Skrevet av Didrik, CPO i IDEX Biometrics · 15. februar 2026
NSMs Risiko 2026 er ikke en rapport for skuffen. Tvert imot beskriver den et økende trusselbilde og peker på tiltak norske virksomheter bør prioritere nå.
NSM beskriver et trusselbilde der sosial manipulasjon og kompromitterte innloggingsopplysninger fortsatt er blant de vanligste veiene inn – og der angripere i økende grad bruker mer avanserte metoder og kunstig intelligens for å omgå tradisjonell MFA. (NSM, Risiko 2026, s. 24)
Det gjør én ting tydelig: Tilgang er inngangsbilletten. Og tilgang må bli en del av første forsvarslinje.
«NSM ser økende bruk av mer avanserte former for phishing der flerfaktorautentisering ikke lenger gir tilstrekkelig beskyttelse.»
(NSM, Risiko 2026, s. 24)
Dette sier Risiko 2026 – kort fortalt
Trusselbildet skjerpes
Forventningene til virksomheter øker
Phishing blir mer målrettet og mer automatisert, ofte støttet av kunstig intelligens. Derfor må virksomheter redusere verdien av stjålne tilgangsnøkler, og begrense hvor langt én kompromittering kan ta en angriper.
Der mange fortsatt er sårbare
NSM er tydelige på at mange virksomheter fortsatt har vesentlige mangler i forebyggende sikkerhet, og at sikkerhet er et lederansvar. (NSM, Risiko 2026, s. 8)
«NSM gjennomførte i 2025 flere inntrengingstester i statlige virksomheters kontorsystemer. I de aller fleste tilfellene fikk NSM fullstendig kontroll over virksomhetens informasjonssystem.»
(NSM, Risiko 2026, s. 26)
Gjengangerne er ofte grunnleggende
Det er ikke «zero-day»-sårbarheter som velter lasset. I praksis handler det om grunnleggende tilgangshygiene som ikke er på plass, og nettopp derfor blir risikoen høy.
Tre tiltak basert på Risiko 2026
Risiko 2026 peker på et kjent mønster: Når angripere lykkes, handler det ofte om tilgang – via sosial manipulasjon, svak tilgangsstyring eller leverandørflater.
Her er tre konkrete tiltak som reduserer risikoen i praksis.
1) Beskytt innlogging mot phishing
- Bruk FIDO2-basert innlogging, som er «origin-bound» og dermed phishing-resistent.
- Kombinér med biometrisk verifisering, slik at stjålne kort/enheter ikke kan misbrukes. Les mer om IDEX FIDO2-baserte biometriske kort.
- Prioritér først de mest kritiske flatene: e-post, pålogging og admin-tilgang.
2) Fjern delbar tilgang i kritiske soner
- Unngå kort/enheter med delbare koder eller PIN som kan observeres i kritiske områder.
- Sett sonepolicy slik at utvalgte områder har høyere sikkerhetskrav, for eksempel biometrisk autentisering.
- Dette gir både bedre tilgangskontroll og sporbarhet. Les mer om hvordan få bedre tilgangskontroll med IDEX.
3) Hold tilgangsnøklene på en offline enhet
- Vær varsom med å lagre kritiske tilgangsnøkler på enheter som er koblet til nettet.
- Med fysiske sikkerhetsenheter som IDEX-kortet kan du lagre tilgangsnøkler og fingeravtrykk helt offline. Les mer om FIDO og biometrisk autentisering.
Hva Risiko 2026 peker på videre
Risiko 2026 er i hovedsak en trusselvurdering – men den er også tydelig på at virksomheter bør bygge tilgangsstyring som tåler sosial manipulasjon og phishing.
Spørsmålet for 2026 er derfor:
Hvis en ansatt blir utsatt for phishing i morgen: hvor langt kommer angriperen med det de får tak i?
Ta gjerne kontakt med Didrik (CPO i IDEX) hvis du vil høre mer om hvordan IDEX kan hjelpe virksomheten din med å bevege seg mot identitetsbasert tilgang.
