Sam Eizad har ägnat mer än halva sitt liv åt att hitta sårbarheter i digitala system. Idag står han som en av medgrundarna till Cyloq, cybersäkerhetsbolaget som levererar offensiva säkerhetstester av högsta kvalitet och hjälper organisationer minska sina risker.

Sam Eizad har en bakgrund som sträcker sig djupt in i cybersäkerhetsvärlden. Men Sams resa till där han är idag började inte med en intressant utbildning eller ett jobb. Den började redan när han var 12 år, hemma vid datorn.  

“Jag blev hackad. Men istället för att bli rädd, blev jag nyfiken och undrade hur tog sig den skadliga koden in? Jag började fundera på vad jag hade gjort, vad jag laddat ner, och insåg att det var en viss fil som var boven. Sen började jag läsa på, googla och läsa på forum. Jag ville förstå hur allt fungerade."

När han var 15 år började han programmera hemsidor och det var också då han först blev intresserad av webbapplikationer. Något år senare började han aktivt delta i bug bounty-program där han letade brister i stora organisationer. När han såg Google på listan över företag som hade bug bounty program såg han det som en spännande utmaning och började leta sårbarheter.

“Jag satt länge och letade i Googles applikationer, till slut hittade jag en sårbarhet i en av deras tjänster. Och jag tänkte om Google har brister, så finns det säkert fler organisationer.”

Och då fortsatte han leta genom andra företag, och han deltog även i tävlingar där man letade säkerhetsbrister. Sedan dess har han aldrig slutat att jaga sårbarheter.  

Från nyfikenhet till effekt

Idag är han 29 och det är fortfarande samma nyfikenhet som driver honom, men en lite annan målbild.  

“Nu handlar det om att hjälpa organisationer att bli säkrare på riktigt. Det känns bra att våra kunder kan sova bättre för att vi hittade en kritisk sårbarhet i deras system.”

När Sam gör tester tittar han alltid först på åtkomstkontroller och behörigheter. Han söker efter de komplexa, dolda bristerna, sådana som kräver flera steg för att utnyttjas och som ofta passerar förbi både verktyg och tidigare tester.

“Jag börjar nästan alltid med åtkomstkontroller och behörigheter. Det är där det ofta brister, och där de mest kritiska sårbarheterna gömmer sig. Om en applikation har testats tidigare betyder det inte att den är säker. Många missar de sårbarheter som ligger gömda i specifika funktioner eller flöden.”

Även i större webbapplikationer är brister i behörighet och åtkomst en av de vanligaste sårbarheterna som uppstår i webbapplikationer. Fel i logiken kan göra att en användare får tillgång till andra användares data, eller till och med administratörsrättigheter. I molnmiljöer kan en felkonfiguration leda till en kritisk sårbarhet, och ofta har utvecklare bara följt standardkonfigurationer utan att veta att dessa sårbarheter existerar.

“De här bristerna hittas sällan av automatiserade verktyg. Det kräver manuell analys och att man vet vad man ska titta efter.”

När kvalitet får styra

Sam har sett mycket genom åren. Från otaliga system, till bristfälliga rapporter, tester som inte gått tillräckligt djupt och sårbarheter som borde ha upptäckts men inte gjorde det. Sam, tillsammans med Andreas Gjelset, grundade Cyloq som ett svar på ett branschproblem.

‍

"Vi såg för många tester där rapporterna var otydliga, bristerna inte gick att reproducera, eller där man inte visste om en sårbarhet faktiskt existerade i tjänsten. Vi ville göra det ordentligt. Hos oss samarbetar alla seniora testare under testerna för att hinna hitta så mycket som möjligt under den avsatta tiden. Varje sårbarhet vi rapporterar har en reproducerbar PoC, en konkret riskbedömning och tydliga rekommendationer för åtgärd."

På Cyloq testas varje system med inställningen att aldrig ta något för givet. Att något redan testats säger väldigt lite, för erfarenheten visar att tidigare tester inte alltid fångar allt.

