Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
AI er på rekordtid blevet et uundgåeligt emne i sikkerhedsdebatten. Og det er med god grund, for den nye teknologi gør det lettere for hackere at skrive overbevisende phishingmails, automatisere rekognoscering og skalere hackerangreb på en måde, vi ikke tidligere har set i samme omfang og tempo.
Alligevel kan man hurtigt blive suget ind i AI-debatten og konkludere, at AI er den største sikkerhedstrussel mod danske virksomheder.
Det er i min optik en farlig forenkling.
Den største risiko er ikke nødvendigvis AI i sig selv, men den uforsigtige måde, mange anvender teknologien.
Når virksomheder lader AI skrive en kode uden ordentlig kvalitetssikring eller giver nye værktøjer adgang til data og systemer, de ikke burde kunne nå, genopfinder man i praksis gamle sikkerhedsproblemer i en ny indpakning.
Men selv om AI er blevet en forstærker af trusselsbilledet, står AI stadig kun bag en lille del af de cyberangreb, vi ser.
Den reelle risiko udspringer af tre lavpraktiske og velkendte svagheder: forsyningskædeangreb, den ukendte perimeter, tab og genbrug af legitimationsoplysninger af hackere.
Svaghederne er hverken futuristiske eller intelligente, men de er yderst effektive adgangsveje for hackere. Alt for mange virksomheder nedprioriterer stadig at få styr på det basale, og derfor lever de største sikkerhedstrusler videre i bedste velgående – også i 2026.
Tillid bliver ofte adgangsbilletten
Forsyningskædeangreb er en af de mest oplagte veje ind i virksomheden.
Det skyldes ikke kun, at hackere er blevet dygtigere, men også at virksomheder i dag er dybt afhængige af eksterne leverandører, platforme, integrationer og servicepartnere.
Det betyder, at organisationen ikke længere kun er afhængig af sin egen sikkerhed, men også af sikkerheden hos eksterne partnere og systemer.
Hvis en leverandør bliver kompromitteret, kan det hurtigt få konsekvenser for alle led i forsyningskæden.
Hackeren bruger sandsynligvis ikke hoveddøren, men en betroet forbindelse, som allerede er en del af driften. Og det er netop derfor, at forsyningskædeangreb er alvorlige: Tillid bliver udnyttet som adgangsbillet.
Tredjepartsrisiko kan derfor ikke længere reduceres til et standardskema. Det er derimod blevet et grundvilkår for, om virksomheden er rustet til det aktuelle trusselsniveau.
Den blinde vinkel
En anden overset sikkerhedstrussel er den ukendte perimeter.
I praksis er det virksomhedens digitale blinde vinkel, hvor der hverken er overblik over eller kontrol med systemer, enheder og adgange, der stadig er online.
Alt for mange organisationer lever med forældede systemer, testmiljøer, services og enheder, som stadig er koblet til internettet , men som ingen længere forholder sig til.
De eksisterer uden opmærksomhed, ansvar eller ejerskab. Og derfor bliver den ukendte perimeter en attraktiv indgang for cyberangreb.
Den største trussel er sjældent det, virksomheden allerede har vurderet som sårbart, men derimod det, der er havnet i glemmekassen, og som ingen længere tager stilling til.
En banal, men sejlivet sikkerhedsrisiko
Endelig er der en gammel klassiker: genbrug af legitimationsoplysninger.
Trods mange års opmærksomhed på risikoen ved at genbruge adgangskoder på tværs af websites og tjenester er det stadig en af de største sikkerhedstrusler i 2026 .
Resultatet er enkelt. Hvis ét website bliver kompromitteret, er legitimationsoplysningerne også kompromitteret. Og hvis de samme oplysninger er brugt andre steder, er indgangen også åben dér.
Desværre oplever jeg stadig mange virksomheder, der ikke implementerer multifaktorgodkendelse fra start, men behandler det som noget, man senere kan tilføje.
Det bør være et krav som minimum at tilføje multifaktorgodkendelse fra start.
Dog bør phishing-resistente løsninger være standard i europæiske virksomheder med tanke på, at legitimationsmisbrug stadig er en af de letteste veje ind for hackere, og fordi hackerne er velbevandrede i at omgå grundlæggende multifaktorgodkendelse.
Forældede sikkerhedsmyter florerer stadig
Ud over de tre største sikkerhedssvagheder holder flere stadig fast i forældede sikkerhedsråd, som teknologien for længst har overhalet.
En typisk myte er, at man bør undgå at bruge offentligt wi-fi. Det var et vigtigt råd for nogle år siden, men billedet er i dag langt mere nuanceret.
Moderne websites og tjenester bruger i vid udstrækning kryptering og andre mekanismer, som gør det markant sværere at opsnappe legitimationsoplysninger eller kapre online møder og sessions via netværket.
Det betyder ikke, at risikoen er væk. Men rådet om absolut at undgå offentligt wi-fi er ofte ikke længere relevant.
Problemet er sjældent netværket i sig selv, men derimod den måde, brugeren anvender det på – ved at genbruge adgangskoder, logge ind uden en stærk multifaktor eller arbejde på en enhed, der ikke er opdateret.
Det understreger, at når vi fokuserer på de forkerte trusler, risikerer vi at prioritere forkert og overse de reelle og grundlæggende svagheder.
Få først styr på fundamentet
Der vil altid være en sikkerhedstrussel, der stjæler opmærksomheden.
Lige nu er den opfattede trussel AI. De virksomheder, der vil være bedst rustet mod cyberangreb i 2026, bliver næppe dem, der fokuserer benhårdt på AI.
Det bliver tværtimod de virksomheder, der først får styr på fundamentet.
Kort sagt: Kend din perimeter, tag leverandørkæden alvorligt, undgå genbrug af legitimationsoplysninger, og gør stærk multifaktor til standardprocedure fra start.
For sikkerhed styrkes ikke gennem hypede trends og overskrifter, men gennem prioritering af de lavpraktiske risici.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
