Fra gutteromshacker til etisk sikkerhetsekspert

Hanna Blisten

Head of Content i Folq

Publisert 16.12.2025

Oppdatert 17.12.2025

12 min lesetid

Marius er ikke ofte på fest. Det har han heller aldri vært. Helt siden han var guttunge, har han latt sin forkjærlighet for koding blomstre fra gutterommet sitt. En barndom preget av utenforskap gjorde dessuten valget mellom koding og sosialisering lett. Så når undertegnede spør han om hva han sier når "folk spør på fest om hva du jobber med", presiserer han at det spørsmålet også kan dukke opp utenfor festlige lag. Og da er svaret overordnet enkelt:

– Datagreier.

Han smiler litt, før han legger til:

– Hvis jeg skal forklare det på en litt rikere måte, så er jobben min det samme som en slem hacker. Bare at kundene kommer til meg og spør om jeg kan sjekke sikkerheten deres ved å gå inn i rollen som en slem hacker. Jeg finner sikkerhetshullene før noen andre gjør det.

På fagspråket kalles det for etisk hacker. Eller “å ha på seg hvit hatt” i IT-sikkerhetsverdenen. Men den hatten har ikke alltid vært kritthvit, snarere beksvart, ifølge Marius, som har brukt størsteparten av livet sitt på å bryte seg inn i digitale systemer. Først som en hevngjerrig tenåring, så som kriminell og nå – etter endt soning – som en av de mest ettertraktede etiske hackerne i landet. Sistnevnte bekreftes lett. 15 minutter inn i samtalen, har Marius allerede fått 10 henvendelser.

Skjønt, det hjelper kanskje på at han holdt foredrag om IT-sikkerhet på Næringslivsdagen på Fornebu dagen før, men Marius kan likevel bekrefte at det ikke mangler på forespørsler om oppdrag.

Og, ja, disse oppdragene. Hva går de ut på, egentlig?

Oppdragene Marius får handler både om å avdekke svakheter ved å bryte seg inn i bedrifters sikkerhetssystem og oppføre seg som en reell hacker for å se om systemet svikter, og å lære opp de ansatte om praksisen og konsekvensene av hacking. På den måten fungerer han som en IT-sikkerhetsrådgiver med praktisk og skreddersydd erfaring til fingerspissene, basert på funnene han gjør i den aktuelle bedriften. Dessuten følger han kontinuerlig med på hva som er “det neste store” innen hacking – trender som utvikler seg ubehagelig raskt.

– Nå er det reCAPTCHA-phishing som tar av, kan han avsløre, og samtidig forklare hvordan dette phishing-angrepet fungerer:

En falsk side ber deg «løse» I’m not a robot. Når du følger instruksene som dukker opp, som å trykke Windows+R og lime inn kode, gir du angriperen full tilgang til maskinen. Etterpå sendes du videre til den ekte nettsiden, uten at du merker noe som helst.

– Det ser utrolig troverdig ut. Og folk går rett i fella.

Hvis ingen skal gå i fella, men passe seg for den, er Marius god å ha ved sin side – eller i toppen, får vi heller si. Når han skal gå praktisk til verks med å simulere et phishing-angrep, starter han alltid i toppledelsen:

– Jeg møter ledelsen først. Så bygger jeg en spear-phishing-kampanje som er skreddersydd mot bedriften. Det er viktig at så få som mulig vet om det. Deretter sender jeg epostene ut over et avtalt tidsrom – ofte en dag.

Etterpå får kunden en rapport som viser:

• hvor mange som oppga brukernavn og passord
• hvilke enheter som var mest sårbare (mobil er ofte verstingen)
• hvilke tiltak som bør prioriteres videre

Dette er et eksempel på et enkeltoppdrag noen kunder bruker Marius til. Andre kunder leier han gjerne inn over måneder eller år.

