I den dunkle verden af koder og servere, hvor hackere ofte trives i skyggerne og opererer ubemærket af offentlighedens søgelys, så bringer vi her et portræt af to cyberhelte, der til daglig arbejder med at passe på det digitale Danmark, og deres kvaliteter er eftertragtede
(Foto: Aske Munch | Redigering: Mikkel Egebjerg)
Af Aske Tougaard Munch & Mikkel Egebjerg Rasmussen
Vi åbner Discord – en social kommunikations-app primært benyttet af gamere, men også af andre fællesskaber af unge, for at chatte, koble sig på lydopkald og udveksle interesser.
Vi vil gerne i kontakt med en hacker, der kan udvide vores horisont i cyberspace og fortælle om cybersikkerhed. Altså sådan en, der kæmper på de godes hold. Vi hopper derfor ind på en dansk Discord-server med titlen “CyberSkills” og skriver vores forespørgsel.
Ikke lang tid efter får vi svar på vores besked.
I skal have fat i Oliver N, “talspersonen”, skriver en bruger med navnet Bella.
Oliver. N’et står for Nordestgaard, og ham møder vi nogle dage efter til en snak om karrierevejen ind i cybersikkerhed og en hverdag i cyberspace.
“Ja, jeg har jo nok taget teten lidt i forhold til at udbrede budskabet om cybersikkerhed her i vores online fællesskab”, fortæller Oliver Nordestgaard.
Oliver er 24 år, uddannet softwareingeniør og arbejder i virksomheden Implement Consulting Group. Her sidder han som konsulent og bliver hyret af virksomheder til på lovligvis at trykteste deres it-sikkerhed – det, der også kaldes etisk hacking.
Men interessen for det teknologiske univers startede langt tidligere. For allerede fra barnsben fyldte it en stor del af Olivers Nordestgaards liv. Hans far er nemlig softwareingeniør, og faderens interesse blev hurtigt givet videre til sønnen.
“Jeg fik min første computer af min far, og som 9-årig fik jeg ham overtalt til at lære mig at programmere”, siger han.
“Jeg fik min første computer af min far, og som 9-årig fik jeg ham overtalt til at lære mig at programmere”
– Oliver Nordestgaard, etisk hacker
En lærerlockdown i 7. klasse betød en pause fra undervisningen og langt mere tid derhjemme.
“Jeg brugte en masse tid på YouTube og faldt over en masse undervisningsvideoer, optagelser og forelæsninger omkring cybersikkerhed. Det var bare sejt, fordi jeg har jo set hackere på film og synes, det er superspændende. Og da jeg allerede var interesseret i computere, så ville jeg gerne forstå, hvordan cybersikkerhed rent faktisk er i virkeligheden”, fortæller Oliver Nordestgaard.
Det blev startskuddet til det, der senere ikke blot skulle være en hobby, men en levevej som etisk hacker.
Forsvarets værnepligt uddanner fremtidens cybersoldater
Nikolai Kingo er 21 år, it-supporter og deler samme passion for it og cybersikkerhed som den tre år ældre Oliver Nordestgaard. Nikolai har taget en anderledes vej ind i cybersikkerhed. Han har netop gennemført 10 måneders værnepligt i forsvaret. Men ikke som den gængse soldat med gevær og camouflage i ansigtet – for Nikolai Kingos våben er tastatur og mus, når han som cyberværnepligtig skal værne om danske interesserer i cyberspace.
“En typisk dag starter klokken 07:30, hvor vi havde stueeftersyn og så undervisning fra 8 til 16 i computerlokalet”, siger han.
På kasernen i Fredericia, hvor cyberuddannelsen foregår, bliver man indlogeret på traditionel soldatermanér. To cybersoldater deler værelse med tilhørende enkeltmandssenge, to borde og stole og et skab til hver. Ikke meget luksus, men der er alligevel ikke meget tid at tilbringe her, for arbejdsdagen kan godt være lang.
(Foto: Frederik Dahl Kehlet)
Selvom meget af tiden går med ansigtet rettet ind mod en skærm, så skal man ikke glemme, at det er hos Forsvaret undervisningen foregår. Derfor skal man ikke være bekymret for at blive en slatten skrivebordstomat.
“Vi lavede sådan noget mikrotræning, hvor vi tre gange om dagen skulle ned fra skrivebordsstolen og lave armbøjninger og mavebøjninger. Vi havde også gymnastik to gange om ugen og kunne frit benytte et tilhørende fitnessrum, så vi fik aldrig helt firkantede øjne”, forsikrer Nikolai Kingo.
