Hattelands nye sikkerhetssjef Olav Espedal

Trygghet for kundens verdier

Et selskap som alltid har satt sikkerheten først, klarte å lokke datasikkerhetsekspert Olav Espedal over i næringslivet fra politiet.
 
Angrepene på datasentre over hele verden er som en kontinuerlig storm. En god kombinasjon av tekniske sikkerhetsbarrierer og opplæring av ansatte er oppskriften den nye sikkerhetssjefen i EMP Secure, Olav Espedal, har for å stå imot. Som tidligere dataetterforsker i politiet, i Kripos og med erfaring fra Europol- og Interpolsamarbeid har han i mange år sett hva som skjer når selskaper blir angrepet og data stjålet.

-   Det er veldig spennende å kunne jobbe forebyggende. Det er som et våpenkappløp. Hvem er flinkest - de som angriper eller de som beskytter?, sier han.

"Det er som et våpenkappløp. Hvem er flinkest - de som angriper eller de som beskytter?"

- Olav Espedal - Sikkerhetssjef Hatteland

Sikker lagring

Han mener han har svært gode odds med fjellhallen i Vats som utgangspunkt for virksomheten.
-      Vi har en egen fjellhall innkapslet i et såkalt EMP-skjold av stål og kobber. Datasenteret i fjellhallen er bygget etter de strengeste krav og vi er i gang med en ny streng sertifisering som trolig vil gi oss nok et konkurransefortrinn.

- Det er også godt å vite at vi har kontroll på hele prosessen og verdikjeden selv - både implementering, drift, overvåking og respons. En viktig del av dette arbeidet er vårt eget Security Operations Center (SOC) som overvåker drift og datatrafikk i senteret 24/7/365.

Det betyr at EMP Secure kan respondere umiddelbart med fagkyndige spesialister dersom det skulle oppstå en sikkerhetshendelse. Også på natt og helligdager. I tillegg overvåkes datatrafikken kontinuerlig fra Norges beste fagmiljø på datasikkerhet, hvor trafikken analyseres og vurderes i sanntid av spesialister på dette fagfeltet.
 
-        Vi har også ansatt egne håndverkere for å ikke risikere at noen gjør noe galt fordi de ikke kjenner bygningene. Vi kan ikke akseptere at strøm eller kjøling skulle svikte. Sikkerheten står helt øverst, sier Espedal.

Kontroll på kundens data

Han mener Hatteland har vært visjonære i oppbyggingen av selskapet innerst i vestlandsfjorden.

-        Konsernet har vært før sin tid på mange områder. Både Rambase og Autostore er gode eksempler på dette. Datasenteret ble bygget i 2002 etter de strengeste globale krav til sikkerhet og redundans. Datasenteret har gjennomgått kontinuerlig utvikling og oppfyller også dagens strengeste krav.

Latency og lysets hastighet

Lagring i Norge har en tilleggsdimensjon mange ikke er klar over.

-       Det er endel selskaper som benytter tjenester som krever kort «latency» (svartid). Selv om båndbredden skulle være høy vil man likevel merke stor forskjell i svartid fra en server i Norge sett opp mot for eksempel en server i USA. Dataene i en fiberkabel går i lysets hastighet, men det er langt til USA og derfor tar det tid å sende signaler frem og tilbake. Dette er en av grunnene til at flere kunder nå ønsker serverne sine plassert innenfor egne landegrenser.

Public vs private cloud?

I dagens IT-verden lagres gjerne data i en kombinasjon av lokal lagring hos kunden og ulike cloud løsninger. Flere velger å lagre noe data i såkalt «public cloud», mens virksomhetskritiske data gjerne lagres i «private cloud».

-    Tjenester som leveres fra aktører som Microsoft, Google og Amazon er å betrakte som «public cloud» tjenester, og leveres fra store internasjonale datasentre.

