De arbejder i en relativ ung industri, hvor de holder udkig efter it-kriminelle med hang til hurtige håndører og langsigtede botnet.
De maler gerne fanden på firewall'en og har ofte lige et produkt på hånden, der kan smide alle orme, virus-angreb, trojanere samt sorte katte og andre dæmoner på porten.
De rådgiver om digital tryghed og sælger sikkerhedssoftware, -konsulentbistand og -hardware, der ifølge analysehuset IDC årligt omsætter for omkring 2,1 milliarder kroner alene i Danmark.
De er sikkerhedsfolkene, der givetvis har ansvaret for den digitale arbejdsro i din virksomhed.
Men hvor sikker er den industri, der selv dagligt sidder begravet med fingrene i de onde sider af den digitale verden? Er det ikke fristende at gå over til den mørke side?
"Når man taler om sikkerhed, er der altid den fysiske sikkerhed i form af interne folk i et sikkerhedsfirma, der per definition udgør en sikkerhedsrisiko. På trods af enkelte brodne kar er det erfaringsmæssigt en branche, der er til at stole på herhjemme," vurderer research manager Anders Elbak fra analysehuset IDC.
It-kriminel står til 60 år i skyggen
Et af de brodne kar - tidligere sikkerhedskonsulent Max Ray Vision med tilnavnet "Iceman - blev i mandags fundet skyldig i snyd med ikke færre end to millioner kreditkortnumre, som han havde lænset for omkring 450 millioner kroner.
Iceman blev fanget af en FBI-agenten J. Keith Mularski, der havde infiltreret et af de sorte markeder på nettet i to år, og nu står ismanden til 60 år i skyggen ifølge cnet.com.
Datakriminalitet må og bør ikke ske på det danske sikkerhedsmarked, mener direktør Peter Kruse fra sikkerhedsfirmaet CSIS Group.
"Man kan selvfølgelig ikke helt udelukke, at den slags ting sker. Men hos os og i flere andre sikkerhedsfirmaer bliver job-kandidater grundigt kontrolleret for tidligere black hat-virksomhed (it-kriminel adfærd, red.). I vores og flere andre firmaer er der specifikke politikker og procedurer, som udelukker tidligere it-kriminelle fra at få et job i branchen," siger Peter Kruse.
Han nævner blandt andet, at job i et sikkerhedsfirma, der har med statens it-sikkerhed at gøre, kan indebære, at man bliver kontrolleret af Politiets Efterretningstjeneste (PET). Normalt kontrollerer sikkerhedsfirmaerne dog ikke meget mere end straffeattesten og jobkandidatens navn via en eller flere søgemaskiner.
"Vi ønsker ikke at ansætte black hats, fordi man ikke helt kan stole på dem. It-kriminalitet kan være en fristelse for svage sjæle, og jeg kan roligt sige, at det er slut med et job i sikkerhedsbranchen, hvis man blive taget med nallerne i kagedåsen," lyder det fra CSIS-chefen.
Integritet en del af kulturen
Den tilgang til sikkerheden i sikkerhedsfirmaerne møder opbakning hos sikkerhedsekspert Ken Willén fra sikkerhedsfirmaet Symantec.
"Alle de steder, jeg har arbejdet, har der været et stærkt internt kodeks omkring, hvad medarbejderne kan tillade sig. Men det er da klart, at når man foretager en penetrationstest mod it-infrastrukturen i et pengeinstitut, og man opdager svagheder, er det altafgørende, at sikkerhedsmedarbejderne ikke forsvinder ud af firmaet med den slags oplysninger," siger Ken Willén.
Han forklarer, at det er op til it-chefen i et sikkerhedsfirma løbende at evaluere tilliden til de enkelte medarbejdere.
Frygt sælger software
"Jeg har flere gange oplevet, at hvis nogle medarbejdere har balanceret på grænsen til en troværdig adfærd, så har konsekvensen været, at de er blevet opsagt," siger Ken Willén, som understreger, at interne diskussioner om integritet er en fasttømret del af den danske sikkerhedskultur.
Hvornår kommer ulven?
Et af de områder, hvor troværdigheden i sikkerhedsbranchen konstant er under beskydning, er sikkerhedsselskabernes marketing-adfærd, der ofte bliver beskyldt for at være manipulerende og drevet af skræmmekampagner.
"Frygt er altid et godt salgsargument, og sikkerhedsbranchen står generelt med det problem, at sikkerhed skal sælges som problemløsning og er en ren udgift, hvorimod meget andet software skal bidrage direkte til forretningsudviklingen," konstaterer it-analytiker Anders Elbak fra IDC.
Det dilemma er ikke ukendt i sikkerhedsbranchen.
"Ja, det er jo en hårfin balance mellem at oversælge frygten og sælge troværdig rådgivning og software-produkter," erkender Peter Kruse fra CSIS Group.
Han mener dog ikke, at branchen som helhed råber "ulven kommer," når der ikke er fare på færde.
Fra orm til and
Også Ken Willén fra Symantec kender til oversalget.
Han hæfter sig især ved den meget medieomtalte Conficker-orm, der viste sig at være lidt af en and.
"Conficker-ormen blev jo aldrig en reel trussel, men Symantec og andre sikkerhedsfirmaer forsøgte jo med saglig dokumentation at påvise, at den kunne have en meget skadelig effekt, hvis den brød ud for alvor," siger Ken Willén.
Det amerikanske sikkerhedsinstitut CSI regnede ud, at udgifterne til bekæmpelse af ormen løb op i 51 milliarder kroner, da ormen boltrede sig i avisspalterne.
Men både Peter Kruse og Ken Willén mener, at branchen med sine mange advarsler langt hen ad vejen er med til at oplyse både virksomheder og privatpersoner om det generelle trusselsbillede fra det store, uigennemskuelige internet.
"Vi er jo med til at skabe bevidsthed om trusler i en stadig mere kompleks digital verden. Et gratis og godt råd til alle hjemmebrugere ville være at opdatere alle programmer og have installeret firewall og anti-virus. Så er man kommet langt," lyder det fra Peter Kruse.