I undervisningen bliver de værnepligtige godt klædt på til opgaverne, der venter på den anden side. Blandt andet med øvelser, hvor man enten sidder som en, der skal forsvare – også kaldet ‘Blue Team’. Eller en der skal forsøge at bryde ind i et system – kaldet ‘Red Team’.
“Jeg tror ikke der er særligt mange uddannelser, hvor du får så god en forståelse for begge sider af hacking. Vil man gerne kunne forsvare sig, er det rigtig godt at kunne sætte sig ind i hovedet på en ondsindet hacker”, fortæller Nikolai Kingo.
“Jeg tror ikke der er særligt mange uddannelser, hvor du får så god en forståelse for begge sider af hacking. Vil man gerne kunne forsvare sig, er det rigtig godt at kunne sætte sig ind i hovedet på en ondsindet hacker”
– Nikolai Kingo, tidligere cyberværnepligtig
(Foto: Frederik Dahl Kehlet)
Netop den uddannelse i forsvaret, som den 21-årige it-supporter har fået med sig i bagagen, har allerede åbnet nye døre indenfor cybersikkerhed. Allerede inden den 10-måneder lange uddannelse var færdig, lå en jobmulighed på Nikolai Kingos skrivebord. Den internationale it-virksomhed Trifork meldte sig nemlig på banen for at få fat i de kvaliteter, som Nikolai Kingo besidder.
“Det er faktisk meget sjovt. Jeg spurgte en bekendt i branchen til råds vedrørende noget hjemmeside-teknisk. Inden vi ringer af, spørger han, hvad jeg synes om Aalborg, for han vil gerne tilbyde mig et job hos dem“, siger han.
Hackerens arbejdsdag
Oliver Nordestgaards tjener sin løn på at hacke virksomheder – han er nemlig white-hat hacker. Når man skal definere hackeren, så skelnes der mellem black- og white-hat. Black er de ondsindede, og white er dem, der kaldes etiske hackere.
Når Oliver møder ind på arbejde, er det typisk hos en virksomhed, der har hyret ham til at trykteste deres sikkerhed. Her får han udleveret en PC, som er sat op, som var han ny medarbejder i virksomheden. Det kaldes penetrationtesting og går ud på, at Oliver skal skaffe sig adgang gennem sårbarheder hos virksomheden.
“Ud fra den meget begrænsede adgang jeg i udgangspunktet har, er min opgave at forsøge at overtage hele netværket. Det lykkedes altid, fordi det er så svært at have 100% styr på sikkerheden. Bagefter skriver jeg en rapport over sårbarhederne, som jeg er stødt på, så de kan få rettet op på det”, fortæller Oliver Nordestgaard.
“Ud fra den meget begrænsede adgang jeg i udgangspunktet har, er min opgave at forsøge at overtage hele netværket. Det lykkedes altid, fordi det er så svært at have 100% styr på sikkerheden. Bagefter skriver jeg en rapport over sårbarhederne, som jeg er stødt på, så de kan få rettet op på det”
– Oliver Nordestgaard, etisk hacker
“Det kan tage en halv dag at komme ind og overtage virksomheden, hvis de ikke har styr på sikkerheden,” siger han.
Helt konkret handler det for Oliver og andre PEN-testere om at forsøge at blive administrator af virksomhedens netværk. Ofte gennem flere spring i systemerne. Nogle ansatte har flere beføjelser end andre, og når man har hacket deres konti, så kan man hoppe videre til den næste højere oppe i hierarkiet. Ofte går en af de nemme veje ind til hacking igennem adgangskoder, som er mere eller mindre sikre.
“Langt de fleste koder har et stort bogstav først, sidst er der gerne et tal og et specialtegn som fx udråbstegnet. Så hvis jeg skulle teste en virksomhed i Odense, så ville jeg starte med at prøve adgangskoden Odense2023! på alle ansatte og se, om det giver noget”.
Men ifølge Oliver så handler livet som hacker ikke kun om koder eller at gætte passwords. Den mentale og kognitive del fylder mindst lige så meget. For hvis man skal trænge ind i et system, så skal han kunne sætte sig ind i hovedet på de ondsindede hackere, der er modstanderne. Og en gang i mellem kan løsningen til, hvordan systemet skal knækkes komme lige inden sengetid.
“Arbejdet som hacker betyder, at jeg virkelig skal udfordre mig selv mentalt. Jeg skal hele tiden kunne finde på nye idéer og anderledes måder at tænke på. Det en slags hjernevrider at arbejde som etisk hacker”, fortæller han.
