Når hackeren er helten
Som barn var han familiens tekniske vidunder. Nå kan Nicolai Grødum hacke alt og alle.
For å beskytte norske bedrifter mot digitale trusler, må han tenke som en kriminell.
Manglende forståelse for cybersikkerhet hos norske ledere utgjør en stor risiko for både næringsliv og samfunn. Nicolai Grødum i PwC er en etisk hacker. Hans team finner virksomhetenes sårbarheter og gir råd om hvordan disse kan styrkes. Alle foto: Benjamin A. Ward
– En ekte skurk eller spion kjenner ingen grenser og vil kynisk utnytte enhver mulighet. Derfor må vi også ha frie tøyler i kampen mot dem, sier Nicolai Grødum, teknisk direktør og leder for Red Team i PwC Norge.
Han er en etisk hacker. Jobben består i å forebygge, bekjempe og styrke kundenes forsvarsverk mot cyberkriminalitet.
Teamet begynner med å finne svakhetene, akkurat slik en kriminell ville gjort.
De lykkes faretruende ofte.
PwCs seneste cyberkrimrapport viser at antall målrettede cyberangrep øker. Mest av alt frykter norske virksomheter at kritiske systemer blir utilgjengelige i lengre tid, fortrolig informasjon kommer på avveie og at omdømmet skal ta skade.
– Mange bedrifter sliter med å vite om sikkerhetstiltakene deres virkelig fungerer. Samtidig kan det være utfordrende å investere i et område med mye usikkerhet, sier Nicolai.
Hackerne i PwC gjør cybersikkerhet konkret gjennom å vise hva som faktisk kan skje og gi råd om hvordan ressursene bør brukes mest effektivt.
Metodene er svært sofistikerte.
– Å tenke som en cyberskurk, klekke ut nye angrepsvinkler og avdekke sikkerhetshull er et krevende stykke kreativt arbeid, sier hackersjefen.
Fire viktige råd fra en «hacker» til norske bedrifter
1. Unngå å bli for selvsikre
– Mange tenker: «Alt fungerer fint, vi trenger ikke å teste systemene våre.» Hjernen har en tendens til å ignorere det vi ikke tror kan skje. Når vi viser dem hvor sårbare de faktisk er, blir det en øyeåpner. Samtidig gir denne «sjokk-kuren» verdifull innsikt som kan brukes til å forebygge, beskytte og styrke virksomhetens IT-sikkerhet.
2. Test om tryggheten deres er sann eller falsk
– Vi prøver å komme oss forbi forsvarsverkene, og lykkes ofte. Denne testen kan det være svært lønnsomt å ta. Falsk trygghet kan være vanskelig å gi slipp på før man har fått se den brutale sannheten.
3. Ta i bruk ekstern spisskompetanse
– IT-avdelinger flest vil som oftest ikke evne å omstille og utvikle seg raskt nok. Bistand fra fagmiljøer utenfor bedriften kan være nøkkelen. Spisskompetansen vi har i PwC får vi fordi vi jobber for de største i Norge, har unik tilgang til de viktigste styrerom og myndigheter – og jevnlig øver oss på de beste. Vi nyter høy tillit, og tilgangen til disse treningsarenaene gjør at vi kan bli de dyktigste i bransjen på akkurat det vi gjør.
4. Prioriter og invester i IT-sikkerhet
– Det lønner seg. Vi hjelper mange store bedrifter og har sett det gang på gang. Minsteprisen kan være en bøyg for enkelte, men alle som har tatt den investeringen ser verdien og innser at alternativet kan bli så uendelig mye dyrere og mer problematisk.
Hacking er som en kompleks labyrint. Bare de mest kreative og kyniske finner veien inn og får tilgang til steder de ikke skal være. Nicolai Grødum jobber på den gode siden og vil stoppe cyberskurkene som utnytter, ødelegger og stjeler. Foto: Benjamin A. Ward
Det som ikke skal oppdages
Kundene er store virksomheter i Norge, mange med internasjonale forgreininger.
Nye oppdragsgivere ønsker seg ofte en eksakt plan over hva som skal gjøres før hackerteamet til PwC får gå i gang. Det må de raskt slå fra seg.
