At forberede sig, inden krisen er en realitet, er afgørende for alle former for resiliens. Inden for cybersikkerhed er det en tankegang, der længe har ligget til grund for investeringer, strategi og samtaler i bestyrelseslokalet. Mange virksomheder og organisationer angiver, at de føler sig klar til en forestående krise. Ifølge ny forskning fra Armis, angiver næsten otte ud af ti organisationer, at de er fuldt forberedt på at håndtere et cyberangreb. Virkeligheden ser dog anderledes ud. Med den konstante udvikling af AI kombineret med de mange igangværende geopolitiske eskalationer opdager flere virksomheder, at deres beredskab simpelthen ikke holder under reelt pres.
Det, vi ser, er en beredskabsparadoks, der er ved at tage form i branchen. Grundårsagen til denne paradoks kan spores tilbage til den hurtige fremvækst og adoption af AI; et værktøj, der i dag i høj grad dominerer diskussionerne i bestyrelseslokalet. Men mens virksomheder diskuterer, hvordan de skal håndtere det, har angribere allerede omsat det til et våben i stor skala. Problemet er, at forsvarsambitionerne overstiger, hvad der faktisk er muligt i praksis.
Mere end halvdelen af organisationerne (54 procent) erkender, at de mangler det budget og de ressourcer, der kræves for fuldt ud at investere i AI-drevne sikkerhedsløsninger, mens yderligere 55 procent siger, at de endnu ikke har den ekspertise, der er nødvendig for at implementere og håndtere disse teknologier effektivt. Samtidig bliver AI stadig mere avanceret, og størrelsen på den angrebsflade, som sikkerhedsteamene forventes at forsvare, vokser dagligt.
Moderne virksomheder opererer i vidtstrakte økosystemer med alt fra cloudinfrastruktur til tredjepartsintegrationer, hvor hver ny forbindelse udgør en potentiel indgang til virksomhedens miljø. For virksomheder betyder dette, at de løbende skal overvåge et stadigt voksende antal aktiver, alarmnotifikationer og indgangspunkter i et stadig mere komplekst miljø.
Et miljø med konstant prioritering
Denne kompleksitet er præcis det, angribere udnytter. Større organisationer håndterer i gennemsnit 960 alarmnotifikationer dagligt, hvilket skaber et miljø med konstant prioritering, der fører til langsommere respons og manglende beredskab. Dette er en væsentlig årsag til, at vi i stigende grad læser overskrifter om kinesiske hackergrupper, der bryder ind hos både private aktører og myndigheder. En overset alarmnotifikation eller en relativt lille svaghed kan hurtigt blive indgangspunkter for angribere.
En del af problemet handler om, hvordan beredskab måles. For mange organisationer er beredskab stadig tæt knyttet til regeloverholdelse — at bestå revisioner og opfylde regulatoriske benchmarks. Men regeloverholdelse oversættes ikke altid til teknisk modstandsdygtighed. Selv når frameworks følges og værktøjer er idriftsat, kan det underliggende miljø være svært at forstå og forsvare. Dette er en væsentlig årsag til, at 66 procent af globale it-beslutningstagere angiver, at deres organisation har oplevet op til to cybersikkerhedsbrud, og at halvdelen erkender, at de ikke har kunnet sikre deres økosystemer fuldt ud.
Den dybere udfordring ligger i, hvordan eksponering fortsætter med at akkumulere sig i stadig mere komplekse digitale miljøer. Indtil organisationer udvikler en klarere forståelse for, hvordan risiko opstår, og hvordan den skal håndteres i deres digitale økosystemer, vil det være svært at omsætte beredskab til ægte modstandsdygtighed.
Fra selvtillid til modstandsdygtighed
For at organisationer skal kunne mindske kløften mellem oplevet beredskab og operationel virkelighed, har de brug for en klarere forståelse af, hvor risiciene faktisk findes. Det er her håndtering af cybereksponering kommer ind, da det skifter fokus fra at reagere på hændelser til løbende at forstå, hvordan eksponering opstår.
En gennemsnitlig stor virksomhed har tusindvis af tilsluttede aktiver — alt fra medarbejdernes bærbare computere og printere til driftsudstyr. En enkelt phishing-e-mail, der lander i en medarbejders indbakke, kan kompromittere sikkerheden. I sig selv kan den enhed virke som en lavprioriteret alarm, men hvis den bærbare computer har adgang til vigtige delte mapper, interne applikationer eller driftssystemer, kan det føre til, at angriberen får en vej ind i miljøet og dermed potentielt kan nå følsomme data eller kritiske tjenester. Uden bevidsthed om, hvordan hvert aktiv og system hænger sammen, er sikkerhedsteamene overladt til at prioritere alarmer ud fra teknisk alvorlighed snarere end operationel konsekvens.
Det er det, der gør håndtering af cybereksponering så afgørende. I stedet for at behandle sårbarheder som isolerede tekniske problemer kortlægger det løbende aktiver, forbindelser og afhængigheder i hele miljøet for at afsløre, hvordan risiko faktisk håndteres. Det er, hvordan ægte beredskab ser ud i praksis. At håndtere og eliminere enhver sårbarhed er en umulig opgave i nutidens landskab, men det rette beredskab gør det muligt at forstå, hvordan eksponeringsfladen faktisk ser ud.
Ved at identificere aktiver i realtid, forstå hvordan de opfører sig og analysere, hvordan de forbindes i det bredere økosystem, får organisationer et kontekstuelt risikooverblik. Eksponering kan derefter bedre prioriteres og forstås for at beskytte virksomhedsmiljøet ud fra forretningsmæssig påvirkning. Det giver den klarhed, der er nødvendig for at afgøre, hvor investeringer giver den største risikoreduktion, hvilke systemer der er mest kritiske for driften, og hvor forsvarsbestræbelserne bør fokuseres, inden forstyrrelser opstår.
Det betyder med andre ord, at beredskab ophører med at være defineret af antallet af idriftsatte værktøjer, behandlede alarmer eller opfyldte regeloverholdelsesmilestene — men i stedet af, hvor klart en organisation forstår sin eksponering, og hvor hurtigt den kan handle for at reducere den.
Vigtigheden af en anden tankegang
Det måske tydeligste tegn på en voksende beredskabsparadoks i en virksomhed er, hvordan den opfatter sine egne miljøer. Mere end hver tiende organisation (13 procent) mener stadig, at de ikke har nogen operationelle sikkerhedshuller overhovedet. Men det er naturligvis ikke tilfældet.
Moderne digitale økosystemer er simpelthen for sammenkoblede, for dynamiske og for eksponerede til, at risiko kan elimineres fuldstændigt. Det er derfor afgørende at forstå, hvor eksponeringen virkelig finder sted, og hvor hurtigt den kan udvikle sig. For ledere kræver dette et skifte i tankegang — ikke mindst i betragtning af, at det reelle beredskabsniveau sjældent viser sig, når alt går som planlagt, men testes, når presset stiger.
Kilde: Armis.
