Når hackeren er helten

Som barn var han familiens tekniske vidunder. Nå kan Nicolai Grødum hacke alt og alle.

– En ekte skurk eller spion kjenner ingen grenser og vil kynisk utnytte enhver mulighet. Derfor må vi også ha frie tøyler i kampen mot dem. Vi begynner med å finne svakhetene, akkurat slik en kriminell ville gjort.

Nicolai GrødumTeknisk direktør og leder for Red Team

Som etisk hacker består jobben i å forebygge, bekjempe og styrke kundenes forsvarsverk mot cyberkriminalitet.

PwCs seneste cyberkrimrapport viser at antall målrettede cyberangrep øker. Mest av alt frykter norske virksomheter at kritiske systemer blir utilgjengelige i lengre tid, fortrolig informasjon kommer på avveie og at omdømmet skal ta skade.

– For å sikre seg best mulig må man forstå hackingens natur og skadepotensial. Løsningen ligger i å forebygge og tenke flere trekk frem, forklarer han.

Nicolai Grødum

  • Bor: Slemdal i Oslo
  • Utdannelse: Sivilingeniør innen kjemi, NTNU Trondheim
  • Stilling: Teknisk direktør og leder for Red Team i PwC Norge
  • Aktuell: Etisk hacker. Hjelper norske virksomheter i kampen mot cyberkriminalitet.
  • Fun fact: Har hacket både kona og sjefen

 

Nicolai Grødum kjører rulleskøyter

Nicolai Grødum er etisk hacker i PwC

Avdekker sårbarheter

Mye av arbeidet går på å kartlegge og rangere sårbarheter. Hvor lett kan en angriper utnytte kritiske faktorer som nettverk, webservere, antivirusprogrammer og teknologisystemer?

– Vi utarbeider en tydelig rapport med forslag til hva som må prioriteres, både på kort og lang sikt, sier Nicolai Grødum.

PwCs hackerteam er som en egen satellitt i organisasjonen. De bruker mye tid på å trene og «kvesse sablene».

– Verktøyene vi lager er skadevare og angrepskode som det skal være vrient å oppdage. 

Vil du bli vår nye kollega?

– Personlig blir jeg aldri lei hackingen. Det er som en utømmelig brønn av muligheter.

Nicolai

Fire råd fra en «hacker» 

1. Unngå å bli for selvsikker
– Mange tenker: «Alt fungerer fint, vi trenger ikke å teste systemene våre.» Når vi viser dem hvor sårbare de faktisk er, blir det en øyeåpner. Samtidig gir denne «sjokk-kuren» verdifull innsikt som kan brukes til å forebygge, beskytte og styrke virksomhetens IT-sikkerhet.

2. Test om tryggheten deres er sann eller falsk
– Vi prøver å komme oss forbi forsvarsverkene, og lykkes ofte. Denne testen kan det være svært lønnsomt å ta. Falsk trygghet kan være vanskelig å gi slipp på før man har fått se den brutale sannheten.

3. Ta i bruk ekstern spisskompetanse
– IT-avdelinger flest vil som oftest ikke evne å omstille og utvikle seg raskt nok. Bistand fra fagmiljøer utenfor bedriften kan være nøkkelen. Spisskompetansen vi har i PwC får vi fordi vi jobber for de største i Norge, har unik tilgang til de viktigste styrerom og myndigheter – og jevnlig øver oss på de beste. 

4. Prioriter og invester i IT-sikkerhet
– Det lønner seg. Vi hjelper mange store bedrifter og har sett det gang på gang. Minsteprisen kan være en bøyg for enkelte, men alle som har tatt den investeringen ser verdien og innser at alternativet kan bli så uendelig mye dyrere.

Nicolai Grødum ser i kameraet

Nicolai må tenke som en ekte skurk.

Hacket kona og sjefen

Under studietiden i Trondheim hacket han sin fremtidige kone ved å sende en fiktiv e-post fra en felles foreleser, og toppet det hele ved å programmere inn hjertesymboler på kalkulatoren hennes.

– Jeg fikk oppmerksomheten hennes, sier Nicolai med et lurt smil.

Under et PwC-seminar klarte han å hacke toppsjefens adgangskort ved å skjule et hackerverktøy i en lekedinosaur, som ble overrakt som en gave. Disse eksemplene kan være nyttige når hensiktene er gode, men i gale hender kan de samme ferdighetene utgjøre en alvorlig trussel mot enkeltpersoner, bedrifter og samfunnet som helhet.

Dette vakte stor oppsikt, og kort tid etterpå ble han invitert til å hacke hele ledergruppen.

Hvordan håndterer du gråsoner og utfordringer med det etiske aspektet av jobben?

– Jeg har mange ganger kommet over sikkerhetshull utenom jobb, og da kunne sikkert noen leke med tanken om å selge informasjonen videre eller utnytte noe. Jeg har det ikke i meg å gå utenfor den smale sti, til det er integriteten for sterk og jeg verdsetter nattesøvnen min for høyt.

Nicolai

Et teknologisk paradoks

Nicolai beskriver seg selv som en «dingsetype» – alltid nysgjerrig på hvordan ting fungerer.

– Teknologiinteressen kom naturlig, men kreativiteten arvet jeg fra mine kunstnerforeldre. Jeg var familiens tekniske vidunderbarn, smiler han.

Som liten demonterte han leker, bygde nye og eksperimenterte med fyrverkeri. Senere lagde han også en 3D-printer og et egenkomponert system for smarthusstyring.

I tillegg føk han rundt på rulleskøyter i Frognerparken, balanserte på line mellom bøketrærne eller fløy trimmede racing-droner før de fleste visste hva det var.

Nysgjerrig på en karriere i PwC?

Trenger du hjelp av en av våre eksperter?