I slutten av 2019 kom Anders Lund til NRK som første innleide konsulent i sikkerhetsavdelingen. 30. september i år, nesten tre år senere, går han ut av oppdraget og forlater da en meget fornøyd kunde, med et sikkerhetsmiljø som har mer en 3-doblet seg i løpet av perioden og som har kraftig profesjonalisert NRK sikkerhetsmessig i løpet av tiden Anders har vært der.

Dette innlegget oppsummerer noe av det Anders har vært med på å oppnå i løpet av hans tid i NRK, og vil forhåpentligvis også si noe om hvorfor informasjonssikkerhet har fått kraftig økt fokus de senere årene.

I oktober 2020, omtrent et år etter at Anders ble leid inn til NRK, hadde Brennpunkt-serien Muldvarpen premiere på kanalen. Muldvarpen handler om en som infiltrerer Nord-Korea og avslører hvordan landet er villig til å støtte terrorister og andre med ulovlig ervervelse av blant annet våpen. Tidligere hevnangrep fra Nord-Korea mot selskaper som bidro med å spre dårlig publisitet om landet, gjorde frykten for ondsinnede IT-angrep stor. Med bakgrunn i dette satte NRK seks måneder før lansering, opp en innsatsgruppe for å øke IT-sikkerheten til organisasjonen.

Innsatsgruppens arbeid førte blant annet til at man fikk sikret lokalt AD langt bedre, gjennomført flere phishing-tester, lukket mange sårbarheter og gjennomført en rekke andre sikkerhetstiltak. I tillegg fikk sikkerhet økt både fokus og budsjett.

Det økte fokuset på ekstern sikkerhet gjennom Muldvarpen-innsatsgruppen, gjorde også at man i ettertid fikk større aksept for å styrke den interne sikkerheten. Gjennom tiden Anders har vært utleid hos NRK har han blant annet bidratt til å;

• Etablere sikkerhetsinfrastrukturen som kode, for å sikre en robust og skalerbar løsning.

• Implementere ny SIEM-løsning

• Etablere og implementere flere tiltak for sikker utvikling i NRK

• Lage en ny og forbedret sonemodell i NRK

• Styrke sikkerheten i NRKs skytjenester, gjennom blant annet å ta i bruk flere av Microsoft sine sikkerhetsløsninger

• Investere i ny antivirus-løsning som gir langt bedre beskyttelse av servere og endepunkter

• Automatisere mye av dagens alarm-håndtering

• Evaluere og sikre AD og Azure AD i langt større grad enn tidligere

• Etablere og gjennomføre jevnlige phishing-tester for å heve sikkerhetsbevisstheten blant NRKs medarbeidere.

Anders er svært takknemlig for tilliten han er blitt vist hos NRK og spesielt av Kai Johansen, og forteller at det har vært utrolig spennende å være med NRK på reisen fra å være relativt umoden når det kommer til informasjonssikkerhet, frem til den profesjonalismen organisasjonen har i dag.

Gjennom å ha fått lov til å delta å hele denne reisen, og være hos en kunde over lenger tid, har Anders fått mulighet til å ikke bare gjøre de kortsiktige, nødvendige tiltakene som konsulenter ofte blir leid inn til å løse, men også ta tak i de mer langsiktige tiltakene, løsningene, og ikke minst bevisstgjøringen, som det ofte tar år å få gjennomført.

(...) SELV OM MANGE SIKKERHETSUTFORDRINGER BÅDE KAN OG BØR LØSES RASKT OG OFTE MED BRUTE FORCE NÅR KRISEN INNTREFFER, SÅ KAN MAN LIKEVEL OPPNÅ ENDA STØRRE GEVINSTER, GJENNOM EN MER LANGSIKTIG OG PREVENTIV TILNÆRMING.

Etter tre års hos NRK retter nå Anders blikket mot neste kunde. Han er sikker på at han vil kunne dra med seg mye av erfaringen og kunnskapen videre også i neste prosjekt.

Den viktigste lærdommen Anders sitter igjen med etter tre år i NRK, er at det er mulig å komme langt, så lenge man har en organisasjon i ryggen som forstår viktigheten av sikkerhet. Han er også blitt mer bevisst på at selv om mange sikkerhetsutfordringer både kan og bør løses raskt og ofte med brute force når krisen inntreffer, så kan man likevel oppnå enda større gevinster, gjennom en mer langsiktig og preventiv tilnærming.

I løpet av de tre årene som har gått, er det ikke bare NRK som har styrket sin sikkerhetsavdeling betraktelig. Anders leder Alvs informasjonssikkerhetsavdeling. Den teller i dag 6 konsulenter, og Alv tilbyr i dag det meste av kompetanse innen teknisk informasjonssikkerhet. Hvis du eller selskapet du jobber i har behov for bistand innen teknisk informasjonssikkerhet, håper vi du tar kontakt med oss.