Sophos: 71 % af virksomheder ramt af identitetsbrud i 2025

Sophos: 71 % af virksomheder ramt af identitetsbrud i 2025

En stor ny rapport fra Sophos har sat et slående tal på et problem, som sikkerhedsprofessionelle har advaret om i årevis: 71 % af organisationer verden over har oplevet mindst ét identitetsrelateret sikkerhedsbrud i det seneste år. Tallene lander på et tidspunkt, hvor identitetsbaserede angreb ikke længere er en nichetrussel, men den dominerende metode, som angribere bruger til at få fodfæste i virksomheders miljøer. For både virksomheder og enkeltpersoner er dataene et klart signal om, at identitetshygiejne ikke længere kan behandles som et sekundært hensyn.

Hvad Sophos’ data afslører om hyppigheden og omfanget af identitetsbrud

Det er svært at ignorere omfanget af Sophos’ resultater. Næsten tre ud af fire organisationer på tværs af brancher og geografier oplevede et identitetsrelateret kompromittering på et enkelt år. Det er ikke en historie om en håndfuld højtprofilerede mål; det afspejler en bred, systemisk sårbarhed i, hvordan organisationer styrer, hvem og hvad der har adgang til deres systemer.

Identitetsrelaterede brud adskiller sig fra traditionelle netværksindtrængninger på en vigtig måde. I stedet for at bryde gennem en firewall kompromitterer angribere loginoplysninger eller tokens, der giver dem legitimt udseende adgang. Når de først er inde, kan de bevæge sig lateralt, opgradere rettigheder og eksfiltrere data, mens de i første omgang fremstår som en autoriseret bruger. Dette gør detektion langsommere og genopretning mere kompleks.

Virkelige konsekvenser af identitetsfejl har allerede fyldt overskrifterne i 2025. Alert 360-bruddet, der eksponerede 2,5 millioner poster, og Zara-bruddet, der berørte næsten 200.000 kunder via en tredjepartsleverandør, illustrerer begge, hvordan kompromitterede adgangsoplysninger – hvad enten det sker gennem direkte angreb eller eksponering i forsyningskæden – kan udvikle sig til massive datatab.

Hvordan ikke-menneskelige identiteter og API-nøgler bliver primære mål

Et af de mere fremadskuende resultater i Sophos-rapporten er den opmærksomhed, den retter mod ikke-menneskelige identiteter. Denne kategori omfatter API-nøgler, servicekonti, automatiseringsscripts og i stigende grad AI-agenter, der får adgang til systemer for at udføre opgaver autonomt.

I takt med at organisationer tager AI-drevne værktøjer i brug og automatiserer flere arbejdsgange, skaber de en voksende beholdning af ikke-menneskelige aktører, der besidder legitimationsoplysninger og tilladelser. Problemet er, at disse identiteter ofte er fejlbehæftet forvaltet: tilladelser er for brede, legitimationsoplysninger roteres sjældent, og overvågning af unormal adfærd er i bedste fald inkonsekvent.

En API-nøgle, der er indlejret i et kodelager, eller en AI-agent, der har skriveadgang til en produktionsdatabase, udgør et højværdimål for angribere. I modsætning til menneskelige brugerkonti mangler ikke-menneskelige identiteter ofte den samme livscyklusstyring, hvilket betyder, at de kan bestå længe efter, at de er nødvendige, og forblive ubemærket, når de kompromitteres. Sophos-rapporten identificerer denne fejlforvaltning som en af de primære angrebsvektorer, der driver tallet på 71 %.

Hvorfor menneskelige fejl forbliver det svageste led i identitetssikkerhed

Ved siden af stigningen i ikke-menneskelige identitetsrisici bekræfter Sophos-resultaterne, at menneskelige fejl fortsat underminerer selv velressourcede sikkerhedsprogrammer. Phishing er stadig bemærkelsesværdigt effektivt. Genbrug af legitimationsoplysninger på tværs af private og professionelle konti skaber veje for angribere til at springe fra et forbrugerbrud ind i et virksomhedsmiljø. Og overprivilegerede konti, oprettet af bekvemmelighedshensyn og aldrig korrekt afgrænset, giver angribere mere adgang, end de nogensinde burde kunne opnå.

