- Jobbsøkere innenfor sikkerhetsbransjen skal jo ha to til tre års erfaring. Men hvordan får du til det når det ikke finnes stillinger til dem? sier Karim El-Melhaoui, sikkerhetsarkitekt i Norges Bank Investement Management, til kode24.
kode24 møter ham og Olav Østbye i Oslo sentrum. De står bak sikkerhetspodkasten Cyber Security med Olav og Karim, også kjent som 03 Cyber, som i skrivende stund er i sin tredje sesong.
Her intervjuer de alt fra etiske hackere til sikkerhetsstudenter.
Podkasten har blitt godt mottatt i sikkerhets-Norge. Neste uke skal de holde livepodkast på Sikkerhetsfestivalen på Lillehammer.
Ble til under korona
03 Cyber ble til under koronakrisen. I 2020 satt Østbye og El-Melhaoui rastløse på hver sin kant av verden. El-Melhaoui jobbet med skysikkerhet for oljefondet i New York og Østbye som Cyber Security Manager for Cloudworks i Oslo. Det hadde som vanlig vært mange angrep på norske selskaper den julen. Og siden begge satt "låst fast" pleide de å ringe hverandre for å diskutere sikkerhet.
- Jeg satt hjemme en desember kveld i stuen og hadde rundet Netflix tre-fire ganger, når det slo meg at vi kanskje burde starte en sikkerhetspodkast, så jeg ringte Karim og rakk nesten ikke pitche det før han sa ja.
Noen få uker senere, 3. januar, satt gutta seg ned og spilte inn to episoder. Ifølge Karim var de nervøse og forventet å få mye motstand.
- Det har vært utrolig lite kritikk og mye backing. Mange har kanskje satt stor pris på at det ikke er reklame og alt det, men en ren "community-podkast", sier Østbye.
Østre Toten om ransomware-angrepet: - Vi prioriterte ikke sikkerhet høyt nok
Mangler et skymiljø
Ifølge Østbye og El-Melhaoui kjennetegnes det norske sikkerhetsmiljøet av en villighet til å dele egen kunnskap med andre. Dette har de også opplevd med podkasten, der de inviterte gjestene mer enn gjerne gir lytterne innsikt i sine erfaringer.
- Det som holder igjen er "impostor syndrome", som er ganske utbredt i bransjen generelt, sier El-Melhaoui.
- Hva er de største sikkerhetsmanglene i Norge?
- Vi mangler et ordentlig miljø på skysikkerhet. Det er så mange organisasjoner som begynner å gå i skyen nå, med forskjellige praksiser i hvert konsulenthus på hvordan de konfigurerer skymiljøet, og alt for lite nytenking i Norge. Vi henger litt etter, sier El-Melhaoui.
- Selv om Norge er et av de mest digitaliserte landene, er den teknologien sklidd på siden, skyter Østbye inn.
«Studentene får ikke en jobb fordi at ingen har musklene til å ta dem inn, eller nok seniorer til å lære dem opp.»
For høye barrierer
At det blir utdannet for få utviklere og sikkerhetsfolk er noe som IT-bransjen har satt søkelyset på lenge.
Østbye og El-Melhaoui mener også at det er et problem at barrierene for å komme inn i sikkerhetsbransjen er for høye, og har snakket med mange studenter som synes det er kjempevanskelig å komme inn i sirkelen.
- De hører at det er kjempemangel på sikkerhetsressurser og mange som trenger dem. Men studentene får ikke jobb, fordi at ingen har musklene til å ta dem inn, eller nok seniorer til å lære dem opp. Så de må gjerne begynne i en vanlig IT-jobb og søke seg over i IT-sikkerhet når de har fått erfaring, sier Østbye.
El-Melhaoui har følgende råd til studenter som har lyst å komme seg innenfor bransjen:
- Desto mer utenfor pensum du kan gjøre, slik som Hack The Box, sette opp en Cloud Security Lab eller et sommer-internship, kan være med på å gjøre det enklere. Så må bedriftene, som vi har vært inne på i podkasten, bli flinkere til å lyse ut "entry level"-stillinger som ikke krever to års erfaring, sier El-Melhaoui.
Nå angripes oljefondet vårt 100.000 ganger i året, og sjefen er bekymra
Dette er en flink utvikler
- Dere har snakket med en rekke folk i podkasten. Er det noen utfordringer sikkerhetsfolk har i møte med utviklere som går igjen?
- Dette kommer til å drepe meg i kode24-kommentarfeltet: Flinke utviklere bryr seg om sikkerhet. En utvikler som er middelmådig og vært i bransjen i 20 år, er nødvendigvis ikke like interessert. Det er en sammenheng mellom flinke og effektive utviklere, og hvor engasjerte de er i sikkerhet, sier El-Melhaoui.
Han opplever likevel at norske utviklere har en generelt god bevissthet rundt sikkerhet.
- Jeg får av og til et spørsmål fra utviklere som er redde fordi at de har eksponert en app, og så kommet på at de kanskje burde gjort en trusselmodelering. Men aller helst skulle jo denne ha skjedd før applikasjonen ble eksponert.
«En god utvikler har yrkesstolthet og ser på det du lager som et produkt du ønsker skal bli bra. Da har du allerede tankesettet at sikkerhet er en del av det.»
"En god utvikler har yrkesstolthet"
Ifølge Østbye er en god utvikler en som er interessert i sikkerhet og forstår når det er risiko.
- Hvis du er utvikler og kun kan én ting, er det kanskje vanskelig for deg å forstå hva du driver med og hvordan det påvirker miljøet helhetlig, sier Østbye.
- En god utvikler har yrkesstolthet, og ser på det du lager som et produkt du ønsker skal bli bra. Da er sikkerhet allerede en del av tankesettet, sier El-Melhaoui.
Han legger til at denne typen utviklere ser sikkerhetsteamet som en ressurs, ikke en byrde.
- Det er mulig å bli brent av å ha et tungvint sikkerhetsteam, men da gjelder det å sette skikkelige krav til dem også, sier El-Melhaoui.
- Norske utviklere og sikkerhetsfolk trenger sitt eget "Defcon"
De viktigste lærdommene
- Hva er det viktigste dere sitter igjen med fra podkasten?
- Fra et selskapsperspektiv bør du ha en sikkerhetsstrategi. Ikke kjøp en brannmur eller EDR-løsning fordi noen seller deg det. Kjøp det fordi du har en strategi som peker på disse to produktene. Og start med opplæring av ansatte, for det tar deg 50 timer og du reduserer risikoen mye mer enn å konfigurere en fancy brannmur, sier Østbye.
Han legger til at du bør prioritere de oppgavene som reduserer risikoen mest mulig per krone og time investert.
- Vi går aldri tom for oppgaver å gjøre innenfor sikkerhet, så det handler om å prioritere godt så du får mest mulig igjen på andre siden. Sikkerhet består av mennesker, teknologi og rutiner. Jeg ser ofte at mange selskaper glemmer mennesker og rutiner, særlig mennesker, sier Østbye.
- En annen lærdom er at sikkerhetssamfunnet er mye større enn det vi har tenkt og møter på. Det finnes mange studenter der ute som ønsker å bli en del av samfunnet, men også mange som sitter alene, sier El-Melhaoui.
- Vi har rom for å vokse som samfunn.
