LØRN case C0180 -
LØRN. SME

Vigleik Hustadnes

Leder

Tussa

Sikkerhetsstyring

I denne episoden av #LØRN snakker Silvija med Leder for informasjonssikkerhet i Tussa IKT, Vigleik Hustadnes, om hvorfor sikkerhetsstyring er moro og viktig. Tussa er et ledende energi- og kommunikasjonskonsern som leverer fornybar kraft gjennom vannkraftverk. Vigleik deler av sine erfaringer om hvordan Tussa har blitt Norges grønneste datasenter, og viser oss hvordan CyberSec kan være morsomt.
LØRN case C0180 -
LØRN. SME

Vigleik Hustadnes

Leder

Tussa

Sikkerhetsstyring

I denne episoden av #LØRN snakker Silvija med Leder for informasjonssikkerhet i Tussa IKT, Vigleik Hustadnes, om hvorfor sikkerhetsstyring er moro og viktig. Tussa er et ledende energi- og kommunikasjonskonsern som leverer fornybar kraft gjennom vannkraftverk. Vigleik deler av sine erfaringer om hvordan Tussa har blitt Norges grønneste datasenter, og viser oss hvordan CyberSec kan være morsomt.
Facebook
Twitter
LinkedIn
Email

21 min

Choose your preferred format

Velkommen til Lørn.tech, en lærings dugnad om teknologi og Samfunn med Silvija Seres og venner.


SS: Hei og velkommen til Lørn. Navnet mitt er Silvija Seres, tema i dag er en cyber security. Jeg er i Molde og snakke med Vigleik Hustadnes som er leder for informasjonssikkerhet i selskapet Tussa ikt, Velkommen!

VH: Takk.

SS: Jeg spurte deg om det var noe spesiell overskrift du ønsket, og du sa at sikkerhetsstyring er moro, og det tror jeg du skal få lov til å debattere litt. Men dere jobber altså med cybersec i litt forskjellige settinger. Før vi går inn i tematikken, kan du fortelle oss litt om deg selv?

VH: Jeg er sundmøring og familiemann. Fotball og fjell på fritidsaktivitetslisten. Jeg har jobbet i mange år med teknisk it og kommunikasjon, og snart i like mange år med informasjonssikkerhet.

SS: Hva gjør Tussa?

VH: Tussa gjør mange ting. Tussa er et konsern som driver med energi, installasjon og lignende. Men Tussa Ikt som er ett av selskapene driver med ikt.

SS: Hvor kommer navnet fra?

VH: Det kommer fra en foss lang inne i fjorden på Bjørke. Det var det første kraftverket som var bygget ut. Det var vell på 50-tallet.

SS: Og det var sånn det begynte altså som selskap for vannkraftverk?

VH: Ja, det var det. Også har lederne vært flinke å kjøpe opp energiselskap rundt om på Sunnmøre og utvidet med andre aktiviteter. Og Ikt delen har vokst veldig mye de siste 10-15 årene spesielt.

SS: Jeg har nylig snakket med en leder i et energiselskap som sa litt fortvilet at jeg skjønner ikke helt hvordan dette her er gått seg til, men vi har plutselig gått fra å være en som distribuerer kilowatt-timer og prøver å stabilisere prisen sånn noenlunde for vår egen, til å være noen som har fått ansvaret for at folk har tilgang til energi i veldig ustabile forhold med micro-produksjon, micro-konstruksjon, cyber security problematikk og alt mulig har vi plutselig fått ansvar for i de her internet of things og digitaliserte tider sier hun. Så det at Tussa driver med Ikt også er vell en veldig naturlig del av utviklingen?

HV: Ja, det startet med fibernett. Ett nett som var bygd i forbindelse med kraftlinjene som også var der. Så mange energiselskap og nettselskap, som er kraftnettet bygde fibernett. Og derifra har det utviklet seg. Men Tussa ikt driver ikke lenger med bare energi, men med kunder i alle bransjer. Det er en del av skyen kan du si med Norges grønneste datasenter faktisk.

SS: Hvordan det?

HV: For eksempel ved at varmen blir brukt om igjen til å varme opp bygning. Kontorene våre, og det er klargjort for å levere fjernvarme til naboene også. Og det er nokså unikt.

SS: Veldig bra. Du som ønsket overskrift at «cyber security er gøy» Og det tror jeg du må argumentere litt for.

