Artikel
14. maj 2024: Cybersikkerhed: NIS2-krav kan få afgørende betydning for SMV’erne
I dette debatindlæg i Ingeniøren taler vi om, hvordan nye EU-krav til cybersikkerhed kan få konsekvenser for SMV'erne.
Indhold er hentet
Artikel
14. november 2024: AI skaber ingen værdi uden et stærkt cybersikkerhedsforsvar
I et debatindlæg i Ingeniøren stiller vi skarpt på AI - for AI står højt på virksomhedernes agenda, for teknologien kan bruges til at effektivisere brugen af data. Men data er lige netop det, de cyberkriminelle går efter – så hvorfor er det, at mange virksomheder halter bagefter, når det gælder sikkerheden?
Indhold er hentet
Når vi taler med små og mellemstore virksomheder om digitalisering, er det ofte AI, der står øverst på ønskesedlen. ChatGPT har på godt og ondt gjort AI nærværende for mange mindre organisationer, og det er da også svært ikke at blive imponeret over, hvad ChatGPT og de mange andre sprogmodeller (LLMer), kan. Og for de mindre virksomheder kan det være en kæmpe hjælp, for det er en form for AI, der virker fra dag et - ikke noget bøvl med at træne modeller. Bare gå i gang.
Men der går ofte ikke længe, før mange virksomheder gerne vil anvende sprogmodellerne på egne data, og for mange kan det være en ren fest at bruge sprogmodellerne som smarte verdensencyklopædier. Men det giver først rigtig stor værdi, når virksomhedens egne data kan gøres let tilgængelige for medarbejdere og kunder, for den data kan bruges til bl.a. at skabe bedre services, mere effektive processer og bedre beslutningsgrundlag.
AI er lige så fristende for hackerne som for virksomhederne
Netop derfor skulle man tro, at cybersikkerhed lå tilsvarende højt på virksomhedernes prioriteringslister. Det er desværre (endnu) ikke tilfældet, men hackerorganisationerne kan sagtens se værdien i virksomhedernes data. Nogle gange er det data i sig selv, de gerne vil have fat i (fx industrispionage). Det kan også være det, som data kan give adgang til (fx viden om kunder og leverandører), hvilket igen muliggør yderligere angreb. Eller hackerne kan tjene penge på at forhindre adgangen til data ved at kryptere dem og kræve løsesum for at få dem frigivet. Der kan sagtens være flere overlappende grunde bag et cyberangreb, hvilket man blandt andet kan læse i Center for Cybersikkerheds seneste rapport Cybertruslen mod Danmark 2024.
Det er et ironisk tvist, at de samme muligheder for at skabe værdi med AI for virksomhederne også skaber værdi for de cyberkriminelle organisationer
Phishing e-mails er fx blevet meget bedre og dermed sværere at gennemskue. Prompt injection opstod lige så hurtigt som disciplin (måske hurtigere?) som prompt engineering. AI indgår i både angreb og forsvar, og med den stigende kompleksitet er det nødvendigt med avanceret teknologi for at gøre det sværere for hackerne.
Sikkerheden ligger ikke i teknologien alene
Men hvad skal man som mindre virksomhed så gøre? I første omgang skal man få cybersikkerhed på den interne agenda og prioritere den, og det kan gøres ved at følge nogle enkle råd: Brug lange og unikke adgangskoder (gerne med hjælp fra en passwordmanager), aktiver to-faktor-godkendelse, opdater jævnligt software, anvend opdaterede antivirusprogrammer og begræns, hvem der har adgang til virksomhedens data. Det er også noget, man kan læse mere om i rapporten fra Center for Cybersikkerhed.
Ikke alle virksomheder har egne it-medarbejdere, og opgaven er derfor ofte outsourcet til en it-partner. Den partner skal inddrages i arbejdet med cybersikkerhed og gøre det klart, også for ledelsen, hvordan virksomheden er beskyttet og i hvilket omfang. Her er det værd at bemærke, at sikkerhed ikke ligger i teknologi alene. Mange angreb bygger deres strategi på menneskelige fejl eller endog menneskelige kvaliteter. Fx kan en hacker forsøge at tale til ens pligtopfyldelse, når ”chefen” tilsyneladende har brug for at sætte en pengeoverførsel i gang. Træning af alle medarbejdere (også ledelsen) og klare processer og retningslinjer kan forebygge mange uheldige klik på farlige links, men det er samtidig vigtigt at forberede sig på, at nogen på et tidspunkt vil klikke på noget, de ikke skulle have klikket på. Det er vigtigt at skabe tryghed i organisationen omkring dette, så man ikke bliver bange for at indrømme, at man har begået en fejl.
AI og cybersikkerhed har også det til fælles, at tingene ofte bliver svære, når man er kommet forbi de indledende trin. Mens det er forholdsvis enkelt at bede sine medarbejdere bruge lange passwords eller beslutte at bruge ChatGPT i det daglige arbejde, er det straks en anden sag at sætte de rigtige adgangskontroller op eller at lave en machine learning-model på egne data. Så at tro at blot man kaster lidt AI-tryllestøv ud over alle sine data, er alle problemer løst, er en fejl.
En anden fællesnævner for AI og cybersikkerhed er, at de har de europæiske myndigheders bevågenhed, som NIS2 og EU AI Act tydeligt viser.
Der skal tænkes i forsyningskæder og ikke blot i den enkelte virksomhed, og personlige data skal beskyttes, også inden for AI
Der stilles med andre ord flere krav til den enkelte virksomhed om at gennemføre og dokumentere tiltag for at øge sikkerheden og til beskyttelse af data. Der findes forskellige standarder og værktøjer, som kan bruges som ramme for arbejdet (fx d-mærket, CIS Controls, ISO 27001), men selv med disse støtteværktøjer, har mange mindre virksomheder brug for hjælp, og den hjælp kan de få fra AI- og cybersikkerhedsspecialister og gennem sparring på, hvilke områder der bør prioriteres
Så der er absolut ingen grund til, at virksomhederne ikke forløser potentialet for at udnytte AI til at skabe værdi – og der er heller ingen grund til ikke at få gjort noget ved cybersikkerheden. Det starter med det første skridt.
Debatindlægget blev bragt i Ingeniøren Compliance Tech d. 14. november 2024.