Laddar meny
Bilde: Atea AS

Spydspissen for IT-sikkerhet

Reportasje 2015-10-23
Sevald Lund - odelsgutt fra Harstad, valgte realfag og ingeniørutdanning fremfor hjemgården. Han er 40 år og en av spydspissene i Atea innenfor IT-sikkerhet og kommunikasjon.
Terje Mathisen
Markedssjef i Region Rogaland og Agder

Hvorfor nettopp IT-sikkerhet, Sevald? 
– Det er et resultat av tilfeldigheter. Merkantildata kjøpte firmaet jeg jobbet i, og sikkerhet ble billetten min inn. Jeg skjønte raskt at jeg hadde skutt gullfuglen. Nå fikk jeg jobbe med løsninger som bandt alt sammen. 

Sevald var aldri fascinert av dataspilling da han var yngre. Han ville finne ut hvordan ting hang sammen. Han kunne sitte i timevis og lage små programmer i AmigaBasic, og det var nok da bondesønnen bestemte seg for yrkesretning. 

Og nå er du sjefskonsulent hos Atea Trondheim, hva krever det av deg?
- Etter flere år og mange eksamener på Høyskolen i Sør-Trøndelag (HiST) tenkte jeg at det blir lenge til neste gang jeg skal ha eksamen. Men slik er det ikke i denne bransjen. For å være salgbar og attraktiv, for kunder og arbeidsgiver, må man være oppdatert. Da er det sertifiseringer, i tillegg til å levere det man lover, som gjelder. Jeg er blitt en slags evighetsstudent med sikkerhetsløsninger og sikkerhetsrådgivning i hovedfokus.

Dagens trusselbilde 

Vi leser stadig om cyberangrep. Er norske virksomheter i 2015 proaktive nok med tanke på IT-sikkerhet?  – Her er det store variasjoner. Mitt inntrykk er at virksomhetene som alltid har hatt bra fokus på sikkerhet og sikkerhetsutfordringer, har blitt enda bedre. De forstår at de ikke bare må investere i produkter. De investerer også i kompetansebygging og bevisstgjøring av de ansatte. Det blir da like naturlig å «patche» brukerne og rutinene rundt sikkerhetshendelse som å vedlikeholde sikkerhetsproduktene. Da blir sikkerhet en del av den daglige rytmen som gjør det mulig å være proaktiv. Men mange virksomheter er ikke proaktive nok, dessverre. Mange tenker «det skjer ikke oss», og «vi har jo både brannmur og antivirusløsning». De gjør hovedsakelig vedlikehold av sikkerhetsproduktene, mens proaktivitet handler om gjennomføring av risikovurdering og kontinuitetsplanlegging. Uten levende planverk blir det vanskelig å være proaktiv, samt gjør vondt når man må være reaktiv.

"Bevisstgjøring av brukerne er en av de beste investeringene i sikkerhet en organisasjon kan gjøre"

Hva vil du si preger dagens trusselbilde? 
– Trusselbildet er veldig kompleks. Gjengangeren er alle utfordringene rundt SSL (Secure Socket Layer). Det har vært det ene hullet etter det andre; Freak, ShellShock, Poodle, Heartbleed og BEAST. Dette har bidratt til «å slå den siste spikeren i kista» på SSL. Her har de som har ansvar for offentlige web-tjenere en jobb å gjøre. De må verifisere at løsningene de publiserer som sikre, faktisk er det. På toppen av svakhetene i SSL kommer alle avsløringene rundt MITM. Dette er bare en liten del av trusselbildet. Vi ser stadig nye og større DDOS-angrep mot sentrale tjenester. Motivene er alt fra økonomiske til lek og politisk engasjement. DDOS-angrep har blant annet vært benyttet som røykteppe eller forsøk på å slå ut sikkerhetsmekanismene slik at målrettede angrep mot en organisasjon skal forsvinne i mengden. Vi har også hatt ny runde med Ransomware, ctb-locker, hvor den kompromitterte maskinen begynner å kryptere filene den har tilgang til. Både lokale disker og nettverks-share rammes. Her er det viktig å ha løsninger som gjør det mulig å raskt identifisere den infiserte maskinen slik at skadebegrensningen kan komme raskt i gang. Ransomware og tilsvarende støyende skadevare er unntakene i hvordan moderne skadevare oppfører seg. Skadevarer prøver oftest å holde seg under radaren. I de fleste tilfellene der vi har hatt ute sensorer hos kunder har vi detektert flere Bot-familier og annen skadevare.

