Når angreb ikke ligner angreb

Hybridkrig i en verden af adgangskort, sensorer og netværksstøj 

De fleste sikkerhedssystemer er bygget til at opdage det usædvanlige. En dør, der bliver brudt op. En server, der bliver hacket. Et kamera, der går offline. Noget, der tydeligt afviger fra normal drift. 

Men moderne konflikter ser anderledes ud. I dag bliver angreb i stigende grad designet til netop ikke at ligne angreb. De ligner i stedet fejl, støj, tekniske problemer eller menneskelige misforståelser.  

Det betyder, at mange organisationer i dag leder efter det forkerte. 

Og det er her, overvågning, adgangskontrol og cybersikkerhed pludselig får en langt mere kompleks rolle. I en verden med hybridkrig er det ikke nødvendigvis de store eksplosioner, der afgør slagets gang. Det er de små hændelser, der tilsammen skubber systemer ud af balance. 

Når fejl ikke længere bare er fejl 

I komplekse infrastrukturer sker der hele tiden noget: netværkspakker går tabt, sensorer fejler, adgangskort bliver brugt på skæve tidspunkter, og systemer opfører sig ikke altid, som de skal. Normalt bliver det håndteret som drift: man fejlretter, genstarter og kommer videre. 

Men hvad hvis en del af disse hændelser ikke er tilfældige? 

Når en aktør ønsker at svække en organisation, en forsyningskæde eller et samfund, er det sjældent effektivt at lave ét stort, synligt angreb. Det er langt billigere og mere effektivt at skabe en række små forstyrrelser, der hver for sig virker harmløse, men som tilsammen skaber usikkerhed, ineffektivitet og tvivl om, hvad der egentlig foregår. 

I den logik er det en fordel, hvis ingen kan pege på et klart angreb. Hvis hændelserne kan forklares væk som almindelige driftsproblemer. Ingen enkelt hændelse udløser alarm. Men tilsammen ændrer de adfærd, prioriteringer og tillid. 

Legitim adgang er blevet den bløde mave 

I mange organisationer er adgangskontrol tænkt som et administrativt system: hvem er ansat, hvem har et kort, hvem må komme ind hvor. I hybridtrusler er det sjældent nødvendigt at bryde noget op – legitim adgang er ofte nok. 

Et gyldigt adgangskort. En VPN-bruger. En tekniker, der allerede har rettigheder. En underleverandør med midlertidig adgang. 

Det er langt nemmere at misbruge en eksisterende tilladelse end at bryde gennem et hegn eller et firewall. Og når noget går galt, ligner det bare, at en autoriseret bruger har lavet en fejl. 

Det er en af grundene til, at adgangsstyring i dag ikke kun handler om compliance og personaleadministration. Den er blevet en del af den tekniske frontlinje. 

Overvågning uden kontekst er næsten værdiløs 

De fleste organisationer indsamler enorme mængder data: logfiler, adgangslogs, kameraoptagelser, netværkstraffik, alarmer fra sensorer. Problemet er sjældent mangel på information. Det er mangel på fortolkning. 

Hvis man ikke har et klart billede af, hvem der kunne have interesse i at ramme ens systemer, og hvordan de ville gøre det, så drukner signalerne i støjen. En usædvanlig login-tid, en kortvarig netværksforstyrrelse eller et kamera, der mister forbindelse i et minut, ser ikke nødvendigvis alarmerende ud – medmindre man ved, hvad man leder efter. 

Hybridkrig udnytter netop dette. Angrebene bliver lagt, så de passer ind i det normale støjbillede. Uden trusselsforståelse bliver overvågning derfor et arkiv – ikke et værktøj. 

Den farlige tanke: “Der skete jo ikke noget” 

Mange hændelser bliver hurtigt lukket, fordi konsekvensen ikke var stor. Systemet kørte videre. Produktionen stoppede ikke. Ingen kom til skade. 

Men i et hybridt trusselsbillede er det ofte netop pointen. Små, tilsyneladende ufarlige hændelser kan være forsøg på at teste systemer, kortlægge reaktioner eller etablere adgang til senere brug. 

Hvis alt, der ikke giver øjeblikkelig skade, bliver ignoreret, får modstanderen gratis læring. Det svækker ikke kun sikkerheden – det giver modstanderen et billede af, hvor grænsen går. 

Et skift i, hvad sikkerhed betyder 

Den klassiske sikkerhedslogik har været: Find bruddet. Luk hullet. Kom videre. 

I dag er spørgsmålet ofte et andet: Er der nogen, der prøver at forstå vores systemer – gennem dem? 

Det kræver, at overvågning, adgangskontrol og cybersikkerhed ikke kun bruges reaktivt, men også analytisk. Ikke kun til at svare på, hvad der gik galt, men til at opdage, hvornår noget er ved at blive undersøgt. 

I en verden, hvor angreb ikke ligner angreb, er det ikke de store alarmer, der afgør, om man opdager truslen i tide. Det er evnen til at se mønstre i det, der ligner helt almindelig drift. 

Hybridtrusler kendetegnes ved:

• legitim adgang 
• små, gentagne hændelser 
• lav synlighed, høj effekt 
• udnyttelse af normal drift