Säkerhetspodcasten
Pods Lyssna! Kontakt Panelen Supporters
Säkerhetspodcasten

Contents

Säkerhetspodcasten avs.91 – Framtiden

   10908 words   52 minutes 

Lyssna

mp3

Innehåll

Följ med panelen på en resa in i framtiden! Spekulationerna haglar och argumenten är både mer och mindre genomtänkta när vi plockar fram spåkulan och funderar på framtiden för säkerhetsbranschen.

Inspelat: 2017-04-13. Längd: 00:45:51.

AI transkribering

AI försöker förstå oss… Ha överseende med galna feltranskriberingar.

1 00:00:00,000 --> 00:00:05,280 Hej och välkommen till Säkerhetspodcasten. Jag som pratar heter Johan Wiberg-Möller.

2 00:00:05,380 --> 00:00:13,740 Med mig idag har jag Peter Magnusson, Rickard Bordfors, Jesper Larsson och Mattias Idage.

3 00:00:15,740 --> 00:00:20,500 Det här avsnittet sponsras som vanligt av Sjord. Läs mer om dem på www.sjord.se.

4 00:00:20,960 --> 00:00:25,760 Om ni vill ta del av show notes eller kontakta oss så gör ni det genom sakhetspodcasten.se.

5 00:00:25,760 --> 00:00:28,940 Det finns även på Twitter på att sakpodcasten.

6 00:00:30,000 --> 00:00:31,540 Och på de andra sociala medierna.

7 00:00:31,580 --> 00:00:34,140 Ja, precis. Facebook och så vidare. Men det vet ni vid det här laget.

8 00:00:35,720 --> 00:00:39,960 Idag ska vi prata lite om framtiden för säkerhetsbranschen.

9 00:00:41,000 --> 00:00:45,300 Det känns ju som att det sker en del relativt snabb utveckling.

10 00:00:45,660 --> 00:00:50,480 Framförallt kanske i vår bransch, it-branschen generellt, men it-säkerhetsbranschen specifikt.

11 00:00:51,380 --> 00:00:54,360 Det är kanske inte utvecklingen i it-säkerhetsbranschen som driver frågan.

12 00:00:54,520 --> 00:00:55,900 Nej, det är väl visserligen sant.

13 00:00:56,360 --> 00:00:59,900 Det är väl snarare så att folk hittar på massa saker inom it.

14 00:01:00,000 --> 00:01:02,100 Och sen så landar det på vårt bord.

15 00:01:02,460 --> 00:01:04,100 Let’s put it online, man!

16 00:01:04,100 --> 00:01:16,120 Men om man tittar på lite siffror så kan man se att om vi kollar på siffror från Gartner så var den globala it-säkerhetsmarknaden,

17 00:01:16,300 --> 00:01:23,600 eller cyber security market som de kallade den, värd 3,5 miljarder dollar i 2004.

18 00:01:24,800 --> 00:01:29,800 Och nu med de senaste siffrorna så räknar man att den ligger någonstans.

19 00:01:30,000 --> 00:01:33,640 Någonstans mellan 75 och 100 miljarder dollar.

20 00:01:34,940 --> 00:01:40,700 Så en ökning på rätt många procent på relativt kort tid.

21 00:01:40,700 --> 00:01:46,060 Under vad de räknar då? Är det liksom värdet på alla bolag som levererar?

22 00:01:46,400 --> 00:01:48,660 Eller värdet på alla tjänster?

23 00:01:49,500 --> 00:01:52,560 Det är ju alltid ganska oklart med Gartner just nu.

24 00:01:53,060 --> 00:01:55,280 Det är väl de som har betalat mest för att få fram artikeln?

25 00:01:55,280 --> 00:01:57,620 Skitriket. Det är någonting som ökar och det har man säkert i alla fall.

26 00:01:57,780 --> 00:01:58,040 Precis.

27 00:01:58,300 --> 00:01:59,700 De förutspår ju dessutom att det kommer…

28 00:02:00,000 --> 00:02:01,020 Fortsätt öka då.

29 00:02:01,580 --> 00:02:05,520 Expected to reach 170 miljarder dollar innan 2020.

30 00:02:05,960 --> 00:02:08,780 Det är alltså under de nämsta tre åren, två och en halvt åren till och med.

31 00:02:09,800 --> 00:02:13,720 Så det är ju en rätt snabb increase för att prata lite svengelska.

32 00:02:14,340 --> 00:02:15,120 Ja, det får man ändå göra.

33 00:02:15,780 --> 00:02:16,720 Att det var svengelska?

34 00:02:17,720 --> 00:02:23,080 Men finns ens kapaciteten att branschen kan öka så mycket?

35 00:02:23,080 --> 00:02:28,100 Jag vet inte. Om vi tittar lite på potentiella problem med detta.

36 00:02:28,980 --> 00:02:29,880 En snabb ökning?

37 00:02:30,000 --> 00:02:36,000 Ja, det jag tycker att vi ser delvis är att det finns en hel del företag som vill växa snabbt

38 00:02:36,000 --> 00:02:40,480 för att möta efterfrågan som ju ökar snabbt.

39 00:02:41,360 --> 00:02:45,280 Och ett av de problemen som jag tycker man ser är att man har en tendens att

40 00:02:45,280 --> 00:02:49,100 vill jag växa snabbt då köper man bolag snarare än att växa organiskt.

41 00:02:49,880 --> 00:02:52,920 Men det är ju ett symptom på grundproblemet.

42 00:02:52,980 --> 00:02:54,000 Precis, så är det ju.

43 00:02:54,000 --> 00:02:59,640 Men det är väl kanske så att det inte finns tillräckligt mycket folk egentligen som har det skillset som krävs.

44 00:03:00,000 --> 00:03:06,100 Eller gamla klassiska. Vi vill ha någon som är 25 år och har 20 års erfarenhet av en teknik som har funnits i två år.

45 00:03:06,260 --> 00:03:11,000 Precis så. Eller som jag såg någon arbetsanalys. Hej, du söker en junior fullstack-utvecklare.

46 00:03:12,860 --> 00:03:13,860 Ja, okej.

47 00:03:14,520 --> 00:03:14,960 Spretigt.

48 00:03:15,160 --> 00:03:15,980 Good luck with that.

49 00:03:16,220 --> 00:03:16,620 Lite så.

50 00:03:18,040 --> 00:03:23,940 Men vi kan väl snacka lite om vad vi ser för potentiella problem med den snabba utvecklingen av branschen.

51 00:03:24,260 --> 00:03:28,080 Men om vi börjar med varför växer it-säkerhet?

52 00:03:28,080 --> 00:03:28,240 Mm.

53 00:03:30,000 --> 00:03:38,400 Alltså, en sak som har kommit på sista tiden är ju IOT och om vi lägger in automotive och de bitarna där så är det ju…

54 00:03:38,400 --> 00:03:39,180 Allting är uppkopplat.

55 00:03:39,400 --> 00:03:39,660 Precis.

56 00:03:40,180 --> 00:03:42,540 Ja, det är väl det som sammanfattar det där tror jag. Allt är uppkopplat.

57 00:03:42,560 --> 00:03:47,500 Allt är upp på nätet och nu märker man dessutom att det finns en hel del problem med det.

58 00:03:48,500 --> 00:03:58,500 Vi har ju den andra APT-trenden med att det sker attacker som når nyheter där det framgår att det finns…

59 00:04:00,000 --> 00:04:08,400 Automiska incitament. Man börjar flytta bilden från liksom 20-årig tekniknörd som bara hackar för hackandets skull till…

60 00:04:08,400 --> 00:04:09,240 Brottssyndikat.

61 00:04:09,360 --> 00:04:09,940 Ja, absolut.

62 00:04:10,240 --> 00:04:10,860 Och stater.

63 00:04:11,240 --> 00:04:16,560 Ja, men det tycker jag… Jag tycker mig att jag har sett en trend där det senaste som är…

64 00:04:16,560 --> 00:04:24,520 Okej, vi har alltid, eller alltid, men under en lång tid så har vi vetat att det finns nation states då, det vill säga extremt kompetenta motståndare.

65 00:04:24,760 --> 00:04:26,020 Tailored operations, etc.

66 00:04:26,280 --> 00:04:26,720 Spionorganisationer.

67 00:04:26,720 --> 00:04:29,120 Ja, och de håller på med spy-shit.

68 00:04:29,520 --> 00:04:29,720 Och det är…

69 00:04:30,000 --> 00:04:31,360 Och i viss del warfare.

70 00:04:31,580 --> 00:04:35,980 Ja, men alltså det är typiskt bolag kanske inte är mål för en sådan organisation.

71 00:04:36,520 --> 00:04:36,760 Ja.

72 00:04:37,320 --> 00:04:38,700 Alltså, vad är de ute efter?

73 00:04:38,820 --> 00:04:43,280 Om inte bolagen tillhör samhällskritisk verksamhet.

74 00:04:43,460 --> 00:04:43,560 Ja, exakt.

75 00:04:43,560 --> 00:04:45,240 Men pratar du historiskt nu, eller?

76 00:04:45,380 --> 00:04:46,000 Historiskt, ja.

77 00:04:47,460 --> 00:04:53,500 Så att de är liksom inte riktigt med i en hotmodell för ett normalföretag, ett klassiskt enterprise.

78 00:04:54,060 --> 00:04:59,980 Och ska man vara krass, bygger du konsumentprodukter så kan du inte ha med en nation state i din hotmodell.

79 00:05:00,000 --> 00:05:00,500 Nej.

80 00:05:00,500 --> 00:05:03,500 För då kan du inte producera konsumentprylar liksom, det går inte.

81 00:05:03,500 --> 00:05:04,000 Nej.

82 00:05:04,000 --> 00:05:10,340 Men det jag ser, och sen så i andra änden då så har vi då typ script kiddie-ish, alltså ganska exempla attacker.

83 00:05:11,340 --> 00:05:17,440 Du kan även, tycker jag, lägga i den kategorin läskigare attacker, men de är gjorda ut av snälla människor, alltså forskare och så vidare.

84 00:05:17,440 --> 00:05:26,980 Det vill säga, din riskprofil som ett företag är inte superstor för att du, när du blir drabbad av de här, okej det kan bli PR och hej håh problem, men du får i alla fall chansen att arbeta med det här.

85 00:05:26,980 --> 00:05:27,480 Mm.

86 00:05:27,480 --> 00:05:27,980 Mm.

87 00:05:27,980 --> 00:05:29,880 Men sen när det börjar dyka upp grejer i mellanskikt.

88 00:05:29,880 --> 00:05:30,380 Mm.

89 00:05:30,380 --> 00:05:43,560 Där tycker jag definitivt organiserad brottslighet ligger, det vill säga det är välfinansierade människor med resurser och kompetens som har riktiga kampanjer och de kommer kosta dig pengar som företag.

90 00:05:43,560 --> 00:05:44,060 Mm.

