LØRN case C0225 -
LØRN. ENTERPRISE

Bjørn Richard Watne

Sikkerhetssjef

Storebrand

Tre dimensjoner av sikkerhet

I denne episoden av #LØRN snakker Sunniva med Sikkerhetssjef i Storebrand, Bjørn Watne, om de viktigste konseptene innen informasjonssikkerhet og informasjonssikkerhet vs. datasikkerhet. Gjennom podcasten lærer vi hvordan det for eksempel er mulig å hacke et selskap gjennom et aircondition-anlegg, og Silvija og Bjørn diskuterer og definerer forskjellen i begrepene informasjonssikkerhet og datasikkerhet.
LØRN case C0225 -
LØRN. ENTERPRISE

Bjørn Richard Watne

Sikkerhetssjef

Storebrand

Tre dimensjoner av sikkerhet

I denne episoden av #LØRN snakker Sunniva med Sikkerhetssjef i Storebrand, Bjørn Watne, om de viktigste konseptene innen informasjonssikkerhet og informasjonssikkerhet vs. datasikkerhet. Gjennom podcasten lærer vi hvordan det for eksempel er mulig å hacke et selskap gjennom et aircondition-anlegg, og Silvija og Bjørn diskuterer og definerer forskjellen i begrepene informasjonssikkerhet og datasikkerhet.
Facebook
Twitter
LinkedIn
Email

20 min

Choose your preferred format

Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SR: Hei, du lytter til Lørn. Tema i dag er informasjonssikkerhet. Jeg heter Sunniva Rose og med meg har jeg Bjørn Watne som er sikkerhetssjef i Storebrand. Velkommen hit til Lørn.Tech.

BW: Takk for det.

SR: Aller først, hvem er du og hvordan har du blitt interessert i informasjonssikkerhet og hvordan har du endt opp som sikkerhetssjef i Storebrand?

BW: Det er litt tilfeldigheter. Jeg er sørlending opprinnelig, litt slepen dialekt nå, men har bodd i Oslo siden 2004. Jeg er i utgangspunktet utdannet dataingeniør på slutten av 90-tallet. Da var det ikke noe som het sikkerhet i pensum.

SR: Var det ikke det?

BW: Nei, vi lærte å utvikle, reparere og bygge datamaskiner men ingenting rundt sikkerhet, det var ikke en del av pensum. Så begynte jeg å jobbe for et oppstartsselskap som hadde som ambisjon å drive med sikkerhetsovervåkning som en tjeneste for virksomheter i Norge.

SR: Sikkerhetsovervåkning, hva ligger i det?

BW: Det vi gjorde var å se på datatrafikken som gikk inn og ut av bedriftens nettverk mot internett, og så så vi etter mønstre i trafikken som kunne indikere, informasjonslekkasje, tyveri, spionasje. Det var jo veldig spennende selvfølgelig, det var litt sånn James Bond agent preg over det. Jeg begynte da å jobbe med informasjonssikkerhet med en bakgrunn i datakommunikasjon. Så har det bare gått videre og videre, og nå kan du ta både bachelor, master og professorgrad i informasjonssikkerhet.

SR: Man ser vel på informasjonssikkerhet som relativt viktig vil jeg si.

BW: Ja, det er blitt sånn nå.

SR: Hva gjør du i Storebrand?

BW: Vi er med på laget om å gjøre Storebrand til et sparekonsern i verdensklasse som konsernsjefen sier. Vår jobb er mye å jobbe med risiko. Det er klart at vi har en risikoappetitt, vi har et nivå som vi på en måte aksepterer.

SR: Når du sier risiko, snakker du om risiko i sikkerhet, eller andre områder?

BW: Storebrand har mange ulike typer risiko; finansiell risiko, operasjonell risiko. For min del går ansvaret på informasjonssikkerhet, cyber risk. Der er det slik at vi er underlagte en rekke lover og regler, krav til finansvirksomhet for å kunne drive bank og forsikring. Da har vi også et tak på hvor stor risiko innenfor cyber som vi ønsker å ta på oss.

SR: Så det kan man måle?

BW: Ja, man kan for eksempel si at alle datamaskiner må være kryptert, slik at om du mister datamaskinen din når du er ute på tur så er det ingen som kan lese det som ligger på disken. Hadde den ikke vært kryptert, så måtte vi passet mye bedre på den og da hadde risikoen hadde vært høyere om den ble tapt. Så vi implementerer en masse risikoreduserende tiltak og følger opp disse slik at vi er sikre på at vi ikke løper for høy risiko noen veier.

SR: Nå føler jeg at jeg kommer med dumme spørsmål her, men hva vil det si at det er kryptert? Gjelder dette alles datamaskiner? For eksempel hvis jeg er ute og reiser, skal til USA og må gi fra meg datamaskinen. Jeg har jo et passord på maskinen min, men, la oss si jeg må gi den fra meg og må gi fra meg passordet mitt, ellers kommer jeg ikke inn i landet. Da kan man vel se alt jeg har om man får passordet mitt?

BW: Det stemmer. Det er slik at du dekrypterer når du skriver inn passordet. Men uten å få passordet så vil de bare se sludder og vås.