HV: Det forstår jeg. Det er mange som kanskje oppfatter det som kjedelig, men jeg synes det er veldig viktig å prøve, hvis du gjør det på rett måte, så skal det gi en reell gevinst for hele bedriften. Og målet med sikkerhetsarbeidet er å støtte forretningsmålene, å hjelpe forretninger til å oppnå sine mål. Og hvis du gjør det på rett måte så ser du at det blir gøy.

SS: Jeg lurer på om sikkerhet blir litt sånn som helse og miljø også, at vi tenker at det veldig dyrt å vedlikeholde det å passe på at det er perfekt. Men vi glemmer hva kostnaden er ved å ikke ha det. Altså, hva er kosten ved å ikke være sikker?

HV: Nettopp! Og det handler om å få folk til å forstå at du skal ikke være en bremsekloss. Du skal ikke være sikker ved å hindre ting, du skal hjelpe. En av tre bærebjelker innenfor sikkerhet er tilgjengelighet. Og det betyr at du skal ha dine verktøy og din informasjon tilgjengelig hele tiden for at forretningsprosessene skal kunne fungere.

SS: Jeg har lest relativt nye forskrifter om at en av de største hindrene i vår kamp mot bedre cyber security, og sikker generell infrastruktur etter hvert, som blir nesten det samme er mangel på kunnskap. Samtidig så sitter jeg tenker at vi kan ikke forvente at alle skal gå rundt å lære seg alt mulig om både nettverk, kryptografi og programmering og alle disse typer angrep og sånn. Hvordan driver man med informasjonssikkerhetsarbeid i en bedrift. Du sa det var ledelsesarbeid, men hva må man lære bort?

HV: Der er du inne på en veldig viktig utfordring. Tradisjonelt har dette blitt satt vekk til it-avdelinga. Det er masse it-eksperter som kan iverksette tiltak og.

SS:Og de er like villige til å lære bort som tannleger omtrent?

HV: Ja, omtrent. Også tenker ledelsen at her der det dyktige It-folk, da ordner de det med sikkerhet. Men det er å begynne i feil ende, for det er ledelse som har ansvaret for å vite hva som er kritiske forretningsprosesser for eksempel. Og da må man kartlegge det å gjøre en verdivurdering der de får oversikt over sine informasjonsverdier og forretningsprosesser og system. Også kan man gjøre risikoanalyse og basert på den kan man velge sikkerhetstiltak for å legge seg på det sikkerhetsnivået som de er komfortabel med. Og det skal være syrt for å ledelsen. Også må man stille krav til dem som forvalter sikkerhetstiltak om at de skal være målbare og effektive.

SS: Du sa det var tre bærebjelker, en av dem var tilgjengelighet. Hva er de andre to?

HV: Konfidensialitet som har vært mye omtalt i år på grunn av gdpr for eksempel.

Også er det integritet, at dataene skal være korrekt.

SS: Det hjelper ikke å drive med It-selskap hvis dataene er nonsense.

HV: Nei. Kommer det feil i regnskapet for eksempel så er ikke det bra. Hvis det er mange kopier og forskjellige versjoner av dokument. Så det er også en del av informasjonssikkerhet og se at dette er korrekt.

SS: Også er noen av disse litt i motsetning til hverandre. Tilgjengelighet kan ofte bli utfordret av ekstrem konfidensialitet for eksempel?

HV: Absolutt. Å da gjelder det å finne en rett balansegang. Og det er også viktig å forstå at det er forskjellig fra bedrift til bedrift. Et legekontor er kanskje veldig opptatt av konfidensialitet og personvern, men enda viktigere er det kanskje at når det skjer en bilulykke så er dataene tilgjengelig. Og det er heletiden en balansegang som er viktig å styre.

SS: Og det noe med at helsedata kan bli så trygge at plutselig er noen grunnleggende helsetjenester ikke tilgjengelig, og da står det om liv. Så det er den som de har sagt er det de er mest redde for egentlig. At vi er så sikre at liv går tapt.

HV: Stemmer. Og dette er ett av spørsmålene som har vært gjort, og det har gått litt sent å få på plass en kjernejournal som er felles for alt helsepersonell i Norge.

SS: Jeg spurte hva du gjør nå og du sier at du jobber med å skru på systemer for å etterleve standarden ISO 2001 som dere skal bli sertifisert med nå. Er det noe gøy?

