Sikkerhedskonsulenten: Zero Trust Security er kommet for at blive

Medlemsportræt: Frederik Kragh Christensen er facilitator for Dansk IT’s nye netværksgruppe Informationssikkerhed øst. Han har arbejdet dedikeret med cyber- og informationssikkerhed i flere år og er desuden en rigtig esport entusiast. Her svarer han på 7 centrale spørgsmål omkring it-sikkerhed.

Frederik har en akademisk baggrund fra Copenhagen Business School og Stanford Universitet. Under sin kandidat arbejdede han for BITKRAFT Esports Ventures, en tysk esports-investeringsfond, hvor han fik erfaring med venture funding og iværksætteri. Studiejobbet var for alvor med til at sætte gang i, hvad der allerede er blevet til en lang og interessant karriere. I 2016 co-stiftede Frederik Reunited Esports ApS - en esportsorganisation med to hold. Når man er så passioneret omkring esport, som Frederik er, føltes det næsten som et eventyr. Men alle eventyr har en slutning, og det havde Frederiks esportseventyr også. Derefter fandt Frederik sin plads i konsulentverden, som han allerede havde stiftet bekendtskab med under sin studietid.

De seneste tre år har Frederik arbejdet som konsulent hos Implement Consulting Group. Mange af de kunder, han har været tilknyttet, er fra energisektoren. Frederik har hjulpet dem med, hvordan de bedst beskytter deres (kritiske) infrastruktur mod cyberangreb. Ifølge Frederik er det et rigtigt spændende felt, der distancerer sig en del fra ”normal” cyber- og informationssikkerhed. Det skyldes, at de systemer der styrer, regulerer og overvåger den forsyningskritiske infrastruktur er ofte af en ældre dato, og mange af de normale foranstaltninger, som man ville lave i et normal IT-miljø, er et ”no-go” i et OT-miljø (Operational Technology).

Vi har stillet Frederik en række spørgsmål blandt andet om, hvad der rør sig inden for hans arbejdsområde, og hvordan han bruger sit netværk i sin karriere.

Hvad er de største udfordringer inden for dit område?

Et område hvor man ofte ser udfordringer er ved kommunikationen mellem den/de sikkerhedsansvarlige og ledelsen i en organisation. Her er det kritisk, at sikkerhedsafdelingens opfattelse af risikobilledet oversættes til et ikke-teknisk forretningssprog, f.eks. i forbindelse med udarbejdelsen af business cases, der kan retfærdiggøre potentielle investeringer i cyber- og informationssikkerhed. Det er en udfordring at skabe denne forståelse og kommunikation – men den er vigtig, både for sikkerhedsafdelingen som gerne vil have midlerne, og for ledelsen som står på mål i sidste ende. En anden udfordring som mange organisationer arbejder med, er manglen på en risikobaseret tilgang til cyber- og informationssikkerhed. Det kan være fint at identificere en række sårbarheder og trusler, som man gerne vil håndtere som organisation - men hvis man tager et skridt tilbage og prioriterer håndteringen ud fra et risikobillede, kan man ofte komme hurtigere frem og samtidigt få mest muligt ud af sine ressourcer.

Hvilke emner taler man mest om inden for dit område?

Cloudsikkerhed er et emne, der ligger højt på agendaen for tiden. Flere og flere virksomheder tager rigtigt hul på skyen, og i den forbindelse er der mange fundamentale ting, som ændrer sig. Som organisation skal man forstå, hvordan cloudteknologien virker, hvilket ansvar man selv har som cloudkunde, og hvad man outsourcer til cloudleverandøren.

Zero-trust security er også meget hyped for tiden, specielt pga. den store VPN-motorvej, som COVID-19 har medført mange steder. På et konceptmæssigt plan handler det om, at virksomheder såvel som den enkelte borger ikke stoler så meget på perimetersikkerhed mere, og at hver forespørgsel skal godkendes baseret på f.eks. identitet, lokation, enhedstilstand, risikoprofil mm. Vi er begyndt at se en masse lovende zero-trust implementeringer, og der er ingen tvivl om, at det er fremtiden.

