Författaren och cybersäkerhetsforskaren Kim Crawley om fördelarna med att vara en ”allmänt” när det kommer till cybersäkerhet, och vad företag bör göra för att ta itu med kompetensgapet.
Kim Crawley beskriver sig själv som ”en cybersäkerhetsgeneralist som skriver”.
”Jag tror att min kärlek till datorer började runt 1988 när jag såg min halvbrors Commodore 64 för första gången. Det var den allra första PC jag någonsin sett. Jag var fyra år då. Jag bad min bror och min mamma att låta mig leka med den men min bror vägrade.”
Hennes kärlek till hacking började när hon var ett lite äldre barn; på 90-talet började hon använda sin familjs Windows 3.1 OEM-dator som hennes romanförfattarfader köpte ”helt ny” för sin författarkarriär. Föga anade familjen att de hade en blivande ung hacker i händerna – och hon experimenterade med sin pappas värdefulla filer.
”Jag minns att jag hittade filen Autoexec.bat och öppnade den i Anteckningar och såg vad som skulle hända om jag tog bort några rader från den. Jag tror att det var mitt första hack, säger Crawley.
Från blivande hackare till författare
Nuförtiden är Crawley själv författare. Hon har skrivit många böcker om cybersäkerhet, och hon frilansar för teknik- och cyberpublikationer. Hon har skrivit för teknikföretag som AT&T, BlackBerry, NGINX, Synack och Hack The Box.
Crawley tror att nyckeln till hennes framgång är att hon inte säger att hon inte kan eller vill göra något. Hon skriver om ”absolut allt”.
”Cyberhot mot allt från konsumentenheter till ICS och SCADA. Cybersäkerhetspolicy ur ett CISO-perspektiv. Social ingenjörskonst. Penetrationsprovning. Cyberkrigföring. Cyber brott.
”Jag har varit tvungen att bli en jack-of-all-trades när det kommer till kunskap om cybersäkerhet eftersom att bredda min räckvidd har varit nyckeln till att hålla igång de betalda skrivspelningarna”, säger hon.
”Ett företag skulle be mig skriva om SIEM-korrelationsregler. Och istället för att säga ”jag vet inte”, skulle jag undersöka det så att jag kunde skriva om det. Jag behövde den lönechecken.”
Hennes senaste bok, Hacker Culture: A to Z, släpptes alldeles nyligen. Hon skrev den samtidigt som hon skrev en annan bok. Under samma period tog hon provet ISC2 CISSP (Certified Information Systems Security Professional) och klarade sitt första försök.
Att göra cybersäkerhet mer tillgänglig
”Med Hacker Culture: A till Ö vill jag att folk ska bli intresserade av datorns historia, varifrån vår datorteknik kommer. Jag vill att datavetenskap och hackerkultur ska vara tillgänglig för alla.”
Crawley har också några tankar om det aktuella läget för cybersäkerhetsbranschen. ”Jag skulle vilja att företag tar fler chanser att anställa nya till branschen som inte har någon erfarenhet av cybersäkerhet. Träna dem att utföra uppgifter på nybörjarnivå som övervakning av nätverkssäkerhet.”
Hon påpekar att vissa roller, ”som att vara SOC-analytiker, kräver mycket mer erfarenhet och utbildning. Men du kan också anställa personer med fler meriter och ha en blandning av erfarenhetsnivåer i din organisation.”
”Om nya, oerfarna människor aldrig får sina första jobb i cybersäkerhetsbranschen, kommer den fruktade ”cybersäkerhetsklyftan” i branschen att bli värre och värre. Människor föds inte med CISSP, och många cybersäkerhetsroller kräver inte heller en CISSP, tillägger hon.
Att göra det lättare för nybörjare att ta sig upp på karriärstegen kan bidra till att göra cybersäkerhet tillgänglig. Det kan också göra det möjligt för företag och individer att få tillgång till kunskap för att fatta sunt förnuftiga beslut för sin egen cybersäkerhet.
Hur man håller sig säker online i en föränderlig värld
När det gäller att vara säker på nätet tror Crawley att det finns mycket mer som företag kan göra än konsumenter. ”För företag rekommenderar jag att man tar fram en responsplan och ett team för cyberincidenter. Genomför sårbarhetsbedömningar. Anställ personer med kunskap om cybersäkerhet, för att upptäcka nätverkssårbarheter och svara på incidenter. Håll massor av säkerhetskopior av data, på plats och i molnet. Tillämpa CIS-riktmärken på all teknik du använder. Logga och övervaka så många datorenheter du kan.”
För privatpersoner och konsumenter rekommenderar hon att man uppmärksammar popup-fönster för kakor på webben. ”Se noga för att se till att du bara samtycker till ”nödvändiga cookies” och inte spårar cookies.
”Försök att använda Tor Browser, du kommer att få mycket mer integritet online med det. Använd en lösenordshanterare och se till att du genererar komplexa lösenord för alla dina onlinekonton. Ställ in tvåfaktorsautentisering på alla onlinetjänster som stöder det. Det innebär vanligtvis att man skickar en tillfällig kod för att logga in förutom att man anger ditt lösenord.”
När det gäller hur hon tror att AI kommer att påverka framtiden för cybersäkerhetsindustrin är Crawley försiktig. ”På dåliga sätt och på bra sätt”, svarar hon. ”AI kommer att bli ett farligt verktyg i händerna på cyberangripare. Men det är också ett kraftfullt verktyg för cyberförsvarare. En AI-kapprustning mellan ”de onda” och de ”bra” pågår redan.”