Medlemsportræt: It-sikkerhedsentusiast og en del af cyberlandsholdet
Mikkel Frohn har været medlem af DANSK IT’s fagråd siden oktober 2017. Mikkel er kandidatstuderende på DTU, hvor han læser Computer Science.
Mikkel har blandt andet vundet Ildsjælsprisen, Cybersikkerhedsprisen og været medarrangør af DANSK IT’s Hackaton. Til efteråret deltager Mikkel og resten af cyberlandsholdet i European Cyber Security Challenge i London.
Hvorfor er it-sikkerhed omdrejningspunktet for din uddannelse?
- It-sikkerhed kræver, at man tænker ud af boksen. Især hvis man både tænker defensiv og offensiv, skal man virkelig tænke uden for de mønstre, man ellers tænker i. Kreativ problemløsning, der stadig kræver en meget teknisk baggrund, som er programmering. Det, synes jeg, er spændende.
Hvad var dit første job vedrørende it-sikkerhed?
- Det var, da jeg blev ansat i Dubex A/S i deres Security Analytics Center, hvor jeg var sikkerhedsanalytiker og startede med at lave netværksmonitorering og sårbarsanalyser.
Når du skal forklare folk, hvad du studerer og arbejder med, hvad siger du så?
- Det kommer lidt an på den setting, jeg er i. Sommetider er det sjovt bare at sige, at man laver noget med hacking, fordi alle kender det ord, men med forskellig forståelse. De fleste kender den opblæste medieudgave, hvor man sidder i en hættetrøje i et mørkt rum og hacker. Og det er jo ikke helt ved siden af sandheden.
Forsvarets Efterretningstjeneste håndplukker hvert år et ”hackerlandshold”. Mikkel blev i juni 2018 udtaget til Danmarks Cyberlandshold og er en ud af i alt 10 unge it-talenter på holdet.
Hvordan startede det, og hvordan blev du til sidst en del af cyberlandsholdet?
- Jeg fik tilsendt første opgave, man skulle løse for at komme i betragtning til holdet. Opgaven lød på en forklaring til at løse en givet kode. Man skulle så regne ud, hvordan forklaringen skulle tolkes. Efterfølgende fik jeg tildelt en bruger på en hjemmeside, hvor jeg løste flere lignende opgaver.
- Da jeg løste de opgaver, fandt jeg ud af, at jeg kunne finde oplysninger om, hvor langt de andre deltagere var med at løse de samme opgaver. Så satte jeg et lille program op til at køre alle brugere igennem, opdelt i to kategorier: brugere under 20 år og brugere over 20 år. Jeg var i kategorien over 20 år.
- Der var jo ti pladser, og hvis jeg vil med på bootcamp, så skulle jeg sørge for, at jeg lå i toppen af min aldersgruppe. Da fandt jeg ud af, at fem brugere havde løst alle opgaver og jeg manglede at løse én. Jeg ventede så til dagen inden deadline, hvor jeg tjekkede siden igen og kunne se, hvis jeg vil være blandt top 5, så skulle jeg løse den sidste opgave.
- Et par uger efter blev jeg og 23 andre inviteret med til bootcamp på Høvelte Kaserne. På bootcampen lavede vi forskellige gruppeopgaver alt efter vores tekniske niveau. Efterfølgende lavede vi individuelle test, hvor vi sad flere timer og løste opgaver, i et rum med højt techno musik. De gjorde meget for at presse os.
- Jeg fik derefter tilbudt en plads på Cyberlandsholdet, hvor jeg nu skal deltage med de andre i European Cyber Security Challenge til efteråret i London.
Har du nogen større mål for din jobkarriere inden for de næste år?
- Jeg vil gerne arbejde i teknisk stærke stillinger, hvor man har et stort ansvar både defensivt og offensivt. Jeg er især interesseret i, hvordan man leder teknisk stærke medarbejdere sammen med den mere administrative medarbejder, der har nogle helt særlige behov, både socialt og fagligt, for så at kunne styrke forståelse af it-sikkerheden i virksomheden. Det er jeg enormt fascineret af.
Hvilke udfordringer ser du med it-sikkerhed i fremtiden, og hvad mener du er vigtigt at have fokus på de kommende år?
- Procedurer er enormt vigtige, og så er det vigtigt at have nogle gode kontroller inden for det. Men det er heller ikke nok bare at have procedurer og kontrollen på plads. Det er rigtig vigtigt at have nogle teknisk stærke medarbejdere i virksomheden. Giv dem lov til at sidde og teste noget af det software, virksomheden har. Det kan godt være, det giver mening på papiret, men det er rigtig vigtigt, at der er nogle, som tester og verificerer de her konfigurationer. Det er min erfaring, at testere altid finder noget, der er konfigureret forkert, eller noget der rent faktisk er sårbart, som man ikke troede det var.
- It-sikkerhed er noget, der virkelig spænder over hele spektret – både ledelsen, den juridiske afdeling, ift. GDPR, folk der arbejder med procedurer og så de helt tekniske medarbejdere. Det er vigtigt, at det hele spiller sammen blandt de forskellige siloer, og det kræver at samarbejde integreres på tværs af siloer.
- En del af it-sikkerhed er ikke at ’dumb it down’ men at formulere det således, at andre afdelinger forstår risikoen ved tingene. Hvis man f.eks. bare skriver på sin PowerPoint med store røde bogstaver, hvilken sårbarhed der er med en bestemt ting, og modtageren ikke forstår de ord med store røde bogstaver. Så ser de bare store røde bogstaver.