Hero-grafik med laptop og lås i centrum, netværksnoder og subtil silhuet i baggrunden; symboliserer insidertrusler, zero trust og data-beskyttelse i virksomheden

Insidertrusler starter udenfor

/

, ,

Sådan beskytter du virksomhedens data i 2025 mod sådan beskytter du virksomheden imod insidertrusler!

Den mest oversete sandhed i cybersikkerhed i 2025 er, at mange af de værste hændelser, insidertrusler, starter udefra, men ender indefra. Med andre ord: En “outsider” kan blive til en “insider”, så snart vedkommende får legitim adgang til systemer – som ansat, konsulent eller underleverandør. Det gør insider trusler både mere sandsynlige og dyrere at rydde op efter end klassiske “hack” udefra.

Det er ikke kun store koncerner, der har problemet. Danske små og mellemstore virksomheder er lige så udsatte, særligt når udvikling, support og drift i stigende grad løses af fjernarbejdere og eksterne partnere. Når identiteten bag skærmen primært består af dokumenter, profiler og videoopkald, er afstanden fra “ukendt freelancer” til “intern adgang” kort.

Fra falske profiler til legitim adgang

I min artikel Nordkoreanske it-arbejdere infiltrerer vestlige virksomheder – ved hjælp af AI og falske profiler beskrev jeg, hvordan organiserede netværk bruger AI-genererede CV’er, velsmurte LinkedIn-profiler – og i nogle tilfælde deepfakes – til at glide igennem screenings og jobsamtaler. Målet er dobbeltsidet: at hente løn til et regime under sanktioner og at åbne døre til data, kode og systemer. Et opsigtsvækkende eksempel er den amerikanske sag mod Christina Chapman, der drev en “laptop farm” og via +300 falske identiteter var med til at kanalisere mindst 17 mio. USD til Nordkorea. justice.gov WIRED

Det lyder dramatisk, men mønstret er bredere end én dom. Undersøgelser og internationale medier dokumenterer, at fjernansættelser misbruges systematisk: stjålne identiteter, AI-opsminkede jobprofiler og mellemled, der håndterer udstyr og lønudbetalinger, gør insidertrusler og svindel svær at opdage – særligt for mindre virksomheder uden tung compliance-maskine. Axios WIRED

Tallene, der bør få alle ledelser til at stoppe op

I Verizon DBIR 2025 fremgår det, at interne aktører er involveret i omkring 30 % af databrud (ekskl. partnere). Det er ikke kun “onde” insiders, menneskelige fejl og uagtsomhed fylder meget på tværs af brancher. Samtidig ligger den globale gennemsnitspris for et databrud i år på 4,44 mio. USD ifølge IBMs Cost of a Data Breach 2025. Og 83 % af organisationer rapporterede mindst én insider-hændelse i 2024, ifølge en analyse på IBM Think (baseret på Cybersecurity Insiders). Verizon DBIR IBM What is a Databreach IBM Insider attacks

Det billede stemmer overens med pointerne i Jan Kaastrups opslag om insidertrusler og omkostningerne for virksomheder på LinkedIn:
• Vi logger og overvåger ofte for lidt omkring data (hvad læses/kopieres/udføres), men har fokus på login.
Overprivilegerede adgange og manglende “least privilege” forværrer insidertrusler hændelser unødigt.
• Motiver varierer, men økonomisk gevinst og personlig fordel går igen – og uagtsomhed er hyppig årsag.

Sikkerhed er ikke længere en mulighed – det er en nødvendighed

I min anden artikel Sikkerhed er ikke længere en mulighed – det er en nødvendighed peger jeg på det afgørende: Ansvar og tempo. Trusselsniveauet er “meget højt”, men vejen til markant forbedring behøver ikke være tung eller dyr. Den koster først for alvor, når man lader være.

Kobler vi de to spor – (1) “outsidere, der bliver insidere” via fjernrekruttering og (2) ledelsens ansvar for robuste, enkle kontroller – får vi en praktisk to-fronts-strategi imod insidertrusler:

  1. Stram on- og offboarding: Verificér menneske og maskine ved ansættelse (ID-verificering + device attestation), og fjern adgange samme dag, når relationen ophører.
  2. Flyt kontrollen helt ind på endpointet: Antag, at nogen før eller siden får en legitim konto – og sørg for, at ukendt kode ikke kan køre, at apps kun må, hvad de skal, og at dataadfærd er overvåget og alarmeret.

6 konkrete kontroller, der flytter nålen i små og mellemstore virksomheder og beskytter mod insidertrusler

1) Identitet + enhed ved døren
Onboarding af fjernarbejdere/leverandører skal verificere både person og device. Ingen godkendt enhed – ingen adgang.

2) Least privilege + JIT
Varige admin-rettigheder er en risiko, der vokser med tiden. Giv midlertidig forhøjelse ved behov – med logning og udløb.

3) Application Allowlisting (default-deny)
Vend modellen om: Al software er blokeret, indtil den aktivt tillades. Det stopper opportunistiske payloads, “drop-in” scripts og sene backdoors.

4) Ringfencing / proces-sandboxing
Selv godkendte programmer skal kun måtte røre de mapper, nøgler og netværksmål, de faktisk behøver. Office behøver f.eks. ikke læse dine SSH-nøgler.

5) Data Activity Monitoring & DLP-alarmer
Logging skal ikke kun handle om login. Sæt alarmer på usædvanlig læsning/kopiering af kundedata, repo’er og delte drev.

6) Kontrakter, nøgler og offboarding som proces
Automatisér fjernelse af adgange, roter API-nøgler og kræv sikkerhedsforpligtelser og review-rettigheder i leverandørkontrakter.

Hvor passer ThreatLocker ind?

For at gøre ovenstående realistisk i en travl hverdag, anbefaler jeg ThreatLocker som en praktisk løftestang:

  • Application Allowlisting: Default-deny på endpoints – ukendt kode kører ikke.
  • Ringfencing™: Finmaskede regler, der afskærmer apps fra filer, netværk og credentials, de ikke skal røre.
  • Elevation Control: Just-In-Time administratorrettigheder uden varige lokale admins.
  • Network & Storage Control: Granulære politikker for netværksadgang og flytbare medier.

Pris: fra kr. 999,- pr. licens / årligt (erhverv).
Jeg hjælper med opsætning, politikker og løbende drift, så I hurtigt får default-deny, ringfencing og JIT ind i hverdagen – uden at forstyrre forretningen unødigt.

Book en uforpligtende snak


Læs mere om ThreatLocker

Skriv et svar