LØRN case C0210 -
LØRN. ENTERPRISE

Judith Rossebo

Cyber Security Specialist

ABB

Kunnskap — viktigste forsvar

I denne episoden av #LØRN snakker Silvija med Cyber Security Specialist i ABB AS, Judith Rossebø, om industriell cyber security og hvorfor kunnskap er det viktigste forsvaret mot angrep. ABB er et ledende globalt teknologiselskap som driver omstillingen av samfunnet mot en bærekraftig fremtid, og i podcasten diskuterer Silvija og Judith hva som kan bli konsekvensene av manglende kontroll på cyber security.
LØRN case C0210 -
LØRN. ENTERPRISE

Judith Rossebo

Cyber Security Specialist

ABB

Kunnskap — viktigste forsvar

I denne episoden av #LØRN snakker Silvija med Cyber Security Specialist i ABB AS, Judith Rossebø, om industriell cyber security og hvorfor kunnskap er det viktigste forsvaret mot angrep. ABB er et ledende globalt teknologiselskap som driver omstillingen av samfunnet mot en bærekraftig fremtid, og i podcasten diskuterer Silvija og Judith hva som kan bli konsekvensene av manglende kontroll på cyber security.
Facebook
Twitter
LinkedIn
Email

16 min

Choose your preferred format

Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SS: Hei og velkommen til Lørn. Tema i dag er cyber security, og navnet mitt er Silvija Seres. Min gjest i dag er Judith Rossebø fra ABB. Velkommen, Judith.

JR: Takk, takk skal du ha.

SS: Judith, vi skal snakke litegrann om hvordan cyber security er et fellesskapsprosjekt og hvordan man lager felles kjøreregler og noen eksempler på hvor det ikke har blitt gjort i tide. Vi skal snakke litt om hva ABB gjør av spennende ting innenfor dette området. Men før vi gjør alt det der så har jeg lyst til at du skal si to ord om hvem du er og hva du gjør.

JR: Ja. Så som sagt, jeg heter Judith Rossebø og jeg jobber med cyber security i ABB i CSI-gruppen.

SS: Som betyr?

JR: Cyber security og infrastructure, ikke sant. Du må også ha hele nettverk og samarbeid på tvers av nettverk og i tillegg til de forskjellige mekanismene man må ha på plass. Og i tillegg til den jobben jeg gjør der, der jeg jobber både mot kundene og internasjonalt i ABB og med eksterne ting, sant, som standardisering, så har jeg en 10 prosent stilling på Universitetet i Oslo, på institutt for teknologisystemer, og der underviser jeg om cyber security i industrielle systemer og trådløst nett.

SS: Ja. Og du er opprinnelig...?

JR: Jeg er opprinnelig amerikaner.

SS: Hvor er du fra?

JR: Jeg er fra Boston.

SS: Ah, digger Boston, jeg var mye der i min fasttid.

JR: Ja, riktig.

SS: Og ABB da, ABB jobber med store industrielle løsninger, og en del nettverk da.

JR: Ja, så vi jobber mye, kjenner systemene våre er på automasjon, industriell automasjon og digitalisering.

SS: Ja. Et av de områdene som Norge kanskje gjør ekstra godt også?

JR: Ja, det vil jeg si.

SS: Er det mye av dette her for eksempel, altså vi snakker om prosessindustri og det kan inkludere olje og energisystemer og...?

JR: Helt riktig, olje og strømnettet, og også forskjellige landbaserte systemer.

SS: Jordbruk?

JR: Vi jobber også i tunnelene faktisk, med automasjon av løsninger inni tunnelene.

SS: Hva skal man automatisere i en tunnel? Luft?

JR: Ja, luft, men også sensorer for å monitorere ting.

SS: Å, trafikksikkerhet for eksempel? Eller belysning?

JR: Ja, belysning eller miljø innenfor tunnelen kan sørge for at, man kan også varsle om det er noe utvikling til brann, det kan varsles i disse systemene. Så det er mye som–

SS: Og så kommer da cyber security på toppen av denne automasjonen? Hvorfor er det viktig?

JR: Nei, det er jo viktig fra dag . Hvis ikke du har bra sikkerhet på plass, så kan det være fare for hele infrastrukturen egentlig.

SS: Gi oss et eksempel med strømnett, hva skjer der?

JR: Ja, vi har jo det eksempelet i Ukraina i 2015, på lille julaften faktisk, der det var et angrep som ble forberedt i et halvt år, over et halvt år, tok de og de brukte fishing for å komme inn og overta systemene til de som er operatør for strømnettet, slik at da de utførte angrepet så var det total strømstans, og 225 000 mennesker mistet strøm i opptil seks timer på lille julaften, i Ukraina der det er ganske kaldt også, så.

SS: Kaldt og litt skummelt i forhold til sykehus og diverse.

