Lørdag 9. mai stoppet en hel norsk kommune. Lørenskog ble rammet av et dataangrep som tok ned tjenester, kostet 1,6 millioner kroner på to uker, og hadde én ting til felles med flere andre saker fra mai: angriperne kom inn via det svakeste leddet, ikke det sterkeste. Av kommunens rundt 3 000 PCer var omtrent 200 ennå ikke oppdatert med den nye sikkerhetsløsningen. Maskinen som ble brukt som inngang, var en av dem.
Slik skjedde Lørenskog-angrepet
En av de første som merket noe, var et sykehjem som mistet nettverkstilgang. IT-avdelingen oppdaget angrepet samme dag. Politiet, Datatilsynet og NSM ble varslet. Etter to uker hadde hendelsen kostet kommunen 1,6 millioner kroner i håndtering, og flere tjenester var fortsatt påvirket. Aktøren bak hadde i realiteten vært inne i systemene siden april. Lørdagen 9. mai var bare dagen de utløste angrepet.
Kommunen jobbet med å rulle ut en ny sikkerhetsløsning på alle PCer da angrepet kom. Rullet ut var i sluttfasen, men cirka 200 maskiner gjenstod. Det er ikke mange av 3 000 totalt. Men det var nok.
Hva betyr dette for deg: det er ikke alltid den dårligste sikkerheten som åpner døra. Det er ofte den ene maskinen, kontoen eller integrasjonen som ikke er kommet med i siste runde. Sjekk hvor mange PCer i bedriften som faktisk har fått siste sikkerhetsoppdatering denne måneden. Tallet skal være alle, ikke nesten alle.
Mai viste flere andre saker som peker mot samme problem
Lørenskog er ikke alene. Flere hendelser i mai bekrefter at angriperne i 2026 leter etter det leddet du har glemt, ikke det leddet du har bygget opp. Flere av sakene handler om phishing, så la oss starte med å forklare ordet.
Hva er phishing?
Phishing er angrep der noen later som de er en du stoler på (en kollega, banken din, Microsoft) for å lure deg til å gi fra deg passord, kode eller penger. Det skjer som regel via e-post eller SMS med en lenke til en falsk innloggingsside, eller via en samtale der noen ber deg gjøre noe «raskt». Navnet kommer fra engelsk «fishing», og bokstaven «ph» er en gammel hackertradisjon. På norsk kalles det også «nettfiske», men phishing er ordet de fleste bruker.
Phishing kommer nå forbi totrinnsverifisering
FBI varslet 21. mai om en tjeneste som heter Kali365. Den kaprer Microsoft 365-kontoer uten å stjele passordet og uten å knekke koden fra autentiseringsappen. Teknikken går ut på å lure brukeren til å logge inn på en falsk side som videresender koden videre til den ekte tjenesten i sanntid. I april ble flere hundre angrep gjennomført mot virksomheter som alle hadde totrinnsverifisering på plass.
Hva betyr dette for deg: totrinnsverifisering er fortsatt et minimum, men ikke målstreken. Suppler med betinget tilgang som ser etter ukjent enhet eller ukjent land, vurder pålogging med passnøkler (såkalt phishing-resistent innlogging), og bruk fem minutter på å fortelle ansatte at en innloggingsskjerm som ber om koden på nytt midt i flyten er et tegn på at noe er galt.
Phishing har blitt et abonnement
Kali365 leies på meldingstjenesten Telegram fra rundt 250 dollar i måneden. Det betyr at hvem som helst med kredittkort kan kjøpe seg inn i samme teknologi som tidligere var forbeholdt avanserte angrepsgrupper. Microsoft talte 8,3 milliarder phishing-forsøk bare i første kvartal i år.
Hva betyr dette for deg: en liten bedrift treffes nå like ofte som en stor. Terskelen for å angripe deg er nesten borte. Det viktigste tiltaket er å gjøre det vanskelig for én bortglemt klikk å gi tilgang til alt. Separate konti for administrasjon og daglig bruk, mindre rettigheter til vanlige brukere, og overvåkning som ser om noen logger inn fra et nytt land midt på natten.
Falske ChatGPT-sider sprer skadevare
Mot slutten av mai dukket det opp falske nedlastingssider for ChatGPT. De infiserte både Windows- og Mac-maskiner med programvare som stjeler innlogginger og krypterte filer. Angriperne utnytter at mange ansatte er nysgjerrige på AI og søker etter «last ned ChatGPT» uten å vite at det offisielle ChatGPT kjører i nettleseren og ikke trenger nedlasting.
