Det farlige relative perspektiv på cybersikkerhed

Den 6. marts 2025 af Niclas Hedam, Security Advisor, itm8

I denne artikel reflekterer vores Security Advisor, Niclas Hedam, over det farlige relative perspektiv på cybersikkerhed. Og hvor det stiller os som branche, hvis vi ikke stræber efter det bedste, vi kan opnå, men tager os til takke i et relativt perspektiv: blot at være bedre end de andre. 

Den akademiske verden vs. virkeligheden

Jeg har tilbragt mange år i den akademiske verden — først en bachelor, derefter en kandidat og før jeg vidste af det, var jeg begravet i forskning og arbejdede mig igennem en ph.d. i datalogi med specialisering i datasystemer. I den akademiske verden handlede alt om absolutte mål. Ydeevne og effektivitet kunne altid forbedres, systemer kunne altid gøres hurtigere og succes blev målt i gennembrud. Hvis jeg pressede grænserne for, hvad der blev anset som muligt, stoppede jeg ikke — jeg fortsatte. Der var ingen målstreg, der var hele tiden fremgang. Jeg kalder dette et absolut perspektiv, fordi målene er faste og ikke afhænger af tidligere resultater.  

Så skiftede jeg til cybersikkerhed, og pludselig var arbejdsmetoderne noget helt andet. Sikkerhed handlede ikke om at presse grænserne for, hvad der var muligt. Det handlede ikke om at være bedst — det handlede om at være god nok. Målet var ikke at bygge det mest sikre system eller miljø, men blot at sikre at dit system var en smule mere sikkert end sammenlignelige virksomheder. Jeg kalder dette et relativt perspektiv, da det i sidste ende bliver irrelevant, hvor sikker din virksomhed egentlig er, da succeskriteriet findes i sammenligningen til konkurrenterne. 

Det mindede mig om at se folk i nyhederne forberede sig på en orkan. Nogle stabler sandsække, nogle installerer pumper i kælderen, og andre kigger blot på naboens hus og tænker: "så længe jeg er lidt bedre forberedt end dem, burde jeg være okay.” De forsøger ikke at være usårlige - bare mindre sårbare end de andre. Og måske fungerer den logik — indtil orkanen er stærk nok til, at alle er i fare.

Når det relative perspektiv ikke er godt nok

Dette relative syn på sikkerhed gav mening før i tiden. Indbrudstyve kørte ned ad en villavej og brød ind i det hus, der så mindst beskyttet ud. For boligejere handlede det om ikke at tiltrække for meget opmærksomhed og håbe, at tyvene ville fortsætte til naboens hus.

Intet hus er fuldstændig sikret, ligesom ingen virksomhed har ressourcer til at beskytte sig mod alt. Netop derfor handler sikkerhed ikke om at eliminere risiko, men om at håndtere den. Men når alle spiller det relative sikkerhedsspil, bliver standarden for sikkerhed ikke sat af, hvad der er muligt, men af hvad der er godt nok. Det handler ikke om at bygge stærke mure; det handler om at sørge for, at andres mure er nemmere at bryde igennem.  

Men hvad sker der, når fjenden holder op med at opføre sig som indbrudstyve, der leder efter det nemmeste mål, og i stedet begynder at agere som en bakterie eller en virus? I et fyldt tog vælger en bakterie eller virus ikke den svageste person — den rammer alle. Og hvad sker der, når orkanen rammer alle, uanset hvor højt man stablede sine sandsække?  

Det er her, det relative perspektiv begynder at bryde sammen. Hvis sikkerhed kun måles i forhold til konkurrenterne, risikerer hele branchen at bevæge sig mod naivitet og uvidenhed. Så hvordan bryder vi ud af denne cyklus? Vi må starte med at erkende, hvad der sker, hvis vi ikke gør det. Når virksomheder nøjes med sikkerhed, der er god nok og blot forsøger at være en smule bedre end konkurrenterne, efterlader de sig selv sårbare over for cyberkriminelle, der ikke længere spiller efter de gamle regler. Vi ved det, for historien har vist os konsekvenserne af denne tankegang. 

Den sårbare historie om det relative perspektiv

Tag for eksempel Equifax. I 2017 blev kreditvurderingsgiganten udsat for et brud, der lækkede personlige data på næsten 150 millioner mennesker. Årsagen? En manglende opdatering af en kendt sårbarhed i Apache Struts. Opdateringen havde været tilgængelig i flere måneder, men fordi Equifax’ sikkerhedstilgang ikke var proaktiv og absolut, fik cyberkriminelle let adgang. Virksomheden har muligvis tænkt, at deres sikkerhed var på niveau med branchestandarder. Men det var ligegyldigt, da deres forsvar svigtede over for en reel trussel.

