Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hvis du har deltaget i RSA-konferencen eller andre sikkerhedskonferencer i det forløbne år, har du sikkert bemærket det samme som mig: Kunstig intelligens (AI) er overalt.
Agentbaseret AI. AI til trusselsdetektering. AI i firewalls. AI til identitetsstyring. AI-genererede demoer. AI i alt.
Energien og begejstringen omkring AI er fortsat mærkbar, og vi ser helt klart reel innovation, effektivitetsgevinster og stærk vækst i branchen – men der er også helt unikke, reelle udfordringer, som AI bringer med sig til cybersikkerhedsverdenen.
RSA-konferencen er en af verdens største og mest indflydelsesrige begivenheder inden for cybersikkerhed.
Den afholdes hvert år i San Francisco og tiltrækker titusindvis af sikkerhedseksperter, ledere, forskere og teknologer.
Da jeg gik mellem stande, sessioner og møder, var der én ting, der gik igen i samtalerne, som er vigtigt at overveje:
I en verden, der i stigende grad drives af AI, skal vi stadig bevise, at vi er mennesker.
Hvorfor menneskelig autentificering stadig er vigtig
AI er ligeglad med, hvem du er, og kender ikke dine intentioner.
Det gør det sværere end nogensinde at skelne mellem en legitim bruger og en ondsindet aktør, der bruger stjålne loginoplysninger.
Det er autentificeringens opgave og, endnu vigtigere, den menneskelige faktor bag autentificeringen.
I cybersikkerhedsbranchen taler vi meget om multifaktorautentificering (MFA), en metode, der kræver, at brugerne angiver to eller flere autentificeringsoplysninger, før de får adgang.
Men ældre metoder såsom sms-koder eller app-baserede engangskoder (OTP'er) bliver i stigende grad sårbare over for aflytning og phishing.
Deepfakes, hyperpersonlige phishing-e-mails, falske login-portaler – angribere kan nu efterligne menneskelig adfærd med skræmmende præcision.
Ifølge IBM's 2024 X-Force Threat Intelligence Index er phishing fortsat det mest almindelige indgangssted for angribere og tegner sig for 41 procent af alle hændelser, der involverer initial adgang. AI øger både omfanget og sofistikeringen af disse angreb.
En forkert stavet adgangskode. Et klik på et link. Det er alt, hvad der skal til for at selv det mest robuste sikkerhedssystem kan falde.
Passkeys: Skabt til AI-æraen
Derfor er vi nødt til at genoverveje, hvad tillid og verifikation betyder i en AI-drevet verden. Det handler ikke længere kun om at bygge smartere systemer, men om at verificere rigtige mennesker i realtid med noget, der ikke kan forfalskes, phishes eller spoofes.
Det er her, passkeys kommer ind i billedet.
En passkey er en phishing-resistent godkendelsesmetode, der erstatter adgangskoder med et kryptografisk nøglepar.
Den private nøgle forbliver på brugerens enhed, mens den offentlige nøgle gemmes af tjenesten. Autentificering bekræftes via biometri, en PIN-kode eller en hardware-sikkerhedsnøgle, metoder der binder brugeren til enheden på en måde, som angribere ikke kan replikere eksternt.
Disse typer kryptografisk bundne, besiddelsesbaserede faktorer er præcis, hvad EU's NIS2-direktiv peger på, når det skærper kravene til autentificering.
NIS2, der trådte i kraft i januar 2023, kræver forbedret risikostyring, rapportering af hændelser og sikkerhed i forsyningskæden for enheder, der anses for kritiske, herunder implementering af avancerede godkendelsesmekanismer. Det kræver udtrykkeligt brug af MFA og udfasning af metoder, der let kan phishes.
I Danmark har Digitaliseringsstyrelsen og Center for Cyber Security (CFCS) udstedt tekniske implementeringsretningslinjer som led i Danmarks gennemførelse af NIS2 i national lovgivning.
Disse retningslinjer tilskynder til FIDO2/WebAuthn-baseret autentificering for adgang til følsomme systemer, især inden for energi-, sundheds-, finans- og digital infrastruktur.
Kort sagt: Lovgivningen bevæger sig i retning af det, som passkeys allerede tilbyder, nemlig modstandsdygtighed over for phishing, stærk enhedsbinding og minimal afhængighed af delte hemmeligheder.
Et menneskeligt touch i en maskinverden
I en tid, hvor bots kan generere ubegrænset tekst, simulere videointerviews eller efterligne tastetryk, er det mere end en formalitet at trykke på en sikkerhedsnøgle. Det er et signal om intention. Om tilstedeværelse. Om menneskelighed.
Dette er ikke en ny idé. Den græske filosof Aristoteles talte om phronesis, praktisk visdom, der kun kommer gennem menneskelig erfaring og dømmekraft.
I dagens sammenhæng oversættes denne visdom til, hvordan vi bygger systemer, der ikke kun fungerer godt, men også afspejler reelle, menneskecentrerede behov.
Ingen AI, uanset hvor avanceret den er, kan replicere den enkle, fysiske handling, hvor et menneske bekræfter sin tilstedeværelse ved at trykke på en knap.
Den interaktion, hvor lille den end måtte synes, er et af de stærkeste signaler om tillid, vi kan indbygge i vores digitale infrastruktur.
Hvor går vi hen herfra?
I takt med at branchen fortsætter med at udforske AI's potentiale, dens evne til at automatisere, accelerere og skalere, må vi ikke miste konsekvenserne af syne.
Verificering af folks identitet er en af vores tids mest presserende udfordringer. Og det er ikke noget, vi kan outsource til algoritmer.
Fremtiden for sikkerhed ligger ikke i at erstatte mennesker, men i at give dem mere magt. Vi har brug for systemer, der både er smarte og sikre, systemer, der kan skelne mellem en bot og en person.
Og den genkendelse, den bekræftelse, starter ved login. For i sidste ende er det stærkeste sikkerhedssignal ikke kunstigt. Det er ægte. Det er fysisk. Og det er menneskeligt.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.