Det menneskelige element er også tydeligt i, hvor hurtigt brud eskalerer, når den indledende adgang er opnået. En enkelt kompromitteret konto, der bruges af en person med brede administrative rettigheder, kan eksponere tusindvis af poster inden for få timer. Sundhedssektoren har vist sig særligt sårbar, som det ses i hændelser som NYC Health-bruddet, der berørte 1,8 millioner personer, hvor identitetsfejlforvaltning på ethvert niveau i et komplekst system kan få uforholdsmæssigt store konsekvenser.

Trænings- og oplysningsprogrammer hjælper, men de er ikke tilstrækkelige alene. Sophos-dataene antyder, at organisationer har brug for strukturelle kontroller, der reducerer eksplosionsradius ved menneskelige fejl, ikke kun politikker, der forlader sig på, at medarbejderne gør det rigtige hver eneste gang.

Forsvar i dybden: Hvor VPN’er og privatlivsværktøjer passer ind i identitetsbeskyttelse

Intet enkelt værktøj løser identitetssikkerhedsproblemet, og det er netop pointen. Konceptet forsvar i dybden – at lægge flere sikkerhedskontroller i lag, så en fejl i én ikke automatisk betyder en fuldstændig kompromittering – er den ramme, som Sophos-resultaterne argumenterer for, om end implicit.

VPN’er spiller en specifik og vigtig rolle i denne stak. Ved at kryptere netværkstrafik og maskere forbindelsesmetadata reducerer en VPN risikoen for, at legitimationsoplysninger eller sessionstokens opsnappes under transmission, især på utroværdige netværk. For fjernarbejdere, der tilgår virksomhedens ressourcer fra hoteller, lufthavne eller delte arbejdsområder, er en VPN en grundlæggende, men meningsfuld kontrol, der lukker et ellers åbent vindue.

Ud over VPN’er omfatter en lagdelt identitetsbeskyttelsesstrategi multifaktorautentificering på alle konti, princippet om mindste privilegium for både menneskelige og ikke-menneskelige identiteter, regelmæssig revision af aktive legitimationsoplysninger og API-nøgler samt overvågning af unormale loginmønstre. Sophos-dataene understreger, at dette ikke er valgfri ekstrafunktioner for store virksomheder; organisationer af alle størrelser er mål.

Hvad dette betyder for dig

Uanset om du administrerer IT for en virksomhed eller blot er en enkeltperson, der forsøger at beskytte dine konti, bærer Sophos-rapporten en direkte besked: identitet er perimeteret nu, og det skal forsvares i overensstemmelse hermed.

Her er konkrete skridt at tage:

• Auditér dine legitimationsoplysninger. Identificer eventuelle konti, der bruger genbrugte eller svage adgangskoder, og opdater dem med unikke, komplekse alternativer gemt i en adgangskodeadministrator.
• Aktivér multifaktorautentificering overalt. Prioriter dine e-mail-, finans- og arbejdskonti først.
• Gennemgå apptilladelser og API-adgang. Hvis du administrerer softwareprojekter eller forretningsværktøjer, gennemgå hvilke tjenester der har aktive legitimationsoplysninger, og tilbagekald alt, der ikke længere er i brug.
• Brug en VPN på utroværdige netværk. Kryptering af din forbindelse forhindrer opsnapning af legitimationsoplysninger, når du er væk fra sikrede miljøer.
• Hold dig informeret om brud. Tjenester, der giver dig besked, når din e-mail optræder i et kendt bruddatasæt, giver dig en tidlig advarsel om at rotere berørte legitimationsoplysninger, før angribere kan udnytte dem.

Tallet på 71 % fra Sophos er ikke en grund til panik, men det er en grund til handling. Identitetsrelaterede sikkerhedsbrud i 2025 er ikke hypotetiske risici; de sker for størstedelen af organisationer lige nu. At opbygge lagdelte forsvar, der kombinerer stærk identitetspraksis med netværksbeskyttelser, er den praktiske reaktion, som dataene kræver.