Et teoretisk eksempel:
Nu lader vi som om, at jeg giver dig et nyt it-værktøj i hånden. Værktøjet kan øge din produktivitet med 40%. Men ved at bruge værktøjet accepterer du også, at du risikoeksponerer ikke bare din, men hele organisationens it-sikkerhed.
Vil du stadig bruge værktøjet?
Svaret er formentlig – og forhåbentlig – nej.
Når spørgsmålet er relevant at stille, er det, fordi det bl.a. rejser en aktuel debat om brugen af GenAI (ChatGPT, Microsoft Copilot, Claude m.fl.) til virksomhedsbrug.
Løsningerne er fantastiske, og de kan optimere en masse arbejdsgange for mange medarbejdergrupper. Men som sikkerhedsekspert støder jeg ofte på eksempler fra hverdagen, der giver mig nervøse trækninger. For lige så åbenlyst det er, at løsningerne har et stort forretningspotentiale, lige så åbenlyst er det også, at chatløsningerne nemt kan kompromittere sikkerheden, hvis ikke de opererer under rigide sikkerhedspolitikker.
Et par eksempler.
Forestil dig en udvikler, der arbejder med kildekoden til en database. På et tidspunkt skal udvikleren lave en fejlsøgning. For mange udviklere vil det være oplagt at lægge kildekoden ind i en chatløsning og spørge botten om hjælp til at løse problemet. Og det kan da godt være, at chatløsningen kommer med et brugbart svar. Men man skal så også vide, at man som udvikler netop har lagt intellektuel ejendom (kildekode) op i en applikation, som sikkerhedschefen formentlig ikke har stemplet som godkendt til den form for dataudveksling. I hvert fald ikke i dens offentligt tilgængelige form.
Man kan også forestille sig en ikke-godkendt handling den anden vej rundt: Lad os sige, at en marketingmedarbejder bruger en af de populære chatløsninger til en opgave, hvor bottens hjælp består i at generere et Excel-ark til en marketingplan. Medarbejderen prompter sit forehavende, og løsningen udarbejder på kommando et pænt Excel-ark klar til download. Er man fra et sikkerhedssynspunkt nu også helt sikker på, at man har lyst til at hente en eksekverbar fil ned på en corporate-enhed, uden at vide hvad den fil ellers indeholder af spændende ting og sager? Det kan jeg godt svare på. Nej, det er man ikke.
Gør det svært at gøre det forkerte
De to scenarier er tænkte, men ikke urealistiske.
Tendensen i markedet går kun imod udviklingen af flere og flere apps, der gør det hurtigere for medarbejderne at løse deres opgaver. Både apps designet til virksomhedsbrug og apps designet til privatbrug. Uanset hvilken kategori en app tilhører, vil brugerne blive ved med at hente og afprøve løsninger, hvis de kan se en personlig fordel i at gøre det.
Så hvad skal man som it-afdeling stille op?
En mulig tilgang er at hjælpe brugerne ved at gøre det sværere for dem at træffe den forkerte beslutning. Det lyder måske lidt fodformet og pædagogisk, men i praksis kan det efterleves meget effektivt.
Lad os tage eksemplerne med vores udvikler og marketingmedarbejder fra før. Med en sikkerhedsløsning, der er indstillet til at reagere på uautoriseret eksponering af data klassificeret som fortroligt materiale – såsom kildekode – vil løsningen automatisk afslå handlingen og i samme moment informere brugeren om, at vedkommende ikke har tilladelse til at lægge oplysningerne op i en ikke-godkendt applikation såsom en chatløsning. For marketingmedarbejderen vil løsningen på tilsvarende vis afvise ønsket om at downloade en eksekverbar fil (eksempelvis et Excel-ark eller et brugerskabt AI-genereret program), når den kommer fra en applikation, der ikke er godkendt til formålet.
Intelligent sikkerhedsplatform
Den type af sikkerhedsløsninger, jeg refererer til, er Secure Service Edge-løsninger. SSE er en betegnelse for en samlet pakke af cloud-baserede sikkerhedstjenester, der beskytter brugere, enheder og data, uanset hvor de befinder sig. SSE-løsninger fungerer ved, at de lægger et sikkerhedslag ind mellem brugeren og de ressourcer, vedkommende forsøger at tilgå via internettet. Løsningen gennemtrumfer Zero Trust-principperne om, at alle brugere og enheder altid skal verificeres, kun får adgang til det nødvendige, og at al aktivitet løbende overvåges for afvigelser.
SSE-sikkerhedslaget blokerer skadeligt indhold og uønskede websteder og kan eksempelvis også dæmme op for phishing-forsøg i e-mails. Så selvom en bruger ikke kan stå for spændingen i at klikke på et link, bliver handlingen automatisk blokeret, før skaden sker. Et andet eksempel kan være brugen af fildelingstjenester. Hvis en medarbejder forsøger at gemme noget i en ikke-godkendt fildelingstjeneste, vil handlingen også automatisk blive blokeret – det er et ret effektivt værn mod dataeksfiltrering.
Pointen er, at virksomheder og især sikkerhedsansvarlige skal have bedre muligheder for at implementere sikkerhedspolitikker, der kan gå på tværs af de alle grænseflader, hvor brugere og enheder møder internettrusler. Den opgave er svær at komme i mål med, medmindre man får hjælp af en intelligent sikkerhedsplatform, der kan håndhæve sikkerhedspolitikkerne i realtid, og hejse at advarselsflag, når der er noget, der kræver menneskelig indgriben.
(CTA) Download vores whitepaper og bliv klogere på, hvordan du får nem, sikker og cloudbaseret adgang til jeres ressourcer:
https://conscia.com/dk/whitepaper/nem-sikker-og-cloudbaseret-adgang-til-ressourcerne/?utm_source=computerworld&utm_medium=paid_media_advertorial&utm_campaign=dk-campaign-sse-2025