Interviews
Mark Medum Bundegaard, Chief Product Officer hos Partisia – Interviewserie

Mark Medum Bundegaard, Chief Product Officer hos Partisia, er en teknologisk og produktleder med speciale i privatlivsforbedrende teknologier, blockchain-arkitektur og sikker maskinlæring. Han leder Partisias produktvision og roadmap og arbejder på tværs af ingeniør-, design- og forretningsteams for at levere platforme bygget på sikker multiparty computation og kvante-sikker infrastruktur. Hans baggrund spænder over seniorroller inden for bankvæsen, telekommunikation, medier og startups, med dyb ekspertise i cloud-native systemer, distribueret arkitektur og anvendt AI, samt erfaring med at lede store operationer som Danmarks Copenhell musikfestival.
Partisia er en kryptografi‑fokuseret softwarevirksomhed, der udvikler infrastruktur til privatlivsbevarende datasamarbejde. Platformen gør det muligt for organisationer at beregne på krypterede data ved hjælp af sikker multiparty computation kombineret med blockchain‑orchestrering, så indsigter kan genereres uden at afsløre følsomme oplysninger. Ved at understøtte fortrolig computing, decentraliseret identitet og privatlivs‑først maskinlæring hjælper Partisia virksomheder med at udnytte dataværdi, samtidig med at de opretholder overholdelse, sikkerhed og datasuverænitet på tværs af brancher som finans, sundhedspleje og digital infrastruktur.
Den nylige fælles rapport fra Europol beskriver post‑kvante‑kryptografi (PQC) — kryptering designet til at forblive sikker, selv når kvantecomputere kan bryde nutidens standarder — som en langsigtet, risikobaseret overgang snarere end et engangsskift af algoritme. Ud fra hvad du ser på tværs af finansielle institutioner, hvor er den største kløft mellem at genkende kvante‑risiko og faktisk kunne handle på den?
Den største kløft i dag er synlighed. De fleste finansielle institutioner har endnu ikke et komplet “kryptografisk materialeliste” — dvs. et klart overblik over, hvor kryptografi anvendes, hvilke algoritmer der beskytter hvilke aktiver, og hvor længe disse aktiver skal forblive sikre.
Uden dette grundlag er det svært at prioritere migration. Selv når synligheden forbedres, er udskiftning af kryptografi i regulerede, ældre systemer en langsom proces, der involverer software, hardware, certificering og operationelle ændringer. Udfordringen er ikke at genkende risikoen, men at omsætte denne bevidsthed til en handlingsorienteret migrations‑roadmap.
Rapporten bemærker, at mange organisationer mangler en komplet oversigt over deres kryptografi, hvilket betyder, at de ikke fuldt ud ved, hvor kryptering anvendes på tværs af applikationer, dataflow og infrastruktur. Hvorfor er denne synlighed stadig så begrænset i store finansielle institutioner, og hvad er de mest praktiske måder at løse det på?
Moderne systemer består af mange indbyrdes forbundne software‑komponenter og delsystemer, som er udviklet uafhængigt, på forskellige tidspunkter og af forskellige aktører. Det er ofte svært blot at få et komplet overblik over, hvilken software der anvendes, for ikke at nævne hvilke algoritmer der bruges. Der er sandsynligvis ingen “one‑size‑fits‑all” løsning.
Dog er virksomheder, der allerede har et overblik over deres software, sandsynligvis bedre stillet. Det samme gælder hardware; de fleste banker arbejder stadig med krypteringsnøgler, der leveres via brug af HSM‑er, hvilket skaber en afhængighedskæde fra applikationen helt ned til den kørende hardware. Da cloud‑boom kom ind i den finansielle sektor, gjorde det mange ting lettere, men at have den rette mængde synlighed i tjenesterne var sværere. Så i øjeblikket arbejder mange institutioner, som en del af overgangen til PQC‑standarder, på at skabe et fuldt overblik over nøgler.
Du har påpeget, at PQC‑parathed ofte stopper op på grund af ejerskabs‑ og styringsproblemer snarere end selve kryptografivalget. Hvordan omsættes uklare ansvarsområder mellem sikkerhed, IT og produktteams til reelle langsigtede sikkerheds‑ og compliance‑risici?
Kryptografi befinder sig i krydsfeltet mellem sikkerhed, infrastruktur og applikationsudvikling. Når ejerskabet er uklart, går migrationsindsatsen i stå — ikke fordi algoritmerne er ukendte, men fordi intet enkelt team har mandatet eller synligheden til at drive overgangen.
Over tid skaber dette systemisk risiko. Systemer forbliver afhængige af ældre kryptografi længere end tilsigtet, hvilket øger eksponeringen og gør den endelige migration mere kompleks, dyr og forstyrrende.
Crypto‑agilitet — evnen til at udskifte eller opgradere kryptografiske algoritmer uden at genopbygge hele systemer — bliver ofte nævnt som essentiel for PQC‑parathed. Hvordan øger manglen på crypto‑agilitet indlåsning, teknisk gæld og fremtidige opgraderingsomkostninger for finansielle institutioner?
Crypto‑agilitet afgør, om kryptografiske komponenter kan udskiftes uden at redesigne hele systemer. Hvor kryptografi er dybt indlejret i applikationslogik eller infrastruktur, bliver udskiftning dyr og operationelt risikabel.
