Serien
Den asymmetriske krigen
De største virksomhetene bygger festninger. De minste bærer ofte nøklene inn.
juni 2026

Det finnes en etablert oppfatning i norsk næringsliv om at størrelse i seg selv gir beskyttelse. Den gjør det ikke. I det digitale domenet er ikke spørsmålet hvor mange ansatte et selskap har, men hvilken tilgang det forvalter, hvilke data det sitter på, og hvor tett det er koblet til andre virksomheters systemer. NSM beskriver et trusselbilde der virksomheter må forstå eget sikkerhetsarbeid i en større sammenheng, nettopp fordi sårbarhetene ofte ligger i avhengighetene mellom aktører.1
Derfor er den moderne forsyningskjeden blitt et ideelt angrepspunkt. Den store virksomheten kan ha investert tungt i segmentering, overvåkning, beredskap og kontroll. Men et angrep stanser ikke foran hovedinngangen. I stedet leter angriperen etter sideinngangen: revisjonsbyrået, systemleverandøren, advokatfirmaet, regnskapsføreren, konsulenten med vedvarende tilgang, eller integrasjonen som aldri ble vurdert som en egen risiko. Når NSM peker på anskaffelser, lokale forhold og digitale avhengigheter som en del av risikobildet, beskriver de nøyaktig denne virkeligheten: sikkerheten til den største aktøren avgjøres ofte av disiplinen hos den minste.1
Dette betyr at små og mellomstore virksomheter sjelden rammes fordi noen ønsker dem isolert sett. De rammes fordi de er raske å kartlegge, billige å angripe og nyttige å misbruke. En aktør med noen få titalls ansatte kan likevel forvalte lønnssystemer, personopplysninger, klientmapper, kundeavtaler, API-nøkler, fildeling og fjernpålogging til miljøer av en helt annen dimensjon. For en angriper er dette ideelt: liten motstand, høy oppside.
Dette er ikke en teoretisk antagelse. Mørketallsundersøkelsen 2024 viser at 8 prosent av norske virksomheter oppga at de hadde opplevd én eller flere informasjonssikkerhetshendelser i løpet av året.2 Blant virksomheter med 20 til 99 ansatte oppga 11 prosent slike hendelser, og blant virksomheter med 100 ansatte eller flere var tallet 18 prosent.2 Samtidig anmeldte bare 24 prosent av dem som hadde opplevd datainnbrudd eller datatyveri forholdet til politiet.2 Tallene illustrerer ikke bare et omfang. De bekrefter mørketallet: hendelser oppdages sent, rapporteres sjelden og forstås ofte dårlig selv av dem som rammes.2
Denne asymmetrien er kjernen i problemet. En mindre virksomhet trenger ikke å være spesielt interessant for å være strategisk verdifull. Den trenger kun å være koblet til noen som er det. Når angriperen først har skaffet seg tilgang, er ikke målet nødvendigvis å bli værende lenge. Det holder å stjele autentiseringsmateriale, kopiere sensitive dokumenter, plante skadevare eller utnytte tilliten videre inn i kjeden. Dette er grunnen til at effekten oppleves uforholdsmessig voldsom. Det som på papiret ser ut som et isolert innbrudd hos en liten leverandør, blir raskt et tillitsbrudd for hele verdikjeden.
Konsekvensene slår inn umiddelbart. Når filer krypteres, stopper arbeidet. Når klientdata lekker, forsvinner diskresjonen virksomheten lever av. Når uvedkommende får tilgang til e-postkontoer eller skylagringer, er det ikke bare interne dokumenter som står på spill. Da eksponeres tidslinjer, forhandlinger, personopplysninger og hele forretningsrelasjoner. For et firma er dette ikke et perifert IT-problem, men et direkte angrep på tillitskontrakten virksomheten har med sine kunder: løftet om å håndtere informasjon og tilgang med absolutt kontroll.
Dette er årsaken til at den etablerte språkbruken i sikkerhetsbransjen ofte feiler. Små virksomheter fremstilles uforholdsmessig ofte som passive ofre for et diffust mørke, hvor løsningen sentreres rundt generell uro og årvåkenhet. Men det sentrale elementet er aldri dramatikk, det er arkitektur. En virksomhet preget av svak identitetsstyring, gjenbrukte passord og tofaktorautentisering som lar seg kopiere (phishing), er ikke bare utsatt. Den er funksjonelt åpen. En trusselaktør behøver ikke å gjennomføre et komplekst verdikjede-angrep, eller finne ukjente sikkerhetshull (null-dags-sårbarheter), for å få tilgang. Trusselaktører utnytter svakt beskyttet identitet der det finnes muligheter for videre utnyttelse.
Premisset om å være en marginal aktør og dermed uinteressant for et dataangrep, svikter fullstendig i møte med arkitekturen i moderne forsyningskjeder. Trusselaktøren bryr seg utelukkende om systemgrenser. Det eneste funksjonelle spørsmålet som gjenstår er: Har denne mindre virksomheten autentisert tilgang til større kunders nettverk (enterprise-miljøer)? Dersom denne tilgangen holdes åpen av svake identiteter, slutter underleverandøren å være et adskilt selskap. Den transformeres til et operativt mellomledd inn mot sluttmålet.
Dette er asymmetrien i den moderne verdikjeden. Den aktøren med det svakeste forsvaret kan forvalte en viktig teknisk forbindelse. Virksomheter som fortsatt opererer ut fra premisset om at liten størrelse medfører lav risiko, har allerede feilet i sin forståelse av hvordan distribuerte trusselaktører kartlegger angrepsflaten.12
Kilder
- Risiko 2025: Et sikkert Norge i en usikker verden. Nasjonal sikkerhetsmyndighet (NSM).
- Mørketallsundersøkelsen 2024. Næringslivets Sikkerhetsråd (NSR).