SolarWinds er også et eksempel, der sendte chokbølger gennem hele cybersikkerhedsverdenen. Angrebet var ikke tilfældigt, men en velovervejet forsyningskædekompromittering. De cyberkriminelle indsatte ondsindet kode i SolarWinds’ softwareopdateringer via en usikker FTP-server, hvorefter den blev distribueret til tusindvis af kunder, herunder amerikanske myndigheder og Fortune 500-virksomheder. Samtidig havde SolarWinds anbefalet deres kunder at deaktivere antivirus på systemer, der kørte på SolarWinds’ software, hvilket gjorde, at angrebet forblev uopdaget i flere måneder.

SolarWinds blev ikke valgt som mål, fordi deres sikkerhed var særligt svag, men fordi de cyberkriminelle vidste, at virksomheder ofte stoler blindt på softwareopdateringer. Kunderne havde ukritisk fulgt SolarWinds’ anbefalinger og slået deres antivirus fra. Når sikkerhed bliver opfattet som et relativt spil, hvor det blot handler om at være lidt bedre beskyttet end konkurrenten, skaber det systemiske svagheder, som cyberkriminelle kan udnytte i stor stil.

Disse hændelser er ikke enestående. De er beviser på, at hvis man ser sikkerhed som et spørgsmål om, blot at være bedre end gennemsnittet, i stedet for reelt modstandsdygtig over for trusler, fører det til katastrofale fejl. Cyberkriminelle er ligeglade med branchestandarder. De går efter, hvad der virker, og hvad der ikke gør.

Compliance er et relativt perspektiv i forklædning

Mange organisationer tror, at de er sikre, fordi de lever op til lovkrav. Men compliance er ikke det samme som sikkerhed. Rammerne for compliance definerer minimumsstandarder for sikkerhed — ikke optimale standarder. At følge dem kan tilfredsstille myndighederne, men det stopper ikke målrettede cyberkriminelle.

Derfor er en relativ tilgang til sikkerhed farlig. Hvis alle blot forsøger at være en smule bedre beskyttet end nabovirksomheden, forbliver det overordnede sikkerhedsniveau svagt. Og når et alvorligt, koordineret angreb rammer — hvad end det er et forsyningskædeangreb, et ransomwareangreb eller en zero-day-udnyttelse, går det ikke kun ud over én organisation. Det spreder sig på tværs af brancher og rammer virksomheder, myndigheder og forbrugere.

Hvis historien har lært os noget, er det, at cyberkriminelle ikke spiller efter reglerne. De er ligeglade med, om du er lidt mere sikker end din konkurrent. Det eneste, der betyder noget, er, om de kan bryde ind. Og så længe virksomheder måler sikkerhed i relative termer frem for absolutte standarder mod reelle trusler, vil man fortsætte med at lide samme skæbne som Equifax og SolarWinds. 

Er din virksomheds perspektiv eller relativ?

Så hvad gør vi nu? Skal cybersikkerhedseksperter have en fast plads i bestyrelseslokalet og være med til at træffe beslutninger på højeste niveau? Skal regeringer gribe ind med strengere reguleringer for at tvinge virksomheder til at gå længere end blot at opfylde minimumskravene?

En mulig løsning kunne være at gentænke, hvordan cyberforsikringer fungerer. Hvad hvis forsikringer blev baseret på dybdegående sikkerhedsvurderinger fra uafhængige tredjeparter, så virksomheder ikke kun konkurrerede på markedsperformance, men også på modstandsdygtighed over for cyberangreb? Hvad hvis ledere blev holdt personligt ansvarlige for alvorlige sikkerhedsbrud med bøder, fyringer eller i ekstreme tilfælde endda strafansvar på samme måde som ved økonomisk svindel? Ville det resultere i, at cybersikkerhed blev en prioritet på bestyrelsesniveau?

Måske bør regeringer kræve sikkerhedsstandarder, der udvikler sig i takt med truslerne i stedet for statiske compliance-tjeklister, der hurtigt bliver forældede. Måske har vi brug for uafhængige instanser, der vurderer virksomheders cyberforsvar på samme måde som kreditvurderinger, der dermed skaber incitamenter til reelle sikkerhedsforbedringer frem for blot at opfylde minimumskrav. Eller måske er det den offentlige opfattelse, der skal ændres? For hvis kunder begynder at vælge tjenester baseret på sikkerhedsvurderinger, ville virksomheder så endelig tage det alvorligt?

Tidspunktet man skal reagere på, er ikke efter katastrofen har indtruffet. Det er nu. I sidste ende er det ligegyldigt, hvem der ser forberedt ud. Det eneste, der betyder noget, er, hvem der kan modstå orkanen. Spørgsmålet er ikke, om din sikkerhed er bedre end de andres. Spørgsmålet er: Er den bedre end de cyberkriminelles?