Cybersikkerhed

Cybersikkerhed bevæger sig fra detektion til AI-modstandsdygtighed

mm
Udgivet den

Med næsten alle aktiver, forretningsaktiviteter eller værdifulde data registreret digitalt er kontinuerlig adgang til disse data og IT-systemer afgørende.

Dette er, hvad en afpresningstaktik kaldet ransomware udnytter. Den infiltrerer en elektronisk enhed eller et netværk, låser brugerne ude fra deres data (normalt gennem kryptering) og kræver derefter løsepenge for at levere dekrypteringsnøglen, så adgangen kan genoprettes.

Ransomware er en hurtigt voksende kriminel aktivitet, hvor de globale skader forventes at overstige 265 milliarder USD årligt inden 2031.

Problemet bliver kritisk, da moderne ransomware‑kampagner nu målretter sig mod ikke kun enkeltpersoner, men også virksomheders netværk, kommunale systemer og kritiske infrastruktursektorer som sundhedsvæsen, finans og energi.

“I 2024 registrerede sundhedssektoren de højeste omkostninger ved brud i nogen branche, med et gennemsnit på 10,93 millioner USD pr. hændelse, drevet af forlænget nedetid, HIPAA‑relaterede bøder og udbedring af beskyttede sundhedsoplysninger.”

Disse hændelser er mere alvorlige og involverer større summer, der udpresses, selvom 88 % af alle ransomware‑hændelser retter sig mod små og mellemstore virksomheder (SMV’er).

“Organisationer, der betalte løsepenge, rapporterede en gennemsnitlig betaling på 2 millioner USD, op fra 400.000 USD i 2023. Ud over de umiddelbare omkostninger overstiger den gennemsnitlige nedetid for organisationer efter et ransomware‑angreb nu tre uger, hvilket resulterer i forstørrede drifts‑ og produktivitets tab på tværs af forretningsenheder.”

Ransomware‑metoder er blevet stadig mere sofistikerede, hvilket gradvist gør ældre, traditionelle signaturbaserede og rent diskriminerende detektionsmetoder utilstrækkelige. Sporingen af midler er også blevet sværere, da løsepenge i dag typisk skal betales i kryptovalutaer.

Generelt er AI både et problem og en mulighed for cybersikkerhed. Det kan hjælpe med at generere bedre falske phishing‑forsøg, forbedre effektiviteten af social engineering og skabe nye svaghedspunkter i en systemarkitektur.

En ny publikation argumenterer også for, at generativ AI kan hjælpe med at afbøde cybersikkerhedstrusler. Og at dette især er sandt i tilfælde af ransomware‑angreb.

Den blev skrevet af en forsker ved University of Cincinnati i Journal of Information Security and Applications1 under titlen “Rethinking ransomware defense in the age of generative AI”.

Hvordan fungerer ransomware?

Ransomware 101

De fleste ransomware låser data ud gennem kryptering efter et sikkerhedsbrud, hvilket giver hackeren adgang til en enhed eller et netværk. I nogle tilfælde kan den endda låse enhedens brugergrænseflade helt ud i stedet for at kryptere individuelle filer.

Løsepengeskrævet fremsættes typisk med et krav om betaling i kryptovaluta, med en streng tidsfrist for at få dataene dekrypteret, hvorefter de vil forblive i den tilstand for evigt.

I nogle tilfælde, der betegnes som dobbelt- og tredobbelt afpresning, kombineres datakryptering med trusler om offentligt at lække stjålne data eller endda angribe dine kunder og partnere, hvis løsepenge ikke betales.

Dette kan være særligt problematisk for fortrolige data som forretningsinformation, værdifulde intellektuelle ejendomme, patienters medicinske oplysninger osv. At betale for dekryptering eller opnå dekryptering på anden måde fjerner ikke de stjålne data fra hackerens computere, hvilket betyder, at truslen fortsætter selv efter dekryptering.

Generelt råder cybersikkerhedseksperter og retshåndhævende myndigheder mod at betale løsepenge, da det ikke garanterer genoprettelse af dataene og ofte kan mærke offeret som et “godt” mål for efterfølgende angreb.

Tab fra ransomware omfatter ikke kun de eventuelle løsepenge, men også nedetid og forretningsforstyrrelser, omdømmeskade, omkostningsfulde genopretningsprocedurer og yderligere nødvendige sikkerhedsforanstaltninger osv.

