Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

Vegard Guttormsen: Hei, dette er Lørn, og mitt navn er Vegard Guttormsen. Tema i dag er cyber security, og min gjest er Anders Strangstad. Velkommen. 

Anders Strangstad: Takk for det.

Vegard: Kan ikke du begynne litt innledende og fortelle litt om hvor du kommer fra og bakgrunnen din innenfor cybersikkerhet?

Anders: Ja. Jeg er en positiv sjel fra en liten bygd oppe i Gudbrandsdalen. Glad i teknologi, glad i mennesker og liker egentlig å jobbe i grensesnittet der teknologi og mennesker møtes. Har om lag 20 års erfaring fra Forsvaret, jobbet med alt mulig av IT og kommunikasjon, kommunikasjonsteknologi. Og i løpet av de siste årene i Forsvaret så hadde jeg også gleden av å lede kanskje et av Norges største kompetansemiljø innenfor nettopp nettverks- og kommunikasjonsteknologi. Så i alle de årene i Forsvaret så lå sikkerhet meg veldig nært, men jeg hadde det ikke som dedikert, kall det fagfelt som sådan. Men jeg fikk en mulighet til å begynne hos Norsk Hydro for to år siden, hvor jeg da gikk over på cyber security. Det har fenget meg veldig, og jeg fikk en mulighet som jeg ikke kunne si nei til da. Det er to år siden, og i løpet av de to årene så har jeg vært så utrolig heldig å jobbe med ekstremt mye bra mennesker, både internt i Hydro, men også med partnere og andre virksomheter også, hvor jeg har lært ekstremt mye. Og det som er kanskje ekstra spennende med cybersikkerhet at det er kanskje et av de, kall det teknologiområdene, og så er det mye mer enn teknologi, det kommer vi tilbake til etter hvert, men det krever ekstremt godt samspill mellom både mennesker, prosesser og teknologi. Og det er liksom i det domenet da, at–

Vegard: På hvilken måte da?

Anders: Nei, altså, det er mye du kan løse ved å putte gode teknologiske løsninger som er med på å sikre for eksempel nettverkene våre. Men hvis du ikke har folk som klarer å forstå de dataene som den teknologien på en måte gir deg da, og har gode prosesser for hvis noe skjer, at du klarer å detektere og håndtere ting både raskt og effektivt og med høy kvalitet, så hjelper det ikke hvis du har kjempegod teknologi. Du må på en måte ha det andre ved siden av for å få maksimal effekt ut av det. Og så er det viktig at det er jo, uten brukere av teknologi så har jo heller ikke teknologien så mye verdi. Så det er også viktig å ha brukerdimensjonen med seg når vi snakker om sikkerhet. Det er brukerne våre som er, kall det den største, kall det risikoen kanskje, men også den største, kall det enheten da, som vi har, gjennom at de må ha stor årvåkenhet, bruke systemene på en god måte og så videre. Så det er veldig mange aspekter som er veldig viktige innenfor, kall det en god cybersikkerhetshygiene, da.

Vegard: I Forsvaret så stod det alltid på telefonen i gamle dager «Du taler, hvem lytter?» Det dreier seg jo om noe adferdsmessig hos den enkelte, at vi må være bevisste på hvilken informasjon vi deler, og så videre og så videre. Hvordan gjør man det i privat næringsliv?

Anders: Det handler mye om det samme der óg. Igjen da, hvor brukeren er jo ansvarlig for sin adferd, må forstå hva er det jeg nå behandler av data, eksempelvis, hvilken verdi har det for virksomheten? Er det eksempelvis ja, finansielle rapporter før de har gått på børs, ikke sant, som er veldig sånn intern, konfidensiell informasjon. Eller er det rett og slett en invitasjon til en social gathering på lørdag? Sant, så det å vite hva slags informasjon du håndterer, og hvordan den informasjonen skal sikres i hele sitt livsløp, er ekstremt viktig da. Og da være også bevisst på hvilke teknologitjenester er det som er greit å bruke for de forskjellige tingene, hvor skal ting lagres, kan ting sendes som e-post, som eksempel. Så det å ja, både kjenne til hvilke data er det jeg behandler, hva er risikoen rundt de dataene og hvordan kan jeg på en måte behandle de dataene på en god måte, da. Det tror jeg er viktig i det. Så Forsvaret var kanskje tidlig ute, men jeg tror mange av de prinsippene som de også har levd med i mange år er på en måte gjeldende den dag i dag. Bevissthet, ansvarliggjøring hos den enkelte.