HV: Det kan du si. Iso-standard i utgangspunktet er ikke veldig gøy.

SS: Men hva betyr det egentlig?

HV: Den finnes mange Iso-standarder også innenfor sikkerhet. Og de beskriver en standard måte å styre og lede sikkerhetsarbeidet på.

SS: For eksempel?

HV: For eksempel at bedrifter skal ha et sett med dokumenter og policyer som stiller krav til sikkerhet i vår bedrift.

SS: Hvordan man lagrer dokumenter, hvem har tilgang, hva er tilgangsstyringsverktøyene og sånn?

HV: Nettopp, en viktig og sentral policy kan være identitet og tilgangsstyring. Hvordan skal det bli gjort?

SS: Ikke alle har tilgang til betaling eller lønnsinformasjon og sånt?

HV: Ja, sånn vil det være i de aller fleste bedriftene. I noen bedrifter er det kanskje sånn at man stort sett jobber med offentlig informasjon og der kan det stå i policyen at «for oss er tilgjengelighet viktig, og all vår informasjon kan være fritt og offentlig tilgjengelig». Det kan typisk stå i ett sånt policydokument.

SS: Det blir ofte gode historier ut av det selv om det ikke høres så gøy ut på forhånd. Jeg har spurt deg hva dine favoritthistorier er, og du sier at personvern og gdpr er ganske kraftige saker også er det Russland, Donald, sosiale medier, valget og helse sør-øst. Fortell oss noen av disse historiene.

HV: Ja, historien om Donald Trump og valget i USA er vell nokså kjent.

SS: Cambridge analytica tenker du på?

HV: Ja.

SS: Men likevel, jeg tror ikke folk har forstått den. Brukt ett par minutter på å fortelle hvorfor den er det interessant.

HV: Det er vell to ting. Det handler om Russland og at de ville påvirke valget i USA for å få Donald Trump valgt. Og det brukte de mange smarte måter for å få til. Og alt det handler om cyber security. Cambridge analytica, de lever av å samle inn personopplysninger og utnytter dette ved å kartlegge folk og tilpasse budskapet på sosiale media til de forskjellige gruppene av folk, basert på hva de mener fra før. Og leverer kanskje ett annet budskap til demokratene enn til en republikaner.

SS: En av de tingene som fasinerte meg med Cambridge analytica og som jeg synes er en utrolig interessant historie. En som heter Jacke Randall som er skrevet for Mit Techrevue har en fantastisk analyse av det, om hvor mørkt det er. For Cambridge analytical lager psykometriske profiler ikke bare på hva vi er gode på og hva vi prefererer, men hva vi frykter. Så de vet veldig godt hva som er mine redsler vs dine redsel. Både politisk og sosialt. Også driver de politikk opp mot det. De vet at dette driver trafikk og klikkbarhet, og detter er en ganske mørk verden man går inn i.

VH: Ja, og det veldig mange synes dette ikke er farlig og mener de ikke har noe å skjule. Men de som begynte å studere hvor mye som ble kartlagt og hvor mye Google og de andre vet om deg, det er litt skremmende. Og dette er veldig mye framme i media og folk synes det er interessant og skremmende. Men det henger altså sammen med styringen av informasjonssikkerhet, og dette er noe av bakgrunnen for den nye personvernloven og gdpr som kom i fjor.

SS: Også er du fan av Per Sandberg?

VH: Det var å ta litt hard i, men han har gitt et godt bidrag for å få opp fokus på informasjonssikkerhet og personvern, det har han gjort.

SS: Hvorfor det. Er det han gjorde egentlig galt eller ikke. Mener du selv debatten rundt dette har vært det som har vært nyttig her?

VH: Ja, helt klart. Jeg tror ikke jeg trenger å legge ut om hvor farlig det var å ta med seg mobilen til Iran. Men i alle fall, bare det at media er så interessert i å slå det så mye opp så skaper det debatt blant folk flest, og det synes jeg er positivt.

SS: Jeg tror det er nødvendig å gjøre det en del flere ganger. Jeg har en venninne som lager hacke-konkurranser for barn, og hun sier at noe av det første hun lærer dem er å hacke seg inn på noens mobiltelefon kamera eller PC-kamera og viser de hvor lett det er. Og etter dette går alle barna og klistret på en sånn greie på kamera på PC-en sin, mens vi voksne gjør det ikke. Så bare det å forstå at vi legger igjen så vanvittig mye digital eksos og nesten hvem som helst kan lese det av. Vi blotter oss for hverandre i helt ekstrem grad.

