Orange Cyberdefense bryter sig in företags IT-system. För deras egen skull. Med hjälp av etisk hackning kan säkerhetsluckor täppas till – innan någon annan upptäcker dem.
– Incitamenten för cyberkriminella krafter ökar i takt med digitaliseringen, säger Oscar Hjelm, etisk hackare på Orange Cyberdefense.
Plötsligt har någon utifrån tagit kontroll över affärssystemet. Eller så har hela kundregistret läckt. Det är två av många mardrömsscenarier som alla organisationer idag måste vara förberedda på, oavsett om man är en internationell storbank eller ett lokalt byggvaruhus. I värsta fall är det organiserad brottslighet som ligger bakom. I bästa fall är det Oscar Hjelm och hans kollegor av etiska hackare på Orange Cyberdefense.
- Jag jobbar med att hitta luckor och brister i IT-systemen. En del kallar det penetrationstestning, jag brukar kalla det säkerhetsgranskning. Det finns de kunder som blir mållösa när de märker hur utsatta deras system är. Men de flesta blir tacksamma över att vi har kunnat upptäcka deras svagheter innan någon annan har gjort det, säger Oscar Hjelm
Den ökade digitaliseringen erbjuder nya möjligheter både för de som vill utveckla sina affärer – och de som vill angripa dem. Ju fler delar av en verksamhet som digitaliseras desto större blir angreppsytan. Etisk hackning innebär att under kontrollerade former utsätta en organisation för de risker som verksamheten kan mötas av. Därmed kan säkerhetsluckor och andra brister upptäckas och täppas till i tid.
– De uppdrag vi får ser väldigt olika ut. Ibland anlitas vi redan i utvecklingsfasen av ett system, det kan vara allt från en webbshop till komplexa kontrollsystem inom industrin. Ibland behöver vi ta oss an befintliga system som genom åren byggts ut och modifierats så att ingen längre har en egentlig helhetsbild. Bredden är enorm, något som gör att vi måste vara väldigt flexibla. Det är en utmaning som sporrar mig, säger Oscar Hjelm.
Orange Cyberdefense har lång erfarenhet av etisk hackning. Bland medarbetarna ingår till exempel SensePost, en internationell elitgrupp av etiska hackare med över 20 år i branschen. En del etiska hackare har börjat som traditionella hackare för att sedan byta sida, men för Oscar Hjelm var det ett stort intresse för säkerhet generellt som lockade honom till yrket.
–Penetrationstestning används inte bara för att hitta tekniska brister. Vi utför även övningar med kunder där endast ett fåtal nyckelpersoner på ledningsnivå är medvetna om angreppet. Det ger oss möjligheten att mäta hur lång tid det tar för organisationen att upptäcka angreppet. Sedan kan det variera vad som ingår i testet. Det kan vara allt ifrån att angripa verksamheten från internet till att vi bryter oss in i det trådlösa nätverket eller kör en phishing-kampanj, säger Oscar Hjelm.
Efteråt sammanställs en rapport som företaget även kan få hjälp att agera efter. För de som har varit med och byggt upp IT-säkerheten kan det kännas som ett hårt slag när de olika bristerna uppdagas.
– Det är fullt begripligt. Men etisk hackning går inte ut på att kritisera, utan att hjälpa organisationer att förbättra sin säkerhet. Och det är viktigt att komma ihåg att alla system har brister. Vi rekommenderar regelbunden granskning. För affärskritiska system minst en gång om året, och gärna oftare än så. I takt med digitaliseringen ökar incitamenten för angripare. Det är som en kapplöpning. Enda skillnaden är att ingen vinner. Säkerhet är en process som man aldrig blir färdig med, säger Oscar Hjelm.
Oscar hackar kundernas system för att testa säkerheten
Läs även vårt white paper här