91 00:05:44,060 --> 00:05:56,220 Antingen genom att det är ransomware, alltså att du får betala dig ur ett problem på det sättet, eller att du har ett stort intrång och du får betala på det sättet, eller att de faktiskt skär intellectual property från dig så du får betala på det sättet.

92 00:05:56,220 --> 00:05:59,220 Här ser vi ju den här APT10-grejen till exempel som är.

93 00:05:59,220 --> 00:05:59,720 Mm.

94 00:05:59,720 --> 00:06:04,320 Det här segmentet, det tycker jag är lite nytt, eller det är nytt, det har blivit stort väldigt nyligen.

95 00:06:04,320 --> 00:06:16,320 Men kollar man på just nation state där, för jag håller inte riktigt med om du tittar på vad man ska ha i sin hotmodell som ett företag, framförallt företag som utvecklar produkter som är åtråvärda i form av intellectual property.

96 00:06:16,560 --> 00:06:21,760 Så där ser vi ju definitivt nation state som agerar mot dem, alltså framförallt Kina mot USA exempelvis.

97 00:06:21,760 --> 00:06:23,880 Ja men det är det jag menar, det är det som jag tycker är förändringen.

98 00:06:24,240 --> 00:06:27,580 Du vill säga att tidigare var, när jag säger nation state så menar jag just spy shit.

99 00:06:27,820 --> 00:06:27,840 Ja.

100 00:06:28,840 --> 00:06:29,160 Och.

101 00:06:29,720 --> 00:06:30,900 De riktigt avancerade attackerna.

102 00:06:31,100 --> 00:06:38,640 Nu kommer då APT10 som ju inte är riktigt lika sofistikerade utan de kör mer såhär vanliga sårbarheter men de gör det på bred front istället.

103 00:06:39,100 --> 00:06:46,960 Eller CIAs toolbox som vi såg nyligen som också är samma sak, alltså det är lite mer, jag kallar det standard sårbarheter men det är liksom inte out there i alla fall.

104 00:06:47,140 --> 00:06:50,520 Det är okej, det är tuffa grejer de kör men det är inte helt nytt alltihopa.

105 00:06:50,520 --> 00:06:58,620 Men jag har en infallsvinkel som är lite mer att vi, utvecklingen som vi ser nu, vi har mycket mer tjänster.

106 00:06:59,720 --> 00:07:29,040 Nu ska jag prata på svenska, vad marketplace är på internet, alltså att försäljningskanalen är på internet vilket får med sig en ny typ av brottslighet i form av överlastningsattacker, i form av bandpensbaserade attacker där just IOT då med sin uppkopplingsförmåga blir en väldigt stor del av brottssyndikatens verktyg för att kunna då skapa överlastningsattacker så att de här bolagen faktiskt inte kan tjäna sina pengar.

107 00:07:29,040 --> 00:07:29,080 Ja.

108 00:07:29,720 --> 00:07:34,140 Jag glömmer bort hacktivismen heller som ju är en relativt ny grej.

109 00:07:34,680 --> 00:07:44,720 Det har ju funnits alltid så politiskt motiverade hackers såklart men på den skalan som de har dykt upp, jag menar sen Anonymous egentligen kom och blev stort.

110 00:07:45,260 --> 00:07:45,380 Ja.

111 00:07:46,100 --> 00:07:49,120 Så det är också en force to be reckoned with.

112 00:07:49,120 --> 00:07:50,720 Är den tvärt så supermycket det senaste?

113 00:07:50,720 --> 00:07:58,040 Men grejen är att det kan ju, alltså jag tror inte att, det ska man säga, det är en stor företeelse.

114 00:07:59,720 --> 00:08:17,240 Det kan ju ha stora konsekvenser men jag menar du kan ju hyra ett botnet för inga pengar alls idag och om du bara blir sur på någonsin, jag menar kalla det för hacktivism, ja visst det är det men jag menar det räcker ju att Pelle 15 år handlar ett botnet på en business network.

115 00:08:17,240 --> 00:08:27,400 Men om vi kollar på defacing av sidor och dumpningar av stora bolag, interna databaser och sådana saker, det sker ju.

116 00:08:28,200 --> 00:08:29,680 Det var ett tag sedan nu som det var det.

117 00:08:29,720 --> 00:08:37,480 Det var mycket sådant men det var ju under en period då vi hade hur mycket som helst med Syrian Electronic Army och alla de här aktivisterna.

118 00:08:37,480 --> 00:08:42,660 Jo, det existerar absolut och är ett rejält hot man måste ha med i sin hotmodellering tror jag.

119 00:08:43,560 --> 00:08:52,400 Men om vi kollar lite mer på vad vi ser, Anna, jag tänker på en sån sak som mobiler har ju utökat skåpet ganska stort.

120 00:08:53,160 --> 00:08:57,680 Just nu har vi gått från att ha dumma datorer till väldigt smarta datorer i fickan.

121 00:08:57,680 --> 00:08:58,180 Ja, absolut.

122 00:08:58,700 --> 00:08:59,560 Och det är en utveckling.

123 00:08:59,720 --> 00:09:00,640 Och det har ju gått ganska fort också.

124 00:09:00,640 --> 00:09:05,980 Ja, och det har ju då också ökat. Det är ju en ny nisch även för säkerhetsmarknaden då.

125 00:09:06,280 --> 00:09:09,080 Alltså mobile security är ju en stor grej dessutom.

126 00:09:09,600 --> 00:09:19,120 Men ska man inte vara jättetråkig och löjlig och konstatera att hela samhället går kraftigt mot digitalisering och tjänstefiering

127 00:09:19,120 --> 00:09:29,120 och att när vi började branschen för ett antal år sedan och så, så även om man inte märker det så samhället är mycket digitalare.

128 00:09:29,720 --> 00:09:32,100 Och det är ju en stor grej idag än när vi började i branschen.

129 00:09:32,580 --> 00:09:39,440 Och därmed så måste ju all brottslighet och sånt i större och större grad ligga på internet.

130 00:09:40,320 --> 00:09:46,820 Och det är ju inget konstigt att en ICA-butik har väktare där ibland.

131 00:09:47,160 --> 00:09:50,480 Och nu behövs någon sorts motsvarighet till det på nätet då.

132 00:09:50,480 --> 00:09:59,600 Ja, och så ser vi ju inom säkerhetsbranschen inte bara som ett respons på ökad brottslighet eller vad brottsligheten är.

133 00:09:59,720 --> 00:10:03,460 Utan det dyker ju upp andra nischer även inom säkerhetsbranschen.

134 00:10:03,600 --> 00:10:06,560 Typ threat intelligence och sådana saker som vi inte har sett jättemycket tidigare.

135 00:10:07,380 --> 00:10:09,540 Men där vi har sett jättemycket growth nu.

136 00:10:10,340 --> 00:10:23,540 Det som slår mig tycker jag är att en stor del av säkerhetsbranschen fokuserar på att lyfta fram ett hot och sen sälja en burk som ska lösa det här problemet.

137 00:10:24,660 --> 00:10:26,320 Silver bullet approachen.

138 00:10:26,320 --> 00:10:29,700 Ja, precis. Köp den här mjuka kudden och sova på.

139 00:10:29,720 --> 00:10:30,740 Och så sover du gott om natten.

140 00:10:31,260 --> 00:10:32,040 It does security.

141 00:10:32,340 --> 00:10:33,080 Ja, precis.

142 00:10:33,300 --> 00:10:34,800 It does some security stuff.

143 00:10:35,400 --> 00:10:37,720 Shit, jag såg en grymt bra presentation.

144 00:10:38,580 --> 00:10:42,000 Keynote från, undrar om det var Hack in the Box.

145 00:10:43,480 --> 00:10:44,840 Eller om det var Black Hat Asia.

146 00:10:45,020 --> 00:10:47,360 Alltså det var en keynote alldeles i dagarna om just det.

147 00:10:47,580 --> 00:10:50,960 Alltså varför köper CISOs produkter.

148 00:10:51,400 --> 00:10:53,580 Det var jättebra. En pedagogisk förklaringsmodell.

149 00:10:53,740 --> 00:10:55,860 Var inte Steve Lord keynote på Hack in the Box?

150 00:10:55,940 --> 00:10:57,900 Hittar du den så är jag jätteintresserad.

151 00:10:57,900 --> 00:10:58,100 Ja, den.

152 00:10:58,100 --> 00:11:00,920 Men vi kan väl ta med den mer berömda shownoten.

153 00:11:01,100 --> 00:11:02,840 Precis. Länkar kommer snart.

154 00:11:04,060 --> 00:11:04,620 Någon gång.

155 00:11:05,140 --> 00:11:06,560 Fast vi har varit ganska bra på att göra det faktiskt.

156 00:11:06,620 --> 00:11:07,900 I alla fall på de osuktriderade avsnitten.

157 00:11:08,560 --> 00:11:12,700 Men om vi tänker på lite fördelar med att vi ser att marknaden expanderar.

158 00:11:12,760 --> 00:11:13,440 För det gör den ju ordentligen.

159 00:11:13,520 --> 00:11:17,080 Det finns pengar. Företag är villiga att spendera pengar på sin säkerhet.

160 00:11:17,700 --> 00:11:19,820 Kanske på ett annat sätt nu än vad de har varit tidigare.

161 00:11:20,260 --> 00:11:21,280 Du har någonting att blunda på.

162 00:11:21,280 --> 00:11:23,300 Men det jag tänker.

163 00:11:24,540 --> 00:11:26,340 Ja, pengar. Det finns pengar.

164 00:11:26,520 --> 00:11:27,280 Och det är…

165 00:11:28,100 --> 00:11:29,260 Nu hade jag petat upp en Red Bull.

166 00:11:30,300 --> 00:11:35,780 Jo, det jag tänker på är att behovet ökar.

167 00:11:37,140 --> 00:11:38,420 Visst finns det en del pengar.

168 00:11:38,480 --> 00:11:41,860 Men det sker ju en ganska stor prispress också.

169 00:11:43,440 --> 00:11:47,860 Blir det kanske en uppdelning mellan riktigt skillade tjänster om man säger så.

170 00:11:48,000 --> 00:11:50,920 Och mer Blink in Box säkerhet.

171 00:11:50,920 --> 00:11:51,860 Jo, precis.

172 00:11:52,100 --> 00:11:57,280 Men jag tänker, hur vet jag som stackars obildad it-chef.

173 00:11:57,440 --> 00:11:58,080 Vad det är jag får.

174 00:11:58,100 --> 00:11:59,760 När jag köper på ramavtal.

175 00:12:01,420 --> 00:12:03,380 Det är ju alltid såklart svårt.

176 00:12:03,460 --> 00:12:06,420 Om man inte vet vilka frågor man ska ställa när man köper in någonting eller någon.

177 00:12:06,980 --> 00:12:09,040 Och jag är ju… Jag kan ju inte den här branschen.

