Digital sikkerhed bliver ofte behandlet som noget, virksomheder kan sikre med de rigtige systemer, politikker og kontroller. Men den tilgang giver en falsk tryghed, mener Bjarke Alling, CISO i den danske IT-infrastrukturvirksomhed Aeven. “Sikkerhed er jo en dynamisk størrelse, som er i konstant bevægelse,” siger han.

Netop det overser mange virksomheder, når de arbejder med sikkerhed som en fast tjekliste. Ifølge Bjarke Alling er en af de største misforståelser, at man kan gøre alt det rigtige på papiret og dermed tro, at problemet er løst. I virkeligheden handler det om løbende at forstå, hvordan truslerne udvikler sig, og hvad de konkret betyder for ens egen forretning.

For sikkerhed handler ikke kun om trusler. Den handler om risiko, altså sandsynlighed og konsekvens.

“Truslen kommer til at fylde hele billedet. Men i realiteten skal du tage den trussel, og så skal du køre den ned igennem en analyse,” siger han.

Han sammenligner det med at bo ved siden af en flod. Det er ikke i sig selv en risiko. Men hvis der ofte er højvande, og huset bliver oversvømmet, opstår risikoen. Og hvis man kun taler om truslen uden også at tale om, hvordan konsekvensen kan gøres mindre, bliver sikkerhedsarbejdet hurtigt abstrakt.

Det er ikke længere et spørgsmål om, hvis du bliver kompromitteret. Det er et spørgsmål om, hvornår det sker. – Bjarke Alling, CISO i Aeven

“Hvis vi kun kigger på trussel og risiko, så ender vi i en pompøs diskussion uden egentlig handling,” siger han og tilføjer: ”Det er ikke længere et spørgsmål om, hvis du bliver kompromitteret. Det er et spørgsmål om, hvornår det sker.”

Det er netop her, ledelsen kommer ind. Virksomheder skal ikke bare vide, at der findes farer. De skal kunne vurdere, hvilke hændelser der vil ramme hårdest, hvad de vil koste, og hvilke investeringer der derfor giver mening. Det kræver et ledelsesrum, ikke kun it-drift.

Kend dit normalbillede Et centralt begreb for Bjarke Alling er virksomhedens normalbillede. Altså en forståelse af, hvordan systemer, logins, netværk og adfærd normalt ser ud, så man kan reagere, når noget afviger.

Han bruger bankkontoen som billede. De fleste ved nogenlunde, hvad de plejer at have stående. Hvis der pludselig mangler mange penge, eller der dukker et usædvanligt beløb op, reagerer man instinktivt. Den samme logik bør virksomheder bruge på deres it-sikkerhed.

Hvis man ikke kender sit normalbillede, bliver det langt sværere at opdage, når noget er galt. Og det er netop en del af problemet ved cyberkriminalitet, at fodaftryk ikke altid er tydelige. Nogle angreb opdages først, når systemer bryder ned. Andre forløber mere stille, fordi data bliver stjålet uden synlige spor.

Derfor skal virksomheder blive bedre til at indsamle og analysere de data, de allerede har, mener han. På samme måde som man bruger nøgletal og sammenligninger til at læse et regnskab, bør man også arbejde mere systematisk med sikkerhedsdata. “Der er jo rigtig, rigtig mange måltal,” siger Bjarke Alling og nævner netværk, antal it-systemer, patches, logins og fejl på logins som eksempler.

Jo bedre man forstår sine systemer og afhængigheder, jo lettere er det at opdage afvigelser og reagere, før små fejl udvikler sig til større hændelser.

De små tandhjul gør forskellen Samtidig advarer Bjarke Alling mod at stirre sig blind på de store overskrifter. Geopolitik og internationale spændinger fylder meget i debatten, men i det daglige sikkerhedsarbejde er det ofte de små tandhjul, der afgør, hvor robust en organisation reelt er.

“Vi bevæger os jo ikke i store hop, vi bevæger os i små skridt. Det er jo summen af de små ting, der gør de store ting,” siger han.

For mange virksomheder er det hverken realistisk eller nødvendigt at ændre alt på én gang. Derfor bør man begynde med de områder, hvor risikoen er størst, og hvor forbedringerne er til at gennemføre.

Det kan for eksempel være evnen til at få opdateret sine systemer hurtigt nok. “Har du et it-system, som står og kører, så kan jeg begynde at bevæge mig videre rundt i netværket,” tilføjer han.

Det kan virke som en mindre teknisk detalje, men en kendt sårbarhed kan give angribere en åbning ind i virksomheden. Og når først de har fået fodfæste i ét system, kan de bruge det som springbræt til at undersøge resten af netværket og finde veje til mere følsomme dele af forretningen.

AI flytter trusselsbilledet Når Bjarke Alling ser frem mod de kommende år, forventer han især, at AI-understøttet svindel vil fylde mere. Falske websites, falske billeder, falske identiteter og mere overbevisende phishing gør det lettere at narre både medarbejdere og organisationer.

Falske mails kunne tidligere ofte afsløres på dårligt sprog og tydelige fejl. Men sådan bliver det ikke ved med at være, vurderer Bjarke Alling.

“Jeg tror, at den side er slut. Nu bliver vi udsat for noget, der er spot on,” siger han.

Det betyder også, at ledelser og medarbejdere skal blive mere bevidste om afvigelser og turde reagere, når noget virker forkert.

For Bjarke Alling er konklusionen derfor ikke, at virksomheder skal jagte alle tænkelige trusler. De skal have antennerne ude og følge udviklingen, men frem for alt skal de kunne omsætte trusselsbilledet til konkrete valg.

“Det er jo en kollektiv proces. Det er jo der, hvor forretningsledelsen kommer ind,” siger han.

Digital sikkerhed bliver først for alvor værdiskabende, når den ikke kun ses som teknik, men som en disciplin, der hjælper virksomheden med at forstå sin risiko, prioritere sine indsatser og beskytte sin drift.

Det er den bevægelse fra alarmisme til prioritering, som Bjarke Alling efterlyser i flere virksomheder.