Bedriftene står i kø for IT-ekspertise: – Udekket behov som bare øker

Samtidig varsler eksperter om forvirring rundt priser, manglende standarder og varierende produkter i it-sikkerhetsbransjen.

Martin Ingesen viser hvordan en kommer rundt brannmurer. Mange tester er automatiske og lette å gjennomføre. Det å tyde testresultatene og følge opp mer avanserte metoder er mangelvare hos enkelte konsulenter, sier han. Foto: Harald Hoff / E24
Publisert: Publisert:

Etterspørselen etter IT-sikkerhet øker i 2021. Antall stillingsutlysninger for første kvartal i år var «all time high», ifølge Finn.no. IT-sikkerhetsselskap E24 har pratet med melder om kø for kundene.

Skal et selskap ha hjelp til å finne sårbarheter, så må en forvente ventetid.

Martin Ingesen ble i 2017 kåret til norgesmester i hacking av NTNU og er i dag daglig leder i selskapet Kovert. Han sier det er tydelig etterspørsel i markedet, med et «udekket behov som bare øker».

Vi opplever at nye kunder kommer til oss som en følge av at leverandøren de vanligvis bruker ikke har kapasitet til å hjelpe dem, sier han til E24.

Martin Ingesen er norgesmester i hacking og daglig leder i et lite it-sikkerhetsselskap med tre ansatte. Han merker at stadig flere ledere i norske bedrifter prioriterer datasikkerhet i budsjettet sitt. Foto: Harald Hoff / E24

Ingesen mener at markedet er godt for norske sikkerhets-leverandører. Ofte trengs det både norsk sikkerhetsklareringer og evne til å levere rapporter på norsk. Dette kan gjøre det vanskelig for utenlandske leverandører å ta over, mener han.

Atea, Mnemonic, Painkiller, Glasspaper og Accenture leverer ekstern it-konsultasjon i Norge. De sier til E24 at de også har opplever økt etterspørsel etter sine it-sikkerhetskonsulenter det siste året.

Større sårbarhet

Internasjonalt øker nettangrep i både antall og styrke. Bare siden 2013 har nettangrep tredoblet seg mot private bedrifter. Det viser pågående forskning fra Londons School of Business (LSB) som er basert på data fra 1200 bedrifter fra 85 land over 20 år.

Samtidig blir bedrifter sårbare når stadig mer informasjon blir sammensveiset gjennom løsninger som «Internett of Things» og skyløsninger, ifølge en ny rapport fra Accenture.

I Norge ble blant annet Volue, Akva group, Toten kommune og Stortinget ble angrepet tidligere i år.

Volue valgte i etterkant å ansette flere it-sikkerhetsansatte. De var fornøyde med rutinene de hadde og mente det reddet dem under sist angrep, opplyser selskapet. Likevel mener de at de fortsatt kan bli bedre.

Oljefondet opplyser til E24 at de nå har ansatt fem nye sikkerhetseksperter som blant annet skal ha evne til penetrasjonstesting, også kjent som hacking, som brukes for å avdekke sårbarheter og risiko. Tre i Norge og en i Singapore og en London. Fondet leter fortsatt etter kandidater til tre stillinger som it-sikkerhetskonsulent. De sier de opplever at det er «arbeidstagers marked» både i New York, London, Norge og Singapore.

Manglende definisjoner

Ingesen er tydelig på at han og hans kollegaer bruker omtrent en av fjerdedel av arbeidstiden på etterutdanning og utvikling. De må vite om de siste verktøyene og sårbarhetene siden «det gjør angriperne på sine side også».

– Mange selskap skryter på seg etterutdanning, men mangler likevel kunnskap. De er heller ikke aktive i å bidra tilbake til fagfeltet ved å søke ut og utvikle nye verktøy og metoder, sier han.

Han beskriver en bransje med en del buzzord og forskjellig praksis mellom selskapene. Det kan være vanskelig å skille mellom produktene som blir tilbudt, mener han.

– Det er et bransjeproblem. Det er ikke alltid at to sikkerhetstester fra to forskjellige selskap er like. Noen konsulenter fører en full gjennomgang, andre kjører bare en automatisert skann. Jeg har også opplevd at selskap putter seniorkonsulenter på tilbudet til kunden, men lar juniorkonsulenter gjennomføre all testingen.

– Igjen står kunden som lurer på hvorfor to ting som for dem ser likt ut, varierer så mye i pris, sier Ingesen.

Ingen standarder i bransjen

Han får støtte fra leder for IT-sikkerhet i Atea, Thomas Tømmernes. Han tror også at tiden og kostnaden som kreves for å holde konsulenter faglig oppdatert, gjør at mange selskaper ikke gjennomfører etterutdanning.

Spesielt er han enig i at det er stor forskjell på tjenestene som blir tilbudt markedet med tilsynelatende samme navn og innhold.

Thomas Tømmernes i Atea sier at etterspørselen har gått opp, spesielt har mange bedrifter fått behov for penetrasjonstestere sier han. Foto: Fredrik Formoe Solbrekken / Atea

– Tidligere har det vært litt «cowboy-virksomhet» i bransjen, med forskjellig opplæringspraksis. Mye av arbeidstiden går med på å videreutvikle kompetansen. Tjenester utført med konsulenter «hands on», er alltid mer kostbart enn automatiserte programmer man benytter til å skanne etter sårbarheter.

Standardene og sertifiseringene varierer også. Noen bruker norske standarder, noen følger amerikanske, men andre igjen følger franske, sier han.

Det er dessuten ingen formelle krav til å være it-sikkerhetsleverandør, ifølge Tømmernes.

– Det er ikke noen formelle krav til hva som er en «godkjent» sikkerhetsløsning i Norge, det nærmeste vi kommer er grunnprinsippene til Nasjonal sikkerhetsmyndighet.

Publisert:

Her kan du lese mer om

  1. Hacking
  2. Dataangrep
  3. Sikkerhet
  4. Atea
  5. Teknologi
  6. Volue
  7. Accenture
 

Flere artikler

  1. Betalt innhold

    Gjenoppstandelsen

  2. Betalt innhold

    Advarer hobby-investorer: – Veldig tidkrevende

  3. Hevder å ha gjennomført et av historiens største kryptotyverier «for moro skyld»

  5. Betalt innhold

    Passasjerene kan gå fritt i land når det første store cruiseskipet legger til kai i Bergen

  6. Oljefondet kjøper seg inn i kontoreiendom i Boston