178 00:12:09,540 --> 00:12:10,100 Nej, du gör inte det.

179 00:12:10,220 --> 00:12:10,340 Nej.

180 00:12:11,960 --> 00:12:13,900 Tycker du att vi ska ge dig lite bra svar på detta då?

181 00:12:13,960 --> 00:12:14,960 Är det det du…

182 00:12:14,960 --> 00:12:17,440 Ja, det kanske finns någon som är intresserad av att veta.

183 00:12:17,440 --> 00:12:19,120 Vi kan sälja lite MD5 till dig.

184 00:12:19,260 --> 00:12:20,460 Ja, men bra. Det lät bra.

185 00:12:20,980 --> 00:12:22,180 RC4 är vi också väldigt bra på.

186 00:12:22,180 --> 00:12:23,620 That does security stuff.

187 00:12:23,980 --> 00:12:24,000 Ja.

188 00:12:24,560 --> 00:12:25,600 Men, men…

189 00:12:25,600 --> 00:12:27,180 Alltså, något som är…

190 00:12:28,100 --> 00:12:29,460 För mig är ganska tydligt.

191 00:12:29,560 --> 00:12:34,160 Det är ju också att vi har en större mognadsgrad på även lite mindre bolag.

192 00:12:34,320 --> 00:12:35,840 Jag vet i alla fall…

193 00:12:35,840 --> 00:12:41,200 När vi har jobbat med säkerhet förr i tiden så har det oftast varit ganska…

194 00:12:41,200 --> 00:12:45,920 Alltså företag med etablerade processer kring säkerhet som beställer våra tjänster.

195 00:12:46,360 --> 00:12:49,880 Men jag tycker man kan skönja att det är bolag…

196 00:12:49,880 --> 00:12:51,020 Mindre bolag.

197 00:12:51,500 --> 00:12:54,220 Man kanske inte kan klassificera det som mindre bolag.

198 00:12:54,220 --> 00:12:57,220 Men alltså mindre hippa it-bolag som förstår…

199 00:12:58,100 --> 00:12:59,520 Vikten av it-säkerhet.

200 00:12:59,900 --> 00:13:03,800 För jag ser att våra kunder är inte bara de här stora jättarna.

201 00:13:04,300 --> 00:13:06,220 Med etablerade säkerhetsteam.

202 00:13:06,260 --> 00:13:07,500 Det kommer lite mer awareness.

203 00:13:07,740 --> 00:13:13,260 Lite mer awareness och man börjar förstå innebörden med säkerhet mer brett i sina produkter.

204 00:13:13,540 --> 00:13:14,760 Ja, men grejen är att…

205 00:13:14,760 --> 00:13:18,300 Alltså jag tror inte det är något företag som har…

206 00:13:18,300 --> 00:13:22,720 Liksom inte märkt anstormningen av ransomware till exempel.

207 00:13:23,240 --> 00:13:23,700 Sant.

208 00:13:23,700 --> 00:13:27,900 Så det har gjort att alla inser att vi måste göra…

209 00:13:28,100 --> 00:13:28,660 Någonting.

210 00:13:28,860 --> 00:13:34,020 Ja, och med deras intresse för it-säkerhet den sista tiden har nog bidragit rejält.

211 00:13:34,020 --> 00:13:34,360 Ja, självklart.

212 00:13:35,740 --> 00:13:42,180 Men jag tycker också att vi ser att det finns utrymme för lite mer nischade aktörer inom it-säkerhetsbranschen.

213 00:13:42,320 --> 00:13:43,320 Alltså om vi tittar på…

214 00:13:43,320 --> 00:13:45,380 Men för all del bolag som vårat.

215 00:13:45,800 --> 00:13:46,980 Det vill säga…

216 00:13:46,980 --> 00:13:54,300 I och med att det finns lite mer pengar, lite mer intresse så finns det också utrymme för den typen av mindre…

217 00:13:54,300 --> 00:13:57,500 Mer specialiserade bolag att finnas och existera och växa.

218 00:13:58,100 --> 00:13:59,980 Vilket väl är en bra sak, tror jag.

219 00:14:00,020 --> 00:14:00,860 I alla fall för oss.

220 00:14:01,180 --> 00:14:01,880 Även bordet.

221 00:14:03,660 --> 00:14:04,640 Ja, men absolut.

222 00:14:05,020 --> 00:14:06,340 Bra positivt format.

223 00:14:06,940 --> 00:14:07,040 Ja.

224 00:14:07,040 --> 00:14:09,440 Och grejen är lite där.

225 00:14:10,140 --> 00:14:11,040 Just hur man…

226 00:14:12,220 --> 00:14:13,360 Om man då tittar…

227 00:14:13,360 --> 00:14:19,700 Hur ska nischade bolag hitta duktigt folk att anställa?

228 00:14:20,340 --> 00:14:22,040 För vi har ju konstaterat att…

229 00:14:23,100 --> 00:14:24,260 Köpa upp varandra.

230 00:14:25,040 --> 00:14:26,780 Man blir inte fler ändå.

231 00:14:27,740 --> 00:14:27,980 Precis.

232 00:14:28,100 --> 00:14:35,080 Och vips, så tappar du någon stackare till linjen som sätter sig och tar något chefsjobb någonstans på någon kommunalförvaltning.

233 00:14:35,200 --> 00:14:35,900 Exakt så.

234 00:14:36,100 --> 00:14:36,740 Det skulle kunna ske.

235 00:14:36,940 --> 00:14:37,040 Ja.

236 00:14:37,500 --> 00:14:38,300 Jag har hört det.

237 00:14:38,840 --> 00:14:40,100 Så jag menar…

238 00:14:40,840 --> 00:14:41,520 Då blir…

239 00:14:41,520 --> 00:14:42,480 Rent hypotetiskt.

240 00:14:42,480 --> 00:14:43,760 Rent hypotetiskt, ja precis.

241 00:14:43,920 --> 00:14:46,540 Och då minskar ju den här…

242 00:14:46,540 --> 00:14:46,660 Tjock och bekväm.

243 00:14:47,020 --> 00:14:51,160 Minskar ju liksom den organiska massan som du kan köpa.

244 00:14:51,160 --> 00:14:52,580 Och du får ju dessutom…

245 00:14:52,580 --> 00:14:55,040 Jag menar, vi har sett det bara i vår närhet flera gånger.

246 00:14:55,140 --> 00:14:58,000 Att du tydligt braindrainar företag att köpa.

247 00:14:58,100 --> 00:15:01,880 För att helt plötsligt få ner en ny kultur, en ny ledning, kanske ett annat fokus.

248 00:15:02,000 --> 00:15:06,460 Vilket leder till att de som var där kanske byggde upp det som var intressant med bolaget från början och inte vill vara kvar längre.

249 00:15:07,080 --> 00:15:13,300 Men det behöver ju inte påverka säkerhetsbranschen, alltså den totala tillgången av säkerhetskompetens på ett negativt sätt.

250 00:15:13,440 --> 00:15:14,240 Det är ju inte säkert.

251 00:15:14,700 --> 00:15:15,400 Nej, absolut inte.

252 00:15:15,460 --> 00:15:17,280 Det beror ju på var de tar vägen och var de landar någonstans.

253 00:15:17,600 --> 00:15:18,060 Så är det ju.

254 00:15:18,140 --> 00:15:21,480 Och det kan inte vara så att de går iväg och startar mer intressanta…

255 00:15:21,480 --> 00:15:28,080 Ja, eller jag menar en person som jobbar som säkerhetskonsult på ett konsultbolag eller som jobbar i linjen med säkerhet.

256 00:15:28,100 --> 00:15:29,260 Det har ju ingen större betydelse.

257 00:15:29,340 --> 00:15:32,320 Det är ju fortfarande så att de levererar säkerhetskompetens till marknaden.

258 00:15:32,700 --> 00:15:33,960 Och fortsatt så är det så god kompetens.

259 00:15:34,180 --> 00:15:40,480 Jo, men samtidigt då, om vi då tittar på demografin då.

260 00:15:41,340 --> 00:15:46,040 För att rent krasst, ja, de personer som finns, de finns ju.

261 00:15:46,180 --> 00:15:50,100 Och antingen så levererar de det i linjen och då köper inte det bolaget lika mycket konsulter.

262 00:15:50,840 --> 00:15:53,760 Eller så är man konsult och då kan man bli köpt på stan.

263 00:15:54,720 --> 00:15:57,320 Men om vi tittar på vad man vill ha då.

264 00:15:57,420 --> 00:15:58,000 Om man tittar på…

265 00:15:58,000 --> 00:15:59,420 Nischade säkerhetskompetenser.

266 00:15:59,580 --> 00:16:01,860 Ta skadasäkerhet till exempel.

267 00:16:02,520 --> 00:16:04,160 Så hur kommer man in där?

268 00:16:04,160 --> 00:16:13,180 För jag menar, det finns ju inget bolag som släpper in Lisa och Kalle som nyutäxare från Z-linjen på Chalmers.

269 00:16:13,280 --> 00:16:17,720 För att göra en avancerad säkerhetsgranskning av deras skada infrastruktur.

270 00:16:18,420 --> 00:16:27,960 Utan man vill ju gärna ha referenser från andra stora jobb som de har gjort för att säkerställa att kan de verkligen det här?

271 00:16:28,540 --> 00:16:31,400 Så då är vi tillbaka egentligen på pudelns kärna.

272 00:16:31,520 --> 00:16:34,260 Det vill säga, hur hittar vi fler människor?

273 00:16:34,420 --> 00:16:35,660 Hur får vi in juniorer?

274 00:16:36,360 --> 00:16:40,100 För jag menar, att det finns en stor efterfrågan och att awareness ökar och så vidare, det är ju något bra.

275 00:16:40,800 --> 00:16:44,780 Att attackerna ökar kanske inte är så bra, men det händer.

276 00:16:45,180 --> 00:16:50,760 Och det är som Peter säger, det är en naturlig följd av att vi lägger mer business, det vill säga mer värde på nätet.

277 00:16:50,860 --> 00:16:54,040 Då kommer attackerna öka och då måste vi lägga mer tid på att försvara oss.

278 00:16:54,040 --> 00:16:57,580 Man kan ju säga också att jag tänker att bolaget som vill växa snabbt.

279 00:16:58,000 --> 00:17:04,900 Människor köper varandra eller har lite mindre skruplar när det kommer till vilka de anställer och vilka uppdrag de skickar de personerna på.

280 00:17:05,020 --> 00:17:09,660 Det leder ju ändå till ett systematiskt problem för it-säkerhetsbranschen.

281 00:17:10,380 --> 00:17:16,320 Om man fortsätter på det sättet så finns det potential för att urholka ryktet för branschen.

282 00:17:16,320 --> 00:17:22,500 Du menar att det finns en hög efterfrågan, då finns det folk som vill öka sin omsättning på området.

