Tre konkrete angrep mot norske organisasjoner det siste året. Ingen av dem var spesielt sofistikerte. Alle traff hardt. Her er hva en mellomstor bedrift kan lære av det.
Lørdag 9. mai oppdaget Lørenskog kommune at de var inne. En kommunal tjeneste mistet forbindelsen til fagsystemet sitt. IT-avdelingen så raskt at det ikke var nettrøbbel. Det var et dataangrep. De stengte ned alt. Mandag formiddag jobbet kommunen med å skrive vaktlister for sykehjem på papir. Politiet, Datatilsynet og NSM ble varslet. Angriperen hadde lagt igjen et brev. Kommunen valgte å ikke svare.
Det er fristende å tenke "stakkars kommune" og gå videre. Men det er feil refleks. Den som driver et regnskapsbyrå med 40 ansatte, en entreprenør med 80 på lønningslista eller en eiendomsforvaltning med 25, står overfor de samme angrepstypene. Bare uten media-fokus, uten NSM på dørstokken, og uten innbyggere som forstår at det tar tid.
1. Lørenskog kommune (mai 2026): målrettet inntrengning. Kommunen vet hvem som står bak, men sier det ikke. Eksperter har frarådet dialog med angriperen. Det betyr i praksis at de håndterer dette som en klassisk utpressing, enten ransomware som har låst systemer, eller datatyveri med trussel om publisering. Møteaktiviteten på rådhuset er hektisk, og kommunikasjonssjefen anslår to-tre uker før alt er normalt igjen.
Det som skiller Lørenskog fra mange andre er at de agerte raskt da det smalt. IT-avdelingen oppdaget tidlig, stengte ned umiddelbart for å hindre spredning, og hentet inn ekstern responshjelp. Det er det som skjer når noen faktisk har tenkt gjennom dette på forhånd.
2. Bremanger-demningen (april 2025): svak grunnsikring. Prorussiske hackere åpnet en sluse på Risevatnet-demningen og lot 500 liter vann i sekundet renne ut i fire timer. PST attribuerte angrepet til Russland i august 2025. Hvordan? De fant et webgrensesnitt mot styringssystemet på åpent internett, med et svakt passord. Ingen avansert hacking. Ingen zero-day. Bare et kontrollpanel som ikke skulle vært tilgjengelig fra utsiden, og et passord som ikke holdt.
For en bedrift handler dette om det samme: hvor mye av infrastrukturen din står egentlig eksponert mot internett uten god nok sikring? Webportaler, fjerntilgang, gamle servere. Hver av dem er en potensiell inngang.
3. Bergen kommune via Telia (februar 2026): leverandørkjeden. 2 000-2 500 ansatte og politikere i Bergen kommune fikk navn og telefonnumre publisert på det mørke nettet. Ikke fordi Bergen kommune ble hacket, men fordi Telia ble hacket. Hackerne fikk tilgang til faktureringsgrunnlaget for kommunale telefoner, fra 2021 til april 2025. 17 norske kommuner ble berørt totalt.
Du kan ha kontroll på ditt eget hus, men hvis IT-leverandøren, regnskapssystemet eller telekomleverandøren din blir hacket, er du eksponert uansett. DNV anslår at 4 av 10 norske bedrifter i kritisk infrastruktur ikke har oversikt over hvilke bakdører leverandørene deres etterlater seg. Det er ikke en hypotetisk risiko. Det er en blind flekk.
Slik ser hverdagen ut for norske bedrifter
1 av 5 norske bedrifter rammes av forsøk på digital kriminalitet
61 % av små bedrifter mangler beredskapsplan mot digitale angrep
Bare 24 % anmelder datainnbrudd til politiet — resten håndteres i stillhet
Kripos sin Cyberkriminalitet 2026-rapport beskriver det samme i klartekst. 17 ulike løsepengevirus-varianter ble brukt mot norske SMB-er bare i 2025. Inngangen er sjelden avansert. Det er svake passord, manglende totrinnsbekreftelse, gamle oppdateringer som aldri ble installert, og tjenester som står åpne mot internett uten god grunn. For en bedrift med 50 ansatte ser et alvorlig angrep typisk slik ut:
Hele systemet er nede i én til tre uker. Folk jobber manuelt eller ikke i det hele tatt. Lønnskjøring blir vanskelig. Faktureringen stopper. Kundene venter. Forsikring dekker noe, men ikke alt. Hvis personopplysninger er på avveie, har du meldeplikt til Datatilsynet og en kundekommunikasjon du absolutt ikke vil ha. Og du må regne med å bruke 200 000 til flere millioner kroner på ekstern responshjelp.
Det vanlige er ikke at en bedrift lukker dørene etter ett angrep. Det vanlige er at de bruker et halvt år på å hente seg inn, og at de skulle ønsket de hadde brukt 50 000 i året på forebygging i stedet.
Når det smeller, er det ikke avansert teknologi som redder deg. Det er at identiteten er sikret, at maskinene er standardiserte, at backupen virker, og at noen vet hva de skal gjøre. Det er grunnmuren. Det er det Cloudahead bygger inn som standard i alle oppsett. Ikke fordi det er fancy, men fordi det er det som faktisk fungerer når noe går galt.
NRK: Lørenskog kommune utsatt for dataangrep, har satt krisestab (nrk.no, 11. mai 2026)
Aftenposten: Lørenskog kommune har satt krisestab, angriperen la igjen brev (aftenposten.no, 11. mai 2026)
knutmichael.com: Lørenskog-angrepet, kommunens FAQ sier mer enn pressemeldingen (mai 2026)
Wikipedia: Bremanger dam sabotage, attribuert til Russland av PST august 2025
Digi.no: Ansatte og politikere i Bergen kommune rammet av omfattende datainnbrudd (digi.no, 23. februar 2026)
NSM: Risiko 2026 (nsm.no)
Kripos: Cyberkriminalitet 2026 (politiet.no / NSR, april 2026)
NSR Mørketallsundersøkelsen (nsr-org.no)
Telenor: Små bedrifter står uforberedt mot digitale angrep (telenor.no)
DNV: Falsk digital trygghet blant norske virksomheter (dnv.no, 2026)