Det er den tydeligste konklusjonen fra Telenor Cyberdefence sin rapport om trusselbildet for andre kvartal 2026.
Gjennom Telenors tjenester for sikkerhetsovervåking håndterte de 120 alvorlige sikkerhetshendelser i løpet av kvartalet. I tillegg ble det stoppet en rekke mindre hendelser som kunne utviklet seg til alvorlige angrep dersom de ikke hadde blitt oppdaget og håndtert tidlig.
– Trusselaktørene arbeider raskere, mer målrettet og med en grad av automatisering vi ikke har sett tidligere. AI brukes ikke lenger bare som et hjelpemiddel – den gjør angriperne mer effektive og reduserer tiden virksomheter har til å oppdage og håndtere trusler. For virksomheter betyr det at evnen til å oppdage og respondere raskt er viktigere enn noen gang, sier Henrik Buksholt, leder for sikkerhetssenteret i Telenor Cyberdefence.
Identitet er fortsatt den største angrepsflaten
– Som i tidligere kvartaler var mange av de alvorlige hendelsene vi håndterte knyttet til kompromitterte brukerkontoer. Ansatte ble utsatt for phishing eller fikk brukernavn og passord på avveie gjennom sosial manipulering. Vi ser også fortsatt mange tilfeller av skadevare på klientmaskiner.
Utviklingen viser at identitet fortsatt er den mest attraktive inngangsporten for angripere. Når de får tilgang til legitime brukerkontoer, kan de ofte omgå tradisjonelle sikkerhetsmekanismer og bevege seg videre inn i virksomhetens miljø.
– Angriperne forsøker i stadig mindre grad å bryte seg inn. De logger seg inn. Derfor må virksomheter beskytte identiteter like godt som de beskytter infrastrukturen sin, sier Buksholt.
Tre trender preger trusselbildet
Erfaringene fra andre kvartal peker særlig på tre utviklingstrekk.
For det første blir phishing stadig mer avansert. Angriperne forsøker ikke lenger bare å stjele passord, men manipulerer brukere til å gi fra seg gyldige autentiseringstoken gjennom metoder som Device Code Phishing og ClickFix. Samtidig ser Telenor en tydelig vekst i Phishing-as-a-Service (PhaaS), som gjør avanserte angrepsmetoder tilgjengelige for flere trusselaktører.
For det andre rammes utviklingsmiljøer i økende grad av supply chain-angrep. Kampanjer som CanisterSprawl og Mini Shai-Hulud viser hvordan kompromitterte utviklerkontoer og programvarepakker kan brukes til å spre skadevare videre og ramme et stort antall virksomheter.
Den tredje utviklingen er hvordan kunstig intelligens endrer tempoet i cyberangrep. AI brukes både til å identifisere sårbarheter raskere og til å utvikle mer målrettede phishing-kampanjer og angrep mot kritisk infrastruktur. Det gir virksomheter stadig mindre tid til å teste, prioritere og installere sikkerhetsoppdateringer.
– Tid er blitt en kritisk sikkerhetsfaktor. Der virksomheter tidligere kunne planlegge patching over flere uker, ser vi nå at sårbarheter kan bli utnyttet nærmest umiddelbart. Evnen til å oppdage, prioritere og respondere raskt er i dag minst like viktig som evnen til å forhindre et angrep, sier Buksholt.
DDoS-angrepene holder et stabilt høyt nivå
I løpet av kvartalet registrerte Telenor Cyberdefence 82 verifiserte DDoS-angrep, hvorav 51 ble avverget.
Den gjennomsnittlige angrepsstørrelsen var 7,63 Gbps, og et gjennomsnittlig angrep varte i én time. Den mest brukte angrepsvektoren var IP-fragmentering, som sto for 25,61 prosent av angrepene. Det største angrepet Telenor observerte nådde en kapasitet på 73,6 Gbps og varte i ni minutter.
Internasjonale hendelser bekrefter utviklingen
Flere internasjonale hendelser i løpet av kvartalet understøtter trendene Telenor ser i sine sikkerhetsoperasjoner.
En avansert nulldagskampanje mot Adobe Acrobat Reader rettet seg mot energi- og infrastruktursektoren ved hjelp av spesialutviklede PDF-filer som muliggjorde fjernkjøring av kode. Cisco publiserte samtidig sikkerhetsoppdateringer for flere kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex.
– Vi har også sett flere omfattende supply chain-angrep, blant annet nevnte CanisterSprawl og Mini Shai-Hulud. Samtidig advarte FBI mot Kali365 : en ny Phishing-as-a-Service-plattform som misbruker Microsofts Device Code-autentisering for å kompromittere Microsoft 365-kontoer.
Anthropics Project Glasswing demonstrerte dessuten hvordan AI kan identifisere over 10 000 alvorlige sårbarheter i samfunnskritisk programvare langt raskere enn dagens patch-prosesser klarer å håndtere. Forskningen illustrerer hvordan AI bidrar til å redusere tiden mellom at en sårbarhet oppdages og at den kan utnyttes.
Innsikt som gir virksomheter et forsprang
Gjennom sikkerhetsovervåking av virksomheter på tvers av samfunnskritiske sektorer ser Telenor Cyberdefence hvordan globale trender raskt får konsekvenser også i Norge.
Andre kvartal viser at cybertruslene utvikler seg raskere enn tidligere. For virksomheter betyr det at kontinuerlig sikkerhetsovervåking, effektiv sårbarhetsstyring og rask respons ikke lenger er valgfrie tiltak – de er avgjørende for å redusere risiko og begrense konsekvensene når et angrep rammer.
– Vår rapport om trusselbildet gir et oppdatert bilde av utviklingen og innsikt som kan hjelpe virksomheter med å prioritere sikkerhetsarbeidet i en tid der endringstakten aldri har vært høyere.





































