I løpet av det siste tiåret har cyberdomenet gått fra å være et rom for spionasje og enkel kriminalitet til å bli en kjernearena for maktutøvelse, påvirkning og strategisk avskrekking. Russlands krig mot Ukraina, Kinas press mot Taiwan, og krigene i Midtøsten viser hvordan digitale operasjoner brukes for å destabilisere motparten, blant annet ved å angripe kritisk infrastruktur, undergrave tillit og påvirke opinionen. Det meste gjæres fra «trygg grunn» i skyggeland langt utenfor rekkevidde. Herfra er det også mulig å komme med plausibel benektelse. Plausibel benektelse (plausible deniability) er når en aggressor kan benekte ansvar for en handling på troverdig vis, selv om de i realiteten står bak. I praksis brukes begrepet ofte i sammenheng med cyberangrep og geopolitikk. Dette er en effektiv metode for å unngå gjengjeldelser etter først å ha angrepet en motstander.
Deler av denne strategien gjøres ved hjelp av statlige aktører. Men stadig mer utøves av ikke-statlige hackere. Dette omtales som Crime-as-a-Service (CaaS) og inkluderer private tilbydere som selger kriminelle handlinger. Bruken av private grupper gjør det enklere for en statlig aktør å utvide sin “digitale hær”. Dette gjør det igjen enklere å handle indirekte, under terskelen for væpnet konflikt, og fremdeles oppnå reell strategisk effekt. Av og til enda mer effektivt om de selv hadde gjennomført det.
Forsvaret er på mange områder svært teknologi-tungt og har dermed ikke råd til å henge etter i dette trusselbildet. Ved teknologi kommer det sårbarheter, og med sårbarheter kommer det mulighet for utnyttelse. Teknologi har bevist sin kritiske rolle i krig, noe som er godt dokumentert fra blant annet Ukrainakrigen. Her har teknologiske forsprang gitt betydelig uttelling på slagmarken ved at sensorer og sanntidsdata brukes til å identifisere og eliminere høyt prioriterte mål, samtidig som cyberangrep mot kritisk nettverksinfrastruktur svekker fiendens evne til å koordinere styrkene sine. Dette skaper sterke insentiver for å utnytte både teknologiens muligheter og dens innebygde sårbarheter. I krigstider produseres dessuten ny teknologi raskere enn i fredstid, for å nå stridsfeltet raskest mulig. Dette går tidvis utover kvalitetssikringen og kan gi ytterligere sårbarheter. Dette blir derfor ikke bare et kappløp om å utvikle den beste teknologien raskest mulig, men også en konkurranse om hvem som evner å utnytte fiendens teknologiske avhengighet og tilhørende sårbarheter til egen fordel.
Hva kan vellykkede cyberoperasjoner vise oss?
I de senere år har NATO-land vært mål for flere store cyberoperasjoner. Disse har blitt gjennomført av grupper som tilsynelatende opererer som private eller kriminelle aktører, men som samtidig viser klare tegn til statlig styring eller statlig nytteverdi. Angrepene danner et mønster der stater bruker eksterne hackergrupper for å gjennomføre målrettede operasjoner som ellers ville blitt oppfattet som for aggressive, eller for risikable, til å bli utført åpenlys av saten selv.
Et godt eksempel er den nord-koreanske Lazarus-gruppen som lenge har vært kjent for å kombinere økonomisk motivert kriminalitet med direkte statsstøttede operasjoner. I 2025 gjennomførte de en kampanje mot tre europeiske forsvarsbedrifter med direkte forbindelse til produksjon og leveranse av forsvarsmateriell til Ukraina. Angrepene ble gjennomført ved hjelp av sosial manipulasjon: de ansatte mottok falske jobbtilbud som inneholdt en skjult fjernstyringstrojaner. Med denne metoden klarte gruppen å skaffe seg tilgang til sensitiv informasjon om utvikling og produksjon av avanserte dronekomponenter. Operasjonen fremstår som svært målrettet og er et godt eksempel på hvordan Nord-Korea bruker cyberkapasiteter for å styrke egne teknologiske og militære ambisjoner samtidig som den formelle avstanden opprettholdes gjennom bruk av kriminelle private grupper.
