– Vi ser litt for ofte at det blir strykkarakter

River Security er spesialisert på å angripe. Sicra på å forsvare. Nå går selskapene sammen om å teste norske virksomheters IT-sikkerhet.

GÅR SAMMEN: Magnus Holst (t.v) i River Security og Stig Valderhaug i Sicra skal selge sikkerhetstesting sett fra både angriperens og forsvarets side. Foto: Torgeir Kveim Sti

Del

Journalist

– Vi pleier å si at vi slår på lyset, ved å vise kundene hva de faktisk eksponerer digitalt, sier daglig leder Magnus Holst i River Security.

– Mens vi råder kundene om de reelle truslene, og skiller ut det som er støy, sier Stig Valderhaug, daglig leder i Sicra.

Valderhaug leder Sicra, et av Norges ledende kompetansemiljøer innen IT-sikkerhet med primært seniorer med lang fartstid på lønningslisten.

Holst leder River Security, et tre år gammelt selskap som rekrutterer sine ansatte gjennom hackerkonkurranser og har vokst raskt på å sette selskapers IT-sikkerhet på prøve.

Nå har selskapene gått sammen om å tilby det de hevder er en av markedets beste løsninger for testing av IT-sikkerheten.

– Det grunnleggende er at det ikke lenger holder å teste sikkerheten et par ganger i året og vifte en 50-siders rapport i været. Dagens trusselbilde krever at man tester sikkerheten kontinuerlig, sier Holst.

– Starter i feil ende

Bildet som tegnes av dagens cybersikkerhetsrapporter er temmelig dyster lesning. Norske IT-direktører skal balansere ambisiøse krav til digital transformasjon fra ledelsen med en eksplosiv økning i antallet cyberangrep. Komplekse IT-infrastrukturer er på vei over i skyen, endringer skjer hyppigere enn noen gang og nye sårbarheter oppstår nærmest daglig.

Det fordrer ifølge Holst og Valderhaug at selskapene må endre måten de tester sikkerheten på.

– Utfordringen er at mange selskaper håndterer dette som compliance-arbeid – at man skal oppfylle noen krav. Da starter du egentlig i feil ende, sier Valderhaug.

Valderhaugs konsulentselskap har spesialisert seg på å sikre og sy sammen gammel og ny IT-infrastruktur for noen av Norges største selskaper, inkludert Coop, Kongsberg Gruppen, samt større offentlige virksomheter.

Sicra

IT-konsulentselskap ledet av Stig Valderhaug som sikrer IT-infrastruktur for store selskaper og offentlige institusjoner med helhetlig rådgivning og trusselhåndtering.
Har primært seniorer og ansatte med lang erfaring og fartstid i bransjen.
Blant kundene er Coop og Kongsberg Gruppen, samt det offentlige. I år forventet å overstige 64 millioner i omsetning.

Han sier at for mange selskaper hviler mye av IT-sikkerheten i dag på såkalte sikkerhetsoperasjonssentre (SOC), sentraliserte team eller systemer hvor ansvaret for overvåkning, analyse og respons på sikkerhetshendelser i bedriften er samlet.

Problemet ifølge Valderhaug og Holst er at disse er dyre i innkjøp, svært ressurskrevende å drifte på et tilstrekkelig nivå, og ofte gir en falsk trygghet.

– Vi ser litt for ofte når vi går inn og gjør penetrasjonstester at det blir strykkarakter. Og faktum er at i de tilfellene vi må inn og rydde opp, så er det ofte de enkle feilene som er årsaken. Svakheter alle burde klare å plukke opp, sier Holst.

River Security

IT-sikkerhetsselskap med Magnus Holst i spissen.
Utfører penetrasjonstesting med programvare som daglig tester sikkerheten for å avdekke i tillegg til å tilby hackerteam som avdekker svakheter hos virksomheter.
Fokuserer på kontinuerlig testing av IT-sikkerhet og vektlegger grunnleggende sårbarheter.
Har kunder som Mesta, Backe, og Firi, og forventer en omsetning på 12 millioner i år, med ambisjoner om å vokse internasjonalt.

Preventiv sikkerhetstesting

River Security har systematisert penetrasjonstesting med det Holst kaller en «offensiv SOC».

Leveransen innebærer et team hackere og analytikere som først går inn og kartlegger selskapenes digitale tilstedeværelse og synliggjør sårbarhetene hos kundene – det Holst innledningsvis beskrev som å skru på lyset.

Videre leverer selskapet en egenutviklet programvare som understøtter og muliggjør daglig penetrasjonstesting og en administrasjonsportal for rask håndtering av angrep over en bred flate.

Rivers kundeliste inkluderer blant annet Mesta og Backe og Firi, som blant annet trekker frem å synliggjøre eksponeringen for selskaper med høy oppkjøpsaktivitet.

Når selskapene nå går sammen, innebærer det at de vil tilby Rivers angrepskompetanse med Sicras forsvarskompetanse for å teste og komme frem til best mulig sikkerhet.

At den kommer fra to ulike selskaper, mener lederne er avgjørende.

– Kunden kan ikke gjøre en vurdering på hvor god sikkerhetsleverandøren er. Det er hele poenget med uavhengig testing, sier Holst.

– At det kommer to ulike fagmiljøer inn med ulike synspunkter, løsninger og uenigheter er avgjørende for å komme frem til best mulig sikkerhet, sier Valderhaug.

Sicra-sjefen påpeker samtidig en annen problematisk side i dagens sikkerhetsbilde: Det er for mye alarmer og rop om ulv.

– Noe vi har tenkt veldig nøye gjennom i våre leveranser er at vi ikke skal være nok et dashboard med masse blinkende røde alarmer. De blir mer støy enn til hjelp for kunden, sier Valderhaug.

– Verktøystøtten gjør at vi kan finne feilene, men sammen med Rivers team gjør vi en vurdering. Ikke alle sårbarheter gjør kundene hackbare, fortsetter han.

Skal vokse internasjonalt

For Sicras premium-konsulenter blir samarbeidet et bidrag til selskapets topplinje som i år er ventet å passere 64 millioner kroner, omtrent på nivå med fjoråret.

For River er ambisjonen å vokse internasjonalt med den skalerbare teknologien og tilknytte seg tilsvarende kompetansemiljøer innen sikkerhet internasjonalt.

De to seneste årene har selskapets omsetning gått fra 1,5 til 10 millioner kroner med positiv bunnlinje i fjor, og i år forventer selskapet 12 millioner.

– Vi er 13 ansatte i dag og ser kanskje for oss om 3-4 år at vi er 30. Samtidig kan vi bli 20 ganger større i kundemasse. Det er relativt skalerbar teknologi, sier Holst.