Institutioner, der bygger agilitet nu, vil kunne overgå gradvist. De, der ikke gør, kan senere stå over for store, forstyrrende migrationer, især efterhånden som standarder og regulatoriske forventninger udvikler sig.
Fra dit perspektiv hos Partisia, som opererer på det kryptografiske og infrastrukturlag i regulerede systemer, hvilke typer af ældre platforme eller arkitekturmønstre viser sig at være sværest at forberede på PQC, og hvorfor?
Højt regulerede systemer er ofte de sværeste at opdatere. Dette er bevidst — disse systemer er designet til stabilitet og sikkerhed, ikke hurtig forandring.
At overføre dem til PQC kræver mere end blot at opdatere algoritmer. Det indebærer softwareopdateringer, hardware‑support, recertificering og operationel validering. Disse begrænsninger gør tidlig planlægning essentiel, da migrations‑tidslinjer måles i år, ikke måneder.
En central anbefaling i rapporten er, at organisationer vurderer, hvor længe forskellige data‑aktiver skal forblive sikre — for eksempel om følsomme finansielle eller personlige data skal forblive fortrolige i år eller årtier. Hvordan bør institutioner realistisk evaluere kryptografisk “levetid” ved planlægning af PQC‑migration?
Institutioner skal vurdere, hvor længe specifikke data skal forblive fortrolige, og hvilke konsekvenser der ville være, hvis de blev afsløret i fremtiden.
Nogle data, såsom transaktionsoptegnelser eller personlige finansielle oplysninger, kan have brug for beskyttelse i årtier. Dette gør dem sårbare over for “høst nu, dekrypter senere” scenarier, hvor krypterede data indsamles i dag og dekrypteres, når kvantekapaciteterne er modne. Forståelse af disse tidslinjer er afgørende for at prioritere migration.
Mange teams antager, at PQC‑arbejde kun starter, når de endelige standarder er fuldt fastlagt, men rapporten antyder, at forberedelse skal ske tidligere. Hvad konkrete handlinger bør sikkerheds‑ og arkitekturteams prioritere i de næste 12–24 måneder, selv før store migrationer påbegyndes?
Det vigtigste skridt er at etablere en komplet oversigt over kryptografisk brug — forstå, hvor kryptografi anvendes, hvordan den implementeres, og hvilke systemer der er afhængige af den.
Denne synlighed gør det muligt for institutioner at identificere høj‑risiko systemer og begynde at designe crypto‑agile arkitekturer, der understøtter fremtidige algoritmeovergange uden omfattende forstyrrelser.
Der er stadig en tro på, at udsættelse af PQC‑planlægning sparer penge, indtil kvante‑trusler bliver mere umiddelbare. Baseret på hvad du ser i praksis, hvordan øger udsættelse faktisk fremtidige omkostninger, operationel kompleksitet og risikoeksponering?
Godt spørgsmål. Udskydelse af forberedelse eliminerer ikke migrationsarbejdet — det komprimerer det til en kortere tidsramme. Systemer, der implementeres i dag, kan forblive i drift i årtier, hvilket betyder, at beslutninger truffet nu bestemmer fremtidig risikoeksponering.
Tidlig forberedelse gør det muligt for institutioner at indarbejde crypto‑agilitet i normale opgraderingscyklusser. At vente for længe kan kræve dyre, hastige migrationer under regulatorisk eller trussels‑pres.
Du har arbejdet med cloud‑native systemer, blockchain‑infrastruktur og privatlivsbevarende teknologier som sikker multiparty computation, der gør det muligt at behandle data uden at afsløre dem. Hvordan adskiller PQC‑planlægning sig i disse distribuerede eller privatlivsfokuserede miljøer sammenlignet med traditionelle centraliserede finansielle systemer?
På et grundlæggende niveau er udfordringen den samme: at identificere, hvor kryptografi anvendes, og sikre at den kan udskiftes sikkert. Uanset om et system er centraliseret eller distribueret, afhænger sikkerheden i sidste ende af styrken og livscyklussen for dets kryptografiske primitive.
Den største forskel er arkitektonisk synlighed. Distribuerede og kryptografi‑drevne systemer har ofte klarere grænser omkring nøglebrug og verifikation, hvilket kan gøre afhængigheder lettere at identificere. Men den grundlæggende opgave — at opnå synlighed, planlægge migration og sikre kryptografisk agilitet — forbliver den samme i begge miljøer.
Ser vi fremad, forventer du, at PQC‑parathed vil blive en regulatorisk compliance‑baseline, eller kan det udvikle sig til en konkurrencedygtig og tillidsbaseret differentieringsfaktor for finansielle institutioner — og hvilke tidlige signaler bør investorer og teknologiledere holde øje med?
På kort sigt vil PQC sandsynligvis fremstå som en del af de udviklende sikkerheds‑ og regulatoriske forventninger snarere end som et selvstændigt compliance‑krav.
Over tid vil institutioner, der demonstrerer stærk kryptografisk robusthed og langsigtet databeskyttelse, have en tillidsfordel. Investorer og regulatorer er i stigende grad opmærksomme på infrastrukturrisiko, og kryptografisk beredskab bliver en del af den bredere robusthedsdiskussion.
Tak for det gode interview, læsere der ønsker at lære mere, bør besøge Partisia.












