Penetrasjonstesting av OT-miljøer

Ikke egentlig. Jeg studerte informasjonsvitenskap og teknologi. På den tiden visste jeg ikke hva jeg ville jobbe med. Jeg bestemte meg for å begynne på en ingeniørhøyskole og spesialiserte meg gradvis innenfor informatikk. Det var folk i vennekretsen min, medstudenter som nettopp var tilbake fra praksisplasser eller tidligere studenter, som introduserte meg for cybersikkerhet generelt og penetrasjonstesting spesielt.

Selve ideen om penetrasjonstesting fascinerte meg. Det å kopiere atferden til hackere, bare på lovlig vis, er et originalt konsept. Jeg likte også ideen om å hjelpe et selskap og bidra med teknisk ekspertise i kombinasjon med konseptet etisk hacking.

De to første månedene var viet til opplæring. Så jobbet jeg med penetrasjonstest i et industrielt miljø. Det var temaet for avhandlingen min. Jeg hjalp teamet med å utvikle metoder og identifisere presise kontrollpunkter. Til slutt fulgte jeg erfarne penetrasjonstestere på oppdrag. I denne siste fasen fikk jeg anledning til å bruke det jeg hadde lært i praksisperioden i profesjonell sammenheng.

Jeg hadde litt kjennskap til automatikk fra da jeg tok bachelorgraden. Industriell cybersikkerhet krever dessuten en spesiell tilnærming: Det meste av utstyret er aldrende og ikke veldig motstandsdyktig mot angrep og følgelig heller ikke mot inntrengingstesting. De tekniske gjennomgangene våre kan komme til å sette maskinene ut av spill, noe som ikke må skje. Produksjonen må fortsette uansett. Vi er dermed nødt til å innovere og finne andre måter å gjøre ting på.

Industrien har blitt en svært dynamisk sektor: Stadig flere industrikonsern ønsker å styrke sikkerheten og henvender seg til selskaper som Orange Cyberdefense for å få hjelp. Det er mye som står på spill i forbindelse med sikring av eiendeler og anlegg i industrien: Et reelt angrep på et kjernekraftverk eller et demningsanlegg kan få katastrofale følger.

Det jeg fikk høre om jobben, stemte veldig godt overens med det jeg opplever i dag, særlig på den tekniske siden. Det jeg ikke hadde forventet, var alle de andre oppgavene som kundemøter, skriving av tilbud osv. Vi tar oss av alt som skjer før og etter sikkerhetstestingen. Ekspertisen vår må gå hånd i hånd med den enkelte kundens behov, slik at vi kan være tilgjengelige til rett tid. Så prosjektledelse er også en del av jobben. I dag setter jeg pris på denne tverrfaglige tilnærmingen til de ulike stadiene av penetrasjonstesting, fra kartlegging av behov til sluttrapporten er ferdig.

Arbeidsdagene varierer fra uke til uke. Det er stor variasjon i oppdragene. Det kan være en penetrasjonstest på en mobilapplikasjon, et kommersielt nettsted, det interne nettverket til en kunde eller mer kundetilpassede tjenester som pedagogiske phishingkampanjer eller penetrasjonstest i lokalene til en kunde.

Jeg underviser også i sikkerhetstesting. Jeg følger opp unge kandidater som vil øke ferdighetene sine innenfor tekniske emner. Jeg leder også kurs for kundene, der jeg gir dem en praktisk introduksjon til penetrasjonstesting.

Det ikke noen spesielle oppdrag jeg liker bedre enn andre. Det jeg liker spesielt godt, er at jeg har variasjon og kan gå fra det ene til det andre. Ingen uker er like, og det setter jeg pris på.

Jeg er spesielt glad i å formidle kunnskap: Enten det er ute hos en kunde etter å ha hjulpet dem med å forbedre sikkerheten eller det gjelder oppfølging av yngre medarbeiderne i avdelingen min, elsker jeg å diskutere og formidle tekniske emner.

Miljøet er relativt ungt, de fleste av oss er mellom 25 og 30 år. Vi kommer veldig godt overens, noe som er viktig fordi vi jobber så mye sammen. Å utveksle kunnskap er veldig viktig, det var først og fremst det som slo meg da jeg begynte her. Hver gang penetrasjonstesterne kommer tilbake fra et oppdrag, formidler de det de har lært og de nye teknikkene de har oppdaget. Oppdragene utføres ofte to og to, slik at vi kan bedre ferdighetene våre innenfor spesielle emner.

Du må være utholdende og ikke være redd for å bruke mye tid på å undersøke og lete uten å miste motet. Nylig tok det meg tre dager å lykkes med å utnytte et sikkerhetsproblem. Jeg visste at jeg ville finne en måte å gjøre det på, og ga ikke opp. Motivasjon er avgjørende, for penetrasjonstesting er fremfor alt en jobb for entusiaster.

Du bør heller ikke være redd for å starte med et beskjedent teknisk nivå. Med en læreplass kan du forbedre ferdighetene dine raskt, du blir kastet rett inn i penetrasjonstestingen. Du lærer ved å være i kontakt med andre, uten å tenke over det.

*Fornavn er endret