“Det er fedt at kunne hjælpe folk”
Telefonen ringede. I den anden ende var en atypisk kunde, en industrivirksomhed fra Jylland. Det atypiske var hverken branchen eller den geografiske placering. Det atypiske var, at de ikke var blevet hacket endnu. Men de var bekymrede, for selvfølgelig havde de hørt om faktura-fupnumre og ransomware. Nu ville de gerne forhindre, at de selv blev udsat.
Enter Klaus Agnoletti. Sikkerhedskonsulent hos FortConsult og uddannet datamatiker. Siden 2004 har han arbejdet med IT-sikkerhed hos blandt andet COOP og revisionsgiganten Deloitte.
“Jeg tog en tur til Jylland og mødtes med firmaet for at høre mere om deres bekymringer. Derefter satte vi gang i en kortlægning af deres IT-sikkerhed med udgangspunkt i et 20 punkts-framework, der hedder Critical Security Controls. Det resulterede i en rapport med blodrøde konklusioner,” fortæller han.
Kortlægning af sikkerheden
De tyve punkter starter med en kortlægning af alle enheder på virksomhedens netværk. “Du skal vide hvad du har, ellers kan du ikke beskytte det,” som Klaus Agnoletti formulerer det. Det sidste punkt på tjeklisten er penetrationstests, og der er en god grund til, at det er den afsluttende øvelse.
“Hvis du ikke har styr på dine patchingprocesser, så giver det ikke mening at penteste,” forklarer sikkerhedskonsulenten.
Kortlægningen går i dybden med en række aspekter af sikkerheden, ligefra netværkstests over gennemgang af sikkerhedspolitikker til undersøgelser af, hvilken software medarbejderne rent faktisk har på deres laptops.
“Kundens sikkerhedsniveau var ret lavt. Det blev understreget i den rapport, jeg afleverede, men jeg skrev også, at det var forventeligt af en virksomhed af deres type. De tog det heldigvis pænt, for de kunne se, at rapporten var fair og rimelig,” genfortæller Klaus Agnoletti.
Han var også med i Polen for at undersøge IT-sikkerheden på firmaets lokale produktionsfaciliteter i landet. Efterfølgende har virksomhedens bestyrelse besluttet at iværksætte tiltag på en række af de anbefalinger, som konsulenten kom med, ligesom de resterende produktionsfaciliteter i udlandet skal undersøges.
“Det var et godt forløb. Det var fedt at kunne hjælpe dem. Men de var en atypisk kunde, fordi de ikke var under angreb. Det er højst usædvanligt, at de kommer til os før, de bliver angrebet.”
Ringer først når ilden har fået fat
Den jyske kunde kom før, det brændte, men den slags kunder er sjældne.
“Folks opfattelse af ulykker er jo, at det ikke kan ske for dem. Det er først, når de har prøvet det, at de er forsigtige i fremtiden,” siger Klaus Agnoletti og uddyber:
“For et år siden kørte jeg galt i bilen, fordi ham, der kørte foran, bremsede hårdt op, og jeg ikke holdt afstand nok. Det gør jeg så nu. Men det får jo ikke alle andre til at holde ordentlig afstand.”
Han oplever, at situationen er identisk indenfor IT-sikkerheden.
“Det skal være ens allernærmeste, der har prøvet ransomware, før man begynder at tro, at det kan ske for en selv. Men det kan altså ske for alle. Der er intet eksotisk over det. Hvis du er kriminel i Rusland, kan du, uden at have nogle tekniske færdigheder, købe alle de værktøjer, du skal bruge til at tjene penge på ransomware. Det er let at bruge og giver stort afkast,” fortæller Klaus Agnoletti.
Han henviser til en rapport fra 2014 om, at return of investement på ransomware meget konsevativt sat ligger omkring 1000 procent. Og nej, der er ikke et nul for meget.
Men når de først har været ramt på sikkerheden, så er virksomhederne til gengæld lydhøre.
“Når kastanjerne er raget ud af ilden, så er de åbne for forandring. Den slags erindringer plejer at sidde hos ledelserne noget tid.”
Forandring fryder
Og det er netop, når kunden er indstillet på forandring, at det er sjovt at gå på arbejde, siger Klaus Agnoletti.
“Jeg kan godt blive lidt desillusioneret over, at der er mange, der reelt ikke vil ændre noget, men bare vil have tjekket systemerne for at kunne sige, at de har gjort det. Det er en stor udfordring, når de ikke har ønsker om at rette sårbarheder eller ændre praksis. Så gør man ikke en forskel, og det er frustrerende.”
Netop ønsket om at have fingrene nede i materien er en vigtig årsag til hans nuværende arbejde.
“Jeg stoppede i Deloitte, fordi jeg stort set kun arbejdede med governance. Dér døde jeg lidt indeni. Jeg ville gerne ud og arbejde med fejlene, ikke bare påpege dem,” fortæller han og tilføjer, at bare fordi en virksomhed har en sikkerhedshåndbog og alt på papiret ser godt ud, så er det ikke en garanti for, at sikkerhedsniveauet i praksis også er højt nok.
Ingen klager
Selvom sikkerhedsrådgiverens rolle er at finde fejl i andre menneskers arbejde, så møder han sjældent modstand blandt kundernes IT-medarbejdere.
“Når vi kommer ud og leverer en kritisk rapport, så er IT-folkene oftest glade, fordi der derefter kan komme fokus på, og blive sat resourcer af til, at de kan få rettet sårbarheder. Selvom det kan gøre ondt at få sandheden at vide, så accepterer de fleste det, når man er fair og ydmyg. Det er meget, meget sjældent, at nogen bliver ærekære eller sure over det.”
Han tilføjer:
“De fleste virksomheder ved jo godt, den ikke er helt god. Det er jo derfor vi bliver tilkaldt. Men det vægter ofte tungere, når det kommer fra os, fordi vi er eksterne.”
Et af goderne ved jobbet som sikkerhedskonsulent er, at man ofte kommer ud i verden. For nylig var Klaus Agnoletti fx på besøg i en stor havn i Baltikum for at hjælpe med sikkerheden der, og under ansættelsen i Deloitte var han i Saudi Arabien, for at fikse en unix-server, der drillede. De opgaver klarede han på en enkelt dags arbejde.
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.