Vegard: Altså begrepet cybersikkerhet, det har jo blitt liksom überhot de senere årene. Hvordan skilles det seg i din bok da, fra å liksom tradisjonelt, altså vi har jo hørt om sikkerhet, men hva skiller cybersikkerhet fra tradisjonell sikkerhet, konvensjonell sikkerhet?

Anders: Det er jo kanskje at, kall det cyber da, det er jo et veldig sånn fluffy begrep i seg selv, men hvis vi ser på fysisk sikkerhet da, så er det ofte veldig avgrenset til en entitet av noe slag, altså det har noen ytre rammer. Det kan være et bygg eller en militærleir eller ikke sant, det kan være en by eller det kan være liksom, men kall det geografisk definert. Mens cyber er globalt, det finnes på en måte ingen grenser. Du kan gjerne sette opp en brannmur og tro at du har en grense, men det er kanskje bare en port med en dårlig lås. Så gjennom å koble seg på nett, digitalisere, være, kall det always online da, så er du en del av det her cyberdomenet, som gjør at du også er sårbar på en helt annen skala, enn for eksempel et angrep mot en fysisk installasjon da. Så jeg tror det er kanskje det som skiller først og fremst. Og så er det jo også, kompleksiteten i cyber også er jo bare større og større. Vi kobler mer og mer ting inn, alt skal digitaliseres og vi putter sensorer på kjøretøyene våre, ikke sant, på menneskene etter hvert, alt skal kobles sammen. Så det gjør jo også at, kall det angrepsflaten da, og risikoen for å på en måte bli utsatt for noe i cyber er stor. Og det kan være alt fra ja, kall det uhell. Altså en driftsoperatør som gjør noe feil, eller en teknologi som feiler, til avanserte angrep fra nasjoner som har en politisk agenda. Så på en måte risikobildet her er kjempebredt, og det er viktig også å forstå hva er risikoen mot oss, som selskap da, hva er våre verdier, hvem er trusselaktørene som vi må ta hensyn til, hvordan er systemene våre sin helsetilstand, har vi mange sårbarheter som vi må håndtere og så videre. Så det å ha en helhetlig forståelse av det her er kjempeviktig. Og så tror jeg det er viktig også å dra fram det at cybersikkerhet kanskje først og fremst handler om kultur og holdninger, og modenhet. Teknologi i seg selv hjelper oss veldig mye, men hvis vi ikke har en god kultur og en modenhet i organisasjonen så tror jeg vi feiler på cybersikkerhet og, som vi antageligvis feiler innenfor alle andre områder innenfor en virksomhet. Så teknologi er bare én av bærebjelkene da, sammen med kultur, ja, teknologi, prosesser og mennesker da, er veldig viktig. Menneskene er kjempeviktige der.

Vegard: Og i dette bildet da, hvor man har, og du representerer jo en industrivirksomhet med en ekstremt lang tradisjon. Og noen av disse systemene er sikkert eldre enn deg og meg, og så skal disse på en eller annen måte få form og fasong, skal digitaliseres i en eller annen form og fasong. Altså hvordan i all verden skal man sikre seg, da? Altså hvordan greier man i dette bildet du tegner, hvor trusselaktører øker, mer og mer kommer online og blir digitalisert, informasjon skal deles og skapes og så videre og så videre. Hvordan i all verden skal virksomheter passe på greiene?

Anders: Ja, det er jo egentlig litt av de, kall det kontroversene som vi ser i dag, da. For cybersikkerhet og har jo vært der i noen år allerede, som et begrep, men kanskje primært fokusert rundt tradisjonelle IT-systemer, altså det vi sitter i når vi skriver i Word og sender e-post. Men kanskje det som er ekstra viktig å sikre og ha god kontroll på, er jo nettopp våre produksjonssystemer, de som faktisk gjør at de skaper verdi i en organisasjon. Og det er jo, som du nevner her, Vegard, mange av de systemene er jo kanskje levert allerede på 80-tallet, ikke sant, står der og putrer og går og har funka alltid.

Vegard: Kanskje ikke leverandøren eksisterer lenger.