JR: Riktig. Så det er et eksempel hvor de kunne hatt bedre sikkerhet på plass, og spesielt den standardisering jeg jobber med, som heter IC Sector 443, som en seriestandard for å sikre kontrollsystemet. Hadde de hatt på plass de nødvendige sikkerhetsmekanismene og rutiner og prosesser til et visst nivå, så hadde det angrepet ikke skjedd. Så det har man gått tilbake i ettertid og avansert det.

SS: Hjelp oss, hva er de viktigste konseptene i cyber security? Hvordan forklarer man det for folk?

JR: Det viktigste konseptet, ja, altså det handler om sikring av alt som kan være sårbart via IKT. Så det kan være for eksempel det som kjører ting på oljeplattform i Nordsjøen, eller så kan det rett og slett være i ditt hus. Ikke sant, routeren der data kommer inn og ut av huset ditt, og det kan også være i helsevesenet. For eksempel de som har pacemaker.

SS: Kan bli angrepet?

JR: Riktig.

SS: Det er skummelt.

JR: Det er skummelt også.

SS: Du nevnte for meg at det er en kombinasjon egentlig, av people, processes and technology. Hvorfor det?

JR: Jo, fordi når du vet at sikkerheten angriper alt som er sårbart med IKT og med dagens digitalisering, så knyttes mer eller mindre alt mulig opp mot IKT, eller sånne nettverk. Og da er det ikke en silver bullet, det er ikke én ting du kan gjøre, du må ha en kombinasjon av teknologi, mennesker og prosesser og rutiner på plass for å bygge opp sikkerheten på tvers av det du bruker IKT til.

SS: Ja. Du jobber i disse standardiseringskomitéene. Det er umulig å uttale forresten, chair of senelectec65x og chair of etecermtg41. Hva gjør dere der?

JR: Ja. Så den ene, da er det disse elektrotekniske standarder på europeisk nivå, så de tar de internasjonale standardene og klargjør dem for bruk på tvers av EU. Og den komitéen har med industrielle prosesser og instrumentering og alt sånne ting, og så automasjon, og så er det sikkerheten rundt det som også jobbes med der. Og safety, så hva heter det på norsk?

SS: Sikkerhet?

JR: Sikkerhet på en måte. Ja, så teknisk sikkerhet og cyber sikkerhet faller innenfor den kategorien.

SS: Hvorfor er det viktig å ha standarder?

JR: Nei, det er viktig for at vi skal kunne få til samarbeid på tvers.

SS: Samme kjøreregler, eller?

JR: Ja, hvis du tenker på du skal plugge inn din data, hvis du skal lade telefonen din, så må du jo ha en standardkontakt i veggen for å plugge inn telefonen, og så må du jo også ha en standardkontakt i telefonen for å kunne ja, så det å få ting til å snakke sammen på tvers, og for å få en felles forståelse for hva problemene er.

SS: Og nå blir det veldig mye behov for det med Internet of things og disse små pcer i alt rundt oss?

JR: Riktig. Og så er det viktig at en bevisst, eller en gjentagende prosess som du kan gjenta flere ganger og få gode resultater. Det er også et viktig mål med standardisering.

SS: Forutsigbarhet.

JR: Riktig, ikke sant. Så for eksempel man har en fellesstandard for risikostyring på tvers, og den er brukt i hele verden, og man skjønner da samme begrepene som ligger bak. Og basert på det så har vi da en måte å gjøre risikoanalyse innenfor industrielle systemer også, så det knyttes sammen.

SS: Ja, det jeg hører om Internet of things er at de store problemene er at de små chipene, altså de små pcene vi dytter inn i alle disse tingene, at man tar seg ikke råd da til å implementere det som er nødvendig for å skape nok sikkerhet. Hva betyr det egentlig?

JR: Og det er egentlig forskjellig fra industri til industri. Så for eksempel i mobiltelefoni, så hadde man sikkerhet fra bunnen av, rett og slett fordi telefonoperatørene kunne ikke tjene penger hvis ikke de hadde den chipen med sikkerhet, med nøklene i det, ikke sant. Mens andre ting så har man kanskje greid seg lenge uten å ha den chipen på plass, og så har miljøet endret seg, hvordan man bruker det instrumentet. For eksempel hvis du plutselig får nettverkskobling inn til den dingsen, og du ikke har forberedt deg på å få, du har ikke tenkt på den måten fra starten av. Plutselig står du i en industri som er bygget rundt å ikke ha det på plass, og så må du få det på plass.

SS: Da er det vanskelig.

JR: Da er det vanskeligere.

SS: Stappe sikkerhet inn i etterkant er veldig mye verre enn å starte sikkert.

JR: Ja, da må du lappe sammen og du må sette noen bokser foran og, ja.

