Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
2022 er slut, og sikke et år. Krig, energikriser, recession, globale fødevaremangler og en post-covid-tilværelse har gjort 2022 til et år, vi nok næppe glemmer foreløbig.
Men også inden for cybersikkerhed har 2022 været et særligt år. Det har været et år, hvor angreb både steg i intensitet og omfang, og hvor størrelsen på ransomware-løsesum eksploderede, og de it-kriminelles kreativitet nåede nye højder.
Nogle af de store angreb i vores region er naturligvis 7-eleven i Danmark, Coop i Sverige eller de norske myndigheders hjemmesider, som angiveligt blev langt ned af russiske it-kriminelle. Sidstnævnte er en del af den voldsomme intensivering af statsstøttede angreb.
Men hvad med 2023? Mit kvalificerede gæt er, at det bliver et år, som vil byde på store forandringer for CIO’er og CISO’er – og alle os almindelige mennesker, som blot er civilister i en cyberkrig mellem it-kriminelle, hacktivister, statsstøttede hackere og på den anden side virksomheder og stater.
AI vil gøre hackeres angreb sværere at spotte
AI-programmer er gået viralt i de seneste måneder, og her tænker jeg eksempelvis på DALL-I og MidJourney, AI-billedbehandlingsprogrammer, hvor du med stikord kan skabe kunstværker, som vinder kunstkonkurrencer.
Men jeg tænker endnu mere på programmer som det nye ChatGPT, et program der med en enkelt linje kan skabe troværdigt tekstmateriale på godt og vel alle sprog, som it-kriminelle unægtelig vil komme til at bruge til at skabe overbevisende tekst til at ramme deres ofte.
Eller hvad med den voldsomme eksplosion af avancerede AI-værktøj til at lave face swapping – deep fakes, hvor kunstig intelligens påklistrer en persons ansigt på en andens krop enten i foto eller video – og det bliver stadig mere og mere overbevisende. Og det er endda muligt at gøre med stemmer.
Så de der i dag yderst utroværdige reklamer for Mads Mikkelsen, som har ”investeret i Bitcoins i en Belrngske-artikel (bevidst stavet forkert)? Jeg gruer for overbevisende videoer med forfalskede kendte skuespillere, som promoverer scamsites eller lignende – og jeg frygter, at det allerede vil ske i 2023.
Fysiske og virtuelle angreb kombineres
I 2022 oplevede DSB et hackerangreb. Heldigvis var det relativt overkommeligt, og de danske statsbaner kørte relativt hurtigt på skinner igen.
I Tyskland oplevede Deutche Bahn også et angreb, men her var det et fysisk angreb på infrastrukturen, hvor kabler blev saboteret i Nordtyskland.
Og lad os endelig ikke glemme sprængningen af Nord Stream 1 og 2 i Østersøen.
Fælles for dem er, at det er angreb mod kritisk infrastruktur. Også her vil vi komme til at se flere angreb, men i fremtiden vil vi formodentligt komme til at se en stigende mængde angreb, der både er fysiske og virtuelle.
Den samme tendens vil vi også se en stigning af mod den private sektor – virksomheder skal forvente, at de i stigende grad vi blive udsat for både fysisk sabotage og virtuelle angreb på samme tid, eksempelvis via koordinerede angreb mod virksomheders edge/IoT-enheder, som alt for ofte efter kompromittering giver direkte adgang til virksomhedens netværk.
NIS2 stiller nye krav
NIS2-direktivet fra EU blev vedtaget tilbage i november, og det betyder, at direktivet træder i kraft senest 21 måneder senere, altså i efteråret 2024.
Det betyder, at virksomheder – store som små – skal bruge 2023 til at efterleve de nye krav. Formålet med NIS2 er at styrke og ensarte cybersikkerheden overfor cybertrusler på tværs af EU – både i virksomheder og i det offentlige, og imens vi er godt med i Danmark – vi er et af de bedst beskyttede og mest digitaliserede lande i EU – så vil der være områder, hvor alle virksomheder skal rette ind.
Det gælder eksempelvis garantien af sikker datatrafik i forhold til mails, og der vil stilles særlige krav til eksempelvis energi- og transportsektoren, men også fødevarevirksomheder, herunder detailbranchen, vil blive ramt.
NIS2 vil blandt andet også stille krav til basal ”cybersikkerheds-hygiejne,” altså cyber awareness training af ansatte samt udvidet dokumentation og logning, og lever du ikke op til NIS2, når det endegyldigt træder i kraft, ja så kan det koste dig en bøde på 2 procent af din omsætning – og den vil oftest kombineres med en GDPR-bøde på det samme.
Så vil du undgå at miste op imod fire procent af din årlige omsætning – så er det på med arbejdshandskerne i 2023.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