“Organisationer, der oplever ransomware‑hændelser, står ofte over for mistillid fra interessenter såsom kunder, investorer og regulatorer. Kunder opfatter brud som fejl i due diligence, hvilket fører til faldende loyalitet og øget frafald. Investorer kan stille spørgsmål ved virksomhedens modenhed i styring og risikostyringsposition, hvilket bidrager til fald i markedsværdi.”

Sådan forebygges ransomware

Udover de generative AI‑metoder, der foreslås i denne artikel, skal der implementeres nogle praksisser for at reducere risikoen for ransomware‑angreb og deres alvorlighed.

Den første er en generel vedtagelse af gode cybersikkerhedspraksisser samt tilstrækkelig finansiering af IT‑teams og træning i cybersikkerhedskompetencer.

Den anden er at holde al software opdateret og patchet, da et svagt punkt kan opstå et sted, hvilket potentielt fører til øget sårbarhed for hele systemet.

Den tredje er at være opmærksom på sikret adgang og menneskelige fejl samt give træning for at undgå dem, da mange ransomware‑angreb starter med social engineering og overbeviser mindst én bruger om at åbne en sårbarhed for hackerne.

Endelig kan en seriøs politik for backup og dataarkivering i høj grad reducere virkningen af et ransomware‑angreb ved at have næsten opdaterede data til brug for genoprettelse.

Brug af generativ AI til at bekæmpe ransomware

Den nuværende tilgang til ransomware fokuserer på signaturbaserede antivirusværktøjer, statiske regelmotorer eller inkorporerer kun delvist traditionelle maskinlærings‑ og dybdelæringsmodeller.

“Disse tilgange er stærkt afhængige af mærkede datasæt og foruddefinerede angrebssignaturer, hvilket efterlader organisationer udsat for zero‑day‑udnyttelser og polymorf malware, der løbende ændrer deres kode for at omgå selv flerlagede detektionssystemer.”

Generativ AI, den samme type AI, der bruges af systemer som ChatGPT, kan hjælpe med at afhjælpe disse begrænsninger. Specifikt kan flere typer af generativ AI anvendes:

  • Store sprogmodeller (LLM’er).
  • Generative Adversarial Networks (GAN’er).
  • Variationale Autoencodere (VAE’er).
  • Diffusionsmodeller.

Hvad hver GenAI‑system kan gøre?

LLM’er kan hjælpe IT‑specialister og almindelige brugere med at analysere store mængder systemlogfiler, hændelsesrapporter og trusselsintelligensfeeds for at identificere nye angrebsnarrativer eller generere automatiserede responsanbefalinger.

GAN’er genererede “falske” ransomware‑angreb, der kan bruges til at forberede sig på de reelle. De kan således syntetisere realistiske ransomware‑varianter til stresstest og gen‑træning af detektionsalgoritmer.

VAE’er kan lære latente adfærdsmæssige repræsentationer, der hjælper med at skelne ondsindet fra godartet systemaktivitet.

Sammen kan GAN’er og VAE’er hjælpe med at generere syntetiske ransomware‑eksempler og godartede procesdata, hvilket tackler den vedvarende udfordring med datamangel og klasseubalancering i cybersikkerheds‑datasæt.

I praksis er tillid og fortolkelighed kritisk for adoption i sikkerhedsoperationscentre i den virkelige verden. Så GenAI‑baserede systemer skal ikke kun identificere trusler, men også begrunde deres output på en måde, der er forståelig for menneskelige analytikere.

Implementering & yderligere risici

Implementering af disse systemer kræver kvalificeret ekspertise, da de er følsomme over for datakvalitet, beregningsforsinkelse og omkostninger ved gen‑træning.

Det bør også bemærkes, at disse systemer skal implementeres med omhu og passende styringssikringer.

Yderligere risici omfatter modeludtrækningsangreb, manipulation af prompts i LLM‑assisterede sikkerhedsværktøjer og ondsindet forgiftning af telemetri, der bruges under gen‑træningscyklusser, hvilket alle kan underminere pålideligheden af AI‑assisteret cyberforsvar.

Den samme teknologi, der kan hjælpe mod ransomware‑angreb, kan også våbeniseres til at automatisere phishing‑kampagner, skabe polymorf malware eller efterligne legitim systemadfærd for at undgå detektion.

Politikforslag

Brug af generativ AI til cybersikkerhed skal indarbejdes i den bredere ramme af AI‑politikker, både på virksomhed/institutionsniveau og på nationalt niveau.

