Debat

IDA: Regeringen tøver, mens cybertruslen fra kunstig intelligens vokser i styrke

Fra alle sider lyder det, at kunstig intelligens udgør en stigende trussel mod både den kritiske infrastruktur og helt almindelige danskere. Det haster med at få styr på cybersikkerheden, men Danmark nøler, skriver Jørn Guldberg.

Forsvarsminister Troels Lund Poulsen annoncerede i sidste måned, at regeringen ikke kan nå at implementere EU-regler om cybersikkerhed inden tidsfristen – selv om deadlinen har været kendt i halvandet år, skriver Jørn Guldberg.
Forsvarsminister Troels Lund Poulsen annoncerede i sidste måned, at regeringen ikke kan nå at implementere EU-regler om cybersikkerhed inden tidsfristen – selv om deadlinen har været kendt i halvandet år, skriver Jørn Guldberg.Foto: Ida Marie Odgaard/Ritzau Scanpix
Jørn Guldberg
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Til oktober træder nye EU-regler om cybersikkerhed i kraft.

NIS2 hedder forordningen, og reglerne udgør det hidtil mest ambitiøse forsøg på at ruste virksomheder, myndigheder og såkaldt kritisk infrastruktur mod den konstant stigende mængde af cyberangreb, hvad enten vi taler om de forholdsvist harmløse DDoS-angreb, de langt mere skadelige ransomware-angreb eller angreb, der sætter vitale samfundsinstitutioner ud af kraft.

Det er på høje tid. Antallet af cyberangreb er støt stigende, og konsekvenserne er alvorlige for de virksomheder og myndigheder, der rammes. Det gælder blandt andet mistet tillid hos kunderne, tabt omsætning, store datalæk, stjålne forskningsresultater og langvarige nedbrud i elforsyning eller betalingssystemer.

AI er fremragende til at skabe falske hjemmesider, som kan være ekstremt vanskelige at gennemskue.

Jørn Guldberg
IT-sikkerhedsekspert, IDA

Mange virksomheder er desuden internt forbundne via tjenester og serviceydelser. Et angreb kan dermed bredes ud og tage flere med i faldet.

Samtidig har de cyberkriminelle fået nem adgang til angrebsværktøjer, som kan købes på nettet. I dag taler man ligefrem om Ransomware-as-a-Service, hvor eksempelvis russiske cyberkriminelle, der har oprettet hele kontorlandskaber med HR-afdeling og 9-16 jobs, tilbyder at udføre ransomware-angreb mod betaling.

Det nye supervåben

Seneste supervåben i deres arsenal er kunstig intelligens (AI). Som det hedder i en ny rapport fra det anerkendte schweiziske IT-sikkerhedsfirma Acronis: "I de senere år er der fremkommet en mørkere side af kunstig intelligens, hvor cyberkriminelle udnytter intelligente værktøjer til at opskalere sofistikerede angreb på virksomheder. Og udgivelsen af ChatGPT har eskaleret den trussel."

De cyberkriminelles brug af AI har ifølge Acronis ført til en stigning i e-mailangreb – de såkaldte phishing-angreb – på 222 procent i løbet af 2023.

Med AI kan ondsindede hackere udvikle angrebsværktøjer, som hele tiden tilpasser sig omgivelserne, og slippe uset igennem de traditionelle forsvarsværker i IT-systemer for at få adgang til netværket. Derfra kan de være næsten ustoppelige, og det sker med en fart, som i praksis er umulig at hamle op med for et menneske.

Læs også

Helt nye typer af cyberangreb

Nogle af disse AI-værktøjerne er WormGPT og dens onde lillebror FraudGPT, som begge angiveligt er bygget på store sprogmodeller ligesom ChatGPT og trænet på data, der gør dem i stand til at udføre angreb. Brugere af WormGPT kan simpelthen bede den om at skrive en e-mail, der foregiver at komme fra en bank, og udbede sig login-oplysningerne. Teksten er typisk grammatisk korrekt og langt mere overbevisende, end hvad de fleste angribere selv kan levere.

Heldigvis er mange mindre danske virksomheder blevet bedre til at indføre de mest basale sikkerhedstiltag. Men der er lang vej endnu.