283 00:17:23,280 --> 00:17:25,840 Inte är så nogräknade vad det gäller kompetens.

284 00:17:26,540 --> 00:17:27,980 Och då får alla i hela verksamheten.

285 00:17:28,000 --> 00:17:28,860 Och då får alla i hela branschen dåligt rykte.

286 00:17:29,780 --> 00:17:32,800 Och då sitter folk och säljer nästhusrapporter som pentest.

287 00:17:34,080 --> 00:17:36,080 Det har vi ju sett länge i och för sig.

288 00:17:36,500 --> 00:17:49,480 Men om man jämför det med mjukvaruutveckling som är otroligt mycket större än säkerhet så är det ju så att det finns en del jätteduktiga utvecklare.

289 00:17:49,740 --> 00:17:52,800 Och sen finns det ju väldigt många som är mindre duktiga.

290 00:17:54,460 --> 00:17:56,160 Och så finns det sådana som är direkt usla.

291 00:17:58,000 --> 00:17:58,800 Det sa jag inte.

292 00:17:59,700 --> 00:18:04,100 Men alltså där har det ju varit normalt.

293 00:18:04,420 --> 00:18:09,780 Det är ju olika bra på olika bolag hur bra man är på att ta hand om någon som är lite mer juniora.

294 00:18:10,060 --> 00:18:12,640 Det är ju helt naturligt.

295 00:18:12,700 --> 00:18:15,640 Vi har väl den klassiska normalfördelningen även här.

296 00:18:16,640 --> 00:18:20,560 Så ser kompetensen ut inom valfritt yrke och det kommer att vara samma på säkerhetssidan.

297 00:18:20,740 --> 00:18:24,860 Det enda som skiljer nu och framtiden förhoppningsvis är att vi blir fler.

298 00:18:25,440 --> 00:18:27,860 Det kommer fortfarande att vara några som är jävligt…

299 00:18:28,000 --> 00:18:31,740 Det är bra en klump i mitten som är decent och sen så är det en sån som är rätt kass.

300 00:18:31,740 --> 00:18:33,740 Men det jag skulle vilja säga…

301 00:18:34,460 --> 00:18:38,220 Johan var ju lite inne på att icke-organisk tillväxt inte alltid är bra.

302 00:18:38,420 --> 00:18:44,120 Och jag tycker framförallt runt produktaffärer och sånt så tycker jag det är väldigt tydligt.

303 00:18:44,440 --> 00:18:50,360 Att det blir ett bolag uppköpt av Computer Associatives eller Oracle eller liknande.

304 00:18:50,660 --> 00:18:51,920 Så oj…

305 00:18:51,920 --> 00:18:53,040 Alltså…

306 00:18:53,040 --> 00:18:57,740 Då blir det juleläge att fundera på vad jag har satt i skina när den här produkten dör eller slutar.

307 00:18:58,000 --> 00:19:01,740 Eller underhållas eller får helt meningslösa produktuppdateringar.

308 00:19:01,740 --> 00:19:10,140 Så att framförallt på produktsidan så är det ju inte alls konstigt att vara orolig över produktuppköp.

309 00:19:10,260 --> 00:19:14,880 För att det är ju inte ens ovanligt att produkterna helt läggs ner.

310 00:19:15,060 --> 00:19:17,740 Jag menar Google har ju köpt massa produkter och sen så här…

311 00:19:18,560 --> 00:19:20,780 Det här var en dålig idé tydligen. Det lägger vi ner.

312 00:19:21,740 --> 00:19:26,120 Och det här med att man vill tjäna pengar är ju inget fel i det här nödvändigtvis.

313 00:19:26,240 --> 00:19:27,740 Men som du nämnde förut…

314 00:19:28,000 --> 00:19:33,280 Det öppnar ju upp för folk att börja kränga produkter som har ganska tveksamt värde.

315 00:19:34,360 --> 00:19:35,520 Jag tänkte just komma till…

316 00:19:35,520 --> 00:19:38,440 Okej, nu har vi då konstaterat att det finns en nästan ökad efterfrågan.

317 00:19:38,520 --> 00:19:41,460 Vi kommer förmodligen att se fler som jobbar inom yrket framöver.

318 00:19:41,880 --> 00:19:42,980 Vad ser vi för risker med detta?

319 00:19:43,540 --> 00:19:44,840 I grund och botten så är det ju bra.

320 00:19:45,000 --> 00:19:46,860 Men vad ser vi som är potentiellt dåligt?

321 00:19:46,920 --> 00:19:48,680 Vad skulle kunna gå fel i en sån här situation?

322 00:19:49,100 --> 00:19:52,380 Att man misslyckas med att träna upp folk på ett bra sätt.

323 00:19:52,960 --> 00:19:55,440 Att de hamnar fel. Att man säljer dåliga produkter.

324 00:19:55,440 --> 00:19:56,720 Får jag kasta ut en tes?

325 00:19:56,880 --> 00:19:57,140 Absolut.

326 00:19:58,000 --> 00:20:00,740 Och det här kommer att vara extremt biased.

327 00:20:01,760 --> 00:20:05,860 Och bara utifrån vad jag har sett.

328 00:20:06,220 --> 00:20:09,020 Men jag tror så här.

329 00:20:10,200 --> 00:20:13,060 Att bli duktig på säkerhet.

330 00:20:13,560 --> 00:20:15,460 Man kan träna upp till en viss nivå.

331 00:20:15,640 --> 00:20:20,860 Men för att bli riktigt bra så måste du ha ett speciellt tänk.

332 00:20:23,860 --> 00:20:27,860 Jag kan se det hos en junior som kanske inte har erfarenhet.

333 00:20:28,000 --> 00:20:30,540 Men som har rätt tänk och inställning.

334 00:20:31,140 --> 00:20:34,500 Och jag vet att den här personen kommer att bli jätteduktig.

335 00:20:34,580 --> 00:20:35,720 De kommer att springa om mig.

336 00:20:36,740 --> 00:20:41,400 Och jag kan kasta kurser på vissa hur länge som helst.

337 00:20:41,480 --> 00:20:45,140 Utan att de kommer att komma upp till ens basic nivå.

338 00:20:46,420 --> 00:20:49,740 Och jag tror att det någonstans är.

339 00:20:51,140 --> 00:20:54,140 Att det handlar om att locka rätt personer till yrket.

340 00:20:54,860 --> 00:20:57,240 Du förespråkar någon form av nature versus nurture.

341 00:20:58,000 --> 00:21:00,160 Ja, men återigen.

342 00:21:00,520 --> 00:21:06,900 Är inte det en egenskap vi yrket har tillsammans med andra yrken egentligen?

343 00:21:07,120 --> 00:21:07,780 De flesta andra.

344 00:21:08,740 --> 00:21:10,140 Man har fallenhet för det.

345 00:21:10,360 --> 00:21:11,980 Men det behöver inte vara unikt för vår bransch.

346 00:21:12,140 --> 00:21:16,280 Det är inte alla som ska vara läkare.

347 00:21:16,660 --> 00:21:18,100 Visst, absolut. Självklart.

348 00:21:18,220 --> 00:21:21,540 Men jag tycker att du har något relevant där.

349 00:21:21,880 --> 00:21:25,160 Som jag som har mycket mjukvaruutvecklingsfrågor.

350 00:21:25,160 --> 00:21:26,260 Så finns det ju det.

351 00:21:28,000 --> 00:21:34,680 Jag kan ju ha två utvecklare som utvecklare i stort är precis lika duktiga liksom.

352 00:21:34,940 --> 00:21:41,800 Men den ena har det här att spontant känner att om jag gör de här grejerna blir det lite konstigt.

353 00:21:41,900 --> 00:21:45,720 Jag börjar tappa om det är mitt program som beslutar om vad som händer.

354 00:21:45,980 --> 00:21:46,920 Eller om det är liksom så här.

355 00:21:47,280 --> 00:21:49,140 En del har det väldigt instinktivt.

356 00:21:49,160 --> 00:21:50,580 Ja, det är intuitiva känslor.

357 00:21:50,960 --> 00:21:52,760 Och jag kan ju ha det när jag gör kodreview så här.

358 00:21:52,760 --> 00:21:55,700 Det här känns dåligt.

359 00:21:56,000 --> 00:21:57,480 Jag måste gå tillbaka och kolla på det här sen.

360 00:21:58,000 --> 00:22:01,140 Så här, just nu varför det här är dåligt.

361 00:22:01,760 --> 00:22:04,900 Men jag har en jättedålig känsla av det jag har tittat på.

362 00:22:05,160 --> 00:22:06,860 Och det är det sjätte sinnet som jag menar.

363 00:22:07,100 --> 00:22:09,740 Att man antingen har det eller har man det inte.

364 00:22:09,940 --> 00:22:11,860 Tror du det? Byggs det inte lite på erfarenhet också?

365 00:22:12,460 --> 00:22:16,040 Självklart kan erfarenhet vara en bidragande orsak.

366 00:22:16,300 --> 00:22:22,380 Men jag tror att för att få ändå den här magkänslan för det.

367 00:22:23,180 --> 00:22:27,060 Så det är någonting man antingen har eller inte har.

368 00:22:28,000 --> 00:22:32,100 För att jag har erfarenhet och lärde dig ointellektuellt.

369 00:22:32,600 --> 00:22:36,740 Men du blir aldrig så där, du vet, bara ser sambanden.

370 00:22:37,680 --> 00:22:43,260 Nej, men sen kan ju frågan vara om vissa kanske kan få det.

371 00:22:43,760 --> 00:22:46,600 Kanske inte har det naturligt, men lär sig liksom.

372 00:22:48,640 --> 00:22:50,720 Självklart går det att träna upp.

373 00:22:50,880 --> 00:22:53,620 Och jag tror att du kan bli riktigt bra genom att grinda.

374 00:22:53,620 --> 00:22:57,680 Men du kommer att bli omsprungen av folk som bara har det.

375 00:22:58,000 --> 00:22:59,280 En fallenhet för det.

376 00:22:59,280 --> 00:23:02,100 Men teknisk know-how är ju inte allt heller.

377 00:23:02,100 --> 00:23:05,420 Jag stryker den här sjätte sinnet. Fallenhet, det är ett bra ord.

378 00:23:08,760 --> 00:23:12,600 Teknisk know-how kan man ju träna upp inom sitt specifika ämne.

379 00:23:12,840 --> 00:23:18,220 Men även om vi bortser från fallenhetsbiten så krävs det erfarenhet för att veta.

380 00:23:18,220 --> 00:23:21,800 Det är inte bara know-how, utan man ska veta varför man ska göra saker också.

381 00:23:22,320 --> 00:23:24,620 När saker är vettiga att implementera.

382 00:23:24,880 --> 00:23:27,700 Man ska gärna kunna förklara de sakerna och inte bara veta hur man gör det.