HV: Ja, og digitalisering er det nå snakk om i offentlig sektor og private. Og det er naturligvis positivt. Samfunnet blir mer effektiv og mange ting skjer for byråkratiet. Men jo mer som blir digitalisert, jo viktigere blir sikkerheten rundt det. Det handler om IT, informasjon og cyber.

SS: Og nå blir det enda bedre eller enda verre med internet of things, for nå går disse chipene inn i veldig mye av den fysiske infrastrukturen vår, og kanskje etterhvert kroppene vår også. Og alt som har en typisk chip i seg kan hackes. Og dere sitter på samfunnskritisk infrastruktur gjennom strømnett, men du har nevnt at det kanskje er lurt å Google på Iot botnett. Hvorfor det?

HV: Det er veldig mange som snakker om Internet of things nå.

SS: Internet of things altså..?

HV: Alt som er på nett, alt som kan kobles på nett å sende informasjon. Enten det er industri eller hjemme. Og iot botnet, i 2016 smalt det at det var blitt pøst ut veldig mye utstyr med Ip-adresse som er lett å koble på nett, og så har hackere tatt kontroll over dette. Og når du har tatt kontroll over nok så kan du bruke de til å angripe, for eksempel vg.no. Denial of service er det snakk om. Og det kan brukes til mange andre ting også. Så det er veldig viktig for IoT.

SS: Jeg vet ikke hvor mye du kan si, men hva gjør Tussa for at dette ikke skal skje med strømsystemer i denne delen av verden?

HV: Blant annet at vi jobber med sikkerhetsledelse og styring av tiltak. For kraftbransjen er det også utstyrt stengt fra MVE, der er forskrifter for kraftselskap og instrukser for å ivareta sikkerhet i kraftnett og kraftproduksjon.

SS: Prøver dere å påvirke noen av disse reguleringene, er de aggressive nok?

HV: Det diskuterer vi ofte. Jeg har deltatt i konferanser med kraftbransjer og de jobber godt med å gjøre forskriftene mer konkrete og lettfattelige sånn at det ikke bare skal handle om compliance og dokumentasjon, men at det skal bli reell sikkerhet ut av det.

SS: Du har sagt at 2019 blir mer spennende enn 2018, hva mener du med det?

HV: Det er på grunn av digitalisering for eksempel.

SS: Mer utfordrende altså?

HV: Smarte hus for eksempel. Kan godt hende det dukker opp mediesaker om smart hus som var enkle å hacke.

SS: Jeg spurte deg hva du tror er relevant kunnskap for fremtiden, og du sier å gjøre sikkerhetsarbeid engasjerende, målbart og unyttig. Jeg tror det er kjempeviktig. Utrolig viktig del av vår personlige og profesjonelle hygiene, som jeg tror vi er nødt til å lære. Ikke fjellvettregler, men cybervettregler. Hva kan du gjøre for å hjelpe oss å finne noen sånne regler?

HV: Det handler om å være bevisst. Personvern er veldig enkelt og ta tak i for alle private. Dette gjelder alle. Men også i bedrifter er det spesielt for ledelsen viktig å forstå at man kan ikke overlate ansvaret til andre. Ikke snakke om it-sikkerhet, for da blir det lett overlatt til sjefen. Snakk om informasjonssikkerhet, for det omfatter mer. Og vi trenger tekniske tiltak, men det er også kjempe viktig å bygge en god sikkerhetskultur i alle organisasjoner. Og da trenger du formidlere som kan engasjere sånn at folk tar ansvaret selv. Du kan ikke bare tilsette en sikkerhetssjef og han må være alt. Hver leder må ta ansvar for sikkerhet i sin avdeling.

SS: Make cyber great again. Jeg spurte deg om ditt favorittsitat om cyber security og du siterte faktisk Donald Trump.

HV: Jeg synes han har mange artige ting på Twittef. Han sa «We have to be very very tuff on cyber».

SS: Hva skal folk huske fra vår samtale?

HV: Sikkerhetsarbeidet skal være nyttig, artig og lønnsomt. Hvis det ikke er det så må du tenke deg om å gå og pratet med sjefen din.

