Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Internettet, eller Arpanet som det hed frem til 1983, har nu 56 år på bagen.
Det startede som et eksperiment bygget på tillid, åbenhed og ønsket om at dele information på tværs af institutioner.
Dengang i 1969 var der ingen, der talte om cybersikkerhed. Ingen forestillede sig ransomware, statssponsorerede angreb eller anslået 20 milliarder opkoblede enheder lige fra industrielle sensorer til køleskabe og badevægte.
Det var ikke en fejl.
Sikkerhed var bare ikke en del af præmissen. Internettet var – i al sin enkelhed – ikke designet til verden, som vi kender den i dag.
Fra eksperiment til kritisk infrastruktur
Internettets udvikling bliver ofte fortalt som en lineær succeshistorie. Det er den bare ikke.
Der er snarere tale om en serie af chokbølger.
Efter en årrække, hvor det primært var universiteter og uddannelsesinstitutioner, der anvendte internettet, kom det store brede gennembrud med World Wide Web, hvor det blev tilgængeligt for alle.
Så kom e-handlen og gjorde det kommercielt. Sociale medier gjorde det personligt (og politisk). Smartphonen gjorde det konstant.
Og nu er vi midt i en AI-revolution, hvor internettet ikke længere bare forbinder mennesker, men også systemer, der handler selvstændigt.
Jeg kan sagtens argumentere for flere milepæle – cloud, IoT, platformøkonomien – men pointen forbliver den samme: Internettet har en arkitektur, der grundlæggende ikke har ændret sig siden begyndelsen.
IP-pakkerne, der flytter data rundt, opererer i princippet stadig som i 70’erne. De spørger ikke, hvem du er, eller om du burde være der. De leverer bare. Dengang var det en styrke.
I dag, hvor der transporteres data mellem banker, hospitaler, energisystemer, staten, virksomheder, cloudplatforme mv., er det også en svaghed – for nu er der tale om mission-kritisk infrastruktur, og den er attraktiv og lukrativ for cyberkriminelle.
Midtvejskrisen kradser - vi bygger videre i stedet for at bygge om
Visse mænd på min alder – og her taler jeg selvfølgelig ikke om mig selv – reagerer pludselig på deres egen udvikling eller manglende udvikling.
De hopper på cyklen i lycradragter, køber en motorcykel, begynder at løbe maraton eller skifter garderobe i håbet om, at det gør en forskel til det bedre.
På lidt samme måde ser vi på internettet med vores panikbriller. Her er motorcyklen eller garderoben blot skiftet ud med regulering, lovgivning og teknologi.
Vi udvikler nemlig et væld af nye teknologier, implementerer flere sikkerhedsværktøjer og introducerer ny lovgivning i EU-regi.
Cyber Resilience Act, GDPR, NIS, NIS2, DORA og AI Act er alle udtryk for et legitimt behov for at skabe bedre styring af risici og ansvar i et digitalt samfund, hvor fejl har langt større konsekvenser end tidligere.
Konsekvensen er, at cybersikkerhed i stigende grad bliver noget, som skal dokumenteres, struktureres og efterleves. P
å den ene side er det nødvendigt, men på den anden side kan det også skabe en falsk tryghed.
For selv den mest gennemarbejdede compliance-indsats ændrer ikke ved, at det underliggende system aldrig var designet med sikkerhed som udgangspunkt.
Det svarer lidt til at installere et avanceret alarmsystem i et hus og lade døren stå på vid gab.
Cybersikkerhed er et ledelsesvilkår – ikke et it-problem
Cybersikkerhed kan ikke længere kun forstås som et spørgsmål om at implementere de rigtige værktøjer eller overholde de gældende krav.
I stedet handler det om at navigere i et digitalt økosystem, hvor usikkerheden i et vist omfang er indbygget.
Det kalder på en anden type samtale i ledelsesrummet.
En samtale, der ikke kun bør handle om regulering og kontroller, men om noget mere grundlæggende: hvor man reelt er eksponeret, hvilken kompleksitet man selv bygger ind i forretningen, og hvilke afhængigheder man accepterer.
Det handler ikke om, at vi skal stoppe med at forbedre, regulere eller investere. Men vi skal være ærlige om, hvad de tiltag kan – og hvad de ikke kan. For når internettet befinder sig i en midtvejskrise, er det ikke en udfordring, vi kan købe os ud af med endnu en opgradering.
Det er et vilkår, vi er nødt til at forstå – og agere ud fra.
Derfor er den vigtigste erkendelse måske også den mest ubehagelige: Cybersikkerhed bliver aldrig perfekt. Ikke fordi vi gør for lidt – men fordi fundamentet sætter nogle grænser for, hvad der overhovedet er muligt.
Det betyder også, at fokus bør flyttes.
Fra udelukkende at forsøge at forhindre angreb til i højere grad at kunne modstå dem. Fra at tro, at compliance er lig med sikkerhed, til at arbejde med robusthed, redundans og evnen til hurtigt at komme tilbage i drift.
Og fra at optimere enkeltstående systemer til at forstå og styre det samlede økosystem af leverandører, platforme og netværk.
Internettet skal ikke bygges om fra bunden.
Det kommer ikke til at ske. Men vi kan blive langt bedre til at bygge ansvarligt ovenpå det, vi har.
Det kræver, at vi reducerer unødig kompleksitet, stiller højere krav til de produkter og systemer, vi tager i brug, og accepterer, at sikkerhed i sidste ende handler om prioriteringer – ikke perfektion.
For panikalderen er i virkeligheden ikke problemet.Den er et symptom. Et tegn på, at vi endelig har forstået, hvad internettet er blevet til. Spørgsmålet er bare, om vi også er klar til at styre derefter.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