383 00:23:27,700 --> 00:23:33,580 Och det är ju någonting som jag tror kommer mycket med erfarenhet.

384 00:23:33,580 --> 00:23:37,680 Men också intresse att man tycker det är kul.

385 00:23:37,940 --> 00:23:40,500 Det är kanske en förutsättning för att man skaffar sig den erfarenheten.

386 00:23:40,760 --> 00:23:42,540 Ja, det får man ju hoppas.

387 00:23:44,340 --> 00:23:49,460 Men jag tror inte att det finns någon brist på folk som är intresserade av it-säkerhet egentligen.

388 00:23:53,040 --> 00:23:57,400 Förr var det ju jättevanligt att folk inte fick jobb inom säkerhetsbranschen.

389 00:23:57,700 --> 00:24:06,660 Det finns ju säkert ett underlag för att säkerhetsbranschen blir mycket större.

390 00:24:06,660 --> 00:24:11,520 Utan att det enbart kommer in folk som är ointresserade eller olämpliga.

391 00:24:11,520 --> 00:24:13,320 Det skulle jag definitivt säga.

392 00:24:14,080 --> 00:24:21,500 Från de som jag har växt upp med så var det väl kanske en tredjedel av dem som var intresserade av datasäkerhet.

393 00:24:21,500 --> 00:24:24,060 Som sedan hamnade inom datasäkerhet.

394 00:24:25,860 --> 00:24:26,620 Ja.

395 00:24:27,700 --> 00:24:34,100 Det folk i allmänhet borde göra då är att försöka snappa upp de som är intresserade av fallenhet.

396 00:24:34,860 --> 00:24:37,680 Och vill arbeta inom den sektorn och sedan se till att de hamnar rätt.

397 00:24:37,940 --> 00:24:43,320 Att de får den erfarenheten och utbildningen som krävs.

398 00:24:43,820 --> 00:24:49,980 För att de inte ska hamna på fel sida eller fel bolag.

399 00:24:49,980 --> 00:24:51,000 Vad är fel sida då?

400 00:24:53,820 --> 00:24:57,660 Det är väl att jobba för de som ställer till problem.

401 00:24:57,700 --> 00:24:59,740 Ja, du menar så? Herregud ja.

402 00:25:00,000 --> 00:25:02,820 NSA och FRA? Nej.

403 00:25:05,900 --> 00:25:07,180 Ja, då försöker jag höra hur du menar.

404 00:25:07,180 --> 00:25:08,960 Nej, jag skojar. Men brottssyndikaten.

405 00:25:08,960 --> 00:25:10,240 Use your powers for good.

406 00:25:10,500 --> 00:25:11,520 Jag tänker på det här.

407 00:25:12,300 --> 00:25:17,920 Kollar vi på Sverige. Jag tror att det är rätt få i Sverige som funderar på banan att gå in och börja arbeta för brottssyndikaten.

408 00:25:18,180 --> 00:25:20,480 Nej, men om man känner sig…

409 00:25:21,000 --> 00:25:23,040 Jag får inga jobb här.

410 00:25:23,300 --> 00:25:26,380 Men jag kan använda mina skills för att tjäna pengar jättelätt.

411 00:25:26,620 --> 00:25:27,140 Ja.

412 00:25:27,140 --> 00:25:28,940 Men jag tror snarare att risken större är att

413 00:25:29,180 --> 00:25:29,960 ja, du får jobb.

414 00:25:30,220 --> 00:25:32,780 Men det kanske inte är på ett ställe som du egentligen vill arbeta på.

415 00:25:34,560 --> 00:25:40,460 Alltså du får ett mindre kvalificerat jobb än vad du borde ha där du inte känner att du lär dig så mycket.

416 00:25:41,220 --> 00:25:43,780 Eller du får ett jobb på ett bolag som du inte tycker

417 00:25:45,060 --> 00:25:47,880 ger dig den tiden och utbildningar som du behöver för att ta dig framåt.

418 00:25:48,380 --> 00:25:52,480 Eller på ett bolag som för all del säljer en produkt som du inte tycker har något specifikt värde.

419 00:25:53,500 --> 00:25:56,060 Jag tror att det är en större risk egentligen att du börjar jobba för

420 00:25:56,060 --> 00:25:57,340 Russian Business Network.

421 00:25:57,600 --> 00:25:59,640 Men alltså, nu kanske jag är en tråkig jävla här.

422 00:25:59,900 --> 00:26:02,980 Jag tycker att vi sitter här och berättar sagor om hur det är och så vidare.

423 00:26:03,220 --> 00:26:05,280 Jag vill problematisera och lösa.

424 00:26:05,540 --> 00:26:07,840 Vilka frågeställningar har vi egentligen?

425 00:26:08,100 --> 00:26:13,220 Det ena är ju då, okej om jag nu är ung och rask och intresserad av det här, hur ska jag bete mig då för att komma in i branschen?

426 00:26:13,460 --> 00:26:14,240 Och det andra är ju då

427 00:26:14,500 --> 00:26:16,540 kanske hur ska branschen ta hand om de här individerna?

428 00:26:16,800 --> 00:26:19,100 Då där tycker jag att vi har frågor som vi bör besvara.

429 00:26:19,620 --> 00:26:25,760 Jag tycker att man kan börja tidigt för att, jag menar, tittar du på det här, de här citaten som brukar släppas runt hela tiden, att amerikanska

430 00:26:26,060 --> 00:26:31,700 försvaret säger att vi behöver 10 000 nya cyberwarriors inom två år och så vidare.

431 00:26:32,460 --> 00:26:37,060 Det säger ju någonting om efterfrågan även om det kanske inte är så tillämpbart i många andra fall.

432 00:26:37,320 --> 00:26:41,160 Men jag tror att redan på utbildningslivå så måste det hända någonting.

433 00:26:42,700 --> 00:26:50,120 Vi ser ju det lite här runtomkring i stan börjar det dyka upp lite typ yrkesutbildningar och sådana saker nischade mot just it-säkerhet.

434 00:26:50,380 --> 00:26:51,660 Det tror jag är rätt väg.

435 00:26:51,920 --> 00:26:55,240 Det kan locka dem som

436 00:26:55,500 --> 00:26:56,020 som

437 00:26:56,320 --> 00:27:00,160 snabbt vill omsätta sina kunskaper och erfarenheter i

438 00:27:00,420 --> 00:27:06,560 ett yrke där de kommer ut snabbt i och liksom får göra nytta istället för att gå och sätta sig på Chalmers i

439 00:27:06,820 --> 00:27:09,120 fem år och bli

440 00:27:09,380 --> 00:27:11,160 grundligt utbildad i

441 00:27:12,180 --> 00:27:13,980 matematik och hur du

442 00:27:14,240 --> 00:27:15,780 bygger system och allting det här.

443 00:27:16,280 --> 00:27:18,840 Det lämpar sig inte för alla.

444 00:27:19,100 --> 00:27:22,940 Jag kan också tänka mig det att it-säkerhet är så snabbt

445 00:27:23,960 --> 00:27:26,020 under så snabb förändring att det kan vara mer värdefullt

446 00:27:26,320 --> 00:27:28,620 att vara fort ute på arbetsmarknaden.

447 00:27:28,880 --> 00:27:29,900 I många fall.

448 00:27:30,160 --> 00:27:32,200 Kanske än att spendera fem år i skolbänken.

449 00:27:33,740 --> 00:27:37,320 Även om det där såklart är en avvägning beroende på vart man sen kommer hamna och sådär.

450 00:27:37,580 --> 00:27:43,220 Sen går man ju miste om en massa andra roliga saker som Chalmers kårdjurskommitté och LOBO.

451 00:27:43,460 --> 00:27:46,280 Man kan ju också säga att det är ju jättestor skillnad om man typ

452 00:27:47,560 --> 00:27:53,700 alltså om man ska vara realistisk så väldigt mycket inom typ nätverkssäkerhet och webbsäkerhet och sådant så är det ju lite

453 00:27:54,480 --> 00:27:56,020 overkill att ha en

454 00:27:56,320 --> 00:27:58,360 högre utbildning medans

455 00:28:00,420 --> 00:28:03,480 för förståelse av en del komplexa koncept och

456 00:28:04,000 --> 00:28:10,140 krypto och mycket annat sådant där så kan du ju ha jättemycket att ha nytta av från en skolutbildning.

457 00:28:10,400 --> 00:28:11,160 Absolut.

458 00:28:11,420 --> 00:28:14,500 Det är väl lite såhär, det beror på vad du ska ägna dig åt.

459 00:28:14,740 --> 00:28:19,620 Jag är ju inte en jättestor fan av sådana här it-säkerhetsutbildningar.

460 00:28:19,860 --> 00:28:20,900 Jag tycker det är lite som

461 00:28:22,180 --> 00:28:24,220 det är lite som en

462 00:28:24,480 --> 00:28:26,020 inte minireknarutbildning men

463 00:28:26,320 --> 00:28:27,600 alltså jag tycker den är

464 00:28:28,100 --> 00:28:32,460 om du har tagit en examen i en sådan utbildning så känner jag inte att du

465 00:28:32,980 --> 00:28:37,840 är ingenting. Det är svårt efter en sådan utbildning att gå ut i industrin och göra någonting för att

466 00:28:38,100 --> 00:28:39,880 det blir it-säkerhet inte så jävla stort.

467 00:28:40,140 --> 00:28:42,960 Så du hinner liksom inte lära dig tillräckligt, du hinner inte komma tillräckligt djupt

468 00:28:43,460 --> 00:28:46,280 för att kunna göra någonting dag ett efter en sådan utbildning.

469 00:28:46,540 --> 00:28:47,820 Det blir liksom en sådan

470 00:28:48,080 --> 00:28:50,640 du fluffar igenom en massa olika ämnen. Du blir orienterad.

471 00:28:50,900 --> 00:28:53,200 Precis, jag ser också det som en introduktion till ämnet.

472 00:28:53,460 --> 00:28:56,020 Så är det ju men just tittar man på just de utbildningarna så är det ju

473 00:28:56,320 --> 00:29:02,460 väldigt förberedande då för nästa steg som de ju ändå arbetar med, det vill säga att du ska ut i industrin så fort som möjligt

474 00:29:02,980 --> 00:29:05,780 och där skaffa dig den erfarenheten för att se vart du vill gå.

475 00:29:06,040 --> 00:29:10,140 Och vilken roll kan du ta som nyexad från en sådan skola?

476 00:29:10,400 --> 00:29:12,700 Generellt så brukar de ju säga att

477 00:29:12,960 --> 00:29:17,300 sista halvåret i en sådan utbildning kommer du jobba gratis på ett bolag som vill ha dig.

478 00:29:18,340 --> 00:29:19,860 I vilken roll då?

479 00:29:21,920 --> 00:29:23,960 Det beror ju på vilket bolag du hittar.

