Kjetil får betalt for å hacke sin egen arbeidsgiver
– Det handler om å være i forkant av utviklingen, sier mannen som leder Telenors interne hackerteam. Vi har tatt en prat med Lead Security Engineer Kjetil Gardåsen.
☎️ Hva holder du på med på jobb?
Kjetil Gardåsen har en mastergrad i informasjonssikkerhet fra Høgskolen i Gjøvik (nå NTNU Gjøvik), og hadde jobbet med sikkerhet i over sju år, da Telenor for halvannet år siden lyste ut stillingen som Lead Security Engineer i et helt nyopprettet team.
– Jeg var på jakt etter nye muligheter, og har alltid syntes Telenor har virket som et spennende sted å være, sier han.
Gardåsen søkte på stillingen, fikk den, og har siden vært faglig leder for et team på ni personer som går på jobb hver morgen for å hacke sin egen arbeidsgiver.
... at det var?
– Som etiske hackere prøver vi å finne sårbarhetene i systemene til Telenor. Hvor er sikkerhetshullene og hvordan kan de utnyttes? Det handler om å være i forkant av (de uetiske) hackerne, forklarer han.
☎️ Hvordan er arbeidsmiljøet, Kjetil?
Hackerteamet må tenke litt annerledes enn det de fleste gjør på jobb. Hvordan jobber egentlig en etisk hacker?
– Vi må ta på oss hackerhatten, og bruke samme fremgangsmåte som de gjør, sier Kjetil Gardåsen.
– Det gjelder å forstå hvordan tjenestene våre fungerer slik at vi kan prøve å bruke dem på måter de ikke er ment å brukes. Det er da man finner sårbarhetene og feilene som andre hackere kunne funnet og brukt til å for eksempel stjele data om kunder eller kritisk infrastruktur fra Telenor, forklarer han.
– For eksempel klarte vi å hacke nettbutikken og endret prisene slik at det gikk an å kjøpe mobiltelefoner til én krone. Da må vi skrive en rapport til den som styrer nettbutikken, så de kan forstå hva vi har gjort, hva sårbarheten er, og hvordan de kan fikse den.
– Har vist oss tilliten verdig
Som Lead Security Engineer har Kjetil Gardåsen ansvar for å disponere ressursene til hackerteamet. Hva gir det mest mening å hacke på? Mye tid brukes på det Telenor kaller Secure Development.
– Det handler om at vi hjelper utviklerne våre med å skrive sikrere kode. Vi vet hvilke sårbarheter som finnes, og hva man kan gjøre galt. Denne kunnskapen må vi dele med utviklerne våre, så de unngår å gå i de fellene, sier Gardåsen.
Når noen i Telenor skal lansere et nytt produkt eller tjeneste, tikker det gjerne inn en bestilling til Kjetil Gardåsen og hans team: «Kan ikke dere hacke dette for oss?»
– Da får vi en førlanseringsversjon av tjenesten (ny nettside, hjemmeruter eller lignende, red. anm.) og setter oss ned for å lete etter feil. Da bruker vi vanlig hackermetodologi som handler om å se hvordan man kan få systemet til å gjøre noe annet enn det skal. Hva skjer om jeg for eksempel:
Prøver å kjøpe 50 000 mobiltelefoner
Bestiller minus 87 abonnementer
Endrer navnet mitt til trehundretusen *-tegn.
– Mange misunner meg muligheten til å hacke lovlig på fulltid, smiler Gardåsen, og understreker at det ikke hadde vært mulig uten en høy grad av tillit fra ledelsens side.
– De har veldig troen på oss, og vi har jo vist oss tilliten verdig over lengre tid. Vi har en god blanding av erfarne pen-testere som meg, og juniorer som har blitt veldig flinke på kort tid.
☎️ Hvorfor er jobben din viktig?
Om du synes det høres kult ut å jobbe med etisk hacking i et av landets største og viktigste teknologiselskaper, kan du gjøre lurt i følge med når Telenor lyser ut nye stillinger i tiden fremover.
Behovet blir ikke mindre, skal vi tro Kjetil Gardåsen:
– Kundene våre forventer at vi skal levere på sikkerhet, derfor vil etisk hacking bare bli viktigere i årene framover. Utviklingen av 5G gjør jo at enda mer rundt oss er koblet til internett døgnet rundt, noe som øker kompleksiteten. Ting henger nå sammen på nye måter, og det kan få uante konsekvenser når brødristeren, bilen eller tv-en din kobles til internett, sier han.
Bill mrk.: «Hackere søkes»
Det er ikke mange andre bedrifter i Norge som er like store, sammensatte og komplekse som Telenor.
– Her får du sjansen til å jobbe med det siste innen teknologi, på en arbeidsplass som betyr mye for samfunnet. Dessuten er det høy mobilitet internt, det er alltid noen som drar i gang et eller annet sosialt, og jeg opplever at innspill som kommer fra fagteamene blir hørt – og bidrar til faktiske endringer i selskapet, avslutter Kjetil Gardåsen.