SS: Du nevnte for oss Ukrainan Blackouts. Kan du nevne noen andre eksempler på angrep sånn at vi forstår hvordan blir man angrepet?

JR: Ja, og der vil jeg si at det er mange forskjellige typer trusselaktører i dag. Det fins gutten på gutterom, som kanskje – eller jente på soverom – som hacker seg ut og prøver å bruke oppskrifter.

SS: Av én eller annen grunn tenker vi på menn, men det er ikke nødvendigvis sant.

JR: Nei. Så de finner oppskrifter på nett og bare prøver seg frem, og de kan gjøre en del ting, men det er ikke så farlig. Men så har du disse nationstate type trusselaktører som fins i dag, sånn som for eksempel sannsynligvis lå bak det som skjedde i Ukraina.

SS: Og ingen tør å si navnet, men alle tror at de vet.

JR: Riktig, riktig. Og de har enorme ressurser bak seg. De har mennesker, de har kunnskap og de har muligheter til å utføre disse ting.

SS: Og regnfrakk.

JR: Ikke sant.

SS: Og der var det Stuxnet som et sånt eksempel.

JR: Riktig, det er det første eksempelet vi har på et–

SS: Hva skjedde med Stuxnet, sånn veldig, veldig overordnet?

JR: Ja, det som skjedde, eller det som var målet var å forsinke kjerne...

SS: Kjernekraft?

JR: Nei, ikke kjernekraft, men den bomben...

SS: Reaktoren?

JR: Reaktorene til Iran, det programmet de jobbet med. Så målet var å forsinke prosessen ved å utvinne uranium. Og det greide de, de greide å forsinke det med to år. Så de gikk inn rett og slett og endret på kontrollalgoritmene som gjør at sentrifugene spant ut av kontroll da.

SS: Ble det for varmt og så måtte man stenge ned hele greia?

JR: Nei, de bare ødela, de ble ødelagt. De måtte komme inn med nytt utstyr egentlig. Så det forsinket hele opplegget. Men det ble kjent, eller problemet var at det kom ut, så egentlig skulle det bare være inni det landet, men ikke sant, vi vet, viruset beveger seg rundt, også med mennesker, ikke sant. Hvis du går på flyet og lander i Amerika, og du har med deg viruset, så kan du smitte folk der. Og det er tilsvarende med data. Hvis du tar med deg en datamaskin fra et land til et annet, og plugger den inn, så begynner det viruset å spre seg ut i dataverden der.

SS: Ofte er menneskene den største bugen da.

JR: Ja, riktig. Helt riktig.

SS: Tar med seg en sånn USB-stick som man har funnet et sted og av nysgjerrighet skal finne ut hva som er på den. Og da har man gjort det.

JR: Mm.

SS: Altså du er litt sånn som meg, flyttet inn her for flere grunner. Én av dem er at Norge er så utrolig faglig dyktig. Hva syns du vi er ekstra gode på i Norge, innenfor det som relaterer til ditt fagfelt?

JR: Ja, jeg syns vi har veldig gode fagmiljøer i Norge, både innenfor det private og da tenker jeg på Telenor og ABB og lignende leverandører, og så Equinor. Og så man har jo stor respekt for faget, og så har man bygget opp kompetanse i mange år nå. Så den gruppen jeg jobber med i ABB, vi er 25 stykker faktisk, som jobber med cyber security.

SS: Så bra.

JR: I Norge. Viktig. Ikke sant, hovedkjernen av oppgavene er i Norge. Men med 25 stykker da, sier seg selv, vi jobber med mye forskjellige ting, fordi det er så mye som må gjøres for å sikre våre eksisterende kunder, systemer og masse andre ting. Men også det offentlige, NSM og Norset (?) og Kraftset (?), de har også bygget opp veldig spennende, gode fagmiljøer. Også Forsvaret.

SS: Som har som jobb å på en måte overvåke og finne mulige angrep og...

JR: Helt riktig.

SS: Et slags filter.

JR: Ja, så for eksempel NSM har jo sensorer rundt om i landet som passer på kritisk infrastruktur, får med seg hva som skjer og om det kommer inn angrep og ting som...

SS: Mm. Hvis du skulle legge en liten type tanke eller sitat igjen som en gave til våre lyttere, hva ville det vært?

JR: Ja, det var vanskelig. Altså den enkleste å si er there is no silver bullet, men den er veldig kjent. Men jeg fant, jeg tenker også på et sitat fra Barack Obama, så han var altså veldig flink til å satse kurs mot å jobbe veldig i cyber security i USA, så det ble mye gjort under hans administrasjon.

SS: La oss ta den på engelsk, fra din amerikanske president.

JR: Ja, det kan jeg gjøre. Skal jeg korte den ned?

SS: Nei, bare les hele, syns den er nydelig.

