Publisert: 23.10.2015. Tekst: Terje Mathisen, markedssjef i region Rogaland og Agder i Atea

I Atea Norge jobber det omkring 850 sertifiserte konsulenter innenfor ulike fagområder. Møt en av dem: Sevald Lund - odelsgutt fra Harstad, som valgte realfag og ingeniørutdanning fremfor hjemgården. Det er Atea glad for. Lund er nemlig en av spydspissene innenfor IT-sikkerhet og kommunikasjon. Han er 40 år og jobber som sjefskonsulent hos Atea Tondheim.

Hvorfor nettopp IT-sikkerhet, Sevald?

– Som så mange andre ting, er nok det et resultat av tilfeldighetenes spill. Merkantildata kjøpte firmaet jeg jobbet i, og sikkerhet ble billetten min inn. Jeg skjønte raskt at jeg hadde skutt gullfuglen. Nå fikk jeg jobbe med løsninger som bandt alt sammen. Det var nemlig aldri spilling som fascinerte meg med data. Det å finne ut hvordan ting hang sammen var det som interesserte meg. Jeg husker at vi kunne sitte i timevis og lage små programmer i AmigaBasic, og det var nok da jeg bestemte meg for yrkesretning. På videregående fikk vi være med på å lage et nytt koaksialnettverk. Det var jo helt fantastisk! Som belønning for bistanden fikk vi tilgang til skolens modem. Skulle kanskje ikke si dette, men skylder nok den skolen noen tellerskritt. Noen år senere og mange eksamener etter på HiST tenkte jeg at det blir lenge til neste gang jeg trenger å gjennomføre noen eksamener. Men det er jo ikke akkurat slik det er i denne bransjen. Skal man være salgbar og attraktiv, både for kunder og arbeidsgiver, må man holde seg oppdatert. Da er det sertifiseringer, i tillegg til å levere det man lover, som holder dette ved like. Det er bare å innse: Man er på en måte blitt en evighetsstudent. Siden Merkantildata-tiden har sikkerhetsløsninger og sikkerhetsrådgivning vært hovedfokus.

Dagens trusselbilde

Vi leser nesten daglig om cyberangrep. Sett ut fra ditt ståsted; er norske virksomheter i 2015 proaktive nok med tanke på IT-sikkerhet i dagens trusselbilde?
– Her er det store variasjoner. Mitt inntrykk er at virksomhetene som hele tiden har hatt bra fokus på sikkerhet og sikkerhetsutfordringer, har blitt enda bedre. De forstår at de ikke bare må investere i produkter som skal løse alt. De investerer også i kompetanseoppbygging og bevisstgjøring av sine ansatte. Det blir da like naturlig å «patche» brukerne og rutinene rundt sikkerhetshendelse som det er å vedlikeholde sikkerhetsproduktene. Da blir sikkerhet en del av den daglige rytmen som gjør det mulig å være proaktiv. Men som et mer generelt svar, så er nok mange norske virksomheter ikke proaktive nok, dessverre. Det er fortsatt mange som tenker «det skjer ikke oss», og «vi har jo både brannmur og antivirusløsning». Det proaktive arbeidet som utføres her er hovedsakelig vedlikehold av sikkerhetsproduktene. Proaktivitet handler om gjennomføring av risikovurdering og kontinuitetsplanlegging. Uten levende planverk vil det bli vanskelig å være proaktiv, samt gjøre vondt når man må være reaktiv.

Bevisstgjøring av brukerne er en av de beste investeringene i sikkerhet en organisasjon kan gjøre.

— Sevald Lund

Hva vil du si preger dagens trusselbilde?
– Dagens trusselbilde er veldig kompleks. Gjengangeren, spesielt det siste året, er alle utfordringene som har vært rundt SSL (Secure Socket Layer). Det har vært det ene hullet etter det andre; Freak, ShellShock, Poodle, Heartbleed og BEAST. Dette har bidratt til «å slå inn den siste spikeren i kista» på SSL. Her har de som har ansvar for offentlige web-tjenere en jobb å gjøre. De må få verifisert at løsningene de publiserer som sikre, faktisk er det. På toppen av svakhetene i SSL kommer alle avsløringene rundt MITM. Dette er egentlig bare en liten del av trusselbildet. Vi ser stadig nye og større DDOS-angrep mot sentrale tjenester. Motivene her er alt fra lek og politisk engasjement, til økonomiske motiver. DDOS-angrep har blant annet vært benyttet som røykteppe eller forsøk på å slå ut sikkerhetsmekanismene slik at de målrettede angrepene mot en organisasjon skal forsvinne i mengden. Vi har også hatt ny runde med Ransomware, ctb-locker, hvor den kompromitterte maskinen begynner å kryptere filene den har tilgang til. Det er både lokale disker og nettverks-share som rammes. Her er det viktig å ha løsninger på plass som gjør det mulig å raskt identifisere den infiserte maskinen slik at skadebegrensningen kan komme raskt i gang. Ransomware og tilsvarende støyende skadevare er unntakene i hvordan moderne skadevare oppfører seg. Dagens skadevare prøver oftest å holde seg under radaren. I de fleste tilfellene der vi har hatt ute sensorer hos kunder har vi detektert flere Bot-familier og annen skadevare.

