Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Søk

  1. Norway
  2. Insights
  3. Blog
  4. Career
  5. Penetrasjonstesting av OT-miljøer

Penetrasjonstesting av OT-miljøer

BlogCareer

Share

Karim* er ekspert på penetrasjonstesting i industrien.

Hadde du alltid lyst til å bli penetrasjonstester eller etisk hacker som vi også kaller det i Orange Cyberdefense?

Ikke egentlig. Jeg studerte informasjonsvitenskap og teknologi. På den tiden visste jeg ikke hva jeg ville jobbe med. Jeg bestemte meg for å begynne på en ingeniørhøyskole og spesialiserte meg gradvis innenfor informatikk. Det var folk i vennekretsen min, medstudenter som nettopp var tilbake fra praksisplasser eller tidligere studenter, som introduserte meg for cybersikkerhet generelt og penetrasjonstesting spesielt.

Hva var det de fortalte som appellerte til deg?

Selve ideen om penetrasjonstesting fascinerte meg. Det å kopiere atferden til hackere, bare på lovlig vis, er et originalt konsept. Jeg likte også ideen om å hjelpe et selskap og bidra med teknisk ekspertise i kombinasjon med konseptet etisk hacking.

Du kom til Orange Cyberdefense via et internship i 2016. Hvilke oppgaver fikk du da?

De to første månedene var viet til opplæring. Så jobbet jeg med penetrasjonstest i et industrielt miljø. Det var temaet for avhandlingen min. Jeg hjalp teamet med å utvikle metoder og identifisere presise kontrollpunkter. Til slutt fulgte jeg erfarne penetrasjonstestere på oppdrag. I denne siste fasen fikk jeg anledning til å bruke det jeg hadde lært i praksisperioden i profesjonell sammenheng.

Hvorfor spesialiserte du deg på industriell cybersikkerhet?

Jeg hadde litt kjennskap til automatikk fra da jeg tok bachelorgraden. Industriell cybersikkerhet krever dessuten en spesiell tilnærming: Det meste av utstyret er aldrende og ikke veldig motstandsdyktig mot angrep og følgelig heller ikke mot inntrengingstesting. De tekniske gjennomgangene våre kan komme til å sette maskinene ut av spill, noe som ikke må skje. Produksjonen må fortsette uansett. Vi er dermed nødt til å innovere og finne andre måter å gjøre ting på.

Industrien har blitt en svært dynamisk sektor: Stadig flere industrikonsern ønsker å styrke sikkerheten og henvender seg til selskaper som Orange Cyberdefense for å få hjelp. Det er mye som står på spill i forbindelse med sikring av eiendeler og anlegg i industrien: Et reelt angrep på et kjernekraftverk eller et demningsanlegg kan få katastrofale følger.

Stemmer bildet du hadde av penetrasjonstesternes arbeid på den tiden, med det du opplever i dag?

Det jeg fikk høre om jobben, stemte veldig godt overens med det jeg opplever i dag, særlig på den tekniske siden. Det jeg ikke hadde forventet, var alle de andre oppgavene som kundemøter, skriving av tilbud osv. Vi tar oss av alt som skjer før og etter sikkerhetstestingen. Ekspertisen vår må gå hånd i hånd med den enkelte kundens behov, slik at vi kan være tilgjengelige til rett tid. Så prosjektledelse er også en del av jobben. I dag setter jeg pris på denne tverrfaglige tilnærmingen til de ulike stadiene av penetrasjonstesting, fra kartlegging av behov til sluttrapporten er ferdig.

Hvordan ser arbeidsdagen din ut i dag?

Arbeidsdagene varierer fra uke til uke. Det er stor variasjon i oppdragene. Det kan være en penetrasjonstest på en mobilapplikasjon, et kommersielt nettsted, det interne nettverket til en kunde eller mer kundetilpassede tjenester som pedagogiske phishingkampanjer eller penetrasjonstest i lokalene til en kunde.

Jeg underviser også i sikkerhetstesting. Jeg følger opp unge kandidater som vil øke ferdighetene sine innenfor tekniske emner. Jeg leder også kurs for kundene, der jeg gir dem en praktisk introduksjon til penetrasjonstesting.

Hva liker du best med jobben din?

Det ikke noen spesielle oppdrag jeg liker bedre enn andre. Det jeg liker spesielt godt, er at jeg har variasjon og kan gå fra det ene til det andre. Ingen uker er like, og det setter jeg pris på.

Jeg er spesielt glad i å formidle kunnskap: Enten det er ute hos en kunde etter å ha hjulpet dem med å forbedre sikkerheten eller det gjelder oppfølging av yngre medarbeiderne i avdelingen min, elsker jeg å diskutere og formidle tekniske emner.

Kan du beskrive miljøet i avdelingen din?

Miljøet er relativt ungt, de fleste av oss er mellom 25 og 30 år. Vi kommer veldig godt overens, noe som er viktig fordi vi jobber så mye sammen. Å utveksle kunnskap er veldig viktig, det var først og fremst det som slo meg da jeg begynte her. Hver gang penetrasjonstesterne kommer tilbake fra et oppdrag, formidler de det de har lært og de nye teknikkene de har oppdaget. Oppdragene utføres ofte to og to, slik at vi kan bedre ferdighetene våre innenfor spesielle emner.

Hvilke råd vil du gi til noen som har lyst til å bli penetrasjonstester eller etisk hacker i Orange Cyberdefense?

Du må være utholdende og ikke være redd for å bruke mye tid på å undersøke og lete uten å miste motet. Nylig tok det meg tre dager å lykkes med å utnytte et sikkerhetsproblem. Jeg visste at jeg ville finne en måte å gjøre det på, og ga ikke opp. Motivasjon er avgjørende, for penetrasjonstesting er fremfor alt en jobb for entusiaster.

Du bør heller ikke være redd for å starte med et beskjedent teknisk nivå. Med en læreplass kan du forbedre ferdighetene dine raskt, du blir kastet rett inn i penetrasjonstestingen. Du lærer ved å være i kontakt med andre, uten å tenke over det.

*Fornavn er endret

Incident Response Hotline

Står du overfor en cyberhendelse akkurat nå?

 

Kontakt vår globale 24/7/365 tjeneste incident response hotline.