– Vi registrerte 7 635 ofre navngitt på lekkasjenettsteder i fjor – en økning på 58 prosent fra året før. Trusselaktørene bryter seg ikke lenger inn. De logger seg på, sier cyberpartner i PwC, Jan Henrik Schou Straumsheim. Her under frokostseminaret 2x18 i april 2026.
Det digitale trussellandskapet har aldri beveget seg raskere. Fra Cambridge Analytica-skandalen til dagens virkelighet har utviklingen gått fra femårsplaner til fem-minuttersplaner. Årets rapport, Annual Threat Dynamics 2026, viser at norske virksomheter møter maskiner, ikke mennesker, på den andre siden av angrepene.
Her er fem trender som vil prege norske virksomheter i 2026:
1. Identitet er den nye perimeteren
Kompromittering av digitale identiteter er nå fellesnevneren i nesten alle angrep. Trusselaktørene utnytter single sign-on, tokens og føderert tilgang på tvers av SaaS-økosystemer. Et kompromittert passord kan utløse en hendelse som gir tilgang til større deler av IT-miljøet.
Likevel rapporterer bare 18 prosent av ledere at identitets- og tilgangsstyring er blant topp tre i måten de disponerer sikkerhetsbudsjettet.
– Det er en disconnect. Identitet dominerer som inngangsvektor i datainnbrudd, men får kanskje ikke nok oppmerksomhet fra virksomhetene som ønsker å beskytte seg mot det, sier Straumsheim.
Husk: Det handler ikke bare om mennesker, også ikke-menneskelige identiteter som API-nøkler, tjenestekontoer og AI-agenter er mål for angripere.
2. KI-drevne autonome angrep
En kina-basert trusselaktør lot KI utføre 80–90 prosent av det taktiske inntrengningsarbeidet mot rundt 30 organisasjoner. Vi møter nå maskiner, ikke mennesker.
Trusselaktørene bruker KI til å:
- Automatisere rekognosering – finne mulige hull i forsvaret
- Gjøre sosial manipulering raskere og mer overbevisende – fra den perfekte phishing-eposten til deepfakes med andres ansikt og stemme i tilnærmet sanntid
- Kjøre agentiske operasjoner – der én KI-agent gjør mesteparten av jobben
Konsekvensen er at automatisering av angrepsteknikker overgår et menneskestyrt forsvar. Forsvaret er nødt til å kontre med maskin for å holde tritt.
Eksempel: Mozilla rapporterte ti ganger så mange rettede sårbarheter i siste oppdatering av Firefox etter bruk av nye KI-verktøy for sårbarhetsfunn – noe som er positivt, men samtidig betyr det en eksploderende backlogg for virksomheter som må fikse det som oppdages.
3. Forsyningskjeden: Én hendelse – hundrevis av ofre
Trusselaktører velger bevisst å angripe betrodde tredjeparter for å gjøre én enkelt hendelse om til en kaskade som rammer mange.
– En konkret norsk virksomhet ble utsatt for løsepengevirus i fjor sommer. De leverte systemer til mer enn 350 norske virksomheter, og over 300 av dem ble berørt. Én hendelse, i praksis over 300 ofre, sier Straumsheim.
Hva kan virksomheter gjøre?
- Kartlegg hvilke forretningsprosesser som er kritiske
- Identifiser hvilke data dere må passe ekstra godt på
- Se dette opp mot hvilke underleverandører og systemer dere er avhengige av
Vil du vite mer om våre cybertjenester?
Her finner du full oversikt over hva vi kan hjelpe deg med.
Vil du lese mer om årets rapport?
Her kan du laste ned Annual Threat Dynamics 2026
4. Digital utpressing: Rekordhøyt og i endring
7 635 ofre ble navngitt på lekkasjenettsteder i 2025, på tvers av 135 ransomware-aktører. Det er en økning på 58 prosent fra året før.
Ransomware-økosystemet har blitt mer fragmentert, men samtidig mer konkurransepreget. Nye aktører som «The Gentlemen» tilbyr samarbeidspartnere en større del av profitten for å tiltrekke seg erfarne operatører. Etablerte grupper som LockBit og DragonForce danner kartell-lignende strukturer.
Positivt tegn: Andelen ofre som betaler og størrelsen på utbetalingene har en fallende trendlinje – et tegn på at virksomheter begynner å stå imot.
– Digital utpressing ventes å forbli en betydelig risiko i 2026, særlig fordi angripere kombinerer lavere gjennomføringskostnad med mer målrettet press, sier Straumsheim.
5. Usynlighet som standard
Trusselaktørene blir stadig flinkere til å holde seg under radaren. Dette utfordrer virksomheters evne til å forebygge, oppdage og håndtere datainnbrudd.
Vinduet mellom at en sårbarhet offentliggjøres og at den utnyttes aktivt, har krympet fra uker til timer. Angriperne bruker avanserte teknikker for å unngå deteksjon, og Edge-enheter er en foretrukket inngangsport.
Hastighet blir en stadig viktigere risikofaktor
– Hastighet er det jeg ville vært bekymret for, sier Straumsheim. Hvis en maskin finner sårbarheter 1 000 ganger raskere enn dine beste analytikere – og du har manuelle prosesser på din side – da blir arbeidslisten uhåndterlig.
Hvordan prioritere når alt haster?
- Tilbake til risikostyring – Hva er kronjuvelene? Hvilke sårbarheter har mest å si for oss? Hva kan vente en uke?
- Forsvarsautomatisering må matche angrepsautomatisering – Beslutningsforsinkelsen er en primær risikofaktor.
Tre tips til norske virksomhetsledere
- Fiks det grunnleggende først. Har du segmentert nettverket? Har du kontroll på tilganger? Har du mange sårbarheter på det som er eksponert mot internett? Da hjelper det ikke å kjøpe KI-verktøy for å bøte på det. Få det grunnleggende på plass først.
- Kom i gang med KI, toget har forlatt stasjonen. Du har dårlig tid til å bygge opp nødvendig kompetanse og prosesser for å ta KI i bruk effektivt. Det gjelder sikkerhet så vel som virksomhetens konkurransekraft.
- Forstå det geopolitiske bakteppet. Russland kjører vedvarende hybride operasjoner mot Europa, og Kina posisjonerer seg langs strategisk økonomisk ekspansjon. Cyber som virkemiddel er billig sammenlignet med fysiske midler – og brukes til etterretning, sabotasje og desinformasjon.
Vil du vite mer om våre tjenester?
Vi kan hjelpe deg med alt fra å kartlegge, beskytte, oppdage og håndtere cyberhendelser til å bygge robuste sikkerhetsprogrammer i din virksomhet.
Jeg vil høre fra deg!
Ring meg gjerne for en uforpliktende prat om hvordan det står til i din virksomhet.