Slakter sikkerhetsslakt

Kent Anderson er mannen som i sin tid avslørte den kjente hackeren Kevin Mitnick. I et eksklusivt intervju med Computerworld i forrige uke gikk han hardt ute mot bransjen han selv er en representant for.

- Dette er nå en bransje som omsetter for 30 milliarder dollar. Og den vokser nærmest eksponensielt. Så hva det som gjør at sikkerhetsproblemet likevel vokser nær uhemmet?

Anderson mener at det er altfor lett å kalle seg ekspert på sikkerhet, og at dette til og med er noe av forklaringen på at svak sikkerhet er et voksende problem. Bransjen mangler gode sertifiseringer og etiske regleverk, mener amerikaneren.

- Stort sett er det teknikere som etter hvert kaller seg eksperter. Problemet er at teknologi bare er en del av sikkerhetsaspektet. God sikkerhet krever høy kompetanse i risikovurdering for å kunne etablere effektive mottiltak. Dette er det ingen som helst tradisjon for innenfor it.

LES OGSÅ: Slakter sikkerhetsbransjen

Møter motbør

Tønnes Ingebrigtsen er administrerende direktør i Mnemonic. Han er ikke enig i at sikkerhetseksperter er underkvalifiserte.

- Det finnes flere gode sertifiseringer, blant annet CISSP. Vi har 30 ansatte med denne sertifiseringen. Det finnes også gode sertifiseringer for revisjon. I tillegg har selskaper Cisco velkjente sertifiseringer, og også Visa og Mastercard.

Markedet har endret seg veldig og vokst kraftig de siste sju årene, mener Ingebrigtsen, som medgir at det ikke er lett å rekruttere folk som allerede har den nødvendige kvalifikasjonen.

- Vi må ofte konvertere kompetanse ut fra det folk kan fra før. Og det er nok rikitig at det finnes en del fuskere i faget, men det er også kundenes ansvar å være oppmerksom og stille krav.

Norge har likevel kommet ganske langt i spesialisert sikkerhetsutdannelse, mener Mnemonic-sjefen.

- Som oftest rekrutterer vi personer med utdannelse fra NTNU, som har gått sikkerhetslinjen der, eller fra Høgskolen på Gjøvik. Også i Oslo er sikkerhet inne som fag, så det står slett ikke verst til i Norge.

Trenger bredde

Tone Hoddø Bakås, seniorrådgiver i Norsis, er delvis enig i synspunktene til Anderson.

- Ofte er det de med spisskompetanse som kaller seg eksperter. Men du trenger både bredde, erfaring og lederskap for å bli en sikkerhetsekspert. Området er veldig bredt. Jo mer jeg kan, desto mer forstår jeg at jeg ikke kan.

Hun understreker samtidig at de faglige miljøene i Norge er gode. Høgskolen på Gjøvik har både bachelor- og masterstudier i it-sikkerhet og søker om midler til å få doktorgradsstudier.

Men teknologikunnskap alene gjør ingen til ekspert, påpeker Bakås.

- Du kan ikke kalle deg sikkerhetsekspert fordi du er i stand til å oppdatere antivirusprogramvaren, for å si det sånn.

Leder-ansvar

Den viktigste utfordringen, tror Bakås, er å bevisstgjøre bedriftsledere. Etterutdanning og kontinuerlig oppdatering er viktige nøkkelord.

- Trusselbildet endrer seg hele tiden. Når det gjelder å gjøre ledere oppmerksomme på deres ansvar for informasjonssikkerhet, tror jeg det fremdeles er et langt lerret å bleke, sier Bakås

SE VIDEO: Omrokkering på Paranoia