OSM maritime Group ligger vakker til ved sjøen i Arendal. Selskapet drifter og bemanner over 400 skip og rigger rundt omkring i hele verden, og har dermed mye sensitiv informasjon å holde orden på.

IT-sikkerhet---vignett.jpg

Løfter man blikket fra OSMs bryggekant, kan man se over vannet til Hisøya, hvor bedriften Bouvet jobber med prosjektstyring, systemutvikling og sikkerhet. En av tjenestene som tilbys er det som kalles en «penetrasjonstest». På godt norsk kan det best beskrives som datainnbrudd.— Vi ble bedt om å teste sikkerheten på nettverket til OSM og en webapplikasjon, ja, bekrefter Frode Sætre og Øystein Tveitå i Bouvet.

Les også:

Tveitå er ingen innbruddstyv. Men i jobben han gjør er det nødvendig å forsøke å tenke som en.

— De fleste bedrifter har informasjon de er redde for å miste eller få endret eller ødelagt. Når jeg går inn i et oppdrag som dette, gjør jeg en analyse av bedriftens nettverk og leter etter svake punkter, sier han.

Lettere for hackere

Tveitå og Sætre skryter av OSM og sier informasjonen stort sett var godt sikret. Likevel klarte de å sende spørringer til en server som returnerte data som de ikke skulle ha tilgang til.

Livet for en hacker har blitt mye enklere de siste årene.

Det sikkerhetshullet ble tettet umiddelbart.

Når Tveitå og Sætre innleder en slik test, stiller de seg noen spørsmål: Kan vi ta kontroll over maskiner? Kan vi få tak i data vi ikke skal ha tilgang til? Kan vi endre eller ødelegge data?

— Livet for en hacker har blitt mye enklere de siste årene. Veldig kraftige verktøy har blitt fritt tilgjengelig på internett, og det er blitt enklere å ta det i bruk, sier Sætre.

Følg Fædrelandsvennen på Facebook!

Tester ved store endringer

It-sjef Ruben Hansen i OSM sier dette ikke er første gangen de bestiller penetrasjonstester.

— Vi har brukt to andre firmaer tidligere. Vi lærer litt hver gang.

- Hvorfor bruker dere ressurser på å få andre til å bryte seg inn hos dere?

— Vi har utviklet egne systemer som vi mener er gode. Men hver gang vi foretar større endringer, ønsker vi å få testet sikkerheten grundig før vi ruller ting ut overfor kundene våre. Da må vi bruke eksterne miljøer. De tenker kreativt og forsøker seg på ting vi ikke alltid har kommet på selv, sier Hansen.

Les også:

Fant hull

— Hva fant Bouvet hos dere?

— Det er alltid svakheter i et system, og de fant noe vi heldigvis har fikset nå. De feilene vi har oppdaget med eksterne tester, viser at man må ha svært store it-kunnskaper for å utnytte de hullene vi har oppdaget. Og vi prøver altså å være i forkant og løse dette før vi tar nye systemer i bruk. De kritiske avvikene er lukket.

- Er kundene deres opptatt av dette? Spør de om sertifisering?

— Mange av kundene stiller spørsmål om hvordan vi håndterer sikkerheten, og jeg mener vi kan gi gode svar.

- Bør andre lokale bedrifter gjøre dette?

— Ja, alle som er redd for å miste kontroll over informasjonen sin bør ha fokus på dette. Og det er lurt å la seg sjekke av eksterne. Hvis man har internt utviklede systemer, bør man unngå at bukken passer havresekken, sier Hansen.