Med så mange nye teknologier tilgængelige, hvordan navigerer man i de nye muligheder, når det kommer til sikkerhed?

Ja det er et godt spørgsmål. Som person bør man nok overveje enten mulighederne for at være en generalist inden for cyber- og informationssikkerhed og dermed have et overordnet kendskab til alle områderne, eller om man vil være en mere teknisk ekspert inden for et specifikt område. Jeg har selv valgt at skabe en overordnet forståelse og har kombineret den med en mere dyb tilgang inden for kritisk infrastruktur og cloudsikkerhed.

Vi er gået ind i et nyt årti. Hvilke temaer og udfordringer ser du i de kommende ti år?

Jeg forventer, at AI og machine learning vil blive en endnu større del af cyber- og informationssikkerhed. Teknologien vil både tilføje nye former for cybertrusler og samtidig også skabe nye værktøjer, som kan bruges i kampen imod dem. Der er allerede en række produkter, specielt indenfor logning og overvågning, som viser potentialet i AI-baseret cyberanalyse. Yderligere tror jeg også, at vi vil se flere dilemmaer, hvor man som samfund og organisation skal finde balancen mellem data privacy og nødvendig overvågning for at kunne beskytte sig mod de stigende trusler. Den cyberkriminalitet vi vil se i fremtiden vil også kun blive endnu mere organiseret og sofistikeret. 

Cyber- og informationssikkerhed bliver kun større og endnu mere relevant fremadrettet. Jeg tror dog også, at vi ser ind i en endnu større kompleksitet og hurtigere udvikling. I den forbindelse tror jeg, at det bliver nødvendigt, at man specialiserer sig endnu dybere i takt med, at alle underområder inden for cyber- og informationssikkerhed vokser. Som person bør man have den agile hat på og kontinuerligt opdatere sin faglighed i forbindelse med teknologiens udvikling.

Hvilken måde er den mest effektive til at blive fagligt orienteret på?

Man bør gøre op med sig selv, om man sigter efter at blive faglig rent teknisk, eller om man søger en mere organisatorisk og procesrelateret tilgang. Yderligere hjælper det selvfølgelig, hvis man kan komme til at arbejde på projekter, som er inden for cyber- og informationssikkerhedsfeltet. Jeg kan desuden anbefale at tage et online eller offline kursus, så man kan skabe sig et fundamentalt overblik over de forskellige discipliner. Der ligger rigtigt mange gode kurser, standarder og materialer frit tilgængeligt på nettet – så det er bare at sætte tiden af og komme i gang.

Er det vigtigt for dig at indgå i et fagligt fællesskab – hvis ja, hvorfor?

Ja, det er det. Jeg oplever tit, at det giver mig personlig inspiration og indsigt at deltage i et fællesskab, hvor deltagerne deler ud af deres erfaringer og dilemmaer. Når jeg har været til et arrangement, har jeg ofte fået et nyt syn på et emne eller en udfordring baseret på den diskussion, som jeg har været en del af. Yderligere ser jeg netværksarrangementer som en god kontrast til hverdagen, idet man har mulighed for at tage et skridt tilbage og reflektere over, hvad det er konkret, man selv sidder med af udfordringer for tiden.

Hvordan har du brugt dit eget netværk i din karriere?

Jeg har brugt mit netværk i forbindelse med faglig sparring og personlig udvikling. Jeg kan kun anbefale, at man kommer ud og møder mennesker med samme interesser som en selv – det skaber ofte spændende diskussioner, når man drøfter emner, som det hos begge parter udløser energi at diskutere.

Dansk IT starter ny netværksgruppe inden for Informationssikkerhed

Dansk IT har oplevet så stor efterspørgsel på erfaringsudveksling omkring og kompetenceudvikling inden for informationssikkerhed, at netværksgruppen Informationssikkerhed nu er lukket for optagelse af nye medlemmer. Men bare rolig...
Netværket Informationssikkerhed

Informations­sikkerhed øst

Netværksgruppen er for profiler, der har ansvar for informationssikkerheden i en privat eller offentlig virksomhed.