Hvordan forbedre sikkerheten?
Det er nok mange som tenker «hvor begynner jeg, egentlig?» Hva er ditt råd til virksomhetsledere som ønsker å innskjerpe IT-sikkerhet i virksomheten?  – Gjennomfør risikoanalyse. Det er viktig å definere hva man skal sikre før man ser på hvordan det skal gjøres. Planene må på plass før man bygger huset. Sikring av en organisasjon kan ikke bare løses med produkter. Et av de viktigste lagene i en sikkerhetsmodell er brukerne. Vi må lære å bruke verktøyene vi får tilgang til, og vite hvordan vi skal reagere på uforutsette hendelser. Akkurat som patching av programvaren, må også brukere oppdateres. Bevisstgjøring av brukerne er en god sikkerhetsinvestering for organisasjoner. – Når planene på hva som skal sikres og hvordan, er på plass, er det viktig å designe en løsning som gjør det mulig å raskt avdekke normaliteter. Da må løsningene snakke sammen, og logg fra alle systemene sammenstilles slik at man kan få bilde av hva som er normalt. Sporbarhet er alfa omega.

Utviklingen framover

Hva tror du kommer til å prege utviklingen innenfor IT-sikkerhet for norske og internasjonale virksomheter? 
– Fremtiden vil bli enda mer preget av hvem og hva slags løsninger vi tør å stole på. Man får i disse dager nesten inntrykk av at alle løsninger man benytter er «pre-infisert» av overvåkningsutstyr. «Approved by NSA» klinger ikke like godt som det en gang gjorde. Et annet aspekt er at barrieren mellom bruk av IT-utstyr i jobbsammenheng og til personlig bruk for lengst er brutt ned. Løsningene må beskytte virksomhetens data, samtidig som brukerne kan benytte løsningen privat. Sikring av BYOD-løsninger er fortsatt i en tidlig fase, og det vil komme flere løsninger som gjør dette enklere. Andre utfordringer jeg tror vil komme er IoT/IoE (Internet of Things/Internet of Everything). Vi har allerede sett eksempler som at kjøleskap er med i Botnett.

Hva slags egenskaper er det viktig å ha som konsulent innenfor IT-sikkerhet? 
– Man må ha evne til å tilegne seg ny kunnskap hele tiden. Utviklingen i IT-bransjen skjer raskt og dette gjelder spesielt rundt IT-sikkerhet. Sikkerhet favner bredt, og man må ha bred forståelse for hvordan systemene henger sammen. Nysgjerrighet er en hovedegenskap. For egen del har jeg et veldig mestringsbehov. Jeg motiveres av å forbedre meg, og ønsker å være det naturlige valget for kundene mine når de trenger bistand.

Ikke vanskelig å forstå at Sevald er en mann som evner og trives ved å tilegne seg ny kunnskap. Allerede på videregående var han og vennene med på å lage et nytt koaksialnettverk, og følte de var i himmelen. 

Du har jobbet i Atea i 16 år. Hvorfor? 
– Da jeg startet i bransjen hadde jeg en femårsplan. Kriteriene for et jobb-bytte skulle være basert på faglig og personlig utvikling, tilgang på utfordrende prosjekter, frihet til å jobbe med det jeg ønsket og miljøet jeg jobbet i. Den dagen jeg følte at jeg ikke hadde noe mer å lære, eller at jobben ble rutinepreget, skulle jeg bytte. Så langt har ingen av kriteriene slått til. Atea er et fantastisk bra sted å jobbe, den som ønsker kan utvikle seg til det nivået de vil. Denne friheten passer meg veldig godt.

Atea.no oppfattes bedre hvis du oppdaterer nettleseren din. Her finner du en ny versjon av Internet Explorer