Her er hackernes foretrukne arbejds-metode

En bestemt klassisk hackermetode anvendes i 97 procent af alle sikkerheds-brud. Alligevel har sikkerhedsfolkene åbenbart problemer.

Artikel top billede

Computerworld News Service: SQL-injektion er blevet anvendt i hackerangreb i over 10 år, og de it-sikkerhedsprofessionelle burde være mere end dygtige nok til at beskytte mod denne teknik.

Alligevel er SQL-injektion en del af billedet i hele 97 procent af alle tilfælde af kompromittering af data på verdensplan, påpeger Neira Jones, der er chef for betalingssikkerhed hos finansvirksomheden Barclays. 

Neira Jones mener, at hackere udnytter virksomheders utilstrækkelige og ofte forældede informationssikkerheds-praksis.
Med henvisning til de seneste tal fra Storbritanniens National Fraud Authority oplyser hun , at identitetstyveri årligt koster Storbritannien 24 milliarder kroner og påvirker over 1,8 millioner mennesker.

"Datakompromittering vil statistisk set med sikkerhed forekomme," fremhæver Jones.

"Ser man på, hvad offentligheden bekymrer sig om, så er beskyttelsen af personfølsomme oplysninger faktisk på samme niveau som forhindring af kriminalitet."

Sådan fungerer SQL-injektion

SQL-injektion er en teknik til at indsætte fremmed kode, der udnytter sårbarheder i et websites software.

Herved kan angriberen blive i stand til at foretage enhver SQL-forespørgsel eller -kommando på database-serveren via den kompromitterede webapplikation.

I oktober 2011 plantede angribere eksempelvis skadelig JavaScript på Microsofts ASP.Net-platform.

Dette fik de besøgendes browsere til at indlæse en iframe med et ud af to skadelige og uautoriserede websites, som forsøgte at installere malware på den besøgendes pc ved hjælp af flere forskellige såkaldte drive-by-angreb mod browseren.

Microsoft har i hvert fald siden 2005 selv leveret information til ASP.Net-programmører om, hvordan man beskytter mod SQL-injektion.

Alligevel lykkedes det dette angreb at påvirke cirka 180.000 websider.

Neira Jones argumenterer for, det er nødvendigt, at  datakriminalitet og databeskyttelse rykker højere op på bestyrelsernes dagsordener.

Ét skridt af gangen

For at det skal komme til at ske, er it-sikkerhedscheferne nødt til at vurdere risikoniveauet i deres organisationer og tage det hele ét skridt af gangen.

"Jeg siger altid, hvis nogen siger APT (advanced persistent threat, eller på dansk avanceret vedvarende trussel, såsom spionage eller terrorisme udført eller støttet af en fjendtlig stat eller organisation, red.), at en engel dør i himlen, for det er ikke ATP'er, der er problemet," siger Jones.

"Dermed ikke sagt, at de ikke eksisterer, men lad os lige løse de grundlæggende problemer først. Er man fuldstændigt sikker på, at man ikke er sårbar overfor SQL-injektioner? Og har man kodet sin webapplikation på en sikker måde?"

Generelt tager det seks til otte måneder for en organisation at finde ud af, at dens data er blevet kompromitteret i et angreb, tilføjer Neira Jones.

Ved at kende sin risikoprofil og træffe nogle enkle, proaktive foranstaltninger såsom modellering af trusselsscenarier kan man dog ifølge Jones forhindre op mod 87 procent af alle angreb.

Oversat af Thomas Bøndergaard

Event: Årets CISO 2026

Sikkerhed | Kongens Lyngby

Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

22 oktober 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S