Hatteland sin egen skytjeneste er derimot en «private cloud» hvor man som kunde har full kontroll på hvor dataene lagres. Hatteland har mange kunder som er opptatt av at dataene lagres fysisk i Norge, både i forhold til jurisdiksjon og «svartid».

Espedal mener at Hatteland har en fordel ved at de kan levere kombinasjoner av disse løsningene, såkalte hybride tjenester. Da kan virksomhetskritiske data lagres på en eller flere kjente fysiske lokasjoner i Norge med kort svartid, mens andre data evt kan plasseres i offentlige lagringstjenester. Alt levert igjennom Hatteland.

Han mener man ikke må bagatellisere angrepene på norske data.

-       Det må ikke være noe tvil om at andre stater ønsker å stjele informasjon fra norske firma. Utenlandske etterretningstjenester har et stort apparat bak seg og er svært profesjonelle. Industrispionasje er dessverre heller ikke noe som bare skjer på film. Det må man være klar over når man velger leverandør. Datainnbrudd er ikke lenger rampestreker - det er business!
 

"Industrispionasje er dessverre heller ikke noe som bare skjer på film. Det må man være klar over når man velger leverandør. Datainnbrudd er ikke lenger rampestreker - det er business!"

- Olav Espedal - Sikkerhetssjef Hatteland

Beskyttet mot naturkatastrofe

Espedal startet utdanningen sin med en dataingeniørutdannelse, før han tok politiskolen. Vel inne i politiet ble den stadig mer aktuelle tilleggskompetansen fort verdsatt. Når han snakker om datasikkerhet betyr det at kunden kan være trygg på at dataene de lagrer hos EMP Secure er sikret på beste måte mot datainnbrudd, virus, trojanere, og at de plasserer dataene sine hos en leverandør som har tatt grundige forholdsregler mot industrispionasje og tyveri av data.
-       Men det handler også om at dataene er trygge hvis det skulle skje naturhendelser. En kraftig solstorm vil kunne ødelegge data som ikke er beskyttet. Det er mindre solstormer hele tiden, men av store vi kjenner til er en i Canada i 1989 som slo ut t-bane, heiser og strømnett, og en i 1851 som slo ut alt som var av telegraflinjer i New England i USA. Telegrafen var datidens IT. Man kan jo tenke seg hvilke konsekvenser det ville ha om all IT i et større område ble slått ut i dag.

Espedal mener det vil merkes at han er kommet inn i selskapet, selv om oppmerksomheten rundt sikkerhet allerede er stor.

-       Det vil merkes at Hatteland nå har en person med sikkerhet og personvern som eneste oppgave. Nå er det jo mye snakk om den nye personvernlovgivningen som kommer gjennom EUs GDPR. Vi jobber mye med det, både i egne rekker og ut mot kunder som rådgivere. Vi vurderer også nye tjenester og forsøker å ligge i forkant på teknologi og sikkerhet. Jeg tror det vil være viktig å kunne dokumentere vårt høye nivå og vi jobber derfor aktivt med nye sertifiseringer blant annet på informasjonssikkerhet.

Medarbeiderne er vår viktigste sikkerhetsressurs

Men den viktigste sikkerhetsressursen er våre egne ansatte. Det er de som danner grunnmuren for sikkerhetskulturen i selskapet. Man kan kjøpe seg all verdens bokser og tjenester, men har man ikke kompetanse til å forstå teknologien så er man like langt. I Hatteland finnes det høy teknisk kompetanse innen datasikkerhet, med egne faggrupper som har ansvaret for hver sine områder av sikkerheten i selskapet. Det er jeg som har hovedansvaret for sikkerheten i selskapet, men det er de mange dyktige medarbeiderne våre som sørger for at løsningene vi velger holder høyeste nivå og at vi kontinuerlig utvikler og forbedrer oss. Jeg er stolt over å få lede sikkerhetsarbeidet i et selskap hvor sikkerhet så til de grader står øverst på agendaen.