Hva betyr dette for deg: bestem hvilke AI-verktøy bedriften har godkjent, og hvor ansatte skal hente dem. Last ned bare fra leverandørens egen nettside, aldri fra det første søketreffet. En enkel kjøreregel: «hvis du må Google deg fram til en nedlastingslenke, så spør IT først». Det koster ingenting og fjerner det største angrepsbeitet.
Norsk kontekst: angriperne går etter mennesker, ikke teknologi
NSM advarte i mai mot svindlere som ga seg ut for å være kundesupport i meldingstjenesten Signal. Samtidig pekte NorSIS og NSM på et paradoks i rapporten «Nordmenn og digital sikkerhetskultur 2025»: vi følger flere sikkerhetsråd enn før, men tar samtidig flere bevisste sjanser. Vi vet hva som er smart, men gjør det motsatte uansett.
Hva betyr dette for deg: opplæring og sunn skepsis er fortsatt det billigste og beste forsvaret. Bruk fem minutter på et morgenmøte i juni til å minne ansatte om at ingen seriøs leverandør tar kontakt på Signal eller WhatsApp uten å ha avtalt det først. Det er nok til å stoppe de fleste av disse angrepene.
Når leverandøren din blir hacket: Canvas-saken
I begynnelsen av mai stjal en hackergruppe 3,65 terabyte med data fra Instructure, selskapet bak læringsplattformen Canvas. Angrepet rammet 8 800 utdanningsinstitusjoner i hele verden. Av disse var 37 norske, blant annet UiO, OsloMet, UiS, USN og flere videregående skoler. Instructure valgte å betale løsepenger 11. mai og fikk forsikringer om at dataene var slettet. Mindre enn én uke senere hevdet de samme hackerne at de var inne på nytt.
Hva betyr dette for deg: du blir ikke alltid hacket fordi noen kom inn hos deg. Du kan bli hacket fordi en leverandør du bruker ble hacket. Tenk gjennom hvilke nettbaserte tjenester bedriftens data ligger i, og hva dere har avtalt med leverandørene om hva som skjer hvis de blir rammet. Å betale løsepenger er ingen garanti for ro, selv når en stor amerikansk leverandør gjør det.
Husk også: nye sikkerhetskrav er på vei i Norge
I oktober 2025 fikk vi en ny digitalsikkerhetslov i Norge. Senere i 2026 ventes en oppdatering basert på EU-regelverket NIS2. Når den kommer, vil mellom 5 000 og 8 000 norske virksomheter måtte følge strengere regler for hvordan de håndterer sikkerhetshendelser, vurderer risiko og passer på at leverandørene deres ikke er en bakdør inn. Det er en stor økning fra dagens regelverk, som bare omfatter noen hundre selskaper.
Hvis bedriften din leverer tjenester til større aktører eller jobber i sektorer som digital infrastruktur, helse, finans eller transport, kan det være lurt å sjekke om dere blir omfattet før loven kommer.
Det viktigste å ta med fra mai
Lørenskog er den klareste påminnelsen om en utvikling som har gått i et par år allerede. Angriperne leter ikke etter den sterkeste muren. De leter etter den ene PC-en som ikke ble oppdatert, den ene kontoen som ikke fikk siste sikkerhetspolicy, den ene leverandøren som ikke har ordnet opp i sin egen sikkerhet. Det betyr at den viktigste sikkerhetsjobben din i juni handler mindre om å kjøpe nye verktøy, og mer om å sjekke at det du allerede har, faktisk fungerer overalt.
Et raskt grep: bestill en oversikt fra IT-leverandøren din over hvor mange enheter og kontoer som ikke er på siste oppdatering eller policy. Hvis tallet er over null, er det der du starter neste uke.
For oss i Cloudahead handler dette om å bygge grunnmur som ikke har huller: identitet som er sikret overalt, oppdateringer som faktisk når frem til alle maskiner, og overvåkning som varsler når noe står igjen. Ingen ting hindrer alle angrep, men en bedrift som har orden i bunnen håndterer hendelser på timer i stedet for dager.
Vil du vite hvor mange enheter i bedriften som ikke er oppdatert?
Kilder
Lørenskog kommune — pressemelding 11. mai 2026 om dataangrepet
Lørenskog kommune — Slik skjedde dataangrepet i Lørenskog kommune
Aftenposten — Lørenskog kommune har satt krisestab
NSM — varsel om målrettede angrep og Signal-svindel (mai 2026)
NorSIS og NSM — rapporten «Nordmenn og digital sikkerhetskultur 2025»
Microsoft Security Blog — 8,3 mrd phishing-forsøk Q1 2026