480 00:29:24,220 --> 00:29:25,760 Du kan ju inte sitta som någon arkitekt

481 00:29:26,060 --> 00:29:27,340 och rådgivna i sådana frågor.

482 00:29:27,600 --> 00:29:29,380 Du kan ju inte göra några pen-tester.

483 00:29:29,640 --> 00:29:35,280 Poängen är att du kan gå ut och jobba gratis och lära dig åtminstone lite mer om hur de rollerna fungerar

484 00:29:35,540 --> 00:29:36,300 i ett halvår.

485 00:29:36,560 --> 00:29:39,620 Och efter ett halvår kanske du iallafall kan bidra med någonting förhoppningsvis.

486 00:29:39,880 --> 00:29:42,440 Det här beror super mycket på vilken typ av bolag.

487 00:29:42,700 --> 00:29:45,520 De klassiska ingenjörsbolagen så är det ju

488 00:29:46,020 --> 00:29:48,340 otroligt mycket lättare att komma in med en

489 00:29:48,840 --> 00:29:51,140 felaktig ingenjörsutbildning än

490 00:29:51,660 --> 00:29:54,480 rätt IT-säkerhetsutbildning skulle jag tippa på.

491 00:29:54,740 --> 00:29:55,240 Så är det.

492 00:29:56,060 --> 00:29:59,900 Är man intresserad av att jobba inom IT-säkerhet så

493 00:30:00,160 --> 00:30:04,260 det är för stort område. Bestäm dig för inom vilket område inom IT-säkerhet du vill jobba på.

494 00:30:04,500 --> 00:30:06,300 App-säk, nät-säk eller whatever.

495 00:30:06,560 --> 00:30:09,380 Och så tycker jag du ska börja jobba som typ utvecklare

496 00:30:09,620 --> 00:30:10,660 inom det området.

497 00:30:11,420 --> 00:30:13,720 För då lär du dig hur utveckling går till.

498 00:30:14,240 --> 00:30:15,520 Hur man driftar ett nät.

499 00:30:15,780 --> 00:30:18,340 Hur man bygger en Windows-domän och så vidare.

500 00:30:18,580 --> 00:30:20,900 Och då blir det väldigt mycket lättare sen

501 00:30:21,140 --> 00:30:22,680 att förstå hur du ska göra sönder det här.

502 00:30:22,940 --> 00:30:26,020 Samtidigt måste du då förmodligen ha en bakgrund inom någon utbildning.

503 00:30:26,320 --> 00:30:27,340 Så lär du dig att bli utvecklare först.

504 00:30:27,600 --> 00:30:28,100 Ja.

505 00:30:28,880 --> 00:30:35,020 Men jag tänker vi måste ju se. Då tänker jag du menar utvecklare i den bredare kontexten.

506 00:30:35,280 --> 00:30:36,560 För jag tänker

507 00:30:38,100 --> 00:30:40,660 för att bli duktig på infra så behöver man jobba med infra-drift.

508 00:30:40,900 --> 00:30:41,680 Ja.

509 00:30:42,440 --> 00:30:45,260 Så att då sätt dig och

510 00:30:46,800 --> 00:30:49,860 supporta ett stort nät.

511 00:30:50,120 --> 00:30:54,480 Eller skriv din egen nätverk sen.

512 00:30:54,740 --> 00:30:56,020 Sen kan jag ju säga att du behöver ju få

513 00:30:56,320 --> 00:31:01,700 din säkerhetsdos också någonstans. Har du då inte ett brinnande intresse att skaffa det här vid sidan om

514 00:31:01,940 --> 00:31:04,760 så kan jag se en plats för en sån här beredande

515 00:31:05,020 --> 00:31:06,820 säkerhetsutbildning.

516 00:31:07,060 --> 00:31:13,980 Men i så fall ska ditt första yrkesval, då ska du inte söka säkerhetsjobb utan du ska söka just en driftsroll eller en systemutvecklarroll efter det.

517 00:31:14,240 --> 00:31:18,580 Och sen har du med ditt säkerhetsmindset i hela den biten.

518 00:31:18,840 --> 00:31:21,920 Men då vill jag lyfta upp ytterligare ett problem då.

519 00:31:22,940 --> 00:31:24,480 För det ser vi ju

520 00:31:24,980 --> 00:31:26,020 ganska mycket av nu.

521 00:31:26,320 --> 00:31:26,820 Att man

522 00:31:29,140 --> 00:31:32,200 kör offshoring på de instegsjobben.

523 00:31:32,460 --> 00:31:34,500 Ja, det är sant. Det är ett problem.

524 00:31:34,760 --> 00:31:39,380 Om man tittar på den organisation där jag egentligen

525 00:31:40,660 --> 00:31:41,420 växte upp

526 00:31:41,680 --> 00:31:42,700

527 00:31:42,960 --> 00:31:46,280 skeppade man ju de enkla instegsjobben till Indien.

528 00:31:46,540 --> 00:31:47,300 Snabbt och lätt.

529 00:31:47,560 --> 00:31:55,760 Och vad blir kvar? Ja, det är arkitekter och högkvalificerade tjänster. Men hur i hundan ska vi ha en bas att rekrytera ifrån?

530 00:31:56,060 --> 00:32:01,180 Du menar att det finns en risk att vi bygger upp den klassiska ungdomsarbetslösheten i det här fältet också?

531 00:32:01,440 --> 00:32:02,460 Ja, jag är livrädd för det.

532 00:32:02,720 --> 00:32:04,500 Det är nog fan relevant.

533 00:32:05,540 --> 00:32:07,060 För just det steget från att

534 00:32:07,320 --> 00:32:11,160 okej, nu har jag en akademisk bakgrund på något sätt av olika sorter och så vidare.

535 00:32:11,420 --> 00:32:14,740 Och jag måste skaffa mig erfarenhet innan jag kan bli riktigt bra.

536 00:32:15,000 --> 00:32:17,560 Hur skaffar jag mig? Vad är de enkla jobben där jag börjar?

537 00:32:17,820 --> 00:32:20,380 Kanske behövs instegsjobb inom it-säkerhet?

538 00:32:20,640 --> 00:32:23,460 Ja, it generellt kanske.

539 00:32:23,700 --> 00:32:24,220 På utvecklasidan är det inte ett problem än i alla fall.

540 00:32:24,220 --> 00:32:25,500 På utvecklasidan är det inte ett problem än i alla fall.

541 00:32:26,060 --> 00:32:29,380 Det är ju extremt mycket utvecklar-gig i Sverige fortfarande.

542 00:32:29,640 --> 00:32:33,480 Ja, och kollar vi på webbutveckling och sådana saker.

543 00:32:33,740 --> 00:32:36,300 Där fungerar ju den här yrkeshögskolamodellen väldigt bra.

544 00:32:36,560 --> 00:32:40,140 Men på driftsidan som sagt var, där blir det ju mindre och mindre.

545 00:32:40,660 --> 00:32:43,220 Jag vet inte hur många bolag

546 00:32:43,460 --> 00:32:45,260 i Sverige som har en SOC.

547 00:32:45,520 --> 00:32:51,660 Men jag kan tänka mig att det skulle vara ett ypperligt ställe att faktiskt se incidenter och

548 00:32:52,180 --> 00:32:53,700 titta och försöka

549 00:32:54,220 --> 00:32:56,020 kvalificera i en first-line

550 00:32:56,320 --> 00:32:57,080 som man då levererar.

551 00:32:57,340 --> 00:32:59,140 Här är någonting som jag tror vi behöver titta på.

552 00:32:59,380 --> 00:33:01,700 Och så levererar man det till någon som är mer senior som säger

553 00:33:01,940 --> 00:33:02,720 Ja, bra fångat.

554 00:33:02,980 --> 00:33:04,260 Det här och det här såg vi.

555 00:33:04,760 --> 00:33:07,580 Men då kanske man återigen behöver tid i en NOC

556 00:33:07,840 --> 00:33:11,160 först för att förstå vilka problem har driftspersonalen liksom.

557 00:33:11,420 --> 00:33:12,700 Det är jävligt lätt att komma

558 00:33:12,960 --> 00:33:16,020 från säkerhetssidan och bara säga så här ska det vara för att det ska vara rätt.

559 00:33:16,280 --> 00:33:18,840 Jo men vad fan, det funkar inte i praktiken. Du kan inte bygga på det sättet.

560 00:33:19,100 --> 00:33:21,660 Det finns ändå ett glapp däremellan.

561 00:33:21,920 --> 00:33:24,740 Vad gör du när du har suttit i en SOC i två år?

562 00:33:24,980 --> 00:33:26,020 Och sen, nu vill jag gå på

563 00:33:26,260 --> 00:33:27,860 vidare till att göra någonting jag tycker är kul.

564 00:33:29,380 --> 00:33:31,180 Du antyder att det inte är roligt i en SOC.

565 00:33:31,440 --> 00:33:32,200 Vad gör man då?

566 00:33:32,460 --> 00:33:37,840 Jag tänker att man går kanske från first-line, det vill säga operatör. Du sitter och tittar på

567 00:33:38,100 --> 00:33:42,700 IPS-loggar och levererar detekts bak till någon som är

568 00:33:42,960 --> 00:33:44,240 Pages of Red som du brukar kalla det.

569 00:33:44,500 --> 00:33:45,260 Ja, analytiker.

570 00:33:45,520 --> 00:33:51,660 Och sen så går du ett steg bakåt och blir den här analytiken som tittar djupare på det här och där bygger upp din erfarenhet.

571 00:33:51,920 --> 00:33:53,460 Och sen kanske du kan gå vidare.

572 00:33:54,220 --> 00:33:56,020 Sen är ju det en väldigt

573 00:33:56,320 --> 00:33:57,860 driftsnära roll.

574 00:33:58,100 --> 00:34:02,460 Och det finns inte supermånga sådana jobb här i Sverige heller, men

575 00:34:02,980 --> 00:34:06,040 det finns ändå fler av den typen än vad det finns

576 00:34:09,380 --> 00:34:12,180 andra instegsjobb i branschen.

577 00:34:13,220 --> 00:34:19,360 Du måste ju kunna se ett läge där man, efter att ha jobbat ett par år där, sen tar en mer nischad utbildning.

578 00:34:20,380 --> 00:34:22,180 Nu har jag gjort detta, nu har jag lite koll.

579 00:34:22,680 --> 00:34:26,020 Nu vill jag sätta mig ett och ett halvt år och plugga applikationssäkerhet.

580 00:34:26,320 --> 00:34:27,600 Bara.

581 00:34:28,100 --> 00:34:30,420 Jag tror att attention span är för kort.

582 00:34:30,660 --> 00:34:38,340 Jag tror mer på, jag behöver nischa mig i det här. Jag går en veckas sansutbildning eller motsvarande.

583 00:34:39,120 --> 00:34:39,620 Kan vara så.

584 00:34:39,880 --> 00:34:47,820 Men det kan också vara så att konsultbolagen får börja investera lite i yngre förmågor.