Okei, så med andre ord (som phishing, reCAPTCHA, MFA, DMARC, SPF, DKIM og spoofing, mer om det nederst) er Marius særs dyktig med tall, koder og å sette seg inn i en digitalt kriminells tankesett og holdninger. Hvordan havnet han i denne rollen? Var han alltid nysgjerrig på teknologi, eller kom interessen for sikkerhet senere?

– Du må nesten få historien fra starten av, sier han.

For å forstå en som forstår ekte hackere med kyniske intensjoner, må vi spole tilbake til oppveksten til Marius, da hacking var både hobby og tilflukt.

– Det jeg likte best var å sitte hjemme og drive med hacking. De som var slemme mot meg på skolen, hacket jeg. Kanskje litt feil å si, men hackingen fikk meg til å føle meg “bedre enn andre”, fordi det var noe jeg behersket.

Hacking ble både hevn, mestring og identitet for en gutt som opplevde utestengelse og mobbing på skolen.

Med årene utviklet ferdighetene seg. Samtidig falt moralen. Marius gikk fra å hacke klassekamerater til å låse ned datasystemer i bedrifter i utlandet – ransomware, som det kalles – lenge før det ble allemannseie.

Pengene var motivasjonen. Men også følelsen av kontroll.

– Jeg lærte meg hvilke land jeg måtte sende penger gjennom for at de ikke skulle bli stoppet. Og det var så enkelt at jeg tenkte at jeg kunne leve av dette. Det var bare sånn jeg tenkte da.

Han beskriver denne perioden med en nøkternhet som kommer av avstand. En fortid han ikke lenger kjenner seg igjen i, totalt blottet for empati. Det var et annet liv. En annen Marius.

Så skjedde det noe. Han ble far, og med det endret perspektivet seg.

– Da begynte jeg å tenke annerledes. Jeg så meg selv utenfra for første gang.

Endringen kom ikke over natten. Men den kom. Gradvis. Gjennom relasjoner som ga trygghet. Mennesker som møtte ham med forståelse. Og til slutt gjennom en soning som tvang frem et valg.

I 2019 var han ferdig sonet. Og klar for et annet liv. Den Marius han utviklet seg til å bli i dag. En ettertraktet etisk hacker, som jobber for både små bedrifter og noen av Norges største virksomheter. Han holder foredrag, bygger sikkerhetskultur og stopper angrep før de skjer.

Etter endt soning og med gjenvunnet empati i bagasjen, ringte han alle bedriftene han hadde svindlet og ba oppriktig om unnskyldning. Det resulterte i at flere av ofrene endte opp som kunder.

– Jeg vet ikke helt hva som har skjedd med livet mitt de siste årene, sier han, før han skyter inn:

– Men det tok av. På en god måte.

Han beskriver det ikke som et mirakel. Bare som et liv der feilskjærene han gjorde ble til erfaring, og erfaringen ble til verdi.

Han var kanskje blottet for empati før, men han har tatt med seg bruddstykker fra sitt tidligere liv som kriminell til sin fordel, og byttet ut sin svarte hatt med en hvit. Etisk hacking handler om å forstå angriperne bedre enn de forstår deg.

– De fleste ansatte i en bedrift gjør ikke feil fordi de er naive – men fordi de er stressa, travle eller ønsker å være hjelpsomme. Angripere utnytter nettopp det: menneskelighet.

Og det er derfor opplæring, trygg kultur og gode rutiner er like viktige som brannmurer og tekniske systemer, mener Marius.

Hacking handler om mer enn klassiske teknikker for cyber-kriminalitet vi ser i Hollywood-filmer. Det handler om å utnytte sårbarheten vi mennesker bærer på ved å være, vel, nettopp mennesker – i kombinasjon med tekniske svakheter.

– Det handler om å forstå mennesker, rutiner og små tekniske svakheter som til sammen gir store konsekvenser. Det handler om å være kreativ, ikke ond, forklarer Marius.

Dette er et intrikat og avansert fagområde stadig i utvikling, som norske virksomheter tar skremmende lite på alvor, mener Marius.

