfunnet gir de kriminelle en større angrepsflate. Dette er en utfordring vi må ta på det største alvor», sier Thomas Kronen, leder for Telenor Cyberdefence.
Nye metoder
Telenors sikkerhetssenter, som monitorerer og beskytter bedriftskunders nettverk og datautstyr, håndterer i snitt mer enn 20 alvorlige hendelser hver måned. Det siste året har sikkerhetssenteret registrert en dreining i måten norske virksomheter angripes på.
Det er spesielt to fremgangsmåter som utmerker seg. De kriminelle forsøker enten å stjele ansattes brukernavn og passord, eller å komme seg inn i bedriftens nettverk via såkalte edge devices. Dette er endepunkter som er eksponert direkte mot nettet, ofte for at ansatte og samarbeidspartnere skal ha enkel tilgang til informasjon. Dette kan du lese mer om i rapporten «Digital Sikkerhet 2024: Har vi tid til å vente?»
«Bedriften og de ansatte har et felles ansvar for å beskytte bedriften. Vi er flinke til å beskytte bedriften fysisk, for eksempel ved å låse døren når vi går hjem. Hvordan sørger vi for å ha like gode rutiner digitalt? Hver enkelt av oss har et ansvar for å være årvåkne og forsiktige når vi bruker arbeidsverktøyene våre», mener Kronen.
Styrker sikkerheten
Mange ledere er bekymret, og varsler økte investeringer i sikkerhet. Beredskap er også en sentral del av bekymringen. Mange bedrifter har ingen plan dersom de skulle bli angrepet.
Telenors undersøkelse har blant annet gitt følgende svar:
«Når vi spør ledere om beredskap, så er det også mange som svarer at de ikke vet hvilke rutiner de har. Det er bekymringsfullt i seg selv. Vårt råd til bedriftene er at de bør bruke mer tid på å forstå trusselbildet rundt seg og gjøre en risikoanalyse. Hva er bedriftens «kronjuveler», verdiene som vi må beskytte for enhver pris? Og hvordan kan vi sikre disse verdiene best mulig med de midlene vi har tilgjengelig? Hvis man stiller disse spørsmålene så er det en veldig god start», sier Kronen.
Brannmur og kryptering
Dette er de vanligste cybersikkerhetstiltakene i norske bedrifter, ifølge respondentene i Telenors undersøkelse.
Black Week og julehandelen er høytid for nettbaserte svindelforsøk. Vi som jobber i sikkerhetssenteret hos Telenor Cyberdefence ser daglig forsøk på dette. En metode som vi ser mange tilfeller av akkurat nå, er ondsinnede aktører som sender ut epost med PDF-vedlegg. E-posten som ser ut som en legitim faktura. E-posten inneholder en lenke som tilsynelatende har noe med vedlegget å gjøre. Lenkene sender deg imidlertid videre til nettsider som forsøker å få deg til å oppgi innloggingsdetaljer til din bedrift. I enkelte tilfeller blir du også spurt om kortnummer, CVC-nummer, kontonummer og pinkode.
E-postene er gjerne laget for å se ut som om de er sendt internt i bedriften eller fra en finansinstitusjon, og nettsiden med innlogging kan også se ut som om den tilhører din bedrift eller finansinstitusjon.
En annen utbredt metode er SMS eller meldinger (Whatsapp, Snapchat, Facebook Messenger osv.) hvor avsender ber deg gjøre noe.
Større bedrifter har gjerne systemer som stopper slike angrep, selv om noen forsøk kan komme gjennom sikkerhetsfiltrene. Mindre bedrifter har kanskje ikke slik beskyttelse, så det er viktig med kunnskap og gode holdninger hos ansatte.
Kriminelle utvikler stadig nye og mer utspekulerte metoder, og hver og en av oss må være på vakt for å unngå å bli lurt. Vi ser oftere at de kriminelle går rett på ansatte når de vil angripe bedrifter.
Her er noen av rådene vi gir til ansatte i bedrifter som er kunder hos oss:
Virker eposten eller meldingen mistenkelig så er den sannsynligvis det. Ta eventuelt kontakt med angivelig avsender via en annen kanal for å verifisere. Et så enkelt tiltak som å dobbeltsjekke navnet på et nettsted kan ofte ha stor effekt.