Anders: Nei, ikke sant, og har noen IT-komponenter som vi kanskje i dag putter noe nytt på utsiden. Sant, vi kobler på noe sensorer, vi kobler kanskje, enkapsulerer der inn i et eller annet som gjør at det kan kommunisere og pushe data opp på Internett, og med én gang så er det da kobla på nettverket, ikke sant. Og når vi da har gamle løsninger som det ikke finnes sikkerhetsmekanismer for, så må vi også finne andre løsninger for å håndtere det. Hvis du tar Norsk Hydro da, konsekvensen av at et produksjonssystem på et smelteverk påvirkes, er jo enorme. Da snakker vi altså flere hundre millioner nødvendigvis, i en negativ kostnad. Mens hvis vi blir på en måte kompromittert på en e-post, så er jo, ja, vi kan snakke om store kostnader der og, men ikke i samme nærhet da. Så jeg tror det er viktig å igjen fokusere på risiko, og sette inn innsatsen der hvor konsekvensene kan være størst for virksomheten. 

Vegard: Så hvordan gjør man det konkret i en virksomhet som din, da?

Anders: Nei, det handler jo egentlig om å igjen starte med en type kartlegging, forstå teknologilandskapet vårt, forstå hvordan virksomhetsprosessen er avhengig av teknologien, hvilke virksomhetsprosesser som er viktigere enn andre, hvordan teknologien brukes og gjøre en risikoanalyse av det. Og da blir det å på en måte iverksette tiltak for å minimere den risikoen. Det kan være at vi må bytte ut hele systemer, det kan være at vi må drive brukeropplæring, det kan være at vi kan eksempelvis sette inn sikkerhetselementer som for eksempel ja, vi kan koble systemer av nett. Og implementere gode driftsrutiner som et eksempel. Så det kan være masse forskjellig her, det kan også være at vi kan putte sikkerhetskapabilitet på toppen, gjøre oss i stand til å detektere for eksempel avvik, hendelser som også skjer i produksjonsnettene våre. Som et eksempel at et et styringssystem plutselig begynner å sende unormale parametre til et produksjonssystem, er sånne ting som man burde oppdage. For det er da en anomali som vi må verifisere, er det faktisk riktig at vi skal endre den parameteren, eller er det ikke. Så jeg tror det å ha et mye dypere innblikk i også produksjonssystemene er kritisk for virksomheter som Norsk Hydro og andre som driver ja, alle driver jo med en eller annen form for IoT og digitale verdikjeder i dag. Så å ha kontroll på dem tror jeg er kjempeviktig for å overleve da.

Vegard: Opplever du at selskapers styrende organer, som styre, CEO og så videre, at de stiller seg veldig bak type disse tingene du nevner, eller er det av og til vanskelig å få gehør?

Anders: Det er litt sånn todelt tror jeg. Jeg tror nok kanskje i Norge generelt så har styrene fått mer fokus på cybersikkerhet i det siste. Det har jo vært veldig mange saker som har fått høy medieoppmerksomhet. Vi husker Wannacry i fjor, vi husker Maersk, hvor Maersk nesten gikk ut av markedet på grunn av en tilfeldig cyberhendelse for så vidt, som traff dem, hvor det var vel mer eller mindre bare flaks at de klarte å reetablere alle sine systemer etter den hendelsen. Så det har vært veldig fokus på det i tema, og det har vært veldig satt på agendaen hos styrene. Så det gjør at det kanskje skaper store forventningene, store ambisjoner på cybersikkerhet i selskapene. Men så tror jeg fortsatt det mangler litt på kompetansen i virksomheter til å omsette det til faktiske aksjoner, i forhold til ja, anskaffelse av nyere, smartere teknologi som kan hjelpe oss i å detektere mer, hjelpe oss i å analysere mer data. Jeg vet at det har vært mange podkaster her rundt big data, det gjelder samme innenfor sikkerhet. Vi må samle inn så mye data som mulig, være i stand til å forstå dataene og analysere dem, og helst agere på dem og ikke reagere på dem, er veldig viktig. Men jeg tror nok mange norske selskaper har litt igjen å gå fra å omdanne ambisjonene som settes av styret til faktiske aksjoner da, i virksomheten. I forhold til investeringer, i forhold til å finne de rette folka og utvikle gode prosesser og skape et engasjement og kall det et felles eierskap til cybersikkerhet i hele selskapet, da. Det er et felles ansvar da, kollektivt ansvar. Det er ikke bare noe han der sikkerhetssjefen som sitter på hjørnekontoret nede i kjelleren skal holde på med, det er noe som vi må på en måte integrere i hele selskapet vårt, da.

