Norges digitale suverenitet under dobbelt angrep

Da PST 6. februar bekreftet at kinesiske statshackere har kompromittert norske organisasjoners nettverksenheter, ble det tydelig at Norge står overfor en digital trussel landet er dårlig rustet til å møte. Ikke bare fordi angriperne er sofistikerte — men fordi infrastrukturen de angriper, i stor grad eies og driftes av amerikanske selskaper Norge knapt har kontroll over.

Tidspunktet kunne ikke vært mer avslørende. Bare uker etter at Nasjonal sikkerhetsmyndighet (NSM) publiserte rapporten «Dagens valg — morgendagens risiko», der de advarte mot Norges nærmest ukritiske avhengighet av Amazon, Google og Microsoft, bekreftet altså etterretningstjenesten at Kinas mest beryktede hackergruppe allerede er innenfor dørene. To kriser som tilsynelatende handler om forskjellige ting — men som i virkeligheten er to sider av samme mynt: Norge har bygget sitt digitale hus på andres grunn, og nå banker det på døren.

Salt Typhoon: Kina inne i norsk infrastruktur

Hackergruppen Salt Typhoon, knyttet til kinesisk etterretning, har i minst to år operert inne i telekommunikasjonsnettverk verden over. PSTs bekreftelse av at norske organisasjoner er rammet markerer første gang Norge offisielt innrømmer å være blant ofrene i det som beskrives som en av de mest omfattende cyberspionasjeoperasjonene i moderne tid.

Ifølge TechCrunch har angriperne utnyttet sårbare nettverksenheter — rutere, brannmurer og VPN-løsninger — for å etablere langvarig tilgang til norske virksomheters systemer. Sikkerheteksperter påpeker at gruppen ikke er ute etter raske gevinster, men systematisk innhenting av etterretning over tid.

PST-sjef Beate Gangaas satte angrepet i historisk kontekst da hun beskrev trusselbildet: Norge står overfor «sin mest alvorlige sikkerhetssituasjon siden andre verdenskrig». Det er ikke en formulering som brukes lett i norsk offentlighet.

Og Salt Typhoon er langt fra den eneste trusselen. I april 2025 tok pro-russiske hackere kontroll over en liten dam på Vestlandet i fire timer — et angrep på fysisk infrastruktur som demonstrerte at digitale sårbarheter har konsekvenser langt utenfor serverrommet. NSM advarer nå om at «breakout time» — tiden det tar en angriper å bevege seg fra første fotfeste til full tilgang — har falt under 60 minutter, hjulpet av AI-assistert phishing.

Norges sky tilhører noen andre

Mens Salt Typhoon-avsløringen handler om hvem som angriper Norge, reiser NSMs skyrapport et like ubehagelig spørsmål: hvem er det egentlig som forsvarer oss?

Over de siste 20 årene har norsk offentlig sektor, næringsliv og kritisk infrastruktur bygget seg «nærmest ukritisk avhengige» av Microsoft, Google, Amazon Web Services, Oracle og Apple. NSM bruker nettopp denne formuleringen i sine nye anbefalinger om nasjonal kontroll. Dataene som driver norske sykehus, kommuner, forsvar og energiselskaper ligger i stor grad på servere underlagt amerikansk lovgivning — inkludert CLOUD Act, som gir amerikanske myndigheter rett til å kreve utlevering av data uansett hvor i verden de lagres.

Det er en posisjon som ville vært ukomfortabel i fredstid. I en situasjon der PST-sjefen sammenlikner trusselbildet med andre verdenskrig, er den direkte farlig.

Sikkerhetsanalytikere understreker at problemet ikke bare er hvor dataene lagres, men hvem som kontrollerer oppdateringer, tilgang og sikkerhetsarkitektur. Når en kritisk sikkerhetsoppdatering må komme fra Redmond, Washington før norsk infrastruktur er beskyttet, har Norge i praksis outsourcet sitt digitale forsvar.

