- Det er enklere for oss å vite hva vedkommende har av spesifikk kompetanse når de også har en anerkjent sertifisering, enn bare et diplom der vi ikke vet hvilke kriterier for karakteren er gjort på, sier sikkerhetssjef Thomas Tømmernes i Atea, og medforfatter av boka Digital Sikkerhet - en innføring.
Atea er det største IT-infrastrukturselskapet i Norden, jobber med mange av de største virksomhetene i Norge og har flere tusen kunder i segmentet små og mellomstore bedrifter. I tillegg til å ha brorparten av statlige og kommunale myndigheter i Norge.
Men selskapet har også et av Norges største IT-sikkerhetsmiljøer, med hendelseshåndterere som er godkjente av Nasjonal sikkerhetsmyndighet (NSM).
FINN.no betaler folk for å finne feil: - Vi blir angrepet nesten hele tiden
Ser etter folk med sertifiseringer
Tømmernes leder i dag Ateas IT-sikkerhetssatsing, som består av en avdeling på rundt 200 sikkerhetseksperter fordelt utover hele landet på alle Ateas 22 kontorer. De leverer alt fra konsulentbistand til rådgivning, sikkerhetsløsninger og hendelseshåndterere.
- Vi pleier å si at IT-sikkerhet ikke er en jobb, men en livstil. For dette er ikke bare en åtte til fire-jobb. De kriminelle sover ikke, og man må være beredt på noen lengre dager i perioder, og mye fagprat på jobben.
De ansatte er rekruttert fra fagskoler, universiteter og høyskoler. Ofte er det snakk om studenter som har tatt sertifiseringer.
- Men dette er ingen fasit, vi ser etter folk som er kompetente, kan faget, ansvarlige og nysgjerrige på å lære nye ting, sier Tømmernes.
Oslo Origo sitter på sensitive data om 700.000 folk. Deres viktigste sikkerhetsverktøy: Kulturen
Må ha på plass et verktøy
For utviklerne som utvikler og leverer digitale overvåkningstjenester kan verktøyene de bruker sammenlignes med det vekterselskapet man benytter på fysiske verdier, ifølge Tømmernes.
- Man må ha på plass et verktøy som ivaretar logg og rapportering (SIEM), man må ha analytikere som følger med på hva som skjer om alarmen går (SOC) og man må ha spesialister som rykker ut og stopper og skadebegrenser når en hacker har brutt seg inn (IRT), forteller han.
- Hva er de viktigste prinsippene dere arbeider ut fra når det gjelder sikkerhet?
- Her følger vi både bransjestandarder, best practise og guidelines fra samarbeidspartnerne og ikke minst NSMs grunnprinsipper, sier Tømmernes.
De har blitt utsatt for Bitcoin-angrep og stengte ned etter Log4Shell - sånn skal de unngå nye trusler
Møter lite forståelse for ansvar
Når Atea skal sikre en kunde, anbefaler selskapet alltid å få oversikt over hva de har og hva de ønsker å sikre. Dette må gjøres både teknisk og organisatorisk, forteller Tømmernes.
- Vår sterke anbefaling er derfor å begynne alle dialoger med å utføre en modenhetsanalyse bygget på NSMs grunnprinsipper, og legge en plan sammen med IT-avdeling og virksomhetsledelsen, om hvordan man sammen oppnår det nivået av sikkerhet denne virksomheten ønsker, sier han.
Ifølge Tømmernes må man vite hvilke verdier man har og hvor lenge man kan klare seg uten et IT-system i drift før man gjør videre investeringer.
- Hva er de største utfordringene Ateas ansatte møter «ute i felt»?
- Det er to gjengangere: Lite forståelse for ansvar og behovet for IT-sikkerhet hos virksomhetsledere. Om en virksomhet har blitt kompromittert, er det dessverre få som har investert i SIEM, noe som gjør analyse og oppryddingsjobben mye større, sier han.
Norske sjefer aller mest redd for hackere: - Blir trolig verre før det blir bedre
«Det gjelder å ha god kultur internt for å tenke sikkerhet i kombinasjon med gode verktøy som forhindrer hackerne å lykkes»
Blir daglig utsatt for angrep
I 2017 skrev Dagens Næringsliv om en hacker som utga seg for å være en kollega av direktøren i Atea. På denne måten forsøkte hackeren å lure direktøren til å utføre betalinger via økonomiavdelingen. Ifølge Tømmernes opplever Atea ofte at hackere prøver å angripe bedriften.
- Dette skjer både oss og alle andre norske virksomheter daglig gjennom eposter med click bait og ondsinnet kode. Det gjelder å ha god kultur internt for å tenke sikkerhet i kombinasjon med gode verktøy som forhindrer hackerne å lykkes.
Tømmernes mener at den største trusselen i dag er digital utpressing.
- Dette skjer gjennom at hackere har tatt over dataen til en virksomhet og kryptert denne. Det vil si at det uheldige offeret ikke får tilbake informasjonen før de har betalt løsepenger, sier han.
Norkart-hacking skyldtes trolig en åpen port: - Viktig å støtte utviklerne som har tabbet seg ut
Utfordrende ressursmangel
- Hva tror du blir de største utfordringene fremover når det gjelder sikkerhet?
- Vi er enig med myndighetene, som sier at det er akutt mangel på IT-sikkerhetskompetanse i Norge.
Tømmernes trekker fram at Norge per nå mangler 1.900 folk til å fylle de rollene vi trenger i dag.
- I 2030 er tallet spådd til å være 4.300. Den eneste måten en virksomhet, enten offentlig eller privat, kan sikre seg på om de ikke har en egen IT-sikkerhetsavdeling, er å finne en god samarbeidspartner og kjøpe iT-sikkerhet som en tjeneste, sier han.