DEBATT

Sikkerhets­eksperter trår til med kompetanse­dugnad

Kriminelle benytter ofte samme fremgangsmåte, enten det er for å stjele penger, personopplysninger eller begge deler, skriver IT-sikkerhetsekspert Thomas Tømmernes.

De kriminelle er utrolig proffe, og treffprosenten er høy der de legger nok energi i angrepet, skriver Thomas Tømmernes.
De kriminelle er utrolig proffe, og treffprosenten er høy der de legger nok energi i angrepet, skriver Thomas Tømmernes. Foto: Ane Svensli
Thomas Tømmernes, IT-sikkerhetssjef i Atea.
20. mai 2020 - 06:00

Denne kommentaren gir uttrykk for skribentens meninger.

Vi blir stadig påminnet om hvor viktig IT-sikkerhet er. Selv om mange føler de har et fjernt forhold til tematikken, er det sånn at da statseiede Norfund ble svindlet for 100 millioner, så gikk tapet direkte på bekostning av statskassen og skattepengene våre. Det betyr at penger som kunne gått til skole, barnehager og sykehus, i stedet gikk til kriminelle.  Og om man ikke føler et sterkt eierskap til skattepengene sine, kan det hende at man er mer opptatt av egne eller barnas personopplysninger. Et grelt eksempel er at personlige data om 40.000 elever og ansatte i Trøndelag, Agder og Innlandet fylkeskommune, kan være på avveie etter et sikkerhetsbrudd.

Det få faktisk vet, er at det ofte er samme fremgangsmåte de IT-kriminelle benytter for å komme inn i systemene. Enten de ønsker å stjele penger, personopplysning  eller begge deler. 

Seksjonsleder Terje Fjeldvær i Financial Crime Center i DNB er Norfunds bankforbindelse. Han uttalte følgende om framgangsmåten til de IT-kriminelle, som er en kjent svindelmetode :

– Svindlerne har brukt lang tid i Norfunds e-postsystemer for å slå til på riktig sak og riktig tidspunkt. De har manipulert begge sider, hendelsen er dobbelt så stor som Nokas-ranet.

Utrolig proffe kriminelle

Nå er det sikkert mange som rister på hodet, og mener man burde ha bedre kontroll over IT-systemer og rutiner. Men fenomenet er normalt for oss som jobber med IT-sikkerhet til daglig. De kriminelle er utrolig proffe, og treffprosenten er høy der de legger nok energi i angrepet. De norske IRT, de som jobber med IT-angrep når de skjer, får ukentlig henvendelser fra fortvilte private og offentlige virksomheter som har blitt utsatt for økonomisk svindel. Mørketallene er også store, og mange angrep blir aldri offentlig kjent.

Nevnte Financial Crime Center i DNB har noen av Norges fremste eksperter på IT-sikkerhet, og med størrelsen på DNB i bakhodet er det lett å forstå at mindre virksomheter er langt unna å ha den samme ekspertisen. Både Nasjonal sikkerhetsmyndighet og Norsis uttaler at virksomheter uten dedikerte IT-sikkerhetsressurser må kjøpe dette som tjeneste. Det som er viktig uansett om man kjøper IT-sikkerhet som tjeneste eller ikke, er at virksomhetene hever sin egen forståelse. Det er avgjørende at en stiller de riktige kravene til de som skal levere sikkerheten. Gjør man ikke det, kan en fort ende opp med å kjøpe IT-sikkerhet som koster mye penger, og ikke leverer den sikkerheten virksomheten faktisk trenger.

Kompetanse er en mangelvare

Utfordringen er også mer kompleks enn at norske virksomheter ikke er godt nok sikret. Vi trenger også mange flere mennesker med IT-sikkerhetskompetanse. Samfunnet har i stor grad blitt avhengige av IKT-systemer og internett. I alle virksomheter er det derfor et økende behov for kompetanse innen digital sikkerhet.

Problemet er at det dukker opp et dilemma for de som ønsker å ansette egne med IT-sikkerhetskompetanse. I dag mangler det 1900, og det anslås at i 2030 vil samfunnet mangle 4100 personer med digital sikkerhetskompetanse sett i forhold til behovet (NIFU-rapport).

En steg på veien for å sikre rekrutteringen til bransjen er gode enkeltinitiativer. Sist sommer samlet Håkon Bergsjø fra Nasjonal sikkerhetsmyndighet (NSM), sammen med Ronny Windvik og Lasse Øverlier fra Forsvarets forskningsinstitutt (FFI), flere av Norges fremste eksperter på digital sikkerhet. Vi deltok i en felles dugnad, der hver av oss skrev et kapittel om sitt fagområde til en ny fagbok om IT-sikkerhet.

Bidragsyterne kommer fra både privat, stat og offentlig sektor. Med boken og samarbeidet er vi med på å imøtekomme behovet for kompetanse til nasjonal strategi for digital sikkerhetskompetanse, og Nasjonal strategi for digital sikkerhet. Begge strategier peker på kompetansebehovet.

Boken er lettlest og oppslagsvennlig og gir leser/studentene en innføring i sentrale temaer som sikkerhetskultur, digital etikk, personvern, lover, verdivurdering, risiko, sårbarhet, trusler, autentisering, den kommersielle IKT-sikkerhetsbransjen, overvåking og deteksjon, hendelseshåndtering og opprydding.

Det er med andre ord et meget sterkt lag av norske fageksperter som har deltatt pro bono i dette bokprosjektet. Boken har tatt nesten et år å ferdigstille, og eventuelle overskudd doneres til prosjekter gruppen bestemmer.

Stolt av å dele egen kompetanse

Når man etter mange måneder med sensur, korrektur, og diskusjoner står her med boken i hånda, er det med stolthet man vet at man er med på å dele egen kompetanse. Den blir gitt videre til alt fra virksomhetsledere, til kommende generasjoner av studenter og privatpersoner som ønsker lære mer om omfanget av IT-sikkerhet i dagens samfunn. IT-sikkerhet er et bredt og stadig voksende fagfelt. Boken reflekterer dette.

For min del har deltagelsen i dugnadsprosjektet gitt meg fornyet og styrket respekt for mine kolleger. Og jeg gir kudos til herrene Bergsjø, Windvik og Øverlier som heiet og motiverte medforfatterne frem. Det utrolig moro å se at over 1500 har bestilt boken siden den kom på markedet i mars, og at flere læresteder vurderer ta denne inn som pensum allerede fra høsten av.

Jeg vil understreke at boken ikke bare er for studenter. Her er det god bredde, påfyll og mulighet for å oppdatere seg, selv om en har vært i IT-bransjen i mange år.

Nå har jeg jobbet tyve år i denne bransjen, og det som blir tydeligere og tydeligere for meg er at IT-sikkerhet er mer en livsstil enn jobb. Samtlige eksperter jeg møter på veien, brenner for tematikken langt utover en normal arbeidstid. Jeg tror faktisk dette er et krav for være god. For med den farten trusselbildet forandrer seg, og tilpasningsdyktigheten til de IT-kriminelle fra å utnytte hjemmekontor i forbindelse med Covid 19, til å lure statlige virksomheter til millionutbetalinger, må vi ikke sove i timen.

Inntil skrivelysten tar meg igjen bidrar jeg gjennom Sikkerhetsdagene, der vi gratis kjører opplysningskampanjer sammen med både Nasjonal sikkerhetsmyndighet og Næringslivets sikkerhetsråd.

//TT

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.