Olav

Serien

Arkitektur fremfor adferd

Den mest populære sikkerhetsstrategien i markedet er også den svakeste: å håpe at mennesker ikke gjør feil.

juni 2026

Forsideillustrasjon: «Arkitektur fremfor adferd»

Det meste av dagens sikkerhetsarbeid bygger på et konsept som for lengst burde vært forlatt: at ansatte kan trenes opp til å håndtere en uforholdsmessig stor del av virksomhetens forsvar. Konsekvensen er et landskap fylt med e-læring, interne kampanjer, strenge passordregler og endeløse formaninger om årvåkenhet. Dette fremstår som ansvarlighet. Det gir inntrykk av systematikk. Reelt sett er dette et compliance-teater der ledelsen betaler for opplevelsen av kontroll, helt uten å endre de underliggende tekniske parameterne for et angrep.

Mørketallsundersøkelsen dokumenterer hvor dypt forankret denne logikken er. E-læring utgjør det mest utbredte tiltaket virksomheter implementerer for å heve de ansattes sikkerhetsbevissthet; 37 prosent oppgir å gjøre dette.1 Samtidig rapporterer 38 prosent av de som har opplevd et datainnbrudd, at menneskelig svikt utgjorde årsaken. 31 prosent peker direkte på manglende sikkerhetskultur hos ansatte.1 Disse tallene utnyttes tradisjonelt som et argument for å øke volumet av opplæring. Tallene bør i stedet leses motsatt: majoriteten av virksomheter bygger fortsatt systemer der en enkelt menneskelig feil gir angriperen teknisk verdi.1

Dette utgjør den reelle arkitektoniske svikten. Mennesker i moderne organisasjoner arbeider under tidspress. De prosesserer informasjon hurtig, skifter mellom kontekster, godkjenner rutinemessige pålogginger, og prioriterer framdrift i egne kjerneoppgaver. En sikkerhetsmodell kan ikke kreve at absolutt alle ansatte alltid gjennomskuer manipulasjon. Den kan ikke kreve at de alltid verifiserer lenker feilfritt. En slik modell bygger på en fiksjon om menneskelig, maskinell presisjon. Et selskap som baserer sitt primære forsvar på at de ansatte aldri gjør feil, har i praksis ikke bygget et forsvarsverk.

Det er her skillet mellom adferd og arkitektur blir avgjørende. Adferdsbasert sikkerhet forsøker å forbedre brukeren. Arkitekturbasert sikkerhet forbedrer systemet. Den første tilnærmingen prøver å redusere sannsynligheten for feil. Den andre forsøker å sørge for at feilen ikke lenger kan utnyttes. Forskjellen er enorm. I det ene tilfellet er mennesket siste forsvarslinje. I det andre er mennesket ikke lenger den primære angrepsflaten.

Myndighetenes sikkerhetsfaglige retning speiler nøyaktig det samme bildet. I revidert nasjonalbudsjett (Meld. St. 9, 2022–2023) løftes en digital nettverksarkitektur fundamentert på Zero Trust (at ingen enheter har automatisk tillit), fram som et nødvendig konkret tiltak.2 Den samme stortingsmeldingen fastslår at opp mot 80 prosent av hendelsene NSM håndterer, kunne vært forhindret hvis grunnleggende sikkerhetstiltak var fulgt.2 Dette er et brutalt, men nyttig faktum. Det betyr at store deler av skadebildet ikke skyldes ekstremt avanserte angripere. Omfanget eksisterer fordi virksomhetsmarkedet fremdeles benytter primitive identitetsmodeller, flate tilgangsstrukturer og kopierbare sikkerhetsmekanismer.2

Tradisjonelle passord utgjør det tydeligste beviset på problemet. Et passord fungerer ikke som en kontrollert fysisk nøkkel; det er utelukkende informasjon. Det kan gjettes, knekkes, kjøpes i bulk, avlyttes og videresendes i sanntid. Derfor hjelper det bare delvis å kreve at passordet gjøres lengre, mer komplekst eller oftere rotert. Den operative svakheten ligger ikke i kompleksiteten. Svakheten ligger i det faktum at hele tilgangskontrollen bygger på en hemmelighet som kan kopieres over et nettverk.

Tradisjonell tofaktorautentisering løser ikke denne svakheten. Tidsbegrensede SMS-koder og engangskoder fra apper fremstår sterkere fordi de krever en handling i et separat grensesnitt. Men også disse kodene fanges rutinemessig opp og rutes videre i sanntid dersom brukeren først lures inn på en falsk innloggingsside. Dermed hviler forsvaret fremdeles tungt på at en ansatt oppdager det digitale bedraget. Det punktet inntreffer alltid for sent. Et operativt forsvar må være designet slik at selve infrastrukturen avviser angrepet, uavhengig av om brukeren aktivt trykker godkjenn.

Løsningen finnes i infrastrukturen de fleste virksomheter allerede betaler for. Kjernen i et moderne forsvar er å konfigurere plattformen (for eksempel Microsoft 365) slik at den matematisk nekter å godta innlogginger fra uautoriserte eller forfalskede kilder. Dette gjøres ved å binde den ansattes digitale identitet strengt til maskinvare, og kreve bevis systemet selv kan verifisere. Dersom brukeren ledes inn på et forfalsket nettsted, har ikke maskinvaren teknisk evne til å signere forespørselen. Angrepet møter veggen, men ikke fordi den ansatte utviste kritisk skjønn. Det stanses fordi systemets arkitektur avviser logikken i angrepet.

Sikkerheten øker altså ikke fordi brukerne har blitt smartere, men fordi den underliggende plattformen er konfigurert for å avvise manipulering. Kategorier av angrep som bransjen i to tiår har forsøkt å mitigere med e-læring og etterpåklokskap, slutter å fungere når påloggingen ikke lenger kan fanges opp og kopieres.

Det er i dette presise ingeniørklimaet at moderne sikkerhet har praktisk verdi. Det handler ikke om markedsføringsord, men om en operasjonell erkjennelse av at selve nettverket alltid må betraktes som fiendtlig. Ingen maskin, bruker eller nettverkssesjon kan tillates å arve permanent tillit. Tilganger må utdeles eksplisitt og begrenses til det som er strengt nødvendig for oppgaven. Dette formatet fratar organisasjonen behovet for å stole på rutiner og årvåkenhet. Resultatet er deterministisk operativ motstandskraft.2

Datasikkerhet er ikke et adferdsfag. Det er et ingeniørfag. Å overlate ansvaret for virksomhetens forsvar til de ansattes årvåkenhet, er ingen strategi. Operativ motstandskraft oppnås først når ledelsen aksepterer at menneskelige feil ikke kan trenes bort. Den eneste pålitelige løsningen er å nøytralisere angrep direkte i arkitekturen. Først når arkitekturen er systematisert, vil dokumenasjon få evnen til å bli automatisk.

Kilder

  1. Mørketallsundersøkelsen 2024. Næringslivets Sikkerhetsråd (NSR).
  2. Meld. St. 9 (2022–2023): Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Justis- og beredskapsdepartementet.

Alle utgaver