JR: So traditionally, when we think about security and protecting ourselves, we think in terms of armour or walls. Increasingly, I find myself looking to medicine, and thinking about viruses, antibodies. Part of the reason why cyber security continues to be so hard, is because the threat is not a bunch of tanks rolling at you, but a whole bunch of systems that may be vulnerable to a worm getting in there. It means that we've got to think differently about our security, make different investments that may not be as sexy, but may actually end up being as important as anything.

SS: Flink, han!

JR: Ja!

SS: Hva syns du folk skal huske fra vår samtale? Du sa det er ikke enkelt og det er ikke noen silver bullet. Er det noe liksom peker vi kan gi dem?

JR: Ja, jeg vil si at den største trusselen er uvitenhet. Og det er viktig at alle lærer om cyber security, lærer hva som er viktig for deg, for at du skal best sikre deg og sikre dataen din.

SS: Kunnskap er viktigste forsvar.

JR: Kunnskap er viktigste forsvar.

SS: Ja, det likte jeg veldig godt. Judith Rossebø fra ABB, tusen, tusen takk for at du kom og inspirerte oss om cyber security.

JR: Takk, tusen takk at jeg fikk komme i dag. Det var spennende.

SS: Og takk til dere som lyttet.


Du har lyttet til en podkast fra Lørn Tech, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider, lørn.tech.


Hvem er du, og hvordan ble du interessert i cyber security?

Jeg heter Judith Rossebø og jobber med Cyber Security i ABB i CSI-gruppen. Jeg jobber også ved Instituttet for teknologistudier på UiO, der jeg har en 10 %-stilling som foreleser i et kurs på Masternivå. Jeg ble interessert i cyber security gjennom jobben og utdanningen min (Cand.Scient. i matematikk og doktorgrad i telematikk).

Hva gjør dere på jobben?

Vi jobber med alle aspekter relatert til cyber security i ulike prosjekter. I tillegg jobber vi med utvikling av nye løsninger og standardisering.

Hva er de viktigste konseptene innen cyber security?

Cyber security må sees på som et samarbeidsprosjekt og er en kombinasjon av mennesker, prosesser og teknologi. I forbindelse med dette er «Defense in Depth» et svært viktig konsept – å ha riktig kombinasjon av teknologiske mekanismer for å sikre systemene, gode prosesser og prosedyrer, og de riktige menneskene med god kunnskap om sikkerhet.

Hva synes du er de mest interessante utfordringene?

Den største utfordringen er uvitenhet. Det er svært viktig å øke kunnskapsnivået i alle ledd (helt fra grunnskolen av). Manglende kontroll på cyber security truer kritiske virksomheter og samfunnsfunksjoner.

Dine egne prosjekter innen cyber security?

Jeg jobber blant annet i standardiserings-komiteer for å utvikle cyber security-standarder for IACS.

Har du noen eksempler på virksomheter som har hatt utfordringer med cyber security, internasjonalt og nasjonalt?

Noen viktige eksempler på «lessons learned» er Stuxnet, Ukrainian Blackouts (des. 2015 og des. 2016) og Mærsk. Nasjonalt finnes det for eksempel problemer som har oppstått på grunn av outsourcing (der produksjonsanlegg i Nordsjøen kunne ha blitt stengt ned). I tillegg har bankene og helsevesenet gått på noen smeller.

Hvordan pleier du å forklare cyber security?

Det avhenger av hvem jeg snakker med. Studentene mine får en grundig innføring i hva det betyr, men snakker vi helt generelt, sier vi at «cyber security dreier seg om sikring av alt som er sårbart ved bruk av IKT».

Er det noe vi gjør i Norge som er unikt?

Vi har eksperter med høy kompetanse innen og god kunnskap om teknologi. I tillegg har vi gode fagmiljøer, både innenfor det private (for eksempel Telenor, Equinor og ABB) og det offentlige (for eksempel NSM, NorCERT og KraftCERT), samt høy bevissthet om personvern.

Viktigste poeng om cyber security fra samtalen vår?

Cyber Security er viktig – det er noe som alle kan lære om og være med på å utvikle, slik at vi kan bli tryggere. Dette er noe som krever samarbeid.

Judith Rossebo
Cyber Security Specialist
ABB
CASE ID: C0210
TEMA: CYBERSEC AND COMPLIANCE
DATE : 181218
DURATION : 16 min
YOU WILL LØRN ABOUT:
Cyber Security (CS)Sikkerhet
QUOTE
"Cyber Security dreier seg om sikring av alt som er sårbart ved bruk av IKT. Den største utfordringen er uvitenhet, derfor er det svært viktige å øke kunnskapsnivået i alle ledd. Manglende kontroll på CS truer kritiske virksomhet og infrastruktur."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0213
CYBERSEC AND COMPLIANCE
Cybersikkerhet

Anders Strangstad

Head of Information Security Operations

HYDRO