Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
It-sikkerhed fylder mere og mere i danske organisationer og med god grund.
Truslen fra hackere er kun voksende som følge af geopolitisk usikkerhed og nye teknologier, og mange har allerede været udsat for mere eller mindre alvorlige cyberangreb.
På det bagtæppe, sammenholdt med egen erfaring som sikkerhedschef i en række organisationer, er det min forventning og anbefaling, at disse fem store trends vil dominere virksomheders arbejde med cybersikkerhed i 2025.
Voksende trusler kræver særlig treenighed
Siden Ruslands invasion af Ukraine og Danmarks følgende engagement er antallet af cyberangreb mod danske organisationer vokset markant.
Destruktive cyberangreb, der kan skabe alvorlige og omfattende konsekvenser for samfundsvigtige funktioner, er en reel mulighed, vurderer Forsvarets Efterretningstjeneste i den helt nye Udsyn 2024-rapport.
Det aktuelle alvorlige trusselsbillede kræver i endnu højere grad, at man vurderer sine risici i forhold til treenigheden bestående af fortrolighed, integritet og tilgængelighed, også kaldet CIA ['confidentiality, integrity, availability,' red].
Dels skal man beskytte sin data ved blandt andet at kryptere og adgangsbegrænse.
Dels skal man sørge for, at ens egne data ikke er blevet manipuleret udefra. Og dels skal man sikre adgangen til ens egne data og tjenester.
Det sidste, altså tilgængeligheden, fylder i stigende grad set i lyset af blandt andet de nylige brud på søkabler.
Man er nødt til grundigt at overveje redundansen i for eksempel sit netværk og sin strømforsyning for at mindske risikoen for at blive lammet som følge af et nedbrud – hvad end det sker som følge af ondsindet angreb eller menneskelig fejl.
Kryptér for fremtiden
Kvantecomputere er langt fra længere science fiction.
Senest har Google præsenteret chippen Willow, som trods en størrelse som en After Eight-chokolade ifølge Google kan løse en opgave på fem minutter, som det ellers ville tage de hurtigste supercomputere 10 septilioner år (eller 10 med 24 nuller efter) at gennemføre.
Selv om kvanterevolutionen kun er i sin begyndelse, er man nødt til at tænke langsigtet i den måde, man håndterer sine kritiske data på.
Med abstrakt hurtig kvanteteknologi i horisonten er hackere begyndt at operere med en ’steal now, decrypt later’-strategi.
De lægger så at sige stjålet data i skuffen til den dag, de har værktøjerne til at åbne den. Måske går der to år, måske går der 10 år.
Men som organisation er man nødt til at forholde sig til, om den data, der er sikkert krypteret i dag, også er det i morgen.
Selv om kvantekryptering er i sin vorden, findes der softwarebaserede ’kvantesikre’ algoritmer (PQC), og der laves pilottests med hardwarebaseret kvantekryptering af infrastruktur.
Ny regulering kræver styr på butikken
I løbet af 2025 bliver de to nye EU-direktiver, NIS 2 og DORA, implementeret i medlemslandene.
Det betyder, at en lang række virksomheder og organisationer, der anses for at være kritiske for samfundet (NIS 2), skal leve op til nogle fastsatte minimumskrav til cybersikkerhed.
Det samme skal virksomheder i den finansielle sektor (DORA).
Men man kan ikke bare læne sig tilbage i stolen, hvis man ikke er direkte omfattet af den nye regulering.
For underleverandører skal også kunne dokumentere, at de lever op til de nye regler. Med andre ord bliver 2025 året, hvor man både skal have styr på sin butik og kunne vise, at man har det.
Ny teknologi til værn mod den lumske trussel: Medarbejderne
Selv de mest avancerede og omfattende it-sikkerhedssetup må hyppigt give op for den måske største og mest lumske trussel af dem alle, nemlig organisationens egne medarbejdere.
De omfattende og i stigende grad avancerede forsøg på at snyde medarbejdere, fx med phishing, gør, at det indimellem vil gå galt.
Muligvis er fordøren til virksomheden topsikret efter alle kunstens regler, men det nytter ikke meget, hvis hackere utilsigtet vinkes ind ad bagdøren.
Kunsten er at opdage det i tide og sikre, at skaden begrænses til et minimum.
Vi har længe talt om ’zero trust’, hvor alle brugere og it-systemer skal ’bevise’ deres identitet og berettigelse, før de får adgang til et givent område.
Vi kommer til at se, at adgangskontrolteknologi i endnu højere grad integreres i selve løsningerne og i hardwaren, frem for at den enkelte organisation selv skal opbygge et setup. 2025 bliver året, hvor SASE (Secure Access Service Edge) tager fart.
Det er en netværksarkitektur, der kombinerer netværk og sikkerhedsfunktioner i én samlet løsning.
Lad være med at putte med viden
I sommer skete verdens hidtil største it-nedbrud til dato som følge af en fejl i en opdatering hos it-sikkerhedsfirmaet Crowdstrike.
Nedbruddet spredte sig som ringe i vandet, ramte 8,5 millioner enheder og førte blandt andet til mere end 50.000 aflyste eller forsinkede flyafgange og omfattende sagsanlæg.
Det var endnu en påmindelse om, hvor forbundet vores digitaliserede samfund er.
Selv et mindre nedbrud af kortere varighed kan få meget store konsekvenser – også langt ud i forsyningskæden. Derfor skal vi blive langt bedre til at dele viden med hinanden inden for sektorer og på tværs af sektorer.
Der kan naturligvis godt være et konkurrenceaspekt i at holde på de præcise metoder til at begrænse ens organisations sikkerhedsrisici.
Men det er helt misforstået, hvis for eksempel flyselskaber, der rammes af det samme nedbrud, ikke deler med hinanden, hvordan de konfigurerer en løsning, eller hvis man ikke vil dele med sine konkurrenter, at man er midt i en storm af DDoS-angreb fra russiske IP-adresser, som lige om lidt også rammer dem.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.