585 00:34:48,340 --> 00:34:50,640 Ja, det tror jag är den enda lösningen.

586 00:34:50,900 --> 00:34:52,180 Den svåra biten blir ju

587 00:34:52,420 --> 00:34:53,200 just det att

588 00:34:53,460 --> 00:34:55,760 lyckas leverera med kvalitet.

589 00:34:56,060 --> 00:34:58,100 Och ändå lära ruckis någonting.

590 00:34:58,360 --> 00:35:02,720 Ja, absolut. Det är inte en svår nöt eller en lätt nöt att knäcka.

591 00:35:03,480 --> 00:35:04,760 Men om man kan göra det

592 00:35:05,020 --> 00:35:06,300 så är det ju

593 00:35:06,820 --> 00:35:07,320 väldigt bra.

594 00:35:08,340 --> 00:35:12,700 Men sen kan man ju säga det att om man är ung och man inte har

595 00:35:13,220 --> 00:35:17,820 fru och barn och jobb och annat så

596 00:35:18,080 --> 00:35:19,100 vad fan.

597 00:35:19,360 --> 00:35:19,860 Engagera sig.

598 00:35:21,400 --> 00:35:23,700 Jag menar idag, github är väl

599 00:35:23,960 --> 00:35:25,240 bra och cv liksom.

600 00:35:25,240 --> 00:35:31,640 Lägg upp dina Malware-profiler, ditt Malware-detekteringsprojekt eller

601 00:35:32,160 --> 00:35:37,020 ditt nya säkerhetsverktyg eller dina nya nätverkshandling.

602 00:35:37,280 --> 00:35:40,600 Och fraternisera med andra i branschen.

603 00:35:40,860 --> 00:35:42,400 Gör någonting.

604 00:35:42,640 --> 00:35:44,180 Häng på

605 00:35:44,700 --> 00:35:48,540 gratis konferenser och pubkvällar.

606 00:35:48,800 --> 00:35:51,860 Till slut kommer det vara någon som säger, den där killen är smart, här har vi ett mindre kollektivt gig.

607 00:35:52,120 --> 00:35:53,400 Ta in honom eller henne.

608 00:35:55,240 --> 00:35:57,800 Men det är ju inte så jävla svårt att vara bäst på någonting heller.

609 00:35:58,060 --> 00:35:59,080 Nej, faktiskt inte.

610 00:35:59,340 --> 00:36:04,200 Och du väljer någonting såhär, det här lilla smala

611 00:36:04,460 --> 00:36:08,040 det ska jag vara bäst i världen på och det är ju snabbt gjort.

612 00:36:08,300 --> 00:36:09,840 Faktiskt så är det så.

613 00:36:10,860 --> 00:36:13,680 Men annars, att engagera sig på olika sätt är ju

614 00:36:13,920 --> 00:36:14,960 bra generellt.

615 00:36:15,720 --> 00:36:17,260 Så man kan ju ge bort sin tid också.

616 00:36:17,760 --> 00:36:23,920 Men där tänker jag, och det var det vi diskuterade innan vi drog igång inspelningen här.

617 00:36:24,160 --> 00:36:25,200 Det där, det tror jag

618 00:36:25,500 --> 00:36:28,560 är en lyx som du kan ägna dig åt när du har kommit dit här.

619 00:36:28,820 --> 00:36:32,660 Att du är en eftertraktad expert som har råd att

620 00:36:33,180 --> 00:36:36,000 avvara din dyrbara tid.

621 00:36:36,240 --> 00:36:41,360 Och det är först när du kan debitera 1500-2000 i timmen

622 00:36:43,160 --> 00:36:43,920 för dina

623 00:36:44,440 --> 00:36:45,980 debiterande uppdrag.

624 00:36:46,480 --> 00:36:51,100 Då kan man vara lite generös och säga, ja men den här stackars

625 00:36:51,360 --> 00:36:53,920 organisationen har inte råd att betala för mig.

626 00:36:54,160 --> 00:36:55,200 Men jag bjuder på det.

627 00:36:55,500 --> 00:36:58,560 Absolut, samtidigt så finns det alltid

628 00:36:59,600 --> 00:37:03,180 fördelar med att ställa upp i den typen av

629 00:37:04,200 --> 00:37:07,520 pro bono-grejer även om man inte har världens skärpaste kompetens.

630 00:37:07,780 --> 00:37:13,160 Det finns alltid en massa sätt att hjälpa till och dessutom så är det ett väldigt ypperligt sätt att

631 00:37:13,680 --> 00:37:15,460 skaffa sig rätt kontakter.

632 00:37:16,740 --> 00:37:24,800 Ett annat sätt är att bli public servant och jobba åt kommunen och jobba med samhällskontakter.

633 00:37:25,240 --> 00:37:27,800 Det kan man också göra.

634 00:37:28,060 --> 00:37:32,920 Eller för den delen bli någon form av hittepå it-säkerhetsjournalist och starta en podcast.

635 00:37:33,180 --> 00:37:36,500 Okej, där tänkte vi egentligen

636 00:37:36,760 --> 00:37:41,620 hur man som intresserad av området ska försöka söka sig till det och hur

637 00:37:41,880 --> 00:37:43,680 arbetsgivarna bör bete sig.

638 00:37:43,920 --> 00:37:45,460 Kan vi boka av dem ungefär där eller?

639 00:37:45,720 --> 00:37:47,000 Ja, det skulle jag bete.

640 00:37:47,260 --> 00:37:48,800 Har vi någon ny punkt vi ska ta?

641 00:37:49,040 --> 00:37:51,100 Jag har sett och funderat på, ser vi några fler

642 00:37:51,360 --> 00:37:54,420 risker med det här att det expanderar fort?

643 00:37:54,420 --> 00:37:59,020 Vi har noterat att det kan vara svårt att hinna med att fånga upp folk och så vidare.

644 00:37:59,280 --> 00:38:03,120 Lägneliga gubbar kan bli upprörda över att världen går framåt.

645 00:38:03,380 --> 00:38:03,900 Ja.

646 00:38:04,140 --> 00:38:06,960 Jag trodde inte det här med att det säljs en del snake oil.

647 00:38:07,220 --> 00:38:08,760 Mm, uppenbar.

648 00:38:09,020 --> 00:38:10,540 Alltså get rich quick schemes typ.

649 00:38:10,800 --> 00:38:12,340 Ja, lådor med blinkande ljus

650 00:38:12,600 --> 00:38:14,640 som ingen vet hur de ska användas även om de ens fungerar.

651 00:38:14,900 --> 00:38:20,780 Mm. Time to market blir prio ett. Allting annat kan vi fixa in post.

652 00:38:21,040 --> 00:38:23,340 Password driven enterprise building.

653 00:38:23,600 --> 00:38:24,120 Lite så.

654 00:38:24,120 --> 00:38:27,440 Vi kan väl sätta blockchain i vår security so it does more security.

655 00:38:27,700 --> 00:38:30,260 Cyber blockchain services.

656 00:38:30,520 --> 00:38:32,060 Det är drivet av att

657 00:38:32,320 --> 00:38:33,600 storbolag som vill ha

658 00:38:33,840 --> 00:38:37,440 vill kunna checka av en låda som säger att vi har gjort vår due diligence mer eller mindre.

659 00:38:37,680 --> 00:38:41,020 Och precis det tog det här keynote som jag pratade om, tog upp det.

660 00:38:41,280 --> 00:38:43,060 Den har en

661 00:38:43,320 --> 00:38:45,120 färdig rapport för din

662 00:38:45,360 --> 00:38:47,680 PCI compliance till exempel.

663 00:38:48,440 --> 00:38:51,000 Och det är väl en risk med detta som jag ser för att

664 00:38:51,260 --> 00:38:53,560 där kommer folk se att det finns en möjlighet att tjäna mycket pengar.

665 00:38:54,120 --> 00:38:56,680 Och då kommer de göra det för så fungerar människor.

666 00:38:59,240 --> 00:39:02,320 Så det ser vi ju redan att det händer. Frågan är vad man kan göra åt det.

667 00:39:02,560 --> 00:39:07,180 Det borde väl vara så att förr eller senare så straffas sådana approaches.

668 00:39:07,440 --> 00:39:13,840 Så är det. Frågan är om det kommer dra med oss då en andel av den bra delen av säkerhetsbranschen med sig ner när det straffas.

669 00:39:14,080 --> 00:39:14,600 Förmodligen.

670 00:39:14,860 --> 00:39:20,480 Jag brukar ju oftast, jag sitter ju med som arkitekt och rådgivare i ganska många stora koncerner där man

671 00:39:21,000 --> 00:39:23,300 köper dyra lådor

672 00:39:23,300 --> 00:39:24,580 som blinkar oftast.

673 00:39:25,100 --> 00:39:29,700 Och då kommer oftast frågan såhär, ja men den här grejen har det här företaget tagit fram.

674 00:39:29,960 --> 00:39:30,720 Är det bra?

675 00:39:32,000 --> 00:39:38,140 Och då såhär, jag har ingen aning, jag är inte särskilt bra på alla de här produktgrejerna. Licensmodeller ändras var femte minut och det är liksom

676 00:39:38,920 --> 00:39:39,940 det är så det är liksom.

677 00:39:41,220 --> 00:39:45,820 Så min motfråga är nästan alltid såhär, ja men vad finns det för ett faktiskt behov?

678 00:39:46,860 --> 00:39:48,640 Vad är det ni faktiskt vill ha reda på?

679 00:39:49,160 --> 00:39:50,700 Precis, vad är det ni vill att den här grejen ska lösa?

680 00:39:50,940 --> 00:39:53,000 Ja, vad ser ni som en viktig del?

681 00:39:53,300 --> 00:39:54,580 Till exempel i monitorering.

682 00:39:55,600 --> 00:39:58,680 Och det är såhär, många bolag reflekterar inte över det utan de tänker bara

683 00:39:58,940 --> 00:40:00,220 kan jag inte det här

684 00:40:00,460 --> 00:40:04,060 så jag köper mig ut problemet genom ett företag som jag har förtroende för

685 00:40:04,560 --> 00:40:05,080 och då kan

686 00:40:05,580 --> 00:40:07,380 ge mig lösningen på alla mina problem.

687 00:40:07,640 --> 00:40:13,520 Och det är väldigt sällan, det finns väldigt sällan i mitt tycke ett substitut för att göra sin hemläxa.

688 00:40:14,040 --> 00:40:16,080 Det är svårt att köpa sig fri.

689 00:40:16,340 --> 00:40:21,720 Vi kommer ju ha svårt att hindra folk från att sälja produkter som inte är asbra, det går ju inte liksom.

690 00:40:21,980 --> 00:40:23,000 Jag trodde du skulle säga

691 00:40:23,000 --> 00:40:24,540 konkurrenshämmande tror jag det kallas.

692 00:40:24,800 --> 00:40:25,560 Det är dåligt.