– Noen ønsker å gjøre hacking til noe strukturelt og trygt, men det er det ikke. Det er mer som å gå inn i en tett skog du aldri har vært i før. Du vet ikke hvilke verktøy du vil trenge, eller om du må lage nye. Her finnes det ikke en steg-for-steg-oppskrift, sier Nicolai.
Tilliten bygger de med informasjon, kunnskap og et godt rykte.
– For å sikre seg best mulig må man forstå hackingens natur og skadepotensial. Løsningen ligger i å forebygge og tenke flere trekk frem, forklarer han.
Mye av arbeidet går på å kartlegge og rangere sårbarheter. Hvor lett kan en angriper utnytte kritiske faktorer som nettverk, webservere, antivirusprogrammer og teknologisystemer?
– Vi utarbeider en tydelig rapport med forslag til hva som må prioriteres, både på kort og lang sikt, sier Nicolai Grødum.
Hos kunnskapsgiganten PwC fungerer hackerteamet som en egen satellitt i organisasjonen. De bruker mye tid på å trene og «kvesse sablene», forteller teamlederen.
– Verktøyene vi lager er skadevare og angrepskode som det skal være vrient å oppdage. Personlig blir jeg aldri lei hackingen. Det er som en utømmelig brønn av muligheter.
Ondsinnete hackere jobber i det skjulte, i skyggene, der linjene mellom rett og galt forsvinner. Bare de dyktigste og modigste klarer å jakte på dem. I PwCs Red Team har de dette som jobb. Foto: Benjamin A. Ward.
Har hacket både kona og sjefen
Nicolai definerer hacking som kunsten å få tilgang til steder der man ikke skal være.
– Jeg forsto tidlig at alt og alle kunne hackes, sier han.
Under studietiden i Trondheim hacket han sin fremtidige kone ved å sende en fiktiv e-post fra en felles foreleser, og toppet det hele ved å programmere inn hjertesymboler på kalkulatoren hennes.
– Jeg fikk oppmerksomheten hennes, sier Nicolai med et lurt smil.
Nicolai Grødum
Bor: Slemdal i Oslo
Utdannelse: Sivilingeniør innen kjemi, NTNU Trondheim
Stilling: Teknisk direktør og leder for Red Team i PwC Norge
Aktuell: Etisk hacker. Hjelper norske virksomheter i kampen mot cyberkriminalitet.
Under et PwC-seminar klarte han å hacke toppsjefens adgangskort ved å skjule et hackerverktøy i en lekedinosaur, som ble overrakt som en gave.
Dette vakte stor oppsikt, og kort tid etterpå ble han invitert til å hacke hele ledergruppen.
Disse eksemplene kan være nyttige når hensiktene er gode, men i gale hender kan de samme ferdighetene utgjøre en alvorlig trussel mot enkeltpersoner, bedrifter og samfunnet som helhet.
PwCs Red Team er en sammensatt gjeng med ulik spisskompetanse. Når teamet rekrutterer, ser de etter helt spesifikke egenskaper.
– Det aller viktigste er riktig personlighet og motivasjon. Jeg ser etter hackerspirer med en unik drivkraft. Utdannelse er viktig nok, men sannheten er at noen av de beste kandidatene knapt har fullført videregående, sier Nicolai.
Han har selv en ingeniørgrad i kjemi, og en sterk interesse for populærvitenskap og teknologi i bunn.
– Da jeg studerte kjemi, brukte jeg fritiden på programmering. Etter studiene jobbet jeg med programmering, mens fritiden gikk med til hacking. Gradvis fulgte det en jobb på det området også, forteller han.
Fem tips til deg som vil jobbe som etisk hacker
1. Fordyp deg skikkelig i et tema. Da kan du virkelig vise frem hva du er i stand til.
2. Prøv mye rart, og konsentrer deg om det du synes er mest gøy.
3. Ikke forvent at du lærer alt du trenger på skolen. Lær deg ny teknologi eller teknikker på egenhånd, motivert av egen nysgjerrighet, for dette blir hverdagen «resten av arbeidslivet».
4. En trenger ikke å være utdannet i cybersikkerhet, men det å ha en bachelor eller master kan fort bli et krav slik samfunnet utvikler seg.
