Hvor sikre er it-sikkerhetsfolk?

Hvor sikre er it-sikkerhetsfolk?

En amerikansk sikkerhetsrådgiver er dømt til 40 år i fengsel for hacking. Slik luker du ut sorte får.

Sikkerhetseksperter har stor innsikt i datakriminalitet og spiller gjerne på frykt for å selge produkter. I lys av dommen hvor Max Ray Butler denne uken ble dømt til 40 års fengsel og en bot på rundt 10 millioner norske kroner, kan det være grunn til å spørre seg om sikkerhetssjekken i sikkerhetsbransjen er god nok.

LES OGSÅ: Tapper norske bankkort i Italia

Skyggesiden

Tidligere sikkerhetskonsulent Max Ray Butler, med kallenavnet "Iceman”, ble dømt for å stjålet flere tusen kredittkortnumre, som han hadde tappet for store beløp.

Iceman ble tatt av FBI-agent J. Keith Mularski som infiltrerte miljøet og det svarte markedet på nettet i to år, skriver Computerworld i USA.

Salg av sikkerhetsprogramvare, konsulenttjenester og maskinvare, samt rådgivning rundt digital sikkerhet, beløper seg til flere hundre milliarder kroner verden over.

Mørke siden

Men hvor trygg er den industrien som til daglig sitter med hodet godt inn i den onde siden av den digitale verden? Er det ikke fristende å gå over til den mørke siden?

- Når du snakker om sikkerhet, er det alltid den fysiske sikkerheten i form av interne personer i sikkerhetsfirmaet, som per definisjon utgjør en sikkerhetsrisiko. Men til tross for noen sorte får, er det erfaringsmessig en bransje som er til å stole på, sier IDC-analytiker Anders Elbak i analysehuset IDC, til Computerworld Danmark.

Datakriminialitet bør og skal ikke skje, mener direktør Peter Kruse i det danske sikkerhetfirmaet CSIS Group.

- Man kan selvfølgelig ikke helt utelukke muligheten for at slike ting skje. Men hos oss, og i flere andre selskaper blir jobbkandidater nøye kontrollert for tidligere kriminell adferd. Det finnes bestemte retningslinjer og prosedyrer som utelukker tidligere it-kriminelle fra å få en jobb i bransjen, sier Kruse til danske Computerworld.

LES OGSÅ: Derfor taper personvernet

Sikkerhetsfirmaene selv kan ikke kontrollere så mye mer enn en politiattest og å kjøre navnet via en eller flere søkemotorer. Men en jobb i et sikkerhetsfirma som er involvert statens it-systemer, kan bety at man blir kontrollert av Politiets Etterretningstjeneste.

- Alle steder hvor jeg har jobbet, har det vært en sterk intern kode om hva folk har lov til. Og det er klart at når du gjør en gjennomtrengingstest mot it-infrastrukturen i en bank, og du oppdager svakheter - er det avgjørende at sikkerhetseksperten ikke forsvinner ut av selskapet med den type informasjon, sier Ken Willen i Symantec.

Integritet

Han forklarer at det er opp til it-sjefen i sikkerhetsfirmaene å følge opp sikkerhetstiltak fortløpende og vurdere tilliten til de ansatte.

- Jeg har flere ganger sett at enkelte ansatte har balansert på grensen av en pålitelig adferd. Konsekvensen er at de blir oppsagt, sier Ken Willen.

LES OGSÅ: Vi er en bananrepublikk

Les om: