(Artikkelen ble først publisert 14. oktober 2022)
- Vi må jo beskytte oss mot de fleste trusler der ute, sier Astri Marie Ravnaas, nyansatt sikkerhetssjef i Norges Bank Investement Management (NBIM), til kode24.
kode24 møter Ravnaas inne på kontorene til NBIM, som ligger i Norges Banks hovedkvarter på Bankplassen i Oslo.
NBIM er en underavdeling av banken, og har fått som mandat å forvalte Oljefondet. Denne gigantiske og litt mystiske pengesekken, som egentlig heter Statens Pensjonsfond Utland, fungerer som en finansiell reserve og et generasjonsfond.
I fondet ligger rundt 12.000 milliarder norske kroner. Da er det kanskje ikke rart at fondet blir utsatt for gjennomsnittlig tre cyberangrep daglig – og rundt 100.000 angrep årlig totalt, skrev Financial Times i august.
Ravnaas ble i høst sjef for sikkerhetsteamet i NBIM, som skal holde fondet trygt for hackere og ondsinnede cyberaktører.
De har blitt utsatt for Bitcoin-angrep og stengte ned etter Log4Shell - sånn skal de unngå nye trusler
De største truslene
Ravnaas har studert kommunikasjonsteknologi ved NTNU, vært konsulent i Sopra Steria og jobbet i lederstillinger i sikkerhetsteamet til Orkla.
Ifølge Ravnaas er de største sikkerhetstruslene mot oljefondet - naturlig nok - tap av penger eller andre former for finansiell risiko.
En annen trussel er at folk vil ha tak i informasjon, for eksempel hvilke aksjer fondet planlegger å kjøpe eller selge.
En tredje er aktører som direkte vil oljefondet noe vondt.
- De siste årene har det vært en stor bølge med ransomware. Dette er høyt oppe på oljefondets agenda, sier Ravnaas.
«Det som holder meg våken om natta er følelsen av et enorm ansvar for å beskytte sparepengene våre.»
Blir angrepet flere ganger om dagen
De siste åtte ukene har oljefondet sett to til tre phishing-angrep hver dag, forteller hun. I tillegg til to, tre andre alarmer, for eksempel fra Splunk, Innbruddsdeteksjon-systemet (IDS), eller andre systemer.
- Vi har bygget ganske tungt på Microsoft-teknologi og en Palo Alto Networks-stack. Der går det også en del hendelser, men vi forsøker å automatisere så mye som mulig.
"Jeg bekymrer meg mer for cyber mer enn jeg gjør for markedene", sa Nicolay Tangen, sjef for Oljefondet, til Financial Times.
- Hva holder deg våken om natten?
- Det som holder meg våken om natta er følelsen av et enorm ansvar for å beskytte sparepengene våre. Men jeg må bare fokusere og gjøre jobben min. Jeg må tenke klart, så jeg må faktisk sove godt. Samtidig er jeg heldig som har denne meningsfulle jobben, sier Ravnaas.
Dusørjegeren Markus mener mange feil skyldes arbeidsgiverne: - De legger for mye tidspress på utviklerne
Vil prioritere utviklingsløpet
En viktig prioritering for Ravnaas fremover, vil være å få sikkerhet bedre integrert i utviklingsløpet. I skrivende stund har oljefondet rundt 50 utviklere, i tillegg til mange flere som jobber "hands on" med teknologi.
- Vi må gjøre det enklere for utviklerne å ta i bruk sikkerhetsverktøyene, slik at de bare virker i bakgrunnen.
Sikkerhetssjefen ønsker også at organisasjonen skal bli bedre på opprettholde kritiske funksjoner ved en alvorlig hendelse, bygge opp igjen systemene dersom de går ned, og bygge gode og solide systemer.
- Vi beskytter jo 12.000 milliarder som er sparepengene til det norske folk, sier Ravnaas.
NAV forvalter en tredjedel av statsbudsjettet: - Vi blir angrepet hele tiden
Må komme tettere på utviklerne
Ifølge Ravnaas skal sikkerhetsteamet fremover også komme tettere på utviklerne og utviklingsløpet.
- Vi skal sørge for at vi lager gode tjenester som utviklerne ikke synes er i veien, men heller gjøre livet litt bedre for dem. Vi har et kjempepotensial der. Nå har vi sparket i gang en sikkerhetsmåned med masse aktiviteter for de ansatte, sier hun.
- Hvordan vekter dere forholdet mellom "time-to-market" og sikkerhet?
- Vi har laget noe som kalles for en "Security Matrix-app", som akkurat er lansert i beta. Hvis du er produkteier kan du se hvordan produktet ligger an sikkerhetsmessig.
Sikkerhetssjefen sier at dette er en del av planen om å gjøre livet bedre og sikrere for utviklerne.
- Men noen ganger må vi prioritere funksjonalitet, andre ganger sikkerhet. Det er viktig å ha et bevisst forhold til dette. I Oljefondet aksepterer vi ikke mye risiko. Det handler om en balanse, som det meste i livet, sier Ravnaas.
NSM advarer mot økning i cyberangrep
Ikke utfordring med å finne folk
Mangelen på teknologer er noe kode24 har skrevet mye om de siste årene. Dette gjelder også sikkerhetsfolk, noe som Brønnøysund tidligere har uttalt seg om til oss.
- Hvordan er situasjonen for dere?
- Vi hadde en stilling ute nå og fikk mange gode søkere. Men vi har alltid lyst på flinke folk, særlig flinke utviklere, sier Ravnaas.
Ifølge henne er Oljefondet åpne for å ansette folk som har hatt en alternativ vei inn i sikkerhetsfeltet.
- Det er viktig med mange ulike typer kompetanse. Så lenge motivasjonen, evnen og ønsket om å lære noe nytt er der, tror jeg du kan nå veldig langt, sier Ravnaas.
Hun sier at alle stedene hun har vært tidligere har hun møtt mange som har gjort "kule ting".
- De har gjerne ligget høyt på Hack The Box eller Try Hack Me. Det er kjempespennende med folk som gjør ting på fritiden, leverer imponerende resultater, og har lyst til å jobbe med sikkerhet på fulltid, sier Ravnaas.
«Så lenge motivasjonen, evnen og ønsket om å lære noe nytt er der, tror jeg du kan nå veldig langt»
Gøy med kreative bakgrunner
En ting er mangelen på teknologer. Men sikkerstudenter forteller også om høye krav om erfaring fra arbeidsgivere.
Ifølge Ravnaas er det alltid en fordel å ansette folk som kommer rett fra skolebenken, ettersom at de alltid bringer med seg nye tanker og kritiske spørsmål.
- Vi har ansatt en masterstudent og en bachelorstudent som begynner denne høsten. Vi jobber mye med å komme tettere på universitetene og undersøker mulighetene for å skrive en bachelor sammen med dem. I tillegg skal vi ha interns, så jeg føler at vi har satset mye på å komme tett på de unge, sier Ravnaas.
- Så nyutdannede skal ikke være redde for å hive inn søknader til Oljefondet?
- Nei, og jeg synes det er gøy med kreative bakgrunner.