5. Nyutdannede bør jobbe litt med softwareutvikling, overvåkning eller IT-drift før de søker. Da vil du skille deg skikkelig ut blant kanskje 50-100 søkere.
Leken og nysgjerrigheten har bidratt til å gi Nicolai Grødum en naturlig, selvlært motivasjon, enten det dreier seg om å eksperimentere med fyrverkeri, balansere på line, trikse på rulleskøyter eller hacke et datasystem. Foto: Benjamin A. Ward
Et teknologisk paradoks
Nicolai beskriver seg selv som en «dingsetype» – alltid nysgjerrig på hvordan ting fungerer.
– Teknologiinteressen kom naturlig, men kreativiteten arvet jeg fra mine kunstnerforeldre. Jeg var familiens tekniske vidunderbarn, smiler han.
Som liten demonterte han leker, bygde nye og eksperimenterte med fyrverkeri. Senere lagde han også en 3D-printer og et egenkomponert system for smarthusstyring.
I tillegg føk han rundt på rulleskøyter i Frognerparken, balanserte på line mellom bøketrærne eller fløy trimmede racing-droner før de fleste visste hva det var.
– En angripers vesen er å lure noen, på alle vis de kan. Det må vi være forberedt på og i forkant av, sier Nicolai om jobben der han og kollegene hjelper norske virksomheter med å etablere en mer robust IT-sikkerhet tilpasset den økte risikoen. Foto: Benjamin A. Ward
I dag lever tobarnsfaren et strømlinjeformet liv med trådløse, nøkkelfrie løsninger som gjør hverdagen enkel.
Men paradoksalt nok finner tech-nerden mest sjelefred i det gammeldagse Italia, hvor mye fortsatt skjer med papir, kontanter og store nøkkelknipper.
Familien har feriert i Italia siden 80-tallet, i farens gamle feriehus ved Adriaterhavskysten.
– Jeg lever et ultramoderne liv, men de beste ideene kommer når jeg sitter i en slitt stol i en olivenlund under stjernehimmelen med et glass vin, sier han.
Selv om Nicolai Grødum er en mester i hacking, er han langt fra ferdig med å leke og utvikle seg.
Den teknologiske verden endres raskt, og han vil gjerne ligge et nødvendig skritt foran.
– Jeg har lært at den beste måten å beskytte seg på, er å aldri slutte å være årvåken og nysgjerrig, avslutter han.
1. Hvordan håndterer du gråsoner og utfordringer med det etiske aspektet av jobben?
– Jeg har mange ganger kommet over sikkerhetshull utenom jobb, og da kunne sikkert noen leke med tanken om å selge informasjonen videre eller utnytte noe. Jeg har det ikke i meg å gå utenfor den smale sti, til det er integriteten for sterk og jeg verdsetter nattesøvnen min for høyt.
2. Hva burde vi snakke mer om?
– Verden står ikke godt nok rustet for inntoget av «deepfake». Kunstig intelligens er et kraftfullt verktøy og øker trusselbildet, ikke minst innen falske bilder, videoer og talemeldinger. Teknologitypen er irreversibel og krever mer årvåkenhet og internasjonalt samarbeid.
3. Hva er gjengs oppfatning om din profesjon, men som likevel er helt på jordet?
– Jeg elsker film, men kan aldri se filmer eller serier som omhandler hacking. Når det skal dramatiseres, blir det alltid feil. Det er ikke slik at hackerne står og presser på med alt de har, brannmuren går fra 100 til null prosent og så kommer kjeltringene tytende inn. Kun i serien «Mr. Robot» har jeg sett scener som faktisk er ekte - det er helt rått. Mangelen på kunnskap om hva hacking faktisk er, gir spillerom for mye fantasi.
4. Hvordan har dine personlige interesser påvirket måten du tilnærmer deg hacking-prosjekter?
– Ren nysgjerrighet har gitt meg god innsikt i byggeklossene i IT-systemer, og erfaring fra softwareutvikling og samarbeid med IT-avdelinger gjør at jeg raskt danner meg et bilde av hva som er på innsiden og hvor feilene vanligvis finnes. Jeg grubler på løsninger om kvelden, og noen ganger våkner jeg midt på natten med ideer som jeg skriver ned med en gang.