Hvordan forbedre sikkerheten?

Det er nok mange som tenker «hvor begynner jeg, egentlig?» Hva er ditt råd til virksomhetsledere som ønsker å innskjerpe IT-sikkerhet i sin virksomhet?
– Gjennomfør risikoanalyse. Det er viktig å definere hva man skal sikre før man ser på hvordan dette skal gjøres. Planene må på plass før man bygger huset. Jeg har vært med på flere prosjekter der vi har gjort en grundig analyse av organisasjonen, hvor rapporten fra analysen blir underlaget for å se på hvordan man bør angripe utfordringene. Sikring av en organisasjon kan ikke bare løses med produkter. Ett av de viktigste lagene i en sikkerhets – modell er oss brukere. Vi må opplæres i hvordan vi skal benytte verktøyene vi har fått tilgang til. Vi må vite hvordan vi skal reagere på uforutsette hendelser. Akkurat som patching av programvaren som vi benytter, må også vi brukere periodisk oppdateres. Bevisstgjøring av brukerne er en god sikkerhetsinvestering for organisasjoner. – Når planene på hva som skal sikres og hvordan er på plass, er det viktig å designe en løsning som gjør det mulig å raskt avdekke normaliteter. Da må man ha løsninger som snakker sammen, og der logg fra alle systemene sammenstilles slik at man kan få et bilde av hva som er normalt. Sporbarhet i løsningene som settes opp er alfa og omega.

Utviklingen framover

Hva tror du kommer til å prege utviklingen innenfor IT-sikkerhet for norske og internasjonale virksomheter fremover?
– Fremtiden vil bli enda mer preget av hvem og hva slags løsninger vi tør å stole på. Man får i disse dager nesten inntrykk av at alle løsninger man benytter er «pre-infisert» av overvåkningsutstyr. «Approved by NSA» klinger ikke like godt som det en gang gjorde. Et annet aspekt er at barrieren mellom bruk av IT-utstyr i jobbsammenheng og til personlig bruk for lengst er brutt ned. Løsningene må beskytte virksomhetens data, samtidig som brukerne kan benytte løsningen privat. Sikring av BYOD-løsninger er fortsatt i en tidlig fase, og det vil komme flere løsninger som gjør det enklere å sikre disse enhetene. Andre utfordringer jeg tror vil komme som en storm er IoT/IoE (Internet of Things/Internet of Everything). Vi har allerede sett eksempler som at kjøleskap er med i Botnett.

Hva slags egenskaper er det viktig å ha som konsulent innenfor IT-sikkerhet?
– Man må ha evne til å tilegne seg ny kunnskap hele tiden. Utviklingen i IT-bransjen skjer raskt og dette gjelder spesielt rundt IT-sikkerhet. Sikkerhet favner bredt, og man må ha bred forståelse for hvordan systemene henger sammen. Nysgjerrighet er nok en av hovedegenskapene man må ha. For min egen del har jeg et veldig mestringsbehov. Jeg motiveres av å stadig forbedre meg, og ønsker å være det naturlige valget for kundene mine når de trenger bistand.

Du har jobbet i Atea i 16 år. Hvorfor?
– Da jeg startet i bransjen hadde jeg en femårsplan. Kriteriene for et eventuelt jobbytte skulle være basert på faglig og personlig utvikling, tilgang på utfordrende prosjekter, frihet til å jobbe med det jeg ønsket og naturligvis miljøet jeg jobbet i. Planen var at den dagen jeg følte at jeg ikke hadde noe mer å lære, eller at jobben ble rutinepreget, da skulle jeg bytte. Så langt har ingen av disse kriteriene slått til. Atea er et fantastisk bra firma å jobbe i, der den som ønsker kan utvikle seg til det nivået man måtte ønske. Denne friheten passer meg veldig godt.

Vil du vite mer?

Vil du vite mer om løsningen som ble valgt, kontakt Sevald Lund pr. telefon +47 990 00 99, eller e-post sevald.lund@atea.no - eventuelt kontakt din lokale Atea representant.

Kontakt oss