Nu må krypteringens storhedstid komme

Klumme: Eksperter som Bruce Schneier mener, at efterretningsvæsenernes overvågning endelig kan få brugerne til at kryptere deres data - men det bliver ikke let.

Artikel top billede

Kryptering er vejen frem.

Det var den konklusion, jeg tog med mig hjem efter en spændende dag i selskab med to internationale sikkerheds-ikoner i sidste måned.

Krypteringseksperten Bruce Schneier og F-Secures Mikko Hyppönen var inviteret til Danmark i forbindelse med et arrangement i København.

Kryptering er uomgængeligt

Budskabet fra de to var klart: Efter afsløringen af NSA's og andre sikkerhedstjenesters omfattende dataopsamling, er kryptering uomgængelig.

Som gammel krypteringsmand glædede det mig.

Før jeg kom til DKCERT, tilbragte jeg nemlig adskillige år i krypteringsbranchen.

Dengang som nu tror jeg på, at kryptering er en fantastisk effektiv teknologi til at holde noget hemmeligt.

Alligevel fik jeg under seancen med de to koryfæer en tanke: Er vi egentlig kommet videre? Står vi ikke samme sted, hvor vi stod for 20 år siden?

Jeg var fristet til at spørge Bruce Schneier om det, da jeg efter foredraget fik lejlighed til at hilse på ham.

Men jeg endte med at gå derfra uden at spørge - måske fordi jeg allerede kendte svaret på spørgsmålet.

Utopien der udeblev

Han har nemlig selv givet svaret i sine bøger.

I sin mest kendte bog, "Applied Cryptography" fra 1994, beskriver han en matematisk utopi, hvor kryptering løser alle problemer med fortrolighed og sikkerhed.

Men i indledningen til "Secrets & Lies" fra år 2000 skriver han, at denne bog til dels er skrevet for at rette en fejl i forgængeren: Kryptering er ikke løsningen på alle sikkerhedsproblemer.

Årsagen er, at kryptering ikke eksisterer i et vakuum. Det er en teknologi, der indgår som et delelement, når vi forsøger at sikre vores kommunikation og data.

Da jeg selv forsøgte at udbrede krypteringsløsninger, var det frustrerende at se, hvor mange problemer de kunne have løst - men hvor kryptering ikke blev anvendt.

Mange tilfælde af mistede fortrolige data kunne være undgået, hvis dataene havde været beskyttet med kryptering.

Ja, Danmark har fået først den digitale signatur og siden NemID - nationalt udbredte løsninger baseret på kryptering. Men derudover: hvor meget indgår kryptering så i virksomhedernes daglige it-drift?

Ud over den obligatoriske SSL-sikring af websider er det næppe megen kommunikation, der er krypteret. Hvornår har du sidst modtaget en krypteret e-mail - eller sendt en?

Her er de store udfordringer

Kryptering i et samspil

Måske kan afsløringen af den omfattende overvågning være med til at sætte gang i brugen af kryptering.

Det gav talerne udtryk for.

Jeg tror, bevidstheden om overvågning kan være et skub i den rigtige retning.

Men vi må stadig erkende sandheden i Schneiers ord om, at kryptering ikke eksisterer i et vakuum.

Sikkerhed opstår i et samspil mellem teknologi, processer og mennesker.

Kryptering udgør kun teknologi-siden. Og den er den nemmeste at få på plads i forhold til processerne og menneskene.

For eksempel er det teknisk set nemt nok at indføre kryptering af data, virksomheden lagrer.

Men hvilke data skal krypteres? Hvem skal have adgang til dem? Hvordan gør man? Hvad med data på smartphones og laptops? Og hvordan håndterer man de nøgler, der er afgørende for kodning og afkodning?

Ledelsen skal fastlægge procedurerne. Medarbejderne skal undervises.

Fik du min krypterede mail?

Endnu større bliver udfordringen, når vi skal beskytte vores datakommunikation.

Her skal vi blive enige med vores samtalepartnere om, hvordan vi krypterer. I princippet er kryptering af e-mails en simpel opgave.

Men i praksis kender jeg meget få uden for sikkerhedsverdenen, der gør det.

Det er simpelthen for besværligt at skulle finde frem til modtagerens offentlige nøgle, før man kan sende en mail. Og bruger de nu PGP eller S/MIME?

Standarder hjælper

Derfor er vi ikke kommet så meget længere de sidste 20 år.

Vi har teknologien på plads, men processer og mennesker halter bagud.

Hvad kan vi så gøre ved det?

Der findes flere udmærkede værktøjer til at få styr på processerne. Selv anbefaler jeg ISO 27001. Det er en international standard for et system til styring af sikkerheden.

Læg mærke til det: Det er ikke en sikkerhedsstandard, men en standard for, hvordan man styrer sikkerhedsarbejdet.

Dermed handler den ikke om, hvorvidt man skal bruge symmetrisk eller asymmetrisk kryptering, men om processerne og de mennesker, der skal udføre dem.

Måske var det ISO 27001, jeg skulle have spurgt Bruce Schneier om, da jeg havde lejligheden. Mener han, at den slags standarder kan få os til at bruge kryptering mere effektivt i sikkerhedsprocesserne?

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job