2021-05-27

I front for det digitale heimevernet

Frem til nå har innbruddene som regel blitt oppdaget ved en tilfeldighet. Men Ateas sikkerhetsguru Thomas Tømmernes har en plan.

Thomas Tømmernes i Atea

– Når det smeller så er det direktøren som må selge hytta. Dette går direkte på dem.

Thomas Tømmernes er leder for Ateas sikkerhetsavdeling. På noen få år har den gått fra å være noen få ansatte og 70 millioner kroner i omsetning til over én milliard.

Fra denne posisjonen ser han hvordan IT-innbrudd treffer norske ledere – og at alvoret er i ferd med å sige inn over stadig flere av dem.

– Jeg er gang på gang overrasket over hvor mange som ikke har forstått dette ansvaret, sier Tømmernes.

Leter etter svakeste ledd

Han er også en av foregangsfigurene for IT-sikkerhet i Norge. Hans engasjement strekker seg langt forbi toppene. For at Norge skal lykkes med sikkerhet må alle med – fra sjefene via medarbeiderne på gulvet, og til leverandører og partnere.

– Angriperne leter alltid etter det svakeste leddet i kjeden. Det kan like gjerne være en vanlig ansatt eller en leverandør, fastslår Tømmernes.

Nå opplever han at interessen øker kraftig. Flere angrep – deriblant mot Hydro og Stortinget – har de siste par årene nådd avisenes forsider. Sammen med økte krav til opplæring i bedriftene, gjør det at Tømmernes ser litt lysere på fremtiden. Selv om de fleste virksomheter som rammes, fortsatt velger å tie stille.

Derfor er han like opptatt av å være mentor for unge sikkerhetsfolk, skrive lærebøker eller bidra til å forme studieplaner, som å delta i råd hos offentlige myndigheter som Nasjonal sikkerhetsmyndighet (NSM) eller Justisdepartementet.

– Det gjør at IT-sikkerhet blir mer allemannseie, sier Tømmernes.

Thomas Tømmernes i Atea
Thomas Tømmernes er IT-sikkerhetsekspert i Atea.

Våpenkappløpet

Tømmernes sitter likevel med en bismak. IT-kriminalitet er også noe «alle kan gjøre». De mest avanserte angrepstjenestene kan gjerne kjøpes for kun en liten neve dollar.

– I Norge er det kanskje 200 selskaper som har sikkerhetsavdelinger som er i stand til å håndtere trusselbildet, sier Tømmernes.

– Hvis noen vil betale for å angripe din virksomhet, så klarer de å gjøre det, fastslår han.

Selvsagt er det fortsatt en fordel å kunne skjule sporene sine – og vite at kryptovaluta kan være smartere enn bankkort. Men akkurat det er til liten trøst for Norges nærmere 600.000 bedrifter. Tømmernes antar at kun 1000 av dem er store nok til å kunne bygge opp en god nok sikkerhetsavdeling internt.

– Husk at angriperne vil sikte seg inn mot det svakeste leddet. Hvis de virkelig vil ramme din bedrift, betyr det at de like gjerne angriper deg via en leverandør som å rette seg mot personer eller maskiner internt i bedriften, forklarer Tømmernes.

Det er bakteppet for at han ruster Atea for å gå i krigen for de 99 prosent av norske bedrifter som ikke er i stand til å håndtere sikkerheten selv.

Thomas Tømmernes i profil
– Vi er i dag Heimevernet som gjør norske bedrifter i stand til å forsvare seg, sier Thomas Tømmernes i Atea.

Virtuelt «vekterselskap»

– Det er så mange kunder i Norge som ingen tar vare på. Vi har tatt teknologien vi leverer til Norges aller største virksomheter, og skapt en tjeneste som gjør at vi kan levere den også til små og mellomstore bedrifter, så vel som idrettslag og ideelle organisasjoner, forklarer Tømmernes.

Han sammenligner det hele med et vekterselskap. I stedet for å følge med på bygninger, kjøretøy og inventar, følger Atea de digitale og virtuelle sporene.

– Vi følger med på trafikken inn og ut, adgangsrettigheter og alt av data fra en rekke sensorer i hele bedriften. Den store forskjellen er at alt dette er usynlig for bedriftens ledere, inntil de får et innbrudd i fanget, forklarer Tømmernes.

Hans team i Atea er kun ett av tre slike virtuelle «vekterselskaper» som har fått den høye utmerkelsen av Nasjonal sikkerhetsmyndighet.

– Det er gullet vårt, og viser at vi er i stand til å rykke ut, vurdere omfanget og begrense skade. Vi sørger også for at hendelser rapporteres til myndighetene, sier Tømmernes – og peker på at myndighetene på enkelte områder kan bøtelegge virksomhetene med inntil fire prosent av omsetningen.

Han mener likevel at forholdet til kundene, vil være mer utslagsgivende enn bøter fra myndighetene.

– Stadig flere store virksomheter stiller krav til sikkerheten hos sine underleverandører. Bøter fra myndighetene vil være peanuts sammenlignet med hva tapet av kunder betyr for bedriftene, sier Tømmernes.

Forsvarsalliansen

For selv ledende aktører som Atea handler IT-sikkerhet om å spille kampen i forsvar. Fienden har alltid ballen i beinet.

– Men vi klarer å være tett på dem. Når de 2–3 første blir tatt ute i verden, så får vi umiddelbart varsler. Når noen i Sverige er blitt hacket vet vi det i løpet av noen millisekunder, og kan stoppe at det skjer i Norge, sier Tømmernes.

Stadig vekk dukker opp nye aktører å passe seg for. Altså er de del av et tilsynelatende evigvarende våpenkappløp – der nye spillere og våpen hele tiden dukker opp.

– Vi er i dag Heimevernet som gjør norske bedrifter i stand til å forsvare seg. Det gjør vi ikke alene, men i samarbeid med en hel industri av internasjonale sikkerhetsaktører, sier Tømmernes.

– Det hele minner litt om en global forsvarsallianse av sikkerhetsfolk. Vi er alle helt avhengig av hverandre – og av hver enkelt ansatt ute i bedriftene.