Spring til indhold
Nyhed16-04-2026

Når cyberangreb bliver alvor: Sådan bliver nordiske virksomheder ramt

It-sikkerhed i virksomheder

Hvert år rykker Ateas Incident Response Team (IRT) ud til hundredevis af cybersikkerhedshændelser i Danmark, Norge, Sverige og Finland. Gang på gang ser de, hvordan cyberangreb kan lamme en virksomhed og sætte driften på pause. 

 

"Vi ser igen og igen, at det er de banale sikkerhedshuller, der bliver udnyttet. Det er ikke de komplekse nul-dagsangreb, der rammer flest. Det er de områder, vi allerede ved, vi burde have styr på," siger Vegard Kjerstad, der er leder af Ateas nordiske Incident Response Team. 

 

Det er nemlig ikke de spektakulære "superangreb", der dominerer trusselsbilledet i 2025. I stedet er det de samme tre klassiske angrebsformer, der gang på gang udgør den største risiko for virksomheder - og når de rammer, kan de føre til alvorlige brud, længere nedetid og dyre genopretningsforløb. 

 

IRT: På frontlinjen når angrebet rammer 

Ateas IR-team er de første, der rykker ud, når noget går galt. Teamet håndterer alt fra korte forløb, der kan klares på få timer, til alvorlige sager, der kan strække sig over uger. 

 

Når en ny type angreb dukker op ét sted, bruger teamet erfaringen og den nordiske rækkevidde til hurtigt at lede efter de samme tegn hos andre kunder. På den måde bliver én sag til viden, der kan bruges til at beskytte mange, på tværs af norden. 

 

I 2025 håndterede de i alt 343 sikkerhedshændelser i Norden, og tre specifikke angrebstyper stod bag langt de fleste af dem: 

 

AiTM-phishing: Angriberen i midten 

AiTM (Adversary in the Middle) er en avanceret phishingform, hvor angriberen placerer sig mellem brugeren og et legitimt website for at opsnappe følsomme data som login-oplysninger og session cookies. Angriberen kan kapre sessionen og få adgang til systemer, selv når virksomheden har implementeret multi-faktor-autentifikation (MFA). Virksomheder bør have streng adgangskontrol og phishing-resistent MFA. Konsekvensen er, at en enkelt kompromitteret konto kan blive indgangen til hele virksomhedens digitale miljø. 

 

Eksponerede systemer og fjernadgang uden MFA 

Internetvendte tjenester som firewalls, webapplikationer og VPN-løsninger uden MFA er sårbare og meget udnyttede mål for angribere. Virksomheder skal have kontrol over, hvilke systemer der er åbne, holde dem opdaterede og sikre, at de er beskyttet med de rette sikkerhedslag. 

 

Infostealere 

Infostealers er en type malware, som brugere bliver manipuleret til at downloade til deres systemer. Malwaret stjæler følsomme oplysninger som adgangskoder, browser-cookies og gemte login-oplysninger. Disse kan bruges af angriberen eller sælges videre med det formål at få adgang til virksomhedens systemer og data. 

 

Hvad kendetegner de robuste virksomheder?  

"Den største trussel er, når virksomheder ikke tager de basale sikkerhedstiltag alvorligt. De fleste angreb kunne være undgået, hvis virksomheden havde haft de rette forberedelser og den rette beskyttelse på plads," forklarer Vegard Kjerstad.  

 

De virksomheder, der undgår eller kommer bedst igennem cyberangrebene, har fire ting til fælles: 

 

1. Planer og beredskab er løftet fra papir til praksis.

Nøglepersoner ved, hvem de ringer til, når noget ser forkert ud. Man har øvet sig på beredskabsplanerne, ikke kun skrevet dem. Roller og ansvar er afprøvet i virkelighedsnære scenarier, så ingen skal opfinde processer midt i en krise. Og der er mennesker og systemer, der faktisk holder øje, så angreb bliver fanget i opløbet.

 

2. De kender deres svage punkter.

De ved, hvilke systemer der er sårbare, hvilke der er eksponeret mod internettet, og hvem der har ansvaret. Når en ny sårbarhed bliver offentliggjort, kan de hurtigt svare på, om den rammer dem – og hvad de skal gøre. 

 

3. De beskytter identiteter, ikke kun netværk. 

Multifaktorgodkendelse er et grundlæggende princip, især for fjernadgang og privilegerede konti. Reglerne for, hvorfra og hvordan man må logge på, er tydelige og bliver fulgt. 

 

4. De reagerer på mavefornemmelsen – og bruger ekstern erfaring 

For de fleste virksomheder giver det ikke mening at bygge et incident response-setup op internt. Hvor en intern funktion måske kun ser én hændelse om året, ser et specialiseret IR-team nye sager næsten hver dag på tværs af brancher og lande, hvilket gør dem bedre rustet til at genkende mønstre og reagere hurtigt og effektivt. 

 

”Hvis man har en dårlig mavefornemmelse, skal man tage kontakt til eksperter og få det undersøgt. Har man en IR-aftale, er vi altid tilgængelige, også til de korte verificeringer sent om aftenen. Uden et incident response team at støtte sig op ad, bør man genoverveje sine planer og kapabiliteter for at sikre, at risikoen er acceptabel for virksomheden," siger Vegard Kjerstad. 

 

At have et IR-team i ryggen betyder i praksis, at der sidder et team, der kender virksomhedens miljø indgående, og kan rykke ud, når uheldet er ude, i stand til at trække på erfaring fra hundredevis af sager på tværs af Norden for hurtigt at undgå, forebygge eller stoppe angrebet, afgrænse skaden og tage de første skridt mod genopretning.