Et annet eksempel er den russiske Lynx-gruppen. Selv om gruppen utad fremstår som en ren cyberkriminell aktør, bærer angrepsmålene og metodene preg av en bredere strategisk ambisjon. Lynx gjennomførte et vellykket datainnbrudd i 2025 hos Dodd Group, en sentral leverandør til den britiske forsvarssektoren. Under angrepet ble rundt fire terabyte sensitiv informasjon hentet ut, blant annet sikkerhetsprosedyrer, besøkslogger, tekniske konstruksjonsdata og dokumentasjon knyttet til både Royal Air Force og Royal Navy. Gruppen brukte en kombinasjon av datatyveri og såkalte ransomware‑teknikker, der angriperen krypterer offerets systemer og krever løsepenger for å gjenopprette tilgangen. Dette ga både umiddelbar økonomisk gevinst og samtidig betydelig etterretningsverdi. At en enkelt operasjon kunne avsløre detaljer om flere militære installasjoner viser hvor sårbarheten i europeiske forsyningskjeder. Dette gjelder særlig mindre leverandører som ikke har det samme sikkerhetsnivået som større aktører, og som dermed blir attraktive mål for grupperinger med mulige statlige forbindelser.
Også Russlands viktigste alliansepartner, Kina, bruker private og kriminelle grupper. Et eksempel er Salt Typhoon, som gjennomførte et omfattende og svært diskret angrep mot amerikanske telekomselskaper som AT&T, Verizon, T Mobile og Lumen i 2024. Angrepet kunne gjennomføres fordi flere kjente sårbarheter ikke var blitt patchet, det vil si at systemene manglet kritiske sikkerhetsoppdateringer som skulle ha tettet disse svakhetene, selv om de hadde vært offentlig kjent i lang tid. Salt Typhoon klarte gjennom disse inngangspunktene å skaffe seg vedvarende tilgang til kritiske nettverk. Dermed kunne de også hente ut kommunikasjonsdata og geolokasjonsinformasjon fra store deler av den amerikanske infrastrukturen. Angrepet viser tydelig at statlige aktører kan utføre langvarige og målrettede operasjoner, blant annet ved å utnytte tekniske svakheter som burde vært håndtert. Også dette eksempelet viser hvordan private aktører i praksis fungerer som et lag av plausibel benektelse for statlige rivaler på den internasjonale arenaen.
Disse tre eksemplene representerer bare et utvalg av hendelser som har funnet sted de siste årene. De viser en tydelig utvikling der stater i økende grad bruker ikke-statlige grupperinger til å gjennomføre cyberoperasjoner som tjener større strategiske mål. Samtidig kompliseres etterforskning, attribusjon og internasjonal respons når angrepene utføres av aktører som både kan operere som kriminelle og som forlengede statlige verktøy. Resultatet er et cyberdomene der skillet mellom stat og kriminalitet gradvis viskes ut. Norge og andre NATO-land står dermed overfor en stadig større trussel i å beskytte både militær infrastruktur og samfunnskritiske tjenester mot aktører som opererer i grenselandet mellom det offentlige og det private. Uten en klar aktør å peke på, er det vanskelig å finne angrepets rette eier.
Symptomer på sårbarhet
I en nylig artikkel i Stratagem forklarer Simen Bakke hvordan Forsvaret, på lik linje med andre store organisasjoner som er tungt digitalisert, i økende grad er avhengig av komplekse IT‑systemer. Moderne militært materiell som kampfly, stridsvogner og fregatter fungerer i praksis som rullende og flyvende datasentre. Denne digitaliseringen har gitt store operative fordeler, men den har også introdusert store og svært alvorlige tekniske sårbarheter. Det er disse sårbarhetene som muliggjør en enda bredere digital angrepsflate for dem som måtte ønske å ramme oss.
Simen Bakke
I teknologiens verden beveger verden seg fort. Alt skulle vært funnet opp forrige uke og minst vært iverksatt i går. Denne mentaliteten fører ofte til at utviklingen mot funksjon går raskere enn utviklingen av sikre løsninger. Sårbarheter dukker opp i fallgruvene der fokuset ikke finner tid og der antagelser styrer agendaen. Dette er kjente problemstillinger i så vel det norske forsvaret som i offentlig sektor og privat næringsliv. Utviklingen av privatiserte cyberoperasjoner betyr at klassiske sikkerhetstiltak, som å holde systemer oppdatert og sørge for grunnleggende konfigurasjonshygiene, ikke lenger er tilstrekkelige alene. Selv etablerte rutiner som patch‑håndtering, segmentering og tilgangskontroll er blitt for sårbare når avanserte grupper utnytter kjente og ukjente sårbarheter med industriell effektivitet. CaaS‑markedet gjør det mulig for aktører uten teknisk ekspertise å kjøpe tilgang, verktøy og tjenester som tidligere var forbeholdt avanserte statlige miljøer. Dermed øker både volumet av angrep og kvaliteten på operasjonene, samtidig som det blir vanskeligere å skille mellom kriminelle motiver og statlige intensjoner i cyberdomenet.
