Hos byggentreprenøren i Svolvær ble det en brå start på arbeidsdagen i august 2025. Hackere hadde tatt over bedriftens server og de kriminelle truet med å fjerne all data om ikke løsepenger ble utbetalt.
– Vi skjønte det var viktig å handle raskt, så vi ba om hjelp med en gang. Vi har lenge hatt en cyberforsikring som vi var usikre på om vi egentlig trengte, men i ettertid er jeg veldig glad vi beholdt den, sier daglig leder i DSN entreprenør, Torfinn Dahlberg.
I april 2026 publiserte Kripos en rapport om cyberkriminalitet.
Ifølge rapporten var løsepengevirus, eller LSH-operasjoner (løsepengevirus-som-handelsvare), den vanligste formen for cyberangrep mot norske små og mellomstore bedrifter i 2025.
For de 55 ansatte i DSN Entreprenør AS i Svolvær var det dette som rammet.
– Vi ringte Gjensidige forsikring så fort vi skjønte hva som hadde skjedd. Via en rask prat med forsikringsselskapet ble vi satt i kontakt med Truesec, sier Dahlberg.
I Stockholm sitter cybersikkerhetselskapet Truesec. Målet de jobber mot er å unngå datainnbrudd eller minimere skadeomfang hvis innbruddet allerede har skjedd.
Kripos opplyser at datainnbrudd mot norske virksomheter i hovedsak lykkes fordi virksomhetene har svake eller fraværende sikkerhetstiltak. De vanligste inngangspunktene er svake passord, manglende flerfaktorautentisering, uregelmessige systemoppdateringer og sårbar infrastruktur som er eksponert mot internett.
– DSNs firmware kunne ha vært nyere og var sårbar. Angriperne misbrukte sårbarheten til det utdaterte systemet, sier Rasmus Weber-Esmann, Incident Manager i Truesec.
Cybersikkerheteksperten tror svindlerne kom seg inn via en av VPN-kontoene til DSN.
– Det største problemet hos kunden var mangelen på multifaktorautentisering for VPN (Virtual Private Network), forteller Weber-Esmann, før han fortsetter.
– Det gjorde det enkelt for svindlerne å komme inn i det private nettverket. Dette er noe responsteamet vårt ser veldig ofte i små og mellomstore bedrifter.
Cyberkriminalitet blir ofte gjennomført i flere ledd. Kripos-rapporten fra april sier at Informasjon som stjeles fra virksomheter gjøres tilgjengelig i kriminelle fora og brukes som grunnlag for videre press.
Derfor var det viktig for DSN Entreprenør å begrense mengden informasjon som ble stjålet og gjenbrukt til ulovlige formål.
– Da vi kom i kontakt med Truesec var serveren og fem av våre pc-er ute av drift, og det var tilgangen til våre egne data svindlerne ville selge oss. Ekspertene fra Truesec hjalp oss fra dag én, og det første de gjorde var å be oss logge av alle Microsoft-kontoer, sier Dahlberg.
For Truesec var det viktig å forsikre seg om at de hadde kontroll på situasjonen og at de kriminelle ikke lenger hadde adgang til DSNs systemer.
– Vi samlet data, lokaliserte hvor inntrengerne kom inn i systemet og hva de hadde gjort. Dette gjør vi for å planlegge hvordan vi skal gjenoppbygge miljøet på en trygg måte, og for å forsikre oss om at alle trusler er utryddet, sier Weber-Esmann.
Dahlberg visste ikke da hvor lenge pc-er og server skulle være ute av drift. På serveren lå økonomisytemet og kalkyleprogrammer. Med kalkyleprogrammene nede kunne ikke bedriften regne ut oppdragskostnader å gi anbud på fremtidige oppdrag.
Cybersikkerhetsselskapet Truesec har eksperter som sitter i hele verden og jobber. Derfor tar de ikke hensyn til det norske døgnet og jobbet rundt klokka for å vinne tilbake systemene til DSN.
– For oss var det viktig å kommunisere med kunder og fortsette driften. Så mens Truesec fikk oss opp å stå igjen ordnet de ansatte seg med låne- og private pc-er, sier Dahlberg.
I kontorlokalene i Svolvær ble internett koblet fra for å forhindre inntrengerne i å stjele mer data. Samtidig begynte Truesec å bygge ny brannmur.
Etter tre uke kunne driften fortsette nesten som før, men det tok litt lengre tid før servere og de ansattes pc-er fungerte som tidligere.
Åtte måneder etter angrepet er regnskapet gjort. På tross av at det så mørkt ut en periode, er lite tapt, og driften har nesten gått for fullt hele tiden. Daglig leder er tydelig på hvorfor det gikk så bra som det gjorde for byggentreprenøren.
– Det var tre ting som gjorde at dette gikk mye bedre enn det kunne ha gjort. Det viktigste var at vi hadde backup på all viktig data. Når inntrengerne var utestengt fra bedriftens pc-er, puttet vi all data inn igjen. Det gjorde at vi mistet lite og kunne starte opp igjen raskt, sier Dahlberg.
All backup lå lagret i skyløsninger som var utilgjengelig for hackerne.
– Det nest viktigste var å ha cyberforsikring. Det gjorde at vi fikk veldig god hjelp. Raskt. Det Truesec gjorde for oss, hadde vi ingen sjanse til å få til selv.
Svindlerne fikk ikke utbetalt løsepenger, men kostnadene for redningsaksjonen endte likevel på en million kroner.
Det tredje grepet gjorde den økonomiske friskmeldingen enklere.
– Alt som koster penger, må dokumenteres. Vi brukte en del tid på å finne dokumentasjon, men det var det verdt. Vi har klart å dokumentere det meste, og alt vi klarte å dokumentere har vi fått tilbake gjennom forsikringen. Det er vanskelig å dokumentere driftstap så de pengene vi har tapt, de gikk tapt der, sier Dahlberg.
Prosjektledere som ble satt ut av drift, lavere tempo i bedriften og forsinkede vareleveranser er hovedårsakene til driftstapet.
En vanlig angrepsstrategi for cyberkriminelle er i følge Kripos tredjepartsangrep. Kriminelle utnytter sårbarheter hos én leverandør til å få tilgang til en eller flere andre virksomheter.
Det gjør det vanskelig å vite akkurat hvordan inntrengerne kom seg inn i DSNs systemer og å finne ut hvem de er.
– Generelt så er det veldig vanskelig å finne individene bak et angrep. Ofte er de som tar ansvar for angrepet og krever løsepenger, noe vi kaller Ransomware-as-a-Service group, sier Mike Clausen, leder for etterretningstjenestene i Truesec.
Det betyr at det kanskje ikke er de som krever løsepenger som står bak hackingen, men det er de som har softwaren og infrastrukturen som kreves for å forhandle og få utbetalt løsepengene. I bytte for sine tjenester får de noen prosenter av løsepengene.
Hvem som stod bak svindelen er ikke oppklart, men det tenker de ikke så mye på i Svolvær.
– Nei. Det bekymrer meg ikke. Vi er et av mange selskap som blir rammet av denne type kriminalitet. Hvis våre erfaringer kan føre til at svindelkarrierene er litt nærmere slutten for de som angrep oss så er det bra, avslutter Dahlberg.