SR: Skjønner.

BW: Sånn sett har de alle dataene, men det er umulig å se hva dataene betyr. Så det er ikke så farlig om du mister dem.

SR: Nettopp. Hva vil du si er de viktigste konseptene i informasjonssikkerhet?

BW: Vi jobber jo i tre dimensjoner. Informasjonssikkerhet det defineres som regel rundt konfidensialitet, integritet og tilgjengelighet. Det første gjelder at informasjonen skal sikres og den skal kun være tilgjengelig for de personene som trenger å se den. I Storebrand så har vi veldig mye helseopplysninger i forbindelse med forsikring, og vi har mye finansielle opplysninger.

SR: Det er både helse og finansiell som er ekstra strengt?

BW: Ja, og da er det viktig at vi sikrer konfidensialitet slik at ikke disse dataene leses av uvedkommende. En annen ting er integritet, det vil si at informasjonen skal være korrekt. Det er også veldig viktig at kommaet på kontoen din ikke har flyttet seg et hakk til høyre eller venstre, så det er også en ting vi jobber med i informasjonssikkerhet. Også er det tilgjengelighet, at informasjonen er mulig å nå for dem som trenger den når de trenger den. Det er typisk i forhold til aksjehandel for eksempel, da må de som kjøper og selger aksjer i Storebrand ha informasjonen sin tilgjengelig for å kunne gjøre det på en effektiv måte.

SR: Du bruker konsekvent ordet informasjonssikkerhet og ikke datasikkerhet. Er det forskjeller her?

BW: Ja, det vil jeg si. Det er en litt sånn fanesak for meg, akkurat det der. Det er mange som ser på datasikkerhet eller it-sikkerhet som noe som fikses. Altså IT har jo ansvar for det, men sånn er det ikke. For du som ansatt eller forvalter av informasjonen, det er du som har ansvar for at du gjør det på en sikker måte. Det er klart at IT, teknologi, det er verktøy som kan hjelpe deg i den jobben, men hvordan du jobber og din bevissthet rundt det er vel så viktig. Et eksempel er hvis vi har ansatte i Storebrand som mottar epost med virus, så er det viktig at den ansatte skjønner at «her et det et virus, dette må jeg ikke kjøre i gang på min egen maskin». Så vi må jobbe både med den bevisstgjøringen, vi må jobbe med gode prosesser som sikrer at vi har en kontrolldokumentasjon på det som skjer, også har vi selvfølgelig en god del teknologiske løsninger slik som antivirus til å hjelpe oss. Informasjonssikkerhet er mer enn teknologien, den har med bevisstheten å gjøre.

SR: Det er ganske viktig, de ansatte har stort ansvar. Det holder ikke bare å si «dette er ditt ansvar», for du må jo ha kunnskapen for å ta det ansvaret.

BW: Det stemmer, og det er vår rolle å sørge for at vi lærer opp og istandgjør den ansatte til å ta disse valgene.

SR: Stemmer. Men det handler om datamaskiner, det er der du holder på med informasjonssikkerhet?

BW: Det også, men for eksempel til og fra jobb, hvordan og hva snakker du om når du sitter i telefonen på bussen eller toget, hva kan du si og ikke. Det at noen ringer inn og sier at de er fra IT-avdelingen og skal gi deg nytt passord, kanskje ber om ditt nåværende passord for å sjekke at det er riktig. Det har ikke mye med datamaskiner å gjøre, men hvis du da gir passordet fordi du tror det er IT-avdelingen men egentlig noen andre. Det har mye med bevissthet å gjøre.

SR: Ja, vi kan vel egentlig bare si det, just in case, at om noen ber deg om å sende passordet ditt så bør du aldri gjøre det. Det ville aldri IT-avdelingen gjøre.

BW: Nei, veldig sjeldent, så sjekk med sjefen eller en kollega.

SR: Hvorfor er det spennende å jobbe med informasjonssikkerhet?

BW: For det første så er det blitt så veldig viktig. Vi digitaliseres nå, hele samfunnet, og hvordan vi sikrer informasjon og identitet er blitt ekstremt viktig. Det er selvfølgelig noe som gjør det interessant. Så er det også det med utviklingen, at det går så fort og vi har jo mange eksempler på hvordan kriminelle tenker ut av boksen og gjør ting på veldig rare måter. Vi som da skal prøve å stoppe dem og oppdage dem må jo være like kreative for å møte dem. Det gjør at det hele tiden er en dynamikk og nyskapning, og noe spennende i det for meg som ingeniør i alle fall.

SR: Det skjønner jeg absolutt. Er det noe som er negativt eller noen kontroverser rundt informasjonssikkerhet?

BW: Ja, veldig mye går jo på tillit og det er interessant. Datatilsynet for eksempel, har sagt at det er veldig greit å ha god informasjonssikkerhet uten å ha godt personvern. Men du kan ikke få godt personvern uten å ha god informasjonssikkerhet i bunn. Du kan se på det som at, vi har en god del verktøy vi som jobber med informasjonssikkerhet som gjør det mulig for oss å sikre data og spore inntrengere. Hvis vi bruker disse verktøyene på feil måte så kan det absolutt true personvernet. Det er en kontrovers. Så vi må jo få den tilliten og være veldig transparente med hvordan vi bruker verktøyene våre, dokumentere det vi gjør og være åpne rundt det.