Dette inkluderer etisk tilsyn og politisk tilpasning, så AI‑brug overholder privatlivs‑, sikkerheds‑ og ansvarlighedsstandarder.

Teknisk opmærksomhed bør også rettes mod modstandsplanlægning, herunder genoprettelsestest, backup‑politikker og systemredundans.

Eksisterende rammer bør hjælpe med at guide implementeringen af GenAI i ransomware og bredere cybersikkerhedsinitiativer, såsom ISO/IEC 42001, NIST AI Risk Management Framework og EU AI Act overholdelsesretningslinjer.

Organisatorisk kapacitet skal også tages i betragtning, med en progressiv integration af generativ AI på niveauet af den cybersikkerhedsekspertise, der findes i en given organisation, som den primære begrænsende faktor.

Samlet set er den ideelle strategi en af kontinuerlig læring, hvor organisatorisk viden fra hændelser integreres i AI‑gen‑træningspipeline.

Investorer Takeaway

Efterhånden som AI‑teknologien udvikler sig i takt med den stadig mere udbredte digitalisering, gør trusler og værktøjer til at imødegå dem også.

Som helhed bevæger ransomware‑beskyttelse sig ud over endpoint‑detection mod bredere AI‑drevne modstandsplatforme, der kombinerer detektion, simulering, styring og menneske‑i‑loop‑respons.

Dette bør favorisere et integreret, holistisk cybersikkerhedssystem, der kan integrere sådanne AI‑værktøjer problemfrit og give AI‑modellerne de data og det miljø, som de kan udnytte fuldt ud.

Investering i AI-baseret cybersikkerhed

Crowdstrike

(CRWD )

CrowdStrike blev grundlagt i 2012 med en cloud‑first tilgang til cybersikkerhed, med stærkt fokus på B2B‑markeder (business‑to‑business).

CrowdStrikes tidlige skridt til skyen gjorde det muligt at være foran, når det kom til beskyttelse af denne type data, og viste sig at være en stor konkurrencefordel, der driver væksten, efterhånden som flere og flere virksomheder flyttede fra selv‑sikrede, on‑site servere til cloud‑servere.

Et centralt punkt i CrowdStrikes tilbud er, at det samler i et cloud‑miljø, hvad der før var et ekstremt fragmenteret landskab af sikkerhedsløsninger, der skulle integreres med hinanden. Virksomheden kan levere sikkerhed på alle niveauer i organisationen, fra individuelle enheder til hele virksomhedens IT‑infrastruktur.

Kilde: CrowdStrike

Da cybersikkerhed er noget, der skal integreres dybt i en virksomheds drift, er valget af en cybersikkerhedsleverandør en langsigtet beslutning.

Dette resulterer i, at CrowdStrikes indtægter er meget forudsigelige, med 98 % brutto‑fastholdelse af sine brugerkonti. I H2 2026 forventer virksomheden en vækst på 40 % i netto‑ny ARR (årlig tilbagevendende indtægt).

Virksomheden er nu en tidlig aktør inden for AI‑agent‑drevet cybersikkerhed, på samme måde som den tidligere var en tidlig aktør inden for cloud‑baseret cybersikkerhed, og har allerede integreret agentbaseret forsvar på alle niveauer af sine systemer.

Kilde: CrowdStrike

Et centralt element vil også være at levere sikkerhed til AI‑agenter, der bruges til personlige og forretningsmæssige opgaver af brugerne. Mens de øger produktiviteten, er disse agenter også en ny angrebsvektor for hackere og malware, og systemer som CrowdStrikes vil i stigende grad blive et must‑have for at sikre brugen af AI‑agenter.

Samlet set giver dette virksomheden en enorm vækstmulighed, især da den har en dominerende position i cloud‑cybersikkerhedssegmentet, som sandsynligvis vil levere den skala og kvalitet af data, der er nødvendig for at implementere generativ AI og anden AI‑teknologi til brugbar anvendelse for digital sikkerhed.

Seneste CrowdStrike (CRWD) aktienyheder og udviklinger

Studie refereret

1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. Volume 101, september 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547

mm

Jonathan er en tidligere biokemisk forsker, der har arbejdet med genetisk analyse og kliniske forsøg. Han er nu en aktieanalytiker og finansforfatter med fokus på innovation, markedscykler og geopolitik i sin publikation The Eurasian Century.