Mange av de alvorligste hendelsene de senere år har vist hvordan CaaS‑aktører og statstilknyttede grupper utnytter de samme sårbarhetene. Angrepet på departementenes IT‑plattform i 2023, som Simen Bakke nevner i sin artikkel, der kritiske sårbarheter i Ivanti‑systemet ble utnyttet, er illustrerende: Sårbarheten var kjent, men fortsatt uadressert, noe som igjen gjorde det mulig for en avansert aktør å omgå autentisering, opprette administratorbrukere og hente ut data i over to måneder – uten å bli oppdaget. Det samme gjelder også for mange andre cyberoperasjoner som er gjennomført. Slike angrep viser hvor lett tekniske svakheter åpner døren for så vel kriminelle som strategisk statlige aktører. Tekniske tiltak som er løsrevet fra en overordnet strategisk kontekst kan derfor skape en falsk trygghet med mindre handlingene ses i lys av en mer helhetlig forståelse av risikoen.
Fra teknisk hygiene til strategisk resiliens
Koblingen mellom statlige og ikke-statlige aktører, og fraværet av en bredere kontekstuell forståelse av angrep gjør derfor at digital redundans og utholdenhet blir viktig. Overgangen fra teknisk hygiene til strategisk resiliens innebærer blant annet å erkjenne at moderne cyberoperasjoner ikke bare retter seg mot datasystemer, men mot hele organisasjoners evne til å fungere under press. Resiliens handler med andre ord om å oppdage angrep tidlig, forstå når en tilsynelatende liten anomali kan være inngangen til en større infiltrering, og opprettholde drift – selv når digitale tjenester er kompromittert. CaaS‑grupper, som tilbyr alt fra phishing‑kampanjer og initial access til ransomware‑distribusjon og datalekkasjer, øker behovet for bedre overvåkning, raskere respons og mer robust beredskap. Når både statlige og ikke‑statlige aktører kan kjøpe seg tilgang til samme økosystem av tjenester og verktøy, må forsvars‑ og sikkerhetsmiljøene legge mer vekt på etterretning, kontekstforståelse og beskrivelse av angriperes intensjoner.
Strategisk resiliens innebærer også å bevege seg bort fra en tradisjonell oppfatning av cybersikkerhet som et rent teknisk ansvarsområde. Det krever ledelsesmessig modenhet, tverrfaglig samarbeid og evnen til å se cyberoperasjoner i sammenheng med bredere sikkerhetspolitiske utviklingstrekk. CaaS‑aktører gir stater et lag av plausible benektelser, noe som gjør attribusjon vanskeligere og respons mer krevende. Derfor må både offentlige og private virksomheter forstå hvordan CaaS påvirker trusselbildet og forberede seg på angrep som kan være like målrettede, vedvarende og strategiske som operasjoner utført av tradisjonelle etterretningsorganisasjoner.
Å bygge strategisk resiliens betyr dermed å akseptere at teknisk hygiene kun er grunnmuren, ikke bygget. Organisasjoner må være forberedt på at avanserte trusselaktører vil finne en inngang før eller siden. Det avgjørende blir derfor ikke bare å hindre alle angrep. Viktigere blir det å sikre at når angrep skjer, så kan samtidig virksomheten finne, isolere og håndtere angrepet på en måte som minimerer skaden og opprettholder kritiske funksjoner. Dette er den nødvendige tilnærmingen i en tid der cyberoperasjoner kan kjøpes som tjenester, og der grensene mellom kriminalitet og statsstyrt aktivitet i praksis er i ferd med å viskes ut.
Konklusjon
Den digitale tidsalderen har gjort trusselaktører mer effektive, mer tildekket og mer «skalerbare». “Trygg grunn” er ikke lenger et geografisk sted, men et nett av kompromittert infrastruktur, tredjepartsøkosystemer og kriminelle tjenester som gir stater rom for å handle uten tydelig fingeravtrykk. Når samfunnsfunksjoner kan forstyrres fra globalt distribuerte «skyggeland», blir egne sårbarheter ikke bare en teknisk utfordring, men et politisk, økonomisk og strategisk anliggende.
NATO har tydeliggjort at alvorlige cyberangrep kan utløse kollektive forsvarstiltak. Private og offentlige organer dokumenterer trender og anbefaler samarbeid. Norske rapporter fra NSM, Etterretningstjenesten og PST gir lokalt rammeverk og en forståelse for hva som er den reelle trusselen. Veien videre handler med andre ord om å gå fra «cyberhygiene» som sjekkliste til strategisk resiliens: å forberede oss på at digitalt skyggeland er en vedvarende del av sikkerhetspolitikken. Å bygge robuste systemer, dele etterretning, styre leverandørkjeder, og beskytte informasjonsmiljøet er ikke kostnader—det er investeringer i muligheten til å si nei når noen prøver å tvinge oss via skjulte kanaler. I skyggelandet vinner den som tåler lys.
Foto: Torgeir Haugaard / Forsvaret