Mangel på cyberhelte
I fremtiden er der kun udsigt til mere it og teknologi, og dermed også flere potentielle udfordringer indenfor sikkerheden. Derfor ses en efterspørgsel på cyberhelte som Oliver Nordestgaard og Nikolai Kingo, der er gode med en computer, og ved hjælp af tastatur og mus kan bekæmpe ondsindet hacking.
Ifølge Rådet for Digital Sikkerhed kommer Danmark i 2030 til at mangle 15-20.000 fuldtidsressourcer inden for cyber- og informationssikkerhed. Netop efterspørgsel på personer med kompetencer inden for cyberverden er, ifølge en ekspert på området, noget som samfundet efterspørger.
“Etiske hackere er vigtige. Vi har brug for rigtig mange forskellige it-kompetencer. De etiske hackere skal have tekniske kompetencer og kunne tænke teknisk kreativt. Dem har vi brug for mange flere af, end vi har i dag”, siger Jens Myrup, der er professor i cybersikkerhed ved Aalborg Universitet.
“Etiske hackere er vigtige. Vi har brug for rigtig mange forskellige it-kompetencer. De etiske hackere skal have tekniske kompetencer og kunne tænke teknisk kreativt. Dem har vi brug for mange flere af, end vi har i dag”
– Jens Myrup, professor i cybersikkerhed ved Aalborg Universitet
Ifølge konsulentvirksomheden PWC har 49% af de virksomheder, der de seneste 12 måneder har forsøgt at rekruttere medarbejdere inden for cybersikkerhed, haft udfordringer med dette.
Ude i branchen sidder Christoffer Bech, der er Director of Cyber Defence hos it-sikkerhedsfirmaet ITM8 | Improsec. Han har ansvaret for et insidence respond-team, der rykker ud og slukker it-ildebrænde hos virksomheder, der er blevet hacket.
Der er kun et par håndfulde virksomheder i Danmark, der tilbyder samme service, og det er ikke unormalt, at de må sende kunderne videre, fordi de i perioder har for meget på tallerkenen.
“Vi har for nyligt måtte sige nej til to potentielle kunder og prioritere opgaver hos allerede eksisterende kunder. Normalt er vi konkurrenter med andre sikkerhedsfirmaer, men i sådanne tilfælde forsøger vi at hjælpe en kunde videre”, fortæller Christoffer Bech.
Der er altså nok at se til på cyberområdet, og de it-kyndige hænger ikke ligefrem på træerne, da der er rift om dem blandt sikkerhedsfirmaerne – hvor særligt høje lønninger vidner om den mangelvare en medarbejder med evner indenfor cybersikkerhed er blevet. Men særligt én type er der indsat efterlysning på.
“Det har alle dage været en trend at være den etiske hacker, der tester systemer. Det er det mest sexede i branchen. det er ikke ligeså eftertragtet at være forsvareren, der kigger i logs og leder efter spor fra de kriminelle hackere”.
En forsvarer eller en blue-teamer sidder normalt og efterforsker i logs for at se om der har været indbrud i systemerne og er en vigtig kvalitet i forhold til at få opdaget kriminelle, der hopper rundt i systemet tidligt i processen.
Cyberspace, den globale og menneskeskabte infrastruktur, der gennem åbne netværk giver os alle sammen muligheden for at interagere med hinanden på et splitsekundt – to journalister satte vi os for at finde en cyberhelt, der arbejder på den gode side for at opretholde lov og orden på det uendelige cyberspace
Kaptajn på landsholdet
Rundt omkring i verden er landshold indenfor cyber begyndt at titte frem. Herhjemme i Danmark har vi også et – endda et særdeles godt et af slagsen. For i 2022 blev det til en guldmedalje ved de europæiske cybermesterskaber, hvor kun de allerbedste cyberhoveder fra flere forskellige europæiske lande dyster mod hinanden.
Der er en nøje udvælgelsesproces for at komme på landsholdet, hvor der er flere udskilningsrunder. Blandt andet de danske cybermesterskaber, hvor 100 personer skal skæres ned til 25. Dernæst en bootcamp hvor feltet koges yderligere ned til de 10 personer, der får lov til at repræsentere Danmark.
Sådan en konkurrence tog Oliver Nordestgaard til i 2021. Og han klarede det så godt, at han var blandt de 10, der klarede sig igennem nåleøjet.
“Det var faktisk en god ven, der også interesserede sig for cybersikkerhed, der fortalte mig om cyberlandsholdet. Han var en del af landsholdet og mente, at jeg skulle søge, fordi jeg var en rigtig god kandidat. Så tænkte jeg ‘fedt, det skal jeg’”, fortæller han.