Det kan være klokt å ha litt ekstra fokus på sikkerhet i forkant av høysesongen. Informasjon til ansatte, og gjerne også øvelser, er gode aktiviteter. Vi anbefaler spesielt å være kritiske til eposter i tiden framover. Vi anbefaler også Telenors sikkerhetspuls som gir deg nyttig innsikt og statistikk fra vårt sikkerhetsmiljø.
Telenor has one of the country’s strongest security environments with cutting-edge expertise in combating advanced threat actors. Every quarter, we share security statistics and insights from our security environment in our Security Pulse.
Å dele egne erfaringer om trusselbildet og håndtering av sikkerhetshendelser er viktig for å styrke vår felles digitale motstandskraft. Hvert år gir vi ut en egen sikkerhetsrapport der vi setter fokus på områder vi anser som særdeles viktige for sikkerhetsarbeidet både i virksomheter og i samfunnet. Rapporten skal bidra til større åpenhet rundt trusler og hva som må til for å styrke vår felles sikkerhet.
Siri Fossing
Journalist agderposten.no
En e-post med lenke til en PDF som fremstår som en helt vanlig faktura. Det er svindelmetoden som har rammet en rekke mindre bedrifter i vårt område de siste ukene.
– E-posten ser prikkfri ut. Den kan til og med fremstå som den kommer fra noen du kjenner, forklarer avdelingsleder ved Telenor Cyberdefence i Teknologiparken i Grimstad, Vidar Strand.
Telenor Cyberdefence ønsker å advare små bedrifter og offentlige virksomheter på Sørlandet om den pågående svindelen.
– Det er hovedsakelig virksomheter på Sørlandet, men også deler av Vestlandet som er blitt rammet den siste tiden, forteller Strand.
De to siste ukene har det vært rundt fem bedrifter eller kommuner daglig i dette området som er blitt forsøkt svindlet.
E-postene som sendes ut virker automatiserte, og fremstår som profesjonelle. Men lenken som ligger under pdf’en, og som mange nå har endt opp med å trykke på, er en ren invitasjon til å få svindlere på besøk i egne IT-systemer.
– Større bedrifter eller organisasjoner er ofte bedre rigget mot slike angrep, sierStrand.
Mens mindre bedrifter kanskje ikke har den samme IT-sikkerheten.
Det Telenor-eide cybersikkerhetsselskapet i Grimstad ble opprettet 1. oktober i år, og det sitter rundt 50 ansatte der som jobber med sikkerhet og overvåkning. Det er et konstant kappløp mot ulike trusselaktører.
– Trusselbildet endrer seg, og teknologien endrer seg, sier servicemanager Geir Haugenes.
Han har mye av kundekontakten med dem som benytter seg av tjenestene til Telenor Cyberdefence.
I tillegg til å yte tjenester til Telenor internt, er Telenor Cyberdefence et selskap som tilbyr tjenester til eksterne kunder.
– Vi har drevet med sikkerhet og overvåkning i Telenor i godt over 20 år, men det er nytt at dette er skilt ut som et eget selskap, forklarer Vidar Strand.
Hjertet i sikkerhetsselskapet er et døgnbemannet kontrollrom, med en konstant informasjonsstrøm på vegghengte skjermer. Der kommer det kontinuerlig opplysninger om sårbarheter og angrep.
Og kommer det et større angrep, er det mange som kan bistå.
– Vi har flere studenter fra Universitetet i Agder som jobber her, det ligger jo vegg-i-vegg. De jobber gjerne kveld og helg. Det er en fin ordning, og en god rekrutteringsplattform, men de får også hjelp av bakvakter hvis det oppstår situasjoner som tilsier det, sier lederen for kontrollrommet, Henrik Buksholt.
– Grovt sett kan man dele angrepene i to. Hacking og tjenestenektangrep (DDoS), forklarer Buksholt.
Hacking handler om uautorisert tilgang til data, for å hente ut informasjon, eller begå økonomisk kriminalitet, mens tjenestenektangrep sørger for å gjøre nettsteder utilgjengelige.
– For eksempel kan et slikt tjenestenektangrep ramme en skole rundt eksamenstider, og gjøres fra gutterommet, sier Buksholt.
De har nok å gjøre.
– I henhold til situasjonsrapporten for Telenor SOC var det i september 134 DDoS-angrep, og 26 alvorlige hacking-hendelser, sier han.
Det finnes angrep langs hele spekteret. Fra enkle angrep som eksempelet fra gutterommet, til omfattende angrep iverksatt av stater eller større grupperinger.
– Som for eksempel pro-russiske grupperinger som begår tjenestenektangrep på Ukraina-allierte, forklarer Buksholt.
