Fra perimetersikkerhed til identitet som sikkerhed

Af Danny Bradbury • 15 januar 2026

Man kan ikke kaste et blik på en sikkerhedshændelse i disse dage uden at se udtrykket "nultrust". Det er ganske vist et modeord, men det er et nyttigt et. Kernen er et fundamentalt skift i sikkerhedsfokus væk fra perimetersikkerhed.

Nultillid er allerede et gammelt udtryk, der dukkede op i branchens sprogbrug omkring 2010, men dets principper strækker sig længere tilbage end det til Jericho Forum, en samling af ledende cybersikkerhedsledere.

Medlemmer af Jericho opfandt først udtrykket 'deperimeterisering' omkring 2004. Dette anerkendte, at en 'ring af jern', en beskyttende perimeter omkring virksomhedsnetværket, ikke længere var nok. Efterhånden som entreprenører og andre forretningspartnere fik mere adgang til netværket, blev ideen om et 'inderside' og et 'uderside' mere og mere uforståelig. Netværket, der engang var et slot med en voldgrav, havde udviklet sig til en by med flere porte og masser af mennesker, der strømmede frit ind og ud.

Deperimeterisering og dens efterfølger, zero trust, flyttede deres fokus til at beskytte individuelle aktiver i netværket. Den bedste måde at gøre det på er løbende at autentificere, hvem der havde adgang til disse aktiver, og hvad de havde lov til at gøre med dem. Det betød at fokusere på identitet som den nye sikkerhed.

De, der ikke foretager den overgang, risikerer flere brud. ISMS-statusrapport for informationssikkerhed 2025 sætter endda et tal på det: antallet af autentificeringsbrud er tidoblet i det seneste år, fra 2 % til 20 % af hændelserne. Verizons databrud bekræfter, at legitimationsoplysninger fortsat er den største angrebsvektor.

Hvorfor legitimationsoplysninger er blevet skeletnøglen

Hvorfor blev legitimationsoplysninger skeletnøglen til virksomhedssystemer? Det hænger delvist sammen med udviklingen af netværksedge. Det er svært overhovedet at definere netværksedge i dag, da så meget af det nu er spredt ud over forskellige regionale datacentre og cloud-tjenester. Hybridarbejde spillede også en rolle og øgede behovet for, at folk kan få fjernadgang til netværket.

En anden drivkraft har været informationstyveriøkonomien, som er blevet industrialiseret. Denne malware stjal 2.1 milliarder loginoplysninger alene i 2024, ifølge GoogleNår en infostealer-kampagne har fået fat i loginoplysninger, er de nemme at sælge på det mørke web, og angribere, der stjæler loginoplysninger, kan derefter bruge dem til at rasle med digitale dørhåndtag på tværs af internettet.

Når de finder et hit og låser op for endnu en konto, kan angriberne være sikre på, at de har masser af tid til at udnytte den kaprede konto og slippe væk. 292 dage i gennemsnit, ifølge IBM tager brud på legitimationsoplysninger også længst tid at opdage.

Ikke-menneskelige brugere overstiger nu antallet af mennesker

Der er en anden grund til, at identitet er blevet stadig vigtigere som en del af sikkerhed: ikke-menneskelige identiteter. Dengang var de primære brugere af virksomhedens computerressourcer mennesker. I dag, takket være mikrotjenester, API'er og en spirende generation af agentiske AI-tjenester, er ikke-menneskelige brugere i undertal 144:1 i virksomheder i løbet af 2025. Det var en stigning på 56 % i forhold til året før.

Væksten af AI-agenter er særligt relevant her, fordi disse tjenester bliver mere autonome. Efterhånden som de får tillid til AI-automatisering, er organisationer mere tilbøjelige til at give disse agenter mere ansvar. Andelen af sådanne tjenester med privilegeret adgang vil stige.

Identitet er fundamentalt

Disse tendenser er grunden til, at compliance-rammer fokuserer på identitet. ISO 27001:2022 Anneks A 5.15-5.18 kodificerer identitetskontroller som en del af et bredere sæt af organisatoriske foranstaltninger, der dækker adgangskontrol, identitetsstyring, godkendelsesoplysninger og adgangsrettigheder.

