Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I starten af april annoncerede Anthropic AI-værktøjet Claude Mythos, der på et øjeblik kan finde sårbarheder i ethvert system.
Anthropic indså hurtigt, at de stod med et supervåben mellem hænderne og valgte fornuftigt ikke at gøre det offentligt tilgængeligt. Mythos identificerede hidtil ukendte sårbarheder i mere end 20 år gamle systemer og legacy-kode, og den gjorde det på et splitsekund.
Et fantastisk værktøj i hænderne på aktører med gode intentioner. Et veritabelt mareridt i hænderne på skurke og slyngler.
Claude Mythos blev hurtigt smidt i en sikker boks, men værktøjet indvarsler en helt ny virkelighed for informationssikkerhed.
På dark web ligger lignende værktøjer allerede frit tilgængelige. Inden for det næste års tid vil vi se det folde sig ud i fuldt flor.
Jeg kan dårligt beskrive, hvor stort et problem, det er.
Som en kædesav på en pakke smør
Vi har vænnet os til at avancerede angreb kræver avancerede hackere. At det tager tid at finde angrebspunkterne og bryde et system ned.
I den nye virkelighed kan en amatørhacker i princippet finde svaghederne i et system i samme sekund, som det rammer nettet, og få sekunder senere være brudt ind.
Hvor det tidligere kunne tage måneder og nogle gange år at bryde et system ned, bliver det nu instant – som at bruge en kædesav på en pakke smør.
Det betyder, at vi bliver nødt til at arbejde med sikkerhed på en helt ny måde.
De traditionelle cykler for patchhåndtering, der er baseret på månedlige eller kvartalsvise tidsplaner, er ikke udviklet til en verden, hvor tidsrammen måles i timer.
Virksomheder, der stadig følger cyklusbaserede patchprogrammer, er allerede bagud. Ligesom hackerne må vi arbejde med automatiserede systemer, der i realtid opdager huller og får reageret på dem.
Og vi skal have styr på vores beredskaber og back-ups, for sandsynligheden for succesfulde digitale indbrud stiger gevaldigt.
Ulven er her
Som ansvarlige for informationssikkerhed står vi med en vanskelig opgave.
Det er vores lod at råbe vagt i gevær i en situation, hvor mange virksomheder har travlt med at implementeret en masse kunstig intelligens så hurtigt som muligt.
Og nu skal vi samtidig have ledelsernes øjne op for den måske største trussel mod informationssikkerheden nogensinde.
Der er stor risiko for, at vi kommer til at stå i en "Peter og ulven situation," mens ulven allerede står midt i fåreflokken.
Truslen er så uvirkelig, at mange sikkert vil være tilbøjelige til ikke at tro på den.
Og hvordan får vi i sådan en situation ledelsens velsignelse til at øge kadencen?
Jeg vil opfordre alle sikkerhedsansvarlige til at bruge NIS2 til at få sat skub i tingene. Mange virksomheder er først nu begyndt at kigge på det, men det er faktisk et kærkomment spark bagi fra myndighederne.
Brug det momentum til at få modnet processerne. Det er nemmere at diskutere med ledelsen og dem, der skal udføre det, når det er indskrevet i loven, end at skulle forholde sig til uvirkelig trussel.
Vi kan ikke længere håndtere sikkerhed som compliance. Det skal være rigtig sikkerhed. Der findes ikke nogen let vej udenom.
Og nu må I have mig undskyldt. Jeg skal i supermarkedet og preppe…
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
