Mattis har vært på sikkerhetskonferansen Paranoia: - På tide å se til Nederland?

kode24-journalist Mattis Vaaland er begeistra over nederlendernes Responsible disclosure-rettspraksis.

Det kan være vanskelig å overbevise en lite tech/sikkerhets-kyndig rettsal om hva intensjonen din faktisk var, uten klare føringer som i Nederland, skriver kode24-journalist Mattis Vaaland. 📸: Mattis Vaaland
Det kan være vanskelig å overbevise en lite tech/sikkerhets-kyndig rettsal om hva intensjonen din faktisk var, uten klare føringer som i Nederland, skriver kode24-journalist Mattis Vaaland. 📸: Mattis Vaaland Vis mer

Jeg er ikke typen som blir "starstruck". Men det ble jeg denne uka da jeg møtte den etiske hackeren og sikkerhetseksperten Edwin van Andel, som holdt foredrag på den årlige Paranoia-konferansen i Oslo. (PS: Dette er en liten teaser, intervjuet kommer til uka!) 🔒

Han startet å hacke som 13-åring og må med sine 51 år med rette kalles for en veteran på den nederlandske hackerscenen. I dag er Edwin CTO i hackerselskapet Zerocopter og medlem av The Guild of Grumpy Old Hackers (GGOH).

Det var Edwin, Victor Gevers og Mattijs RCX (alle medlemmer av GGOH) som kom seg inn på Donald Trumps Twitter-konto. Og passordet, ja det var så klart "yourefired". Du kan høre mer om dette i episode 87 av podkasten Darknet Diaries.

Edwin har vært en forkjemper for Nederlands Responsible disclosure-rettspraksis. Noe forenklet betyr dette at dersom hackere oppdager sårbarheter, kan de rapportere dem til selskapene det gjelder uten å frykte bøter eller fengsel. Forrige uke annonserte også det amerikanske justisdepartementet at de ikke lenger vil straffeforfølge etiske hackere.

Et viktig poeng for Edwin er at det ikke holder å bare gjøre én eller to penetrasjonstester i året når selskapet du jobber i pusher ut nye oppdateringer annenhver uke.

Det norske lovverket gjør derimot at det kan være ganske risikabelt å varsle om sikkerhetshull, mener en sikkerhetsekspert jeg tok kontakt med i anledning nyhetsbrevet. Norsk lovgivning er først og fremst styrt etter intensjon. Men det kan være vanskelig å overbevise en lite tech/cybersikkerhets-kyndig rettsal om hva intensjonen din faktisk var, uten klare føringer slik som i Nederland.🧐

Flere norske selskaper har likevel oppdaget at det gamle sikkerhetsregimet ikke holder. Og har egne responsible disclosure/og eller bug bounty-programmer som legger føringer for hva/hvordan man kan teste hos dem og kanaler for rapportering. Men disse styrer selskapene selv og er ikke underlagt noen nasjonale regler eller føringer.

Denne uka har jeg for eksempel intervjuet Jon Are Rakvåg, sikkerhetsarkitekt i SpareBank 1 Utvikling om bankens "bug bounty"-program. Ifølge ham er bug bountys et sikkerhetsnett for problemene banken ikke finner på tradisjonelt vis. Samtidig er det greit å ha mange som følger med i et fagfelt der det hele tiden dukker opp nye angrep. Men bug bounty-programmene er fortsatt relativt eksotiske i Norge. Rakvåg kjenner selv til kun fire eller fem aktive programmer, blant dem Finn.no.

Som Thomas Tømmernes, sikkerhetssjef i Atea, sier til kode24 denne uken: "Vi pleier å si at IT-sikkerhet ikke er en jobb, men en livsstil. For dette er ikke bare en åtte til fire-jobb. De kriminelle sover ikke." Kanskje er det på tide å la oss inspirere av Nederland? 💡

Kjør nyhetsbrev!

Ukas beste saker på kode24:

👶 Som utvikler vil jeg ikke lære barna mine å kode

Jørgen i kode24 mener det er helt andre egenskaper som vil gjøre dem til gode utviklere, hvis de velger det når de blir voksne.

💰 Slik blir du dusørjeger for SpareBank 1

- Vi ser på bug bounty som et sikkerhetsnett for de problemene vi ikke klarer å finne på tradisjonelt vis, sier Jon Are Rakvåg, sikkerhetsarkitekt i SpareBank 1.

🍒 React, Vue og Svelte: - Playwright forsøker å kombinere det beste fra to verdener

Bekk-utvikler Jakob Lada Steenvaag skriver i ForrigeUke om Playwright, etterlengtet Mithril.js-release og internettevolusjon.

🔓 - Dette er ikke bare en åtte til fire-jobb. De kriminelle sover ikke

Vil du jobbe med sikkerhet må du "være beredt på noen lengre dager i perioder", mener Thomas Tømmernes, Ateas sikkerhetssjef.

📝 Sånn lager du en Slack-bot med Bolt: - Mulighetene er uendelige

Marcus Haaland tenkte det var vanskelig, men han fikk det til, og vil vise deg hvordan.👩

🦳 - Slett sosiale medier, slå av varsler, gjør skjermen svart-hvit

- God start for å optimalisere jobbhverdagen og få et bedre liv, mener Ukas Koder Hans Henrik Grønsleth.

👾 Nortura ble hacket av Russland

- Vi kjenner mye til metoden og vet mye hvordan de har kommet seg inn, og hvordan de har jobbet i systemene våre. Dette kjenner vi igjen fra russiske hackere, sier Nortura-sjef.

🤝 - Det er en stor avstand mellom utviklere og forretning

- Det er på tide å utfordre begge parter til å samarbeide bedre i prioriteringsprosessen — både på et organisatorisk og daglig nivå, skriver Bekk-utvikler Henning Håkonsen.

🃏 Kristin mener det er ett spørsmål du må forberede før jobbintervjuet: - Det er et frikort

Her er Kristin Bjerke i Alv sine beste råd til deg som vurderer å bytte jobb.

💼 Flest IT-studenter vil til Google

Google, Microsoft og Equinor er de mest populære arbeidsgiverne blant norske IT-studenter, ifølge ny undersøkelse.

God helg!

Sånn helt på tampen, et lite tips: IKKE se Citizenfour rett før du legger deg (yesyes, jeg er litt treig). Da lover jeg at drømmene dine involverer Agent Smith-aktige agenter, Faradaybur og tusen år i fengsel. 🔐

Og med det kaster jeg håndkleet, tar meg en Farris og feirer at kode24 faktisk fremdeles står på beina når Ole Petter kommer tilbake fra Sydens sol og strender.

Talast!

💕 Mattis