Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mens antallet af cyberangreb mod danske virksomheder stiger, ser vi en foruroligende udvikling: Trusselsbilledet flytter sig hurtigere, end de fleste virksomheder kan følge med.
Professionelle ransomware-grupper og statsaktører udnytter i dag nye sårbarheder inden for blot få døgn – nogle gange hurtigere.
Samtidig har udviklingen inden for AI ændret spillereglerne fundamentalt. Lanceringen af Anthropics Mythos er et tydeligt eksempel.
Når AI autonomt kan identificere gamle sårbarheder i systemer, der i årevis har været betragtet som "skudsikre", er myten om den sikre infrastruktur død.
Vi er på vej ind i en tid, hvor maskiner finder fejlene hurtigere, end mennesker kan opdage dem – og hurtigere end virksomhederne kan nå at reagere.
Alligevel fokuserer mange virksomheder stadig mere på compliance end på reel sikkerhed.
Resultatet er, at vi sætter flueben i regneark, mens de reelle angrebsflader vokser i baggrunden. Vi dokumenterer os til tryghed, mens bagdøren står på vid gab.
Problemet er bare, at hackere er ligeglade med compliance. I en verden, hvor it-kriminelle kan infiltrere din forretning uden overhovedet at røre et keyboard, skal virksomheder sætte noget andet på menuen.
Det er på tide at spise pasta og agere flyttemand.
Når jeg taler om pasta, henviser jeg til frameworket PASTA (Process for Attack Simulation and Threat Analysis).
Det er en open source-metode til at forstå ens trusler, der adskiller sig ved at have et skarpt fokus på virksomhedens forretningsmål.
Da jeg for nylig holdt et oplæg til en konference, spurgte jeg publikum: “Hvor mange arbejder med threat modelling til dagligt?”. Fem personer rakte armen op.
Herefter spurgte jeg: “Hvor mange vil gerne lave mere threat modelling, hvis de rent faktisk fik tiden og værktøjet til det?”. Bum, 25 arme røg i vejret.
Det peger på, at det ikke er teknologien, men tiden der truer os.
Tag eksempler som store offentlige platforme eller kritiske erhvervssystemer; er de nogensinde blevet analyseret ud fra et reelt threat modeling-perspektiv?
Erfaringerne fra Log4j-sårbarheden lærte os, at vi er nødt til at kende hver eneste datakilde og hvert eneste bibliotek, vi læner os op ad. Vi kan ikke beskytte det, vi ikke kender.
Vi skal turde kigge indad og spørge: Hvem stoler vi egentlig på? Og vi skal udnytte de muligheder, der er til rådighed – herunder agenter.
Vi skal bruge AI-drevne agenter til at afdække truslerne, før de bliver til virkelighed. Og vi skal finde tiden og få det gjort.
Pak det hele væk i kasser
Hvis threat modelling er metoden, så er "flyttekasserne" en praktisk eksekvering.
Mit råd til danske virksomheder er klart: Pak jeres data og systemer væk i kasser. Lige nu.
Ingen skal have adgang til kritiske informationer som standard.
Hvorfor nu?
Jo, med den hastige udvikling vi ser inden for cyberkriminalitet, så ved vi, at skaden vil ske. Bare ikke hvordan eller hvornår. Men man kan godt afskærme ens kritiske data.
Tre principper til den nye virkelighed
For at navigere i denne nye virkelighed bør enhver it-leder integrere disse tre principper i deres strategi:
1) Gør AI til din medsammensvorne: De it-kriminelle bruger allerede teknologien til at finde revner i jeres forsvar. Du skal bruge AI defensivt til at lukke hullerne, før de bliver opdaget manuelt.
2) Find tid og map dine trusler: Brug threat modelling til at forstå dit it-landskab. Hvis du ikke kender dine angrebsflader, kan du ikke forsvare dem. Og du skal gøre det nu
3) Minimum adgang til data: Antag at alt bliver angrebet – og sørg derfor at pakke alt væk, der ikke behøver at være forbundet.
Det er ikke et spørgsmål om man bliver hacket, men hvornår man bliver hacket. Og i en virkelighed, hvor angriberne arbejder hurtigere, end de fleste virksomheder kan reagere, er trussels-modellering og flyttekasser ikke en gimmick.
Det er et billede på den disciplin, cybersikkerhed kræver nu: Forstå angrebet og begræns adgangen, før skaden er sket.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