SR: Dette er litt overfladisk kanskje, men man har jo brukerne, altså de ansatte som vil at ting skal være sikkert, men heller ikke vil at det skal være mye styr rundt det heller. Om man må gjøre mange ting blir vel sannsynligheten større for at man tar snarveier. La oss si at du må bytte passord en gang i uka, da vil jeg tro at da blir man nødt til å skrive det ned isteden.

BW: Det stemmer, det er også et veldig viktig poeng. Sikkerheten må hele tiden ses opp imot brukervennligheten. Folk er der for å gjøre en jobb. Vår jobb er sikkerheten og andre har andre jobber, så vi må sørge for at vi har det relevant og på et nivå som gjør at folk faktisk tar det i bruk.

SR: Nå er det også en utfordring, det er jo bra å ha noen utfordringer også.

BW: Ja, nå er det nasjonal sikkerhetsmåned hver oktober. En av gavene som vi hadde til de ansatte i Storebrand var at vi endret vårt passord policy fra å være hver 30 dag til hver 90 dag.

SR: Og jeg som synes det var slitsomt på universitetet når det var hver 13 måned.

BW: Grunne til at vi hadde det var regulatoriske bestemmelser, men de er endret nå så det blir bedre.

SR: Det blir bedre. Hva vil du si er ditt beste prosjekt innenfor informasjonssikkerhet, favoritten din?

BW: Favoritten er å jobbe med de ansatte, med menneskene vi har i virksomheten. Som nevnt så er jeg dataingeniør av utdannelse og når du jobber med datamaskiner så kan du programmere den til å gjøre noe og så gjør den det. Det kan du være sikker på. Når du jobber med et menneske så kan man blir enige om at «da gjør du det sånn» og så kommer du jobb neste dag og så har de gjort noe helt annet. Det gjør at det aldri blir kjedelig. Samtidig er vi tilbake på det at data, IT teknologi, det er nyttige verktøy, men det er veldig viktig å jobbe med menneskene. Jeg synes noe av det mest interessante vi gjør informasjonssikkerhetsmessig er det vi gjør med de ansatte, for å prøve å skape et engasjement og en bevissthet.

SR: Kulturen?

BW: Ja, kulturen om du vil. Rett og slett.

SR: Hvis du kan gå ut ifra der du jobber selv, enten internasjonalt eller nasjonalt, har du andre favoritteksempler på informasjonssikkerhet?

BW: Ja, vi var inne på det tidligere, hvorfor dette er spennende å jobbe med. Vi kan jo ta et par saker, men det finnes veldig mange. Kjøpesentrene Target i USA ble utsatt for et datainnbrudd for noen år tilbake. De tapte 160 millioner kroner tror jeg, og måten angriperne kom seg inn på det var via aircondition systemet. Det kjørte på en liten datamaskin som hadde sensorer som regulerte temperaturen opp og ned automatisk, et veldig fancy system. Target hadde veldig bra teknologiske løsninger på datanettverket sitt, men det de ikke tenkte på var at airconditionsystemet også var koblet til datanettverket.

SR: Så airconditionsystemet snakket med hovednettet?

BW: Det kunne styres via internett. Det hadde en mikroprosessor som kan programmeres til å gjøre andre ting. Så hackerne brøt seg inn i operativsystemet til airconditionsystemet og hacket

SR: Man må rett og slett passe på at alle små «dusteting» må være like sikkert alt sammen, fordi hvis det kan snakke sammen så kan det hackes.

BW: Er det på internett så kan det hackes, altså kjøleskap, kaffetraktere, babycall monitorer.

SR: Da er man litt på internet of things og problemer med det.

BW: Ja, det er et morsomt eksempel og man må ha øynene oppe for det. Et annet er et dansk shippingselskap Maersk, de ble helt lamslått i flere uker og jeg tror de tapte to og en halv milliard. Bakgrunnen var Russland som var ute etter å sabotere for Ukraina. De utviklet en skadevare som tok teknologiske komponenter som også sto hos Maersk. De ble truffet av hagleskuddet. De ble rammet av det og det spredde seg internt i deres nettverk, og det krypterte og gjorde alle systemer utilgjengelige.

SR: De tapte da penger fordi systemene ikke var tilgjengelige og dermed stopper produksjon og alt opp?

BW: Ja, de sender jo containere globalt og det var ingen skip som fikk forlate havna og det sto helt stille.

SR: Er det store verdier i omløp så merker du det.

BW: Ja, og de hadde ikke tenkt at et sånt type angrep, eller at dette scenarioet var noe som kunne skje. Det viste seg at det hadde vært et strømbrudd på et kontor de hadde i Ghana, og i utgangspunktet er et strømbrudd noe du ikke vil ha, men det førte til at det var systemer der da som ikke hadde vært på nett og ikke var rammet av viruset