Pejlinger

Om revolutionen fra skyen og hvordan den forandrer verden

Virksomhedernes egne værktøjer bliver vendt mod dem selv

To angreb på én uge viser, hvordan den digitale angrebsflade vokser i begge retninger: En AI-agent fandt på to timer en sårbarhed i McKinseys chatbot, som firmaets egen sikkerhedsafdeling havde overset i to år. Og iranske hackere brugte den amerikanske virksomhed Strykers eget administrationssystem til at slette virksomhedens computere verden over.

Mikael Lynnerup

Da sikkerhedsfirmaet CodeWall i slutningen af februar slap sin autonome AI-agent løs på McKinseys interne chatbot Lilli, havde agenten hverken adgangskoder eller forhåndsviden om systemet. Alligevel tog det kun to timer for AI-agenten at opnå fuld læse- og skriveadgang til hele produktionsdatabasen for Lilli chatbotten.

Udbyttet var kolossalt. Ifølge CodeWalls redegørelse om forløbet, offentliggjort 9. marts, fik agenten adgang til 46,5 millioner chatsamtaler om strategi, fusioner og klientopgaver, 728.000 filer med fortrolige klientdata, 57.000 brugerkonti og 95 systeminstruktioner, der styrer chatbottens adfærd. Alle instruktioner kunne overskrives. En angriber ville med én enkelt databasekommando kunne manipulere de svar, som over 40.000 McKinsey-konsulenter dagligt baserer deres rådgivning på.

Indgangsdøren var en såkaldt SQL-injektion. Det er en sårbarhedstype, der har været velkendt siden 1990’erne, og som enhver grundbog i it-sikkerhed advarer imod. McKinseys egne sikkerhedsscannere, herunder det udbredte værktøj OWASP ZAP, havde overset den i de to år, Lilli har været i produktion. Sårbarheden sad et usædvanligt sted: ikke i de værdier, brugerne indtastede, men i selve feltnavnene i det JSON-format, som programmets grænseflade bruger. Det er en blindvinkel, som de fleste standardværktøjer ikke kontrollerer for, påpeger sikkerhedsanalytikeren Edward Kiledjian i en uafhængig gennemgang af forløbet.

Da McKinsey blev orienteret om resultatet af det ‘venligtsindede’ angreb fra CodeWall sørgede McKinseys it-afdeling for at lukke hullerne inden for et døgn. Efterfølgende sagde McKinsey i en udtalelse til The Register, det britiske teknologimedie, at en ekstern teknisk undersøgelse ikke fandt tegn på, at klientdata var tilgået af uvedkommende. Men som sikkerhedsfirmaet Promptfoo har bemærket, så er hurtig lapning ikke det samme som en afsluttet undersøgelse af, om sårbarheden tidligere er blevet udnyttet af andre.

Hackere brugte Strykers eget styresystem som våben

Knap to døgn senere, den 11. marts, blev den amerikanske medikotekniske gigant Stryker ramt af et angreb af en helt anden karakter. Den iransk-tilknyttede hackergruppe Handala påtog sig ansvaret for en global sletningsoperation, der ifølge gruppens egne påstande ramte over 200.000 servere, computere og mobiltelefoner.

Stryker, der med 56.000 ansatte og en omsætning på over 25 milliarder dollar i 2025 er en af verdens største producenter af kirurgisk udstyr, defibrillatorer og hospitalssenge, bekræftede angrebet i en regulatorisk meddelelse til det amerikanske børstilsyn, SEC. Selskabet beskrev hændelsen som en alvorlig global forstyrrelse af hele virksomhedens Microsoft-miljø.

Det mest opsigtsvækkende ved angrebet var metoden. Ifølge sikkerhedsforskeren Brian Krebs, der citerer en anonym kilde med kendskab til forløbet, ser det ud til, at hackerne skaffede sig adgang til Strykers Microsoft Intune-konto. Intune er Microsofts skybaserede værktøj til fjernstyring af virksomheders enheder, og det indeholder blandt andet en funktion til fjernsletning af stjålne eller bortkomne telefoner, notebooks og andre computere. Hackerne udløste tilsyneladende denne funktion mod hele Strykers maskinpark på én gang. Ansatte i USA, Irland, Australien og Indien rapporterede på Reddit, at deres computere og telefoner var blevet nulstillet midt om natten, og at login-sider nu viste Handalas logo.

Rafe Pilling, chef for trusselsefterretninger hos sikkerhedsfirmaet Sophos, bekræftede over for NBC News, at angrebet sandsynligvis udnyttede Intunes fjernsletningsfunktion. Stryker bad efterfølgende alle deres ansatte om at afinstallere Intune, Teams og VPN-klienter fra private enheder.

To angreb, én fælles logik

De to hændelser ligner ved første øjekast ikke hinanden. McKinsey-sagen var en kontrolleret sikkerhedstest af en AI-platform. Stryker-angrebet var en destruktiv geopolitisk handling, udført som gengældelse for det amerikanske missilangreb mod en pigeskole i den iranske by Minab den 28. februar, hvor mindst 175 mennesker blev dræbt. Handala, som sikkerhedsfirmaet Palo Alto Networks knytter til Irans efterretningstjeneste MOIS, har siden konflikten mellem USA, Israel og Iran brød ud, taget ansvar for en række angreb mod israelske og vestlige mål.

Men den underliggende metodik er den samme. I begge tilfælde blev et system, der var designet til at øge produktivitet og kontrol, forvandlet til en sårbarhed. Lilli var McKinseys flagskib for vidensdeling, men dens database var åben som en ladeport. Intune var Strykers værktøj til at beskytte og styre enheder, men det kunne vendes til et våben, der slettede alle enheder i et globalt netværk med over 50.000 brugere.

En ny angrebsflade kræver et nyt forsvar

Ifølge en rundspørge offentliggjort af Dark Reading, et amerikansk fagmedie for cybersikkerhed, vurderer 48 procent af de adspurgte sikkerhedsfolk, at autonome AI-agenter vil udgøre den største angrebsvektor for cyberkriminelle og statslige aktører inden udgangen af 2026. Palo Alto Networks forudsiger i sine årlige prognoser, at angribere i stigende grad vil rette sig mod selve AI-systemerne frem for mod menneskelige brugere.

CodeWall-sagen illustrerer hvorfor. Virksomhedens AI-agent fandt ikke blot en sårbarhed, men udvalgte selv sit mål, analyserede angrebsfladen og gennemførte hele kæden uden menneskelig indgriben. Firmaets direktør, Paul Price, sagde til The Register, at hele forløbet var fuldstændig autonomt. Kriminelle vil bruge præcis den samme teknologi, advarede han.

Og mens AI-agenterne bliver bedre til at finde huller, demonstrerer Stryker-sagen, at angrebene ikke behøver at være teknologisk sofistikerede for at være ødelæggende. Det kræver blot adgang til de rette administrative værktøjer. Når virksomheder centraliserer styringen af titusindvis af enheder i ét skybaseret system, bliver det system potentielt ødelæggende våben.

Hos McKinsey lykkedes det ikke for verdens førende strategikonsulenter at opdage en klassisk sikkerhedsfejl i deres eget flagskibs-AI-produkt, selvom den konkrete sikkerhedsbrist har været velbeskrevet siden 1990’erne. Og hos Stryker, en medicinsk virksomhed med milliarder i omsætning, blev kostbare sikkerhedsløsninger vendt på hovedet og derpå vendt mod virksomheden selv. Begge dele burde give anledning til en grundigere samtale om, hvad det egentlig vil sige at have kontrol over sin digitale infrastruktur.