– Mens land som Nord-Korea driver med tjenestenektangrep kombinert med ransomware, altså at de ber om løsepenger fra den de rammer. Pengene brukes til å finansiere militæret i Nord-Korea, sier Buksholt.
Svindelmetodene er mange, de finnes flere avarter og kombinasjoner og de utvikles stadig.
Og akkurat nå er det altså mange angrep i form av
phishing mot mindre bedrifter og offentlige virksomheter i vårt område.
Phishing er noe som ofte rammer privatpersoner også, for eksempel rundt spesielle høytider eller andre hendelser.
– Som rundt juletider, når mange venter pakker i posten. Da er det mye svindel knyttet til falske e-poster med avsendere som gir seg ut for å være postselskaper, sier Buksholt.
Trioen i Telenors nye sikkerhetsselskap er opptatt av at det er hjelp å få. For selv om man advarer mot dette aldri så mange ganger, kommer det til å skje igjen.
– Du kommer til å trykke på en lenke. Jeg kommer til å trykke på en lenke. Men det finnes gode preventive tiltak, og tiltak man kan sette i verk når uhellet er ute. Både tekniske og menneskelige, sier Buksholt.
In June, Telenor established the cybersecurity company Telenor Cyberdefence. Now, Telenor Cyberdefence is acquiring Combitech AS (formerly Watchcom Security Group), which will become part of Telenor’s new cybersecurity company.
The acquisition strengthens Telenor Cyberdefence’s position as a leading provider of cybersecurity solutions to private and public businesses in Norway, with the ambition to expand across the Nordics. The purchase price is confidential between the parties.
“When we announced Telenor Cyberdefence, we stated that we have big ambitions. This acquisition demonstrates that, and we have more in the pipeline,” says Dan Ouchterlony, Head of Telenor Amp.
Telenor Cyberdefence is part of the Telenor Amp portfolio, which consists of 15 wholly or partially owned companies with a combined value of 10-12 billion NOK.
Combitech AS is the Norwegian business of the Swedish security company Combitech AB, which in turn is owned by the defence and security group Saab. Combitech AS has offices in Oslo and just over 20 employees.
“We are pleased to welcome Combitech AS to Telenor Cyberdefence. This transaction is a significant step forward for us and provides the opportunity to offer our customers a broader portfolio of cybersecurity solutions,” says Thomas Kronen, CEO of Telenor Cyberdefence, adding:
“Combitech AS has a strong security environment with solid expertise and long traditions, and with its strategy, service portfolio and customer base, it is a perfect match for Telenor Cyberdefence. Through this acquisition, we add valuable expertise in addition to expanding our current customer base, which gives us a solid foundation to look at further investment.”
Combitech AS provides services in security consulting, penetration testing (authorized simulated cyberattack) and cloud-based monitoring and response. The company’s experienced security experts will contribute valuable knowledge and expertise to Telenor Cyberdefence and work closely with Telenor Norway’s business division.
“Through the merger with Telenor Cyberdefence, we get the opportunity to become part of one of Norway’s leading security environments and contribute to building a strong position in the market. The threat landscape is constantly changing, and we are convinced that together we will be able to offer our customers even better security services and support,” says Anders Thulin Røkke, CEO of Combitech AS.
Thulin Røkke will become Chief Operating Officer (COO) of Telenor Cyberdefence.
The acquisition of Combitech AS is one of several strategic initiatives from Telenor to strengthen its security position in the Nordic market. Telenor Cyberdefence was established less than a month ago, and the company is in the process of recruiting.
“We have ambitions to become a leading partner for cybersecurity solutions in the business market in the Nordics. The acquisition of Combitech AS is an important step to achieve this goal,” says Dan Ouchterlony.
Norwegian businesses and public sector organisations are facing more frequent and severe cyberattacks. According to a survey conducted by Norstat, 1 in 5 business leaders reported having experienced cyberattacks in the past year – a staggering 130,000 Norwegian companies. In response to this growing threat, Telenor is establishing a new cyber security company to meet these increasing demands from businesses.
“We have never experienced cyber threats as frequent and severe as we do today. The business digital landscape is under constant attack, making robust cybersecurity more critical than ever. Telenor has decided to build on its experience and expertise as one of the Norway’s strongest security players and is establishing a new cybersecurity company with Nordic ambitions,” says Sigve Brekke, CEO & President of Telenor.