Nasjonal sky: Fra idé til budsjettpost

NSM anbefaler det som lenge har vært diskutert i norske IT-miljøer: en nasjonal skyløsning på norsk jord, under norsk jurisdiksjon. Statsbudsjettet for 2026 har bevilget midler til et forprosjekt for nettopp dette — et signal om at regjeringen tar bekymringen på alvor, om enn i byråkratiets tempo.

Norge har allerede rundt 90 datasentre som brukte 2,79 TWh energi i 2025. Kapasiteten er der. Men som kritikere påpeker, er det stor forskjell på å huse internasjonale selskapers servere og å bygge en suverent kontrollert nasjonal infrastruktur. Mye av den eksisterende kapasiteten er eid av nettopp de amerikanske gigantene NSM advarer mot.

Den massive Stargate-utbyggingen i Narvik illustrerer paradokset perfekt: Norge satser milliarder på å bli Europas ledende datasenterland, men risikerer å bygge enda mer infrastruktur som tjener utenlandske interesser snarere enn norsk digital suverenitet. 380 millioner kroner er satt av til nasjonale superdatamaskin-tjenester i 2026-budsjettet — men spørsmålet er om det er nok til å endre den grunnleggende maktbalansen.

Regulatorisk innhenting

På lovsiden skjer det mer. Norges lov om digital sikkerhet trådte i kraft 1. oktober 2025 og utvider kravene til digitalt forsvar betydelig. Innen 1. juli 2026 vil rundt 5 000 organisasjoner være omfattet av de nye kravene — en dramatisk økning fra dagens situasjon.

I tillegg planlegges EUs AI-forordning implementert i Norge fra august 2026, med Nkom som tilsynsmyndighet. Men selv norske teknologikritikere stiller spørsmål ved om regulering alene er tilstrekkelig når den underliggende infrastrukturen er utenfor nasjonal kontroll. Man kan regulere bruken av en plattform man ikke eier — men man kan ikke sikre den.

Utfordringen er tidskritisk. Når NSM sier at AI-drevne angrep nå skjer raskere enn menneskelig reaksjonstid tillater, og når Salt Typhoon demonstrerer at selv sofistikerte nasjoner som Norge er sårbare, blir gapet mellom trusseltempo og reguleringstempo farlig stort.

Veien videre: Et valg Norge ikke kan utsette

Salt Typhoon og NSMs skyvarsel tegner til sammen et bilde av et Norge som må ta vanskelige valg om hva det betyr å være en selvstendig nasjon i den digitale tidsalderen. Det handler ikke lenger om teknologipolitikk — det handler om sikkerhetspolitikk.

Konkret betyr dette tre ting for norsk arbeidsliv, personvern og samfunn:

For det første: Hver norsk virksomhet, fra kommuner til helseforetak, må i løpet av 2026 ta stilling til sin egen skyavhengighet. De 5 000 organisasjonene som nå omfattes av loven om digital sikkerhet, vil bli tvunget til å kartlegge og dokumentere risikoen — mange for første gang.

For det andre: Personvernet til nordmenn hviler på en juridisk fiksjon. Så lenge norske helsedata, skattedata og kommunikasjonsdata kan kreves utlevert under amerikansk lov, er GDPR-beskyttelsen i praksis uthult. En nasjonal skyløsning er ikke bare et spørsmål om teknisk infrastruktur — det er et spørsmål om grunnleggende borgerrettigheter.

For det tredje: Norge har ressursene. Ren energi, teknologikompetanse, en av verdens mest digitaliserte befolkninger, og nå også politisk vilje i form av budsjettbevilgninger. Spørsmålet er om forprosjektet for nasjonal sky blir starten på reell endring, eller nok en utredning som ender i en skuff mens avhengigheten fortsetter å vokse.

PSTs advarsler og NSMs anbefalinger peker i samme retning: Norges digitale suverenitet er ikke noe man kan kjøpe fra en amerikansk leverandør. Det er noe man må bygge selv.