693 00:40:25,820 --> 00:40:27,600 Men däremot så

694 00:40:28,380 --> 00:40:31,960 så kanske vi kan arbeta för att utbilda beställaren då.

695 00:40:32,980 --> 00:40:36,820 Det som du sa Jesper, det finns ingen genväg till att göra sin hemläxa.

696 00:40:37,080 --> 00:40:38,880 Det tror jag är liksom sanningen på något sätt och det är väl

697 00:40:39,120 --> 00:40:41,440 förhoppningsvis det som folk lär sig.

698 00:40:42,200 --> 00:40:45,020 Ja, jag har ju varit på några

699 00:40:45,520 --> 00:40:47,840 bolag där man köper saker

700 00:40:48,340 --> 00:40:49,620 med extra allt

701 00:40:50,400 --> 00:40:52,180 och sen skruvar man upp det i något rack

702 00:40:52,180 --> 00:40:53,720 och sen så är de där.

703 00:40:53,980 --> 00:40:55,260 Och sen någonstans

704 00:40:55,500 --> 00:40:59,340 along the way så vill någon ha liksom ut det som den här

705 00:40:59,600 --> 00:41:01,140 boxen eller lådan då

706 00:41:01,660 --> 00:41:03,700 ska kunna leverera och kommer fram till att

707 00:41:04,220 --> 00:41:05,740 den är där, men den gör inget.

708 00:41:07,020 --> 00:41:12,660 Så vad löste den? Ja, den hjälpte någon säljare på storbolag X att kränga in en extra licens.

709 00:41:13,180 --> 00:41:16,500 Och det är såhär, vi vill ju göra, det är bra för alla tror jag om

710 00:41:17,020 --> 00:41:18,800 de produkterna som säljs faktiskt gör någon skillnad.

711 00:41:19,820 --> 00:41:20,860 Det är ju en fördel ja.

712 00:41:20,860 --> 00:41:22,900 Men jag tror inte att det är så.

713 00:41:23,160 --> 00:41:26,240 Men nu ligger vi kanske på beställaren då, buy beware.

714 00:41:26,740 --> 00:41:31,360 Men det gäller ju alla it-system och produkter egentligen.

715 00:41:31,620 --> 00:41:39,040 Att när säljaren har fått kråka på papper så springer de på nästa säljuppdrag.

716 00:41:39,300 --> 00:41:44,920 Att följa upp och verkligen leverera, då får du nästan alltid köpa

717 00:41:45,180 --> 00:41:48,000 konsulter vid sidan om som hjälper dig att komma på banan.

718 00:41:48,260 --> 00:41:49,540 Men är det inte ändå så att det finns

719 00:41:50,040 --> 00:41:50,820 få it-projekt som

720 00:41:51,080 --> 00:41:52,860 har så få krav

721 00:41:53,380 --> 00:41:55,420 satta i förväg när man köper någonting?

722 00:41:55,680 --> 00:42:00,040 I ett normalt affärsströmssystem så finns det ändå en viss kravmängd.

723 00:42:00,300 --> 00:42:02,080 Här är ett par funktioner vi gärna vill ha.

724 00:42:02,340 --> 00:42:03,360 Men jag menar att ta

725 00:42:03,620 --> 00:42:05,660 antivirus och

726 00:42:05,920 --> 00:42:07,460 ideser och så vidare.

727 00:42:07,720 --> 00:42:09,000 Om det inte händer någonting så är det ju bra.

728 00:42:09,500 --> 00:42:12,840 Hur ser kravmängden ut bakom en sådan upphandling?

729 00:42:13,100 --> 00:42:15,140 Plus att det finns en

730 00:42:15,400 --> 00:42:17,700 acceptans i

731 00:42:18,460 --> 00:42:19,500 inbyggt att

732 00:42:19,740 --> 00:42:20,780 det är klart vi köper någonting.

733 00:42:21,080 --> 00:42:23,380 Men den är inte hundra procentig, det vet ju alla.

734 00:42:23,640 --> 00:42:27,220 Funkar den inte så är det ju så det är.

735 00:42:27,480 --> 00:42:30,540 Det är en jättebra affärsmodell det här.

736 00:42:30,800 --> 00:42:34,380 Men det kanske generellt inom it-säkerhet också lite grann.

737 00:42:34,640 --> 00:42:38,220 Säkerhet är ju lite av en kvalitetsparameter, hävdar jag i viss mån.

738 00:42:38,480 --> 00:42:42,060 Det är lite som stabilitet eller något sådär.

739 00:42:42,320 --> 00:42:44,120 Det är lite svårt att mäta alltid.

740 00:42:44,380 --> 00:42:47,960 Då kanske det kommer att ramla man in i den här

741 00:42:48,220 --> 00:42:49,740 fluffiga kravställningen också.

742 00:42:50,000 --> 00:42:51,780 Okej, jag ska kravställa antivirus, hur gör jag det?

743 00:42:52,040 --> 00:42:54,600 Jo, jag vill att du ska uppdetektera den här signaturen

744 00:42:54,860 --> 00:42:57,420 och den här och den här. Nej, det funkar inte, så kan vi inte göra.

745 00:42:57,680 --> 00:43:02,280 Okej, du ska upptäcka alla nya hot. Nej, det går inte heller. Okej.

746 00:43:02,540 --> 00:43:07,140 Hur många procent av hoten generellt ska du, och hur ska du mäta det?

747 00:43:07,400 --> 00:43:07,920 Det blir svårt att kravställa liksom.

748 00:43:08,180 --> 00:43:12,020 Och vi brukar ju, ett axiom i vår bransch är att det går inte att ha perfekt säkerhet.

749 00:43:14,820 --> 00:43:19,180 Och det blir ju då problematiskt när man ska mäta exakt var man ligger någonstans.

750 00:43:19,740 --> 00:43:28,700 Det är lite så att, jag tycker, Leif Nixon lyssnade jag på på konferensen förra veckan och han sa det att

751 00:43:29,220 --> 00:43:33,300 jag tror att organisationer ska inte jobba för att

752 00:43:33,560 --> 00:43:36,380 inte bli hackade utan de ska jobba för att bli bra.

753 00:43:36,640 --> 00:43:39,200 Ja, såg du citatet, det var väldigt bra tyckte jag.

754 00:43:39,700 --> 00:43:43,300 Sen tycker jag att de ska i och för sig jobba för att inte bli hackade också.

755 00:43:43,540 --> 00:43:49,700 Självklart ska man jobba på proaktiva grejer, men alltså just det här med att hantera incidenter och det går inte att köpa

756 00:43:50,000 --> 00:43:52,040 en produkt. De kan jobba på att bli bra på att inte bli hackade.

757 00:43:52,560 --> 00:43:53,060 Ja.

758 00:43:53,320 --> 00:43:55,880 Hans citat var tvärtom då.

759 00:43:57,680 --> 00:43:58,700 Men ja,

760 00:43:59,460 --> 00:44:05,620 det kanske är så lång tid vi kan ta det under den här sittningen. Vi kommer nog ha tillfälle att komma tillbaka till detta, misstänker jag.

761 00:44:05,860 --> 00:44:06,640 Jag tror vi skulle kunna sitta en hel kväll.

762 00:44:06,900 --> 00:44:13,800 En av mina bekanta har en fru som är sjuksköterska.

763 00:44:14,320 --> 00:44:15,600 Och ibland

764 00:44:16,100 --> 00:44:19,440 sitter och snackar och om någon diskussion har gått.

765 00:44:19,740 --> 00:44:20,760 Och gnälliga hållet.

766 00:44:21,540 --> 00:44:23,840 Så ibland stannar vi upp lite såhär.

767 00:44:24,340 --> 00:44:25,880 Tänk vad himla skönt

768 00:44:26,140 --> 00:44:27,680 att folk i din bransch

769 00:44:28,440 --> 00:44:33,060 inte kan få vara så oansvariga som folk i våran bransch kan få vara.

770 00:44:33,300 --> 00:44:39,460 För jävlar vad folk hade dött om sjukvårdspersonal fick lov att uppföra sig som vi gör.

771 00:44:39,700 --> 00:44:40,480 Ja, jag håller med.

772 00:44:40,740 --> 00:44:44,820 Det kanske ska införa någon sån Lex Maria i Intersäkerhet.

773 00:44:45,080 --> 00:44:45,600 Ja, just det.

774 00:44:45,860 --> 00:44:48,420 Och det ska gå att du ska själv anmäla sen när de har gjort dumheter.

775 00:44:48,660 --> 00:44:49,440 Ja, det kommer ju hända.

776 00:44:49,740 --> 00:44:52,820 De flesta inom IT är bra.

777 00:44:53,060 --> 00:44:57,680 Så det är ovanligt att slarv inom IT direkt leder till dödsfall.

778 00:44:57,940 --> 00:44:58,440 Än så länge.

779 00:44:58,960 --> 00:45:06,640 Men det finns väl numera så att i alla fall kommunala institutioner ska anmäla sig när de har intrång.

780 00:45:06,900 --> 00:45:08,940 Statliga än så länge men det kommer att hända.

781 00:45:09,200 --> 00:45:13,540 Men när det gäller det faktiskt så har vi avvikelserapportering.

782 00:45:13,800 --> 00:45:19,440 Så om vi upptäcker en incident även om det inte ledde till ett stopp så ska vi rapportera och göra analyser.

783 00:45:19,740 --> 00:45:20,760 Så det har vi.

784 00:45:21,020 --> 00:45:21,540 Det är ju bra.

785 00:45:21,780 --> 00:45:27,160 Nu skulle man ju vilja ta det även bort från bara incidenter och tydliga utökningssloppet.

786 00:45:27,160 --> 00:45:29,980 Men det är väl någon som tycker för framtiden kanske.

787 00:45:32,540 --> 00:45:35,620 Då får vi nog ta och tacka Försökerhetspodcasten den här gången.

788 00:45:35,620 --> 00:45:37,140 Jag som pratade hette Johan Ryberg Möller.

789 00:45:37,400 --> 00:45:38,420 Med mig hade jag Peter Magnusson.

790 00:45:38,940 --> 00:45:39,960 Peter Magnusson.

791 00:45:40,220 --> 00:45:40,980 Rickard Bodfors.

792 00:45:41,240 --> 00:45:41,760 Lilla Aposk.

793 00:45:42,020 --> 00:45:42,780 Jesper Larsson.

794 00:45:42,780 --> 00:45:43,540 Yes, ha det fett!

795 00:45:43,800 --> 00:45:44,580 Och Mattias Idage.

796 00:45:44,820 --> 00:45:45,340 Jupp!

797 00:45:45,600 --> 00:45:46,100 Ha det gött!

798 00:45:46,360 --> 00:45:47,140 Ha det gött!

799 00:45:49,740 --> 00:45:51,740 Undertextning.nu

Updated on 2018-09-26
 tema
Back | Home