Læringsreise innen cybersikkerhet

Oversikt

Denne siden oppsummerer utviklingen min gjennom cybersikkerhetsstudiet og kobler sammen fag, eksamensarbeid, bachelorprosjekt og portfolio-prosjekter. Målet er å vise progresjon, ikke bare å liste emner.

Gjennom studiet har jeg arbeidet med webapplikasjonssikkerhet, etisk hacking, sikkerhetsrapportering, skadevare- og filanalyse, IoT/OT-sikkerhet, skysikkerhet, risikovurdering, personvern og sikkerhetsfokusert utvikling.

For arbeidsgivere skal siden gjøre det enklere å forstå bredden i bakgrunnen min, hvilke områder jeg har fått praktisk erfaring med, og hvordan jeg tenker rundt sikkerhet, scope, dokumentasjon og læring.

Hvordan fokuset mitt utviklet seg

Jeg startet med brede grunnlag innen programmering, systemforståelse og sikkerhetsprinsipper. Etter hvert flyttet tyngdepunktet seg mot etisk hacking, webapplikasjonssikkerhet og rapportering, der scope, autorisasjon og tydelig kommunikasjon ble like viktig som selve testingen.

Senere arbeid med skadevare- og filanalyse ga et mer defensivt perspektiv: hvordan man vurderer indikasjoner, samler evidens og gir anbefalinger uten å overdrive sikkerheten i konklusjonen. IoT/OT og skysikkerhet utvidet perspektivet fra enkeltapplikasjoner til arkitektur, risiko, drift og fysisk påvirkning.

Bachelorprosjektet iSerlo og denne portfolioen samlet flere av trådene: utvikling, strukturert innhold, sikkerhetsfokus, rapportering og evnen til å presentere teknisk arbeid på en forståelig måte.

Core areas

Tekniske områder

Læringsreisen dekker flere sikkerhetsområder. Jeg ser dem ikke som isolerte emner, men som deler av samme helhet: systemer må forstås, testes, vurderes, dokumenteres og forbedres på en ansvarlig måte.

• Webapplikasjonssikkerhet: etisk hacking, pentest-rapportering, scope, autorisasjon, sårbarhetsvurdering og kommunikasjon av tiltak.
• Sikkerhetsfokusert utvikling: arbeid med iSerlo og portfolioen, komponentstruktur, webutvikling, backend/frontend-tenkning og sikkerhetsbevisst design.
• Skadevare- og filanalyse: PCAP-gjennomgang, mistenkelig filvurdering, statisk/dynamisk analyseforståelse og defensive anbefalinger.
• IoT/OT-sikkerhet: trusselmodellering, risikoscoring, MQTT, dronesystemer, embedded devices og fysisk/operasjonell påvirkning.
• Sky og sikker arkitektur: PaaS, hybrid cloud, skysikkerhet, data sovereignty, DevSecOps/SSDLC og sikker arkitekturtenkning.
• Governance, risk and compliance: risikovurdering, GDPR, CIA-modellen, informasjonsverdier, awareness og sikkerhetskultur.

Prosjekter som formet læringsreisen

De enkelte case-study-sidene viser hvordan læringen ble brukt i mer konkrete oppgaver. Samlet fungerer de som et kart over utviklingen fra analyse og rapportering til større utviklingsarbeid og offentlig prosjektpresentasjon.

Metoder og verktøy

Gjennom studiet har jeg jobbet med flere metoder og verktøy i kontrollerte akademiske sammenhenger. Målet har vært å forstå når de er nyttige, hvilke begrensninger de har, og hvordan resultater bør tolkes før de kommuniseres videre.

• Testing og vurdering: OWASP-konsepter, ZAP, Kali Linux, Nmap, manuell validering og rapportskriving.
• Analyse: Wireshark, PCAP-gjennomgang, filanalyse, strings/binwalk-lignende inspeksjon og VirusTotal-lignende omdømmesjekk.
• Modellering og risiko: STRIDE, DREAD, CIA, GDPR, informasjonsverdier, risikovurdering og sikkerhetsdokumentasjon.
• Utvikling: Laravel/PHP, Next.js, TypeScript, Tailwind CSS, SQL/databasemodellering og komponentbasert struktur.
• Sky og prosess: PaaS, hybrid cloud, Azure-/IoT-relatert arkitekturtenkning, SSDLC/DevSecOps og dokumentert arbeidsflyt.
• Samarbeid og prosjektarbeid: design sprint, planlegging, dokumentasjon, iterasjon og refleksjon rundt gruppe-/prosjektprosess.

Hvordan jeg tenker om sikkerhet nå

Studiet har gjort det tydelig at sikkerhet ikke bare handler om verktøy. Verktøy kan finne signaler, men mennesker må forstå scope, kontekst, autorisasjon, risiko, konsekvens og hvordan funn skal forklares.

Jeg ser scanner-output som et utgangspunkt, ikke som en ferdig sannhet. Funn må valideres, prioriteres og beskrives på en måte som hjelper noen å ta bedre beslutninger.

Sikker design bør også komme tidlig. Det er lettere å bygge gode rammer for tilgang, logging, validering, dataflyt og rapportering fra starten enn å forsøke å lime sikkerhet på helt til slutt.

Utfordringer

En av de største utfordringene har vært å lære mange områder samtidig uten å miste struktur. Web, malware, IoT/OT, cloud og GRC bruker ulike begreper, men de møtes i behovet for tydelig risikoanalyse og god kommunikasjon.

• Balansere offensive og defensive perspektiver uten å gjøre innholdet uforsiktig.
• Gjøre tekniske funn om til rapporter som er forståelige for andre.
• Forstå hvor akademiske labmiljøer skiller seg fra reelle produksjonsmiljøer.
• Holde offentlig portfolio-innhold trygt, konkret og ærlig.
• Koble utviklingstenkning og sikkerhetstenkning på en praktisk måte.
• Unngå å fremstille bred akademisk erfaring som senior- eller kommersiell ekspertise.

Hva jeg tar med videre

Jeg tar med meg en strukturert teknisk tankegang, en sikkerhetsbevisst utviklermåte å jobbe på og en forståelse for at dokumentasjon og kommunikasjon er en del av selve sikkerhetsarbeidet.

Dette gir et godt grunnlag for juniorroller innen cybersikkerhet, SOC, teknisk support, webapplikasjonssikkerhet eller sikkerhetsfokusert utvikling. Jeg forventer fortsatt å lære mye i praksis, men har et bredt fundament å bygge videre på.

• Strukturert analyse av systemer, scope og risiko.
• Evne til å dokumentere funn og forklare tekniske vurderinger.
• Praktisk erfaring med både testing, utvikling og rapportering.
• Vilje til å lære, iterere og kvalitetssikre arbeid over tid.
• Forståelse for ansvarlig offentlig presentasjon av cybersikkerhetsprosjekter.
• Fundament for videre vekst i junior sikkerhets- eller utviklerroller.

Resultat

Læringsreisen viser bred eksponering for cybersikkerhet, praktiske oppgaver, teknisk utvikling, rapporteringsevne og et fundament for å vokse inn i juniorroller innen cybersikkerhet eller sikkerhetsfokusert utvikling.

Den viser også hvordan de ulike prosjektene henger sammen: fra konkrete sikkerhetstester og analyser til større systemarbeid, risikoforståelse og evnen til å gjøre teknisk arbeid forståelig for andre.