SS: Helt enig, dette her er everybody's business og vi må gjøre det lystbetont for vi kan ikke gjøre det på noen annen måte. Da tror jeg vi sier tusen takk til Vigleik Hustadnes, som er han som skal gjøres cyber great again i Tussa Ikt. Tusen takk for at du kom og lærte oss om cyber security.

VH: Tusen takk.

SS: Takk til dere som lyttet.


Du har lyttet til en podcast fra Lørn.tech, en lærings dugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech



Hvem er du, og hvordan ble du interessert i informasjonssikkerhet?

Sunnmøring med familie, fotball og fjell som fritidsaktivitetar. Har jobba lenge med teknisk IT og kommunikasjon, og snart like lenge med informasjonssikkerheit.

Hva er det viktigste dere gjør på jobben?

Hjelper kundane å ta vare på informasjonsverdiane sine. Mykje av verdiane sikrar vi i Norges grønaste datasenter i Ørsta, men også for eksempel i Microsoft sine datasenter eller hos andre partnerar, og ute hos kundane. Vi er ein del av «skya». Og vi leverer internett og TV til privatkundar på Sunnmøre via fibernettet vårt.

Hva fokuserer du på innen informasjonssikkerhet?

Hjelpe ledelsen å identifisere informasjon og IT-system som treng beskyttelse. Mange startar i feil ende, og implementerer tekniske tiltak meir eller mindre tilfeldig.

Hvorfor er det spennende?

Fordi god styring av sikkerheit gir gevinst for heile bedrifta, på mange måtar og til slutt også økonomisk. Målet med sikkerheitsarbeid i ei bedrift er å hjelpe til med å nå forretningsmåla.

Hva synes du er de mest interessante kontroverser?

Ansvarsfordeling. Det kan være mellom ledelse og IT-avdeling, eller mellom kunde og IT-leverandør. Ein del leiarar trur framleis at dei kan outsource sikkerheitsansvaret og engasjere seg minst mulig sjølv. Det er feil og farlig. Elles er det interessant at både tekniske tiltak og bygging av god sikkerheitskultur er kjempeviktig. Det betyr at vi treng både teknokratar og utadvendte selgartyper for å komme i mål.

Dine egne prosjekter siste året?

No arbeider eg med å skru på styringssystemet i Tussa IKT for å etterleve standarden ISO27001, og bli sertifisert i 2019. Dessuten arbeider vi med å vidareutvikle samarbeidet med gode partnerar, mellom anna innanfor sikkerheit.

Dine andre favoritteksempler på informasjonssikkerhet internasjonalt og nasjonalt?

I år har mange fått tilsendt passordet sitt i ein epost som handla om porno og utpressing. Det var skremmande for mange, men gav mykje nyttig læring. Må nemne at informasjonssikkerheit er frykteleg viktig for dei som jobbar med Internet of Things. Dei kan starte med å google IoT Botnet.

Hva tror du er relevant kunnskap for fremtiden?

Å gjere sikkerheitsarbeid engasjerande, målbart og nyttig, i motsetning til fokus på kjedelig «compliance» og dokumentasjon.

Hva gjør vi unikt godt i Norge av dette?

Personvernet har hatt bra fokus i Norge lenge. Bortsett frå det, har eg ikkje inntrykk av at Norge er spesielt langt framme på området.

Et favorittsitat?

Ingen slår Donald Trump når det gjeld artige sitat: We have to get very, very tough on cyber.

Viktigste poeng fra vår samtale?

Sikkerheit skal vere moro, nyttig og lønsamt. Er det ikkje det, må du jobbe på ein annan måte.

Vigleik Hustadnes
Leder
Tussa
CASE ID: C0180
TEMA: CYBERSEC AND COMPLIANCE
DATE : 190108
DURATION : 21 min
LITERATURE:
Filmen Searching
YOU WILL LØRN ABOUT:
Sikkerhetsledelse
Informasjonssikkerhet
SO27001
QUOTE
"En del ledere tror fremdeles at de kan outsource sikkerhetsansvaret og engasjere seg minst mulig selv. Det er feil og farlig."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB

#C0213
CYBERSEC AND COMPLIANCE
Cybersikkerhet

Anders Strangstad

Head of Information Security Operations

HYDRO