Vegard: Men der ligger kanskje noe av vanskeligheten også, fordi at ting som er kollektivt ansvar, da blir fort det ansvaret veldig pulverisert, og distribuert på veldig mange. Og det å da få hver i sær til å skyte fra brystkassa og si at her tar jeg min del av jobben, det er kanskje vanskelig. Og da er spørsmålet fra en sånn fagekspert da, innenfor sikkerhet, altså hvordan greier du å forklare cybersikkerhet til type ulike stakeholders, det være seg styre eller ledelse eller fabrikksjefen eller andre som kan oppfatte at dette er en utidig innblanding i deres strategi eller hvorfor i all verden skal jeg bruke tid og penger på dette, vi har jo allerede XY-sett, du ba jo om penger i fjor til dette, hva det nå enn måtte være. Altså hvordan forklarer du cybersikkerhet til den type, hva skal man si, lekmenn, og lekkvinner?

Anders: Ja, det er nok en, det er et godt spørsmål, og det er egentlig en stor utfordring også. For jeg tror mange av de som kommer fra cybersikkerhet og har jobbet med det i mange år er veldig, de er veldig tekniske, det er veldig vanskelig å omsette alle tankene i hodet da, til noe som forretningen forstår. Så jeg tror det er en litt sånn der endring også på kompetanse og kommunikasjon som er viktig hos oss som jobber med cybersikkerhet for å nettopp være i stand til å nå ut til beslutningstakere på en måte som de forstår da. Så det er noe vi må jobbe med tror jeg også litt sånn kollektivt, vi som er litt sånn nørds innenfor området da. Men jeg tror primært det handler om å slutte å bruke type fagbegreper, men å snakke språket som virksomheten snakker. Skal du snakke med en finanssjef så må du snakke hans språk, skal du snakke med en operasjonssjef så må du snakke hans språk. Så det gjelder å forstå hvem målgruppa er og prøve å tilpasse budskapet da, basert på det. Så ikke noe fasitsvar, men jeg tror mye handler om kommunikasjon da, og at man må være bevisst på det.

Vegard: Jeg syns det var gode svar jeg, Anders. Og litt sånn oppsummert, det jeg tar med meg fra denne samtalen er jo at du sier at det dreier seg veldig mye om menneskene, individene, og forståelsen av og læring og trening og bevisstgjøring. Det dreier seg om å velge teknologi som er innovativ og som gir muligheten til å samle mest mulig data og analysere dette gjerne i sanntid på en måte, og skape et forståelig bilde av hva som faktisk foregår. Og så er det til syvende og sist prosesser og kommunikasjon som skal smøre hele dette maskineriet, for at vi er så godt skikket som overhodet mulig mot den trusselen som er økende der ute. Nå avslutningsvis, er det noen ting du vil trekke frem i kongeriket som fra et sikkerhetsståsted som er veldig positivt?

Anders: Ja, det som jeg kanskje har sett en endring på de siste årene, kanskje fire-fem siste årene, er jo en økt åpenhet i Norge rundt sikkerhet generelt og cybersikkerhet implisitt, da. Økt fokus på å dele erfaringer, dele kompetanse. Vi ser at både e-tjenesten og PST kommer nå med åpne risikovurderinger som de publiserer, det finnes gode nettverk, det finnes gode arenaer for kompetanse- og erfaringsutveksling. Og de som jobber innenfor cyber, vi er liksom alle kolleger, det er ikke noe konkurranse mellom virksomheter rundt cyber. Ja, vi skal rekruttere de samme menneskene for så vidt, men vi er veldig åpne og deler hvis vi har hatt en hendelse hos oss, så kan vi dele den med andre, sånn at de unngår å gå på eksempelvis den samme smell hos seg, da. Så det tror jeg også er viktig i det her. Og så tror jeg det er viktig å huske på at brannmur og antivirus aldri har vært tilstrekkelig, men det har blitt bare enda enklere for en avansert angriper da, å omgå dem. Så vi må tenke nytt, vi må se på nye kapabiliteter, vi må ha smartere, mer avansert teknologi, vi må ha smartere, mer kompetente mennesker og vi må øve og trene. Vi må skape en større motstandsdyktighet i organisasjonen, og vi må øve og trene på det hele tiden. Så det tror jeg er viktig. Og så tror jeg det er viktig at vi ikke kan gjøre sånn som Maersk da, eller de hadde gjort ekstremt mye bra, men de hadde egentlig veldig flaks. Vi kan ikke stole på flaksen, vi må gjøre ting systematisk, strukturert og målretta. Så ja, det er vel budskapet.

Vegard: Veldig bra. Takk, det er bra budskap, Anders. Takk for innspillene. 

Anders: Og takk til dere som lyttet, takk for at jeg fikk være med.

Du har lyttet til en podkast fra Lørn Tech, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider, lørn.tech.