AI-trusler er en afledning. Dit virkelige problem er tættere på hjemmet

Lad os være ærlige: AI-drevne cyberangreb er en skræmmende udsigt. Men de er ikke den største trussel mod din forretning.

Den største trussel er afledningen de skaber.

I mere end 15 år har jeg set den samme historie spille sig ud. Ledelsen bliver forskrækket af den seneste “AI-supertrussel”, mens sikkerhedsteamet stadig kæmper med at besvare grundlæggende spørgsmål som “Hvor er vores mest følsomme kundedata?” eller “Hvem ejer opdateringen af det kritiske system?” Vi jagter nye værktøjer, mens ingeniører bliver trukket ind i sidste øjebliks compliance-øvelser, og kritiske sårbarheder bliver prioriteret lavt.

Dette er det klassiske “fancy lås på en skærmdør”-problem. Organisationer skynder sig at implementere AI-drevne forsvar, men angribere bruger AI med færre regler og mere agility til at gå gennem fundamentale huller i processen, ejerskab og kultur. For mid-markedsvirksomheder er det især et problem at ignorere grundlæggende principper.

Hvorfor statiske forsvar fejler i en dynamisk verden

Da jeg startede min karriere, var sikkerhed en checkliste: antivirus, opdateringer og stærke firewalls. Den verden er længe væk. I dag skriver polymorft malware sig selv for at undgå signaturer, og botnetter lancerer angreb hurtigere end nogen menneske kan reagere.

Krypteret trafik er blevet modstanderens yndlingsgemmested. Zscalers 2024 ThreatLabz-rapport fandt, at næsten 90% af malware leveres over krypterede kanaler. Det betyder, at ni ud af ti trusler er usynlige for legacy-værktøjer, der ikke kan inspicere den trafik.

Den virkelige flaskehals er dog ikke kun teknologi; det er organisatorisk friktion. Jeg har set gode sikkerhedsteams bruge uger på bare at få godkendelse til at lukke en kendt svaghed. I den tid, det tager at planlægge møder, kan en automatiseret angriber være inde og ude. At være statisk er ikke længere en mulighed. Sikkerhedsprogrammer må være kontekstbevidste og fokuserede på de hurtigt bevægelige dele af forretningen.

Industrialiseringen af cyberkriminalitet

Dette burde ikke overraske nogen. Angribere er iværksættere, der driver en forretning. De adopterer blot ny teknologi for at forbedre deres ROI – ligesom os. AI hjælper dem med at industrialisere deres operationer.

• Phishing-as-a-Service, Supercharged: Phishing er stadig den mest almindelige måde at komme ind. FBI og IBM har rapporteret det som den øverste initial adgangsvektor i åratal. Nu kan kriminelle med generative AI-værktøjer som “FraudGPT” oprette perfekt tilpassede, grammatikfrie phishing-kampagner i en skala, vi aldrig har set før.
• Stemmen er en løgn: Voice phishing (“vishing”) eksploderer. CrowdStrike så en 442% stigning i angribere, der bruger AI-klonede stemmer til at efterligne ledere og narre medarbejdere til at overføre midler. En britisk energivirksomhed tabte over 243.000 dollars på denne måde fra et enkelt opkald.
• Opkomsten af den automatiserede modstander: CrowdStrikes trusselsjægere ser nu end-to-end automatiserede kampagner – fra AI-genererede CV’er med deepfake-video-interviews til malware-frie intrusions, der lever helt i skyen.

Forsvarere står over for trusler, der tilpasser sig og består med minimal menneskelig overvågning. Angribere har automatiseret i år; AI har blot sat deres workflow på hyperdrive.

For at følge med, er det højt tid at vi giver slip på forældede, checklist-drevne tilgange til compliance og cybersikkerhed. At søge efter en sølvblyant med det seneste værktøj på markedet er ikke svaret. Det er dog en unik mulighed for at gå tilbage til grundlæggende principper.

Stop med at spørge “Er vi compliant?” Start med at spørge “Er vi resiliente?”

Selv om AI former landskabet, sker de fleste datakrænkelser stadig på grund af forsumpede grundlæggende principper. Ja, direktørens stemme var klonet, men den virkelige fejl var sandsynligvis en brudt finansiel godkendelsesproces. AI var blot det sidste skridt i en kæde af forsumpede grundlæggende principper.

AI behøver ikke at finde en zero-day-udnyttelse, når det kan finde en fem år gammel upatchet server eller en udvikler med admin-rettigheder til alt. At købe endnu et AI-drevet sikkerheds-værktøj vil ikke løse et brudt kultur-problem. AI skal styrke stærke processer, ikke erstatte dem.

Dette er, hvor ledelsen ofte tager fejl. Jeg har været i bestyrelseslokaler, hvor spørgsmålet var, “Er vi compliant?” Det bedre spørgsmål er, “Gør vores sikkerhedsprogram vores forretning stærkere?”

Compliance bliver en checkbox-øvelse. Produktteams sprinter fremad, ingeniører får sikkerhedsopgaver uden ressourcer, og ledere antager, at en ren audit betyder, at forretningen er sikker. Det gør det ikke. Løsningen er ikke flere værktøjer; det er stærkere scaffolding fra toppen og ned.

En pragmatisk playbook for AI-æraen

Fortune 500-virksomheder kan smide penge efter dette problem. Mid-markedsvirksomheder må være smartere. Så, hvad gør du virkelig?

1. Fix din grundlæggelse først. Før du køber endnu et værktøj, sikr dig, at du har en solid inventar af dine data, ulåselige adgangskontroller og en opdateringsproces, der virker.
2. Sæt AI på dagsordenen. Kør bordsskab-øvelser baseret på AI-drevne angreb. Gør det til en fast del af bestyrelsesrapportering, så det behandles som en forretningsrisiko, ikke et IT-problem.
3. Fokuser på adfærd, ikke kun statiske signaler. Prioriter værktøjer, der spotter underlig adfærd – som en bruger, der pludselig får adgang til en database, den aldrig har rørt før – over værktøjer, der kun jagter kendt malware.

AI er ikke fjenden – Selvtilfredshed er

AI er ikke en dobbeltægget sværd; det er et forstørrelsesglas. Det gør gode processer mere effektive og dårlige processer katastrofale.

Angribere vil altid have nye værktøjer. Det virkelige spørgsmål er, om din sikkerhedsstrategi er bygget på en solid grundlæggelse af resilience eller blot jagter det næste skinnende objekt. Æraen for “sæt det og glem det”-sikkerhed er ovre. Organisationer, der bygger en kultur af sikkerhed og nailer grundlæggende principper, vil vinde, selv i en tid med autonome trusler.