– Mye vi gjør er ulovlig for folk flest
Det er ikke lett å finne frem til Nasjonal Sikkerhetsmyndighet; ikke finnes det store skilt på utsiden av adressen du får oppgitt og ikke er de å finne på besøksregistreringen.
I resepsjonen blir vi fortalt riktig etasje, som det ikke står noe informasjon om hva inneholder i selve heisen. Etter å ha vist pass og låst inn alt elektronisk utstyr går vi inn i to parallelle glasstuber som lukker seg noen sekunder før vi blir sluppet inn på den andre siden.
– Velkommen til Nasjonalt cybersikkerhetssenter, sier en sivilkledd mann i begynnelsen av 30-årene som vi ikke får lov til å navngi, før han fører oss inn i et møterom. Vi kaller han «Ole» her. Av sikkerhensyn er alle siterte her anonyme, da selv ikke deres nærmeste familie vet nøyaktig hva de driver med på jobb.
Nasjonal sikkerhetsmyndighet (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal beskytte informasjon og objekter av samfunnskritisk karakter mot spionasje, sabotasje og terrorhandlinger.
Tilfredsstillelsen av å gjøre hele samfunnet mer sikkert kan ingen matche
– For å jobbe her må du motiveres av å sikre norske verdier og interesser. Så godt som alt vi gjør er konfidensielt, så det er ingen heder og ære utenfor arbeidsplassen, ingen skrytefaktor. Men tilfredsstillelsen av å gjøre hele samfunnet mer sikkert kan ingen matche, understreker «Ole».
Dette gjøres hovedsakelig gjennom å veilede, gi råd, utvikle sikkerhetstiltak, føre tilsyn, varsle og håndtere alvorlige dataangrep, samt utøve myndighet.
– Du får ikke kulere oppdrag enn dette, sier en tydelig fornøyd «Ole».
Klarer du å løse denne koden? Da ønsker vi å høre fra deg.
«Pentesting»
NSMs hovedoppgave er å sikre samfunnskritiske virksomheter og informere samfunnet om trusler. Med et samfunn som i stadig større grad er styrt, og totalt avhengig av digitale systemer, blir det naturlig nok stadig viktigere med IT-sikkerhet. Når du leser om et hackerangrep i mediene har som regel NSM vært på ballen for lengst.
Sikkerhetsloven er vårt get-out-of-jail-freecard
– Mye vi gjør er ulovlig for folk flest. Rent juridisk er paragrafene om «inntrengingstesting av skjermingsverdige informasjonssystemer» og «testing av sikkerhetstiltak" i sikkerhetsloven våre get-out-of-jail-freecards, forteller en ansatt i NSM til oss. Vi kaller han «David».
«David» holder base i NSMs lokaler på Kolsås militærleir, selv om mye av tiden tilbringes ute i felt. Og når NSM sier at de går i felten, er det virkelig i felt. Med kamuflasje, spaning, research og dekkhistorier.
– Penetrasjonstesting er per i dag vår mest effektive fremgangsmåte for å kontrollere at sikkerhetsrutiner, både fysisk og digitalt, er ivaretatt på en tilfredsstillende måte, forteller han.
– Vi jobber stort sett etter såkalt "greybox"-metodologi, hvor vi har begrenset innsikt i virksomhetenes systemer og teknologi når vi kommer på test. Vi må derfor være både kreative og utholdende når vi forsøker å identifisere svakheter for å kompromittere virksomhetene som ber oss om hjelp.
Dette kan arte seg mange måter, forteller den ansatte i et spionasjesikret møterom hos NSM i Kolsås militærleir.
– Det svake leddet kan være alt fra godtroende ansatte og manglende sikkerhetsrutiner, til temperaturmålere eller store anerkjente IT-sikkerhetsleverandørers egen antivirusprogramvare. Sistnevnte føltes ekstra sneaky, innrømmer «Martin».
Han forteller at de aller fleste hackerangrep har et element av social engineering, som vil si at noen utgir seg for å være noen de ikke er. Enten gjennom email-phishing eller fysisk identitetstyveri.
– Vi har også utstyr for kloning av adgangskort og dirkesett, men ofte kommer man langt uten det, forteller «Jennifer».
– En gang utga jeg meg for å være heismontør og ble sluppet rett inn i lokalene til en virksomhet. Da kunne jeg hacke heisen og ta meg opp til en låst etasje i fred og ro. Så var det bare å gjemme seg på handicapdoen og vente til alle hadde gått hjem, men denne dagen var det noen som jobbet veldig lenge overtid, og jeg ble sittende i over åtte timer. Oppdraget ble vellykket til slutt, og vi fikk akkurat det vi skulle ha tak i, sier «Jennifer» og smiler lurt.
Søker flere «white hats»
– Vi er klarert for strengt hemmelig og NATO klareringen «cosmic top secret», så her er det bare white hats. For øvrig kommer folk fra hele IT-verdenen til oss; driftere, programmerere, rene sikkerhetsfolk, folk fra Forsvaret, unge, gamle, damer og menn. Forskjellig bakgrunn er en styrke da det alltid er noen som har brukt produkt X eller kjenner protokoll Y.
Det de ser etter er nerder som vil ha hobbyen sin som jobb. Folk som digger teknologi på et dypere plan enn gaming og gadgets.
– Vi søker etter forskjellige typer med varierende kompetanse, men vi snakker i all hovedsak om teknologer. Både når det gjelder arbeidsmetode, hardware og software er vi veldig fleksible, forteller den ansatte, som legger til at de har tilgang på cutting edge teknologi og ekstremt sterke datamaskiner.
– Vi er mer opptatt av hvor fort man kan poppe et shell, enn hvor bra man ser ut i skjorte. Vi er absolutt ikke verktøy-fokuserte, men bruker det som trengs og finnes, og resten snekrer vi selv. Jeg har ikke en uttømmende liste, men kan nevne Nmap, Scapy, Hashcat, IDA, mimikatz, John the Ripper, Kon-Boot, Metasploit, Inception, [B]ettercap, mitmproxy, aircrack-ng, Responder, tcpdump, Bloodhound, Impacket, EyeWitness, Radare2, Wireshark, socat, Empire, Burp, Immunity og Nessus fra toppen av hodet.
På spørsmål om hva som er det beste med jobben er svaret lett.
– Først og fremst alle de dyktige kollegene jeg kan lære av, og det sterke fokuset på kompetanse. Jeg har alltid en kollega å spørre om jeg står fast med reversering av programvare, knekking av passord, eller sære nettverksprotokoller som må «man-in-the-middles». Vi er heldige som får bruke mye tid og ressurser på kurs og dypdykk i teknologier som interesserer oss.