Jørn Guldberg
IT-sikkerhedsekspert, IDA

AI er også fremragende til at skabe falske hjemmesider, som kan være ekstremt vanskelige at gennemskue. Der findes mange andre AI-angrebsværktøjer som for eksempel ChaosGPT, og nogle af udbyderne har sågar en online chatfunktion på deres hjemmeside.

Et andet område er AI-deepfakes, hvor værktøjerne på overbevisende vis kan kopiere en bestemt persons stemme eller udseende og derved manipulere offeret til at udlevere informationer eller overføre penge.

Eksperter forudser, at den næste front for cyberkriminelle bliver vores smarte apparater i hjemmet, som er tilsluttet nettet – det såkaldte Internet of Things (IoT). Typisk er vores smarte køleskabe eller højttalere meget dårligt beskyttet mod cyberangreb, og herfra kan cyberkriminelle få adgang til alle apparater i dit netværk – for eksempel dine computere.

Alvorlig og stigende trussel

Truslen fra cyberangreb med AI som motor er alvorlig. På en konference for nylig advarede Nationalt Cyber Crime Center om, at AI og deepfakes har ”kæmpestore og banebrydende konsekvenser for de IT-kriminelles muligheder”, og at antallet af sager, der involverer IT-kriminalitet, stiger med 20-30 procent årligt herhjemme.

Samtidig viser en undersøgelse fra Version2, at de danske politikredse siden 2021 har afsluttet behandlingen af 272 sager om ransomwareangreb mod ofre på dansk jord. Men ingen af sagerne er endt med, at hackerne er blevet pågrebet.

Heldigvis er mange mindre danske virksomheder blevet bedre til at indføre de to mest basale sikkerhedstiltag, som er backup af data og systematisk opdatering af deres software. Men der er lang vej endnu. Og en undersøgelse fra Digitaliseringsstyrelsen viser, at 64 procent af de små og store virksomheders ledelse kun i nogen grad, lille grad eller slet ikke er involveret i virksomhedens arbejde med digital sikkerhed.

Det er faktisk helt ubegribeligt, at danske virksomheder ikke kan få klart svar på, hvem der bliver direkte og indirekte berørt af EU's nye regler.

Jørn Guldberg
IT-sikkerhedsekspert, IDA

Dansk nølen

Det skal der ændres på. NIS2 venter lige om hjørnet med en lang række krav til virksomhedernes cybersikkerhed – ikke mindst at ledelsen kan drages personligt til ansvar, hvis reglerne ikke efterleves. NIS2 har formatet til at blive en gamechanger for cybersikkerheden i hele samfundet

Men det hjælper ikke på moralen, at forsvarsminister Troels Lund Poulsen (V) i sidste måned annoncerede, at regeringen ikke kan nå at implementere NIS2 inden tidsfristen i oktober – selv om deadline har været kendt i halvandet år.

Det er faktisk helt ubegribeligt, at danske virksomheder ikke kan få klart svar på, hvad de skal opfylde af helt konkrete krav, og hvem der bliver direkte og indirekte berørt af NIS2.

I takt med, at Danmark investerer stadig flere milliarder i Ukraines forsvar mod Ruslands aggression, rykker vi også tydeligere frem på den russiske radar som potentielle mål for cyberangreb.

Krig finder ikke kun sted på slagmarken. Den er i høj grad også rykket ind i cyberspace – med AI som turbo. Derfor er det afgørende, at vi i alle dele af samfundet er årvågne, efteruddanner flere til at håndtere truslerne og generelt opruster på vores cybersikkerhed.

Læs også

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Jørn Guldberg

It-sikkerhedsekspert, Ingeniørforeningen, IDA

Troels Lund Poulsen

Vicestatsminister, forsvarsminister, partiformand, MF (V)
Student (Tørring Amtsgymnasium 1995)

Altinget logo
København | Stockholm | Oslo | Bruxelles
Politik har aldrig været vigtigere
AdresseNy Kongensgade 101472 København KTlf. 33 34 35 40[email protected]CVR nr.: 29624453ISSN: 2597-0127
Ansv. chefredaktørJakob NielsenDirektørAnne Marie KindbergCFOAnders JørningKommerciel direktørMichael ThomsenFormand og udgiverRasmus Nielsen
Copyright © Altinget, 2024