– Det som skremmer meg mest, er den gi faen-faktoren i norske bedrifter. Folk tenker: «Ingen hacker oss, vi er bare bakeriet på hjørnet.» Det er janteloven i praksis – i IT-sikkerhet, sier han, og legger til en av de tydeligste metaforene i hele intervjuet:

– Det er som å kjøre bil uten bilbelte fordi du tenker: Jeg krasjer jo aldri. Det er helt til du faktisk krasjer – og grunnen er ofte noe du ikke kan kontrollere selv.

At det er mye innen IT-sikkerhet vi ikke kan kontrollere, er noe vi alle burde anerkjenne. Trusselbildet er overalt, uansett hvor stor eller liten bedriften din er. Blant de største svakhetene Marius ser i norske virksomheter, er menneskene og prosessene. Mye på grunn av at teknologien har blitt bedre, men rutiner og bevissthet rundt det ikke har fulgt etter. Han utdyper:

– Et godt system kan alltid omgås hvis mennesker gir fra seg nøklene. Litt av problemet ligger i at vi også stoler blindt på at teknologien skal forsvare oss, før han spør retorisk:
– Hva gjør vi når teknologien feiler?

Svaret på hvor galt det kan gå, får han gang på gang gjennom oppdragene sine, men nylig gjennomførte han en kontroll som ikke kunne måle seg med noen andre. Kontrollen var av en applikasjon hvor en annen “hacker” (altså en etisk liksom-hacker) hadde hatt full tilgang og gjennomført månedlige tester.

Det hører også til historien at “hackeren” representerte samme selskap som hadde utviklet løsningen – noe som i seg selv er en svakhet. Da Marius startet gjennomgangen, endte han opp med å bruke flere dager kun på å dokumentere funn.

– Det var så mye alvorlig at jeg ærlig talt ikke forstår hvordan dette kunne gå under radaren. Administratorpassordet lå lagret i klartekst, og jeg fant sårbarheter som i praksis var “zero-days” fra 10–15 år tilbake i tid. Inne i applikasjonen lå det flere hundre brukere (bedrifter), og disse hadde igjen svært sensitive opplysninger om sine egne kunder. Alt i alt var dette en svært spesiell og urovekkende sak. Viser kanskje tydelig at du burde ha en tredjepart til å sjekke sikkerheten.

Hvis Marius kunne gitt ett råd til en bedrift som vil forbedre IT-sikkerheten sin – er svaret like klart og tydelig som på en befalskole:

– Start med identitetssikring. Få på plass riktig konfigurert MFA, god tilgangsstyring og sikre konfigurasjoner. Deretter: tren de ansatte, lag en skikkelig beredskapsplan, og øv på den jevnlig.

Han legger til:

– Og kanskje viktigst av alt: Bruk en uavhengig tredjepart til å vurdere sikkerheten din. Ikke stol blindt på én og samme IT-partner som både skal selge deg brannmur og vurdere om den er sårbar – det er en innebygd interessekonflikt som ofte gir falsk trygghet.

Ved spørsmål om hvordan han ser for seg at fagdisiplinen IT-sikkerhet vil utvikle seg de neste fem årene, svarer han:

– Mye mer AI-drevne angrep – spesielt deepfakes og automatisert sosial manipulering. Bedre verktøy for forsvar, men også mer komplekse angrepsflater. Identitet og tilgang blir viktigere enn alt annet. Og jeg tror Norge vil få flere målrettede angrep mot små og mellomstore virksomheter som har god økonomi, men dårlig sikkerhet.

Av med alle fargers hatter for Marius. Det er nettopp slike stemmer IT-bransjen i Norge trenger – for nå, fremtiden og forbi!

Og helt til slutt... Siden du har lest helt ned hit, har du enten inngående kunnskap – eller sterkt engasjement – i faget. Enten trenger du det, eller så gjør du det ikke. Uansett: Vi har laget ei litta ordliste for essensielle begrep innen IT-sikkerhet.