‘Hackerene kender systemet bedre end dem, der har lavet dem’  

De er her, der og alle vegne. Hackere og it-kriminelle. Men hvem er de, hvordan opererer de, og hvad skal virksomhederne være særligt opmærksomme på?  

Oliver Nordestgaard er hacker – på den rigtige side af loven. Han er tidligere anfører for Cyberlandsholdet og snart nyudklækket softwareingeniør. Og så har han et vigtigt budskab til danske virksomheder:   

”De skal tage det meget mere alvorligt. IT-kriminalitet er sindssygt organiseret, og der er virkelig mange led. Jeg ved, at budgetterne, der bliver brugt på cybersikkerhed, ofte bliver udfordret oppefra. Det bunder i manglende viden. Der er ideen om the silver bullet’ – forstået på den måde, at virksomhederne tror, at de ikke længere kan blive hacket, hvis medarbejderne har to-faktor godkendelse slået til eller ’nu har vi sendt alle medarbejdere på phishing-kursus, så vil de nok aldrig blive phishet igen.’”  

Alle har en sårbarhed

Det er en forkert opfattelse af et område, der er i konstant udvikling, og hvor kriminelle hele tiden forfiner deres metoder, mener Oliver Nordestgaard:  

”Fra et virksomhedssynspunkt kan det virke tosset at bruge så mange penge på noget, der jo dybest set skal afhjælpe samme problem. Men det er bare realiteten, når alle de systemer, man har, før eller siden vil have en sårbarhed.” 
 
Oliver Nordestgaard er 23 år og er netop nu ved at lægge sidste hånd på sit speciale. Men interessen for cybersikkerhed blev vakt langt tidligere – især med motivation fra faren, som også er softwareingeniør.  

Under lærerkonflikten i 2013 fik Oliver grundet aflyst undervisning pludselig meget fritid. Og for at det hele ikke skulle gå op i computerspil, begyndte han at lære sig selv nye ting.   

”Jeg faldt over nogle youtubere, der forklarede, hvordan de helt fundamentale ting i computere virker i detaljen. Herfra var der ikke langt til sikkerhed, som jeg synes var super spændende.”  

Men hvorfor interesserer sig en 13-årig for det?  

”Det handler nok om medieprægning. En hacker kan en masse sejt på en intellektuel måde i rigtig mange film. Arbejdet stopper ikke, når man har lært systemerne. Man skal kende dem bedre, end dem der har lavet dem, siger Oliver Nordestgaard.  

De, der går efter virksomhederne, er ikke de samme som går efter Hr. og Fru Danmark 

Og det er det, de kan. Hackerne. Men de er også en broget flok, forklarer han.  

”Der er mange forskellige typer – alt fra sådan en som mig, der sidder og tester virksomhederne legitimt og hjælper med at fikse sårbarheder efterfølgende.”   

”Så er der de klassiske hackere, hvor det udelukkende handler om penge, og hvor der skydes med spredehagl. De, der går efter virksomhederne, er ikke de samme som dem, der går efter Hr. og Fru Danmark.  

Virksomhedshacking består af rigtig mange organiserede led. Et sikkerhedsbrud involverer mange forskellige brud inden, at selve angrebet bliver opdaget, forklarer Oliver:  

”Først er der hackere, der prøver at få adgang, fx via en phishing-mail eller ved at købe folk i virksomheden – simpelthen bestikke sig til adgang.  

Denne her såkaldte ’initial access’ sælger de så videre til andre. Dem, der køber adgangen, forsøger så at få administrator-rettigheder til systemet – enten lykkes det, og så sælger de administratorrettighederne, eller også må de konkludere, at det ikke lykkedes, og så sælger de de rettigheder, de har tilbage til nogle andre, der så prøver igen.  

Til sidst når vi så typisk hen til dem, der er leverandører af ransomware – altså ikke dem, der udvikler ransomware, men dem, der sælger det. De sælger til kriminelle, der har såkaldte ”affiliates”, der lægger det ud på virksomhederne. Det er vigtigt at forstå, at de kriminelle, der lægger det her ud på maskinerne – det er ikke dem, der har udviklet det.  

Det røgslør, der skabes, når der er så mange led, er rigtig svært at finde hoved og hale i. Men man skal ikke tage fejl. Det er enormt organiseret og hackere har systemer og it-support som enhver anden lovlig organisation.”  

’Det handler om samarbejde’  

Vejen til Cyberlansholdet gik for Oliver Nordestgaards vedkommende gennem en underviser, der introducerede ham for den såkaldte gameificerede udgave af cybersikkerhed med scoreboards og konkurrence. Samtidig havde han en god ven, der tidligere havde været med på landsholdet.  

Først kvalificerede Oliver sig som almindelig deltager, og senere overtog han anførerrollen. Når konkurrencen fløjtes i gang, handler det ifølge Oliver ikke kun om de tekniske skills:  

”Nej, langt fra. Som anfører skal du være trænerens kontaktperson, for han må ikke være del af konkurrencen. Du skal altså have overblikket, og du skal tage beslutninger effektivt. Hvis du har tre personer dedikeret til at knække en kode et sted, skal du kunne vurdere, om det kan lade sig gøre – eller om det er strategisk smartere at flytte to over på en anden opgave, så et andet hul bliver lukket.”  

”Det handler om i høj grad om at kunne arbejde sammen. Det er jo sådan med cyberkompetencer, at folk jo sagtens kan sidde derhjemme og blive rigtig dygtige alene. Men de kan med stor sandsynlighed blive dobbelt så dygtige, hvis de arbejder sammen med andre,” siger Oliver Nordestgaard.  

Og når det kommer til cybersikkerhed skal der også kæmpes på flere fronter samtidig – især hvis uheldet er ude.  

”Det er også afsættet for, at der sidste år blev introduceret en ny type konkurrence til europamesterskaberne ’attack and defense’ for netop at simulere et cyberangreb. Hvert hold får en server udleveret. Serveren er sat op med en masse bevidst sårbare systemer, og så har man ansvaret for at finde sårbarhederne og lukke dem, og udvikle angreb til de andre, der har de samme services. Du hacker altså andre samtidig med, at du skal beskytte dit eget system.”  

Og du kan ikke bare slukke systemet, selvom du har et stort sikkerhedshul – for det bliver du straffet for. Både i konkurrencen – og in real life”, fortæller Oliver Nordestgaard.   

Interesseret i at arbejde med cybersikkerhed? Her er de gode projekter  

Industriens Fonds Cyberprogram arbejder målrettet på at styrke cybersikkerheden i danske virksomheder. Dels for at stå stærkt i kampen mod hackerangreb – dels for at styrke konkurrenceevnen. En forudsætning for at lykkes med det, er at flere unge i dag aktivt vælger en uddannelse inden for cybersikkerhed og at flere opkvalificeres eller tilegner sig viden og redskaber til at kunne modstå cybertruslen.  

Nyhedsbrev

Industriens Fond udsender nyhedsbreve én gang om måneden med seneste nyt fra Fonden

Ved tilmelding bekræfter jeg mit ønske om at modtage nyhedsbreve fra Industriens Fond. I må desuden gerne invitere mig til livearrangementer, webinarer og konferencer via email. Jeg kan til enhver tid trække mit samtykke tilbage. Når jeg tilmelder mig nyhedsbrevet, bekræfter jeg at have læst og accepteret Industriens Fonds persondatapolitik.