Martin Koksrud Bekkelund

En av mine beste venner tar oppdrag innen Social Engineering. Et typisk oppdrag består i å tilegne fysisk tilgang til en bedrifts nettverk og serverpark, for å se hva som kan hentes ut av konfidensiell informasjon. Historiene er som snytt ut av en god film — løgner, sjarm, et glatt smil, grundig forarbeid og evnen til å improvisere til det ekstreme er egenskaper som går igjen.

I veska har min venn med seg et brev fra oppdragsgiver, som kan vises frem dersom oppdraget avsløres og det skulle komme til håndgemeng eller tilkallelse av politiet. Imidlertid blir disse brevene aldri vist frem. Min venn kommer seg inn, henter ut all informasjon det er mulig å få tak i og forlater uten at noen har fattet mistanke. Bedriften er kompromittert, og det finnes ingen logger med spor av hva som har skjedd.

For mange er det både forbløffende og overraskende hvor enkelt det er og hvor langt man kommer med en troverdig historie, grundig forarbeid og et hyggelig smil. Jeg er ikke like overrasket. Hvorfor skulle man ikke tro på personen som står i resepsjonen? Det sitter langt inne for folk å si «Dette tror jeg ingenting på! Du er en løgner!».

Hvordan tror du det står til i en gjennomsnittlig bedrift? Eller en gjennomsnittlig kommune? Hvor mange tror du har nedskrevne rutiner for hvordan man avverger slike inntrengere? Og hvorfor lykkes min venn på tross av dette i å få tilgang til deres nettverk og servere?

I en tid hvor skyen diskuteres opp mot sikkerhet, personvern og eierskap til data, er jeg sikker på at leverandører av skytjenester har langt større fokus på Social Engineering enn en gjennomsnittlig norsk kommune. Dette handler ikke om at jeg forsøker å stigmatisere kommunene, men at enhver organisasjon har fokus på det den kan best. Og hvem har da mest kvalifisert fokus på IT-sikkerhet? Google? Amazon? Din kommune? Skyen er kanskje ikke et dumt sted å være allikevel.

Generelt