Olivers evner har givet ham titlen som kaptajn på det danske cyberlandshold. Det er ikke kun hans uddannelse som softwareingenør eller hans arbejde, der har bragt ham, hvor han er i dag. Det er de mange timer i fritiden ved tastaturet og skærmen.
“Jeg har en lidt dårlig fordeling i forhold til, hvad der er mit arbejde, og hvad der er min hobby. Dem, der har en brændende passion og sidder og nørder med det derhjemme, de er svære at følge med. Jeg plejer at sige, at hvis du er møbelsnedker, og du lægger værktøjet fra dig, når du har fri, så bliver du aldrig den bedste,” siger Oliver Nordestgaard.
Man kan godt hacke på den gale side af loven, men forbrydelse betaler sig sjældent i sidste ende
Med jævne mellemrum lander der en historie i medierne om virksomheder, der må betale summer i milliardklassen til kriminelle, der har brudt ind og lukket dem ude. Umiddelbart kan det lyde tillokkende, hvis man har kompetencerne, men det kommer med en vis risiko.
“Jeg har da nogle gange leget med tanken om at hacke mig ind på en hjemmeside uden at få lov til det. Ikke for at udnytte nogen, men for at afprøve min viden fra undervisningen. Men det er faktisk ulovligt”, siger Nikolai Kingo.
I princippet kan de cyberværnepligtige med den viden de anskaffer sig under uddannelsen sagtens handle på den gale side af loven. Men materiale om black-hat hacking er mere tilgængeligt end man skulle tro, forklarer Nikolai Kingo, der selv har valgt at blive på de godes side.
“Man skal ikke lede længe på YouTube efter de her videoer om at blive en hacker. Men man skal vide, hvad man gør. Ellers ryger man i fælden og i værste fald fængsel”, siger han.
Spørger man Oliver Nordestgaard, om en karriere som cyberforbryder kunne være tillokkende, er svaret klart.
“Det er både helt vildt kriminelt og amoralsk. Du stjæler jo menneskers opsparinger og ødelægger virksomheder. Og du kan ikke fjerne dine spor i cyberspace, så du skal leve med en konstant frygt for at blive opdaget,” siger han.
“Det er både helt vildt kriminelt og amoralsk. Du stjæler jo menneskers opsparinger og ødelægger virksomheder. Og du kan ikke fjerne dine spor i cyberspace, så du skal leve med en konstant frygt for at blive opdaget”
– Oliver Nordestgaard, etisk hacker
Af og til kan han godt mærke, at den kriminelle side af hacking smitter af som fordomme på hans arbejde med cybersikkerhed. Derfor omtaler han sig selv som it-sikkerhedskonsulent og ikke hacker. Det kan folk udenfor branchen bedre forholde sig til, mener han.
“Folk ser hackere i film og hører om kriminelle i cyberspace og sammenligner os med dem. Men vi misbruger altså ikke vores viden til at gøre skade. Du kigger jo heller ikke på låsesmeden som en potentiel tyv, der i udgangspunktet kan komme ind i alle opgange”, siger han.
Cybersikkerhed er ikke for de få
Selvom Oliver har stiftet bekendtskab med cyberverdenen i en tidlig alder og indiskutabelt har et særligt talent for hacking, så er det ikke noget, der skal afholde andre med mindre erfaring fra at prøve kræfter med verden indenfor hacking og cyberiskkerhed.
“Alle kan komme i gang med det her, hvis man har en drøm i maven, så er der rigtig meget materiale tilgængeligt, og vi hjælper gerne nye i gang. De kan bare hoppe ind i vores cyberskills-fællesskab,” siger Oliver Nordestgaard.
Ifølge ham er der et fint fællesskab omkring cybersikkerhed, hvor mange med samme passion udveksler viden og erfaringer. Især på det sociale medie Discord vil man som ny kunne få hjælp og blive en del af fællesskabet.
“Der er mange it-sikkerhedsfolk, der faktisk gør en stor dyd ud af at lave træningsplatforme, hvor man på fuldstændig lovligvis kan øve sig på at bryde ind i fiktive it-systemer, for på den måde at lære, hvad cybersikkerhed er”, siger Oliver Nordestgaard
og fortsætter:
“Min interesse for cybersikkerhed er også smittet af på min kone. Hun har også deltaget i de danske cybermesterskaber. Så er det er bestemt muligt, selvom man ikke har en nørdet, teknisk baggrund med sig”.
“Min interesse for cybersikkerhed er også smittet af på min kone. Hun har også deltaget i de danske cybermesterskaber. Så er det er bestemt muligt, selvom man ikke har en nørdet, teknisk baggrund med sig”
– Oliver Nordestgaard, etisk hacker