Robuste sikkerhedskontrolrammer deler en fælles tråd: enhver identitet skal være unik, minimum af privilegier skal være normen og auditerbar. MFA bør være obligatorisk for privilegeret adgang.

Disse rammers fokus på identitet er aktuelt, da tilsynsmyndighederne lægger langt større vægt på dette problem. ENISA beskriver MFA som en smart måde at vise, at I overholder NIS 2. Virksomheder bør være opmærksomme, da denne EU-forordning medfører bøder på op til 10 millioner euro eller 2 % af den globale omsætning for organisationer, der ikke overholder den.

Overgang til en identitetsfokuseret sikkerhedsposition

Så hvordan kan virksomheder indføre en identitetsbaseret sikkerhedsholdning, der er uafhængig af amorfe perimetre?

Der er konkrete komponenter, der understøtter nultillid. En af dem er stærk identitets- og adgangsstyring, som involverer at sikre, at hver bruger, tjeneste og maskine er unikt identificeret og løbende autentificeret.

MFA er en klar måde at undgå kontokapring på, men det er ikke uden risici. MFA-træthed er reel, mens proxyer også kan bruges til at opfange MFA-sessioner, og infotyveri kan stjæle sessionstokens. Tokentyveri kan omgå nogle MFA'er helt. I 2024, Microsoft opdagede 147,000 token replay-angreb, en stigning på 111 % i forhold til året før.

Adgangskodefri godkendelse ved hjælp af adgangsnøgler er en anden måde at forhindre folk i at blive ofre for phishing-angreb. Det kan også stoppe nogle af de adfærdsmønstre, som slutbrugere har svært ved at opgive, når de forsøger at få arbejdet gjort, såsom at dele adgangskoder for nem adgang.

Disse ændringer kan virke skræmmende for mange organisationer, især dem, der har sammensat deres IT-infrastruktur af flere systemer over tid, gennem opkøb, fragmenterede teams og strategiske teknologiske ændringer. Men de kan gøre tingene lettere ved at starte med nogle nøgleprincipper.

Implementer ISO 27001 Annex A 5.15-5.18-kontroller som udgangspunkt. Disse vil vejlede dig i implementeringen af bedste praksis for adgangspolitikker, identitetslivscyklusstyring og godkendelsesstandarder. Et sådant framework vil give dig et solidt fundament i governance gennem foranstaltninger som regelmæssige adgangsgennemgange.

Aftal at opgøre ikke-menneskelige identiteter med samme grundighed, der gælder for medarbejdere. Foretag en gap-analyse, og se, hvad der skal til for at tage hensyn til alle servicekonti og deres TLS-certifikater eller API-nøgler, for eksempel.

I sidste ende er målet at acceptere, at identitetssikkerhed nu er en grundlæggende del af sikkerhedsstyring. Man kan trods alt ikke beskytte noget, man ikke kan autentificere.

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Læs mere fra Danny Bradbury

Cyber sikkerhed 5 februar 2026

Hvorfor regulatorer og investorer forventer, at virksomheder adresserer en blog om tredobbelt risiko

Hvorfor regulatorer og investorer forventer, at virksomheder håndterer en tredobbelt risiko

Organisationer bekymrer sig om sikkerheds- og privatlivsrisici. Og for nylig har de været opmærksomme på AI-risici. Men hvor ofte tænker de på alle ...

Danny Bradbury

Cyber sikkerhed 18 December 2025

Sådan navigerer du i den amerikanske AI-overholdelseslabyrintbanner

Sådan navigerer du i den amerikanske AI-compliance-labyrint

Når det kommer til regulering, er udtrykket 'USA' en selvmodsigelse. Statslovgivningen er alt andet end ensartet, hvor hver jurisdiktion tradi...

Danny Bradbury

Cyber sikkerhed 20. November 2025

Hvad Salesforce-brud lærer os om delt ansvarlighed banner

Hvad Salesforce-brudene lærer os om delt ansvarlighed

2025 har ikke været et godt år for Salesforce-kunder. En lyssky kriminel gruppe iværksatte en række angreb på sine kunder, hvilket i sidste ende påvirkede...

Danny Bradbury