The newly formed company, named Telenor Cyberdefence, will become part of Telenor Amp. Today, Telenor Amp’s portfolio is comprised of 15 fully- or partially-owned companies with a combined value of NOK 10-12 billion.
“The exponential growth of data and the increasing digitalisation of society are providing criminals with a larger digital landscape to attack. This is a challenge we are taking seriously by establishing Telenor Cyberdefence, and purposely focusing on digital security. This will enable us to develop advanced security products for the business market more rapidly and more effectively meet market needs,” says Dan Ouchterlony, EVP & Head of Telenor Amp.
Thomas Kronen has been appointed CEO of the new company.
The Norstat survey, conducted on behalf of Telenor, also revealed that nearly 9 out of 10 business leaders are concerned about their operations being crippled by a cyberattack.
“Businesses across all sectors are increasingly being targeted by cybercriminals and there is a significant unmet need in the market. We want to capture a share of this,” says Thomas Kronen, CEO of Telenor Cyberdefence. He points out that the new company has ambitions to build a position across the Nordic region.
Telenor Cyberdefence will offer businesses a Security Operations Centre (SOC) for 24/7 monitoring, prevention, detection, and response to all types of cyber threats and incidents. The company will also provide specialist expertise through consultancy services and testing of IT systems and infrastructure.
“The Norwegian SOC market is worth around NOK 3 billion annually, according to our own analysis. Telenor Cyberdefence has ambitions to expand its operations across all Nordic markets, presenting a significant opportunity for rapid growth and establishing a strong market position,” says Kronen.
Telenor Cyberdefence builds upon Telenor’s established position as a leading provider of digital security solutions for businesses in Norway. As part of Norway’s Total Defence and as a custodian and protector of critical national infrastructure, Telenor possesses unique insights into the evolving threat landscape.
“With the establishment of Telenor Cyberdefence, we will bring together security expertise from across our Nordic region to create a powerful entity with comprehensive capabilities dedicated to safeguarding our customers’ digital security. We will now accelerate this focus, refine our expertise, and develop more and better services that contribute to securing Norwegian and Nordic businesses,” says Kronen.
The establishment of Telenor Cyberdefence involves the transfer of approximately 50 security personnel from Telenor Norway to the new company. The company will also assume responsibility for Telenor Norway’s existing SOC customers, resulting in Telenor Cyberdefence commencing operations with a customer base of around 70 Norwegian businesses.
This Nordic expansion follows a recent strengthening of the internal security environment within Telenor Norway. Telenor Norway owns and operates critical infrastructure, and as a result, the company has over the years established a robust and highly competent security environment to fulfil its vital societal responsibilities. Considering the evolving security landscape and the increasing prevalence of cyber-attacks, Telenor has further strengthened this environment through the establishment of a new and dedicated internal Cyber Security Operation Centre (CSOC). This center will focus on Telenor Norway’s extensive and intricate IT and telecom infrastructure, further enhancing security for Telenor Norway, its customers, and Norwegian society.
Håvard Fossen
Journalist digi.no
Et svar på stadig nye trusler og økt geopolitisk spenning.
Ragnhild Mathisen får ansvaret for den nye enheten som skal ledes av Christer Eneroth, og som skal rendyrke et sikkerhetsmiljø som utelukkende har ansvar for Telenor Norge. Mathisen er i dag leder for divisjonen «Corporate Affairs, Security & Wholesale» i Telenor Norge.
– Vi har det siste tiåret bygd et veldig sterkt sikkerhetsmiljø. Det har vi gjort fordi vi eier og drifter samfunnskritisk infrastruktur. Når den geopolitiske spenningen øker i tillegg til at vi har fått et mer komplekst sikkerhets- og trusselbilde, ser vi behovet for å styrke oss ytterligere på intern sikkerhet, sier Mathisen.
Den nye enheten innebærer også at det etableres en dedikert operasjonssentral, en CSOC – Cyber Security Operations Center. Den skal fokusere på Telenor Norges svært omfattende og komplekse IT- og telekominfrastruktur.
Marius B. Jørgenrud
Journalist digi.no
Telenor Amp melder på Linkedin at de har ansatt både Thomas Kronen og André Schackt.
De er tidligere henholdsvis administrerende direktør og teknologidirektør i Orange Cyberdefense Norge, som sluttet etter det Digi i fjor omtalte som en lederflukt.
Amp er Telenors investeringsarm, som har en portefølje med eierskap i mer enn et dusin ulike teknologiselskaper.