"Vi har gjort tester där vi vet att andra varit inne innan oss. Trots att det inte tillkommit ny funktionalitet har vi hittat allvarliga sårbarheter."

Att leverera på den nivå Cyloq gör kräver mer än bara erfarenhet, det kräver disciplin, nyfikenhet och integriteten att aldrig nöja sig.

"Vi antar att varje system kan innehålla brister, oavsett hur många gånger det har testats innan. Vi kombinerar flera tekniker, delar idéer inom teamet, använder både verktyg och manuell analys. Och vi ifrågasätter alltid våra antaganden. Det är så man utvecklas."

Andreas Gjelset är en av grundarna till Cyloq. Tillsammans med Sam Eizad startade han företaget 2022, med en tydlig idé: att utmana branschens slentrian och leverera säkerhetstester med mätbar riskminskning.

Det är ingen slump att Andreas har den roll han har idag. Hela livet har han drivits av en nyfikenhet att plocka isär saker, förstå underliggande strukturer och system, optimera dem, förbättra dem. Det var detta intresse som ledde honom från programmering till defensiv säkerhet, och vidare till offensiv.

Men alltför ofta såg han säkerhetstester som inte gick tillräckligt djupt. Där rapporten var viktigare än verklig riskminskning. Där testerna bara bekräftade det man redan visste, istället för att avslöja det man behövde få reda på. Det var då idén för Cyloq föddes, och Andreas och Sam startade cybersäkerhetsföretaget där alla brinner för kvalitet och riktiga resultat.

“Det är extremt viktigt för oss att känna stolthet och stå bakom varenda rad, att känna stolthet i varje leverans. Vi gör inga standardleveranser, varje uppdrag är unikt och vi lägger ner vår själ varje gång vi jobbar med en kund. Vi vill att vårt arbete ska göra skillnad, att de faktiskt sänker sina risker.”

Starkare säkerhetskulturer

Efter över 20 år i IT-branschen, är det fortfarande samma nyfikenhet och syfte som driver honom.  

“Känslan av att hitta något som andra inte hittat, det är oslagbart. Tempot är ganska högt och ingen dag är den andra lik. Det finns alltid nya saker att lära sig. Arbetet man lägger ner gör stor skillnad, och det är roligt. Man vet att insatsen man gör bidrar till att stärka säkerhetskulturen hos våra kunder.”

Även om säkerhetstester gör skillnad, så är det i kulturen det sitter. Det behöver finnas en förståelse för risker, och en vilja att säkra upp verksamheten. Det räcker inte bara med att ha en försäkring, man behöver tänka förebyggande också.  

“Man kan inte parkera cybersäkerheten hos IT-avdelningen och tro att frågan är löst. Det här är en affärsfråga som berör risk, leveransförmåga och regulatoriska krav. När man förstår den kopplingen blir det också lättare att fatta rätt beslut. Poängen är att se riskerna redan från början, bygga in säkerheten i processen och inte låta det bli något man hanterar i efterhand."

Driven av att göra skillnad på riktigt

På Cyloq händer det att de tackar nej till uppdrag där de ombeds att inte kolla så noggrant.  

“Vi är nitiska för att vi bryr oss. Om vi bara ‘skulle kolla snabbt’, skulle vi inte kunna stå för resultatet. Vi vill hjälpa företag bli mer motståndskraftiga, att bli mer motiverade att öka sin egen säkerhet. Inte göra någon en björntjänst.”

På Cyloq har Sam och Andreas samlat ett gäng likasinnade. De driva, tävlingsinriktade, noggranna och metodiska säkerhetskonsulterna som lägger sin själ i varje test.  

“Vårt mål är tydligt. Vi vill vara förstahandsvalet i Norden för organisationer som vill ha säkerhetstester som faktiskt gör skillnad – med mätbar riskminskning.”

‍