Olav

Referanse

Ordbok

Begrepene som styrer moderne sikkerhetsarkitektur.

juni 2026

Forsideillustrasjon: «Ordbok»

Det grunnleggende

Datasikkerhet

Praksisen med å forsvare systemarkitektur og digital konfidensialitet, integritet, og operativ tilgjengelighet under pågående angrep og strukturelle driftsavvik.

Datainnbrudd

Uautorisert digital penetrering av en infrastruktur. Tilgangen muliggjør funksjonell manipulering, eksfiltrasjon, kryptering, eller destruksjon av data.

Angrepsflate

Helheten av en virksomhets eksponerte digitale perimeter, bestående av endepunkter, aktive sesjoner, ubeskyttede kontoer og integrasjonspunkter mot tredjepart.

Forsyningskjedeangrep

Et algoritmisk eller manuelt dataangrep der et brudd hos logisk svakere tredjeparter, typisk SMB-leverandører, utnyttes som operativ inngangsvektor til virksomhetens egentlige hovedmål.

Trusselaktører og mekanismer

Phishing

Utnyttelse av menneskelig svikt gjennom forfalskede grensesnitt. Målet er å overtale ansatte til ufrivillig å godkjenne en asymmetrisk angrepsvektor eller utlevere delte hemmeligheter.

Løsepengevirus

Skadevare som implementerer asymmetrisk kryptering mot operativ kjernedata for å kreve finansiell kompensasjon for dekrypteringsnøkkelen. Ofte kombinert med dobbel utpressing via eksfiltrasjon av data.

Sosial manipulering

Taktisk og psykologisk manipulasjon av en virksomhets personell. Trusselaktøren utnytter menneskelig kontekst til å bevisst omgå implementerte, men svake, arkitekturkontroller.

Adversary-in-the-Middle (AiTM)

En vektor der trusselaktøren proxy-ruter forbindelsen mellom klient og destinasjondomene. Gjør det mulig i sanntid å avlytte, kopiere, og videresende kopierbare engangskoder ("tradisjonell tofaktor").

Delte hemmeligheter

Tradisjonelt autentiseringsbevis, passord inkludert, der infrastrukturen krever forhåndskjennskap til informasjonen. Fordi beviset eksisterer som ren informasjon, kan det umiddelbart kopieres og klones over et nettverk.

Identitet og verifikasjon

Multi-faktor-autentisering (MFA)

Tilgangskontroll basert på å fremvise flere uavhengige bevis, tradisjonelt inndelt i faktorene kunnskap (passord), besittelse (maskinvare/telefon), og biometri.

Phishing-resistent autentisering

Kryptografisk bevisføring uten bruk av kopierbare verdier. Sikkerheten oppstår matematisk ved at innloggingsbeviset knyttes eksakt til vertsdomenet. Metoden avviser dermed angrep uavhengig av om brukeren uforvarende forsøker å godkjenne det.

Passnøkkel

Implementering av asymmetriske logikk-nøkler for passordløs identitetsstyring. Kontrollen garanteres ved at den tilhørende private nøkkelen i sin helhet forblir isolert i lokal maskinvare.

Sikkerhetsnøkkel

En dedikert fysisk enhet utrustet spesifikt for asymmetrisk FIDO2-verifisering. Eliminerer trusselstrukturen tilknyttet proxy-teknologi da maskinvaren ikke vil returnere logiske svar til feil domene.

FIDO2

Industristandard operert av FIDO Alliance. Standardens matematiske fundament bytter ut utdaterte delte hemmeligheter (passord og koder) til fordel for logisk sikrede kryptografiske svar.

Least privilege

Autoriseringskonsept designet rundt minimumsallokering. Enhver bruker eller API-identitet tildeles utelukkende rettighetsnivået strengt krevd for sine spesifikke oppgaver, og nektes breddetilgang i systemet.

Zero Trust

Et prinsipielt sikkerhetsrammeverk. Fornekter forestillingen om stasjonære og trygge indre nettverk (en sikker sone). Systemet aksepterer i stedet aldri en transaksjon før den er verifisert eksplisitt og matematisk per forespørsel.

Styring, bevis og ansvar

Sikkerhetsbevis

Et etterprøvbart teknisk spor som viser hvordan systemet faktisk var konfigurert: hvilke kontroller som var aktive, hvilke kontoer som fantes, hvilke tilganger som var gitt, og hvilke hendelser som ble logget.

Cyberforsikring

Forsikring som dekker bestemte økonomiske og operasjonelle konsekvenser av digitale hendelser, vanligvis under forutsetning av at avtalte sikkerhetstiltak var implementert og kan dokumenteres.

Styringssystem for informasjonssikkerhet

Et formalisert opplegg for å styre risiko, ansvar, kontroller og forbedring i sikkerhetsarbeidet. Mørketallsundersøkelsen viser at mange virksomheter oppgir å ha et slikt system, men at et stort flertall ikke vet hvilke standarder det bygger på.

NIS2-direktivet

EUs oppdaterte regelverk for nettverks- og informasjonssikkerhet, som skjerper kravene til styring, hendelseshåndtering, rapportering og ledelsesansvar.

Digitalsikkerhetsloven

Norsk lovgivning som gjennomfører sentrale krav på området og gjør digital sikkerhet til et tydeligere ledelsesansvar.

NSM

Nasjonal sikkerhetsmyndighet, Norges direktoratsmyndighet for forebyggende sikkerhet, rådgivning og nasjonal koordinering ved alvorlige digitale hendelser.

Alle utgaver