Her er hackernes foretrukne arbejds-metode

En bestemt klassisk hackermetode anvendes i 97 procent af alle sikkerheds-brud. Alligevel har sikkerhedsfolkene åbenbart problemer.

Artikel top billede

Computerworld News Service: SQL-injektion er blevet anvendt i hackerangreb i over 10 år, og de it-sikkerhedsprofessionelle burde være mere end dygtige nok til at beskytte mod denne teknik.

Alligevel er SQL-injektion en del af billedet i hele 97 procent af alle tilfælde af kompromittering af data på verdensplan, påpeger Neira Jones, der er chef for betalingssikkerhed hos finansvirksomheden Barclays. 

Neira Jones mener, at hackere udnytter virksomheders utilstrækkelige og ofte forældede informationssikkerheds-praksis.
Med henvisning til de seneste tal fra Storbritanniens National Fraud Authority oplyser hun , at identitetstyveri årligt koster Storbritannien 24 milliarder kroner og påvirker over 1,8 millioner mennesker.

"Datakompromittering vil statistisk set med sikkerhed forekomme," fremhæver Jones.

"Ser man på, hvad offentligheden bekymrer sig om, så er beskyttelsen af personfølsomme oplysninger faktisk på samme niveau som forhindring af kriminalitet."

Sådan fungerer SQL-injektion

SQL-injektion er en teknik til at indsætte fremmed kode, der udnytter sårbarheder i et websites software.

Herved kan angriberen blive i stand til at foretage enhver SQL-forespørgsel eller -kommando på database-serveren via den kompromitterede webapplikation.

I oktober 2011 plantede angribere eksempelvis skadelig JavaScript på Microsofts ASP.Net-platform.

Dette fik de besøgendes browsere til at indlæse en iframe med et ud af to skadelige og uautoriserede websites, som forsøgte at installere malware på den besøgendes pc ved hjælp af flere forskellige såkaldte drive-by-angreb mod browseren.

Microsoft har i hvert fald siden 2005 selv leveret information til ASP.Net-programmører om, hvordan man beskytter mod SQL-injektion.

Alligevel lykkedes det dette angreb at påvirke cirka 180.000 websider.

Neira Jones argumenterer for, det er nødvendigt, at  datakriminalitet og databeskyttelse rykker højere op på bestyrelsernes dagsordener.

Ét skridt af gangen

For at det skal komme til at ske, er it-sikkerhedscheferne nødt til at vurdere risikoniveauet i deres organisationer og tage det hele ét skridt af gangen.

"Jeg siger altid, hvis nogen siger APT (advanced persistent threat, eller på dansk avanceret vedvarende trussel, såsom spionage eller terrorisme udført eller støttet af en fjendtlig stat eller organisation, red.), at en engel dør i himlen, for det er ikke ATP'er, der er problemet," siger Jones.

"Dermed ikke sagt, at de ikke eksisterer, men lad os lige løse de grundlæggende problemer først. Er man fuldstændigt sikker på, at man ikke er sårbar overfor SQL-injektioner? Og har man kodet sin webapplikation på en sikker måde?"

Generelt tager det seks til otte måneder for en organisation at finde ud af, at dens data er blevet kompromitteret i et angreb, tilføjer Neira Jones.

Ved at kende sin risikoprofil og træffe nogle enkle, proaktive foranstaltninger såsom modellering af trusselsscenarier kan man dog ifølge Jones forhindre op mod 87 procent af alle angreb.

Oversat af Thomas Bøndergaard

Annonceindlæg fra Deloitte

Agentic AI er et paradoksalt undervurderet, men fuldmodent teknologiområde

Hvorfor er der ikke flere, der lykkes med Agentic AI? Fordi de mangler at håndtere mellemregningerne fra POC til storskalaløsning.

Netcompany A/S

Linux Operations Engineer

Nordjylland

Center For IT og Medicoteknologi

Teknisk projektleder til IT med afgørende betydning for sundhedsvæsenet

Københavnsområdet

Netcompany A/S

Cloud Operations Manager (Azure)

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

IT-sikkerhedsspecialist med fokus på Governance, risiko, compliance og akkreditering

Københavnsområdet

Navnenyt fra it-Danmark

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S

Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S