Check Point Norge

Sliter med å få tak i sikkerhets­eksperter. Nå vurderer sikker­hets­selskapets norges­kontor å om­skolere utviklere

– Digitaliseringsprosjekter stopper opp eller blir forsinket på grunn av mangel på kompetanse, også sikkerhetskompetanse.

Nils Ove Gamlem, teknologisjef i Check Point Norge.
Nils Ove Gamlem, teknologisjef i Check Point Norge. (Foto: Kurt Lekanger)
EKSTRA

– Digitaliseringsprosjekter stopper opp eller blir forsinket på grunn av mangel på kompetanse, også sikkerhetskompetanse.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

LYSAKER (digi.no): Det er ikke bare utviklere det er mangel på i norsk IT-bransje. Etterspørselen etter IT-folk med sikkerhetskompetanse har også skutt i været, ifølge den norske avdelingen til sikkerhetsselskapet Check Point. Selskapet ser seg nå nødt til å omskolere personer fra andre deler av IT-bransjen for å klare å dekke behovet.

Jørn Nygård er Country Manager for Check Point i Norge, og forteller at den norske avdelingen nettopp har avsluttet sitt 7. kvartal på rad med vekst (år-over-år). Selskapet er nå 19 ansatte, og er i ferd med å styrke laget ytterligere med nyansettelser både på salg og teknisk. Check Point i Norge er et rent salgskontor, med et team på totalt seks sikkerhetsingeniører som bistår kunder med rådgivning rundt sikkerhet. De øvrige jobber som konsulenter mot kunder og partnere. 

Jørn Nygård, country manager i Check Point Norge.
Jørn Nygård, country manager i Check Point Norge. Foto: Kurt Lekanger, Digi.no

For å kunne gi best mulige råd må de som jobber i selskapet ha god kunnskap om sikkerhet i alt fra mobile enheter til datarom, nettverksinfrastruktur og skytjenester. Nygård forteller imidlertid at de i likhet med andre selskaper i IT-bransjen merker godt mangelen på kompetanse i markedet. 

Han forteller at selskapet har vært i diskusjoner med partnere om hvordan de skal takle det å utvikle enda flere konsulenter og rådgivere til å jobbe med sikkerhet.

– Vi opplever én stor smerte – og det går på kompetansegapet. Det er ikke nok kompetanse der ute, sier Nygård.

– Man kan ikke bare gå ut og kjøpe kompetansen andre steder. Vi kan bygge det inhouse – og vi har egne associate-programmer hos oss for dette. Vi ser også på hvordan vi kan gjøre det sammen med partnerne våre. 

Nygård sier det også kan være aktuelt å prøve å omskolere personer som kommer fra andre deler av databransjen. 

Vil gjøre utviklere til sikkerhetseksperter

Nils-Ove Gamlem er teknologisjef i Check Point, og sier det ofte er en stor utfordring å finne personer med den rette profilen. Det er mange søkere på jobbene, men ikke med den rette kombinasjonen av relevant bakgrunn og ferdigheter. Og mens mange IT-selskaper ofte ansetter «juniorer» som får opplæring, er ikke dette et godt alternativ for Check Point, sier Gamlem.

– Av alle bransjer jeg har jobbet i, så ser jeg at sikkerhetsbransjen er der det er behov for størst «senioritet» for å bygge troverdighet. De vi snakker med som er sikkerhetsansvarlige ute hos kundene har gjerne noen år på baken og har vært ute en vinternatt før. Det må vi matche. 

Les også

Gamlem understreker at «senioritet» ikke bare handler om alder, men om kunnskap, holdning, erfaring og måten å kommunisere på. 

– Det gjør at vi trenger et balansert team for å kunne levere på forventningene til kundene. 

Kompetansegapet gjør at Gamlem og hans team har vært nødt til å tenke nytt, og også ser på muligheten for å selv utdanne personer med andre bakgrunner. 

– Vi kan ta inn ressurser som ikke har spesifikk sikkerhetskompetanse. Fremover vil jeg kanskje gå etter noen som kan programmering, altså en utvikler, og la denne personen gå gjennom vårt associate-program. Kall det en slags ett års «lærling-kontrakt» med tre-fire måneder i Israel blant de tyngste sikkerhetsekspertene der nede – før vedkommende kommer tilbake til oss for å utvikle seg videre.

Denne formen for ansettelser er riktignok ikke noe selskapet har gjort i Norge ennå, men noe som vurderes. 

Mangelen på kompetanse er ikke bare et problem for dem, men for hele bransjen, mener Gamlem.  

– Vi ser i markedet at digitaliseringsprosjekter stopper opp eller blir forsinket på grunn av mangel på kompetanse, også sikkerhetskompetanse. Det er ikke unikt for Norge, dette er også noe jeg hører fra kollegaer ute.  

Manglende sikkerhetskompetanse i DevOps-miljøene

Ifølge Check Points egne tall har antall sårbarheter tredoblet seg de siste tre årene, og angrepsvektorene har blitt flere – nå kommer angrepene også mot skytjenester, på mobile enheter, samt via IoT-enheter. 

En type angrep som har økt i omfang i det siste, er såkalte «software supply chain attacks». Dette går ut på å for eksempel plante skadevare i et SDK eller i en programvaremodul/-biblioteker som brukes av programvareutviklere. Dermed kan utviklere ubevisst ende opp med å spre skadevare i det som i utgangspunktet skulle være en uskyldig applikasjon.

Et eksempel fra i år er SimBad, der over 200 Android-applikasjoner brukte et bibliotek for video som inneholdt kode som blant annet viste uønskede annonser på mobiltelefonene til brukeren. SimBad hadde også mulighet til å gjennomføre phishing-angrep.

Noe av årsaken til at slike ting kan skje, er manglende forståelse for sikkerhet i bedriftenes egne utviklingsmiljøer, mener Gamlem. 

Les også

– I mange organisasjoner er det utviklerne som er de nye rockestjernene. DevOps-miljøene er gjerne driverne for å gå i skyen, og bygger ting i containere og mikroservices-baserte tjenester hos Amazon eller Google. Problemet er at sikkerheten ofte er noe de fikser etterpå.

– Kompetansen og forståelsen rundt det er mangelvare. Det å kombinere sikkerhet med native skyapplikasjoner. 

Gamlem mener manglende sikkerhetskompetanse i mange av DevOps-miljøene gjør at det er stor risiko for sikkerhetsbrudd. Utfordringen er at alt gjerne skal skje fort, og da hender det at ting kan gå galt, argumenterer han.

– Sikkerhet innenfor skytjenester er et delt ansvar mellom skyleverandøren og kunden. Men mange mangler denne forståelsen, påpeker Gamlem.

Også andre selskaper omskolerer ansatte til å passe inn i nye roller, for eksempel skrev vi for en tid tilbake om DNB som betalte lønna i et halvt år mens deres egne ansatte tok datascientist-utdannelse.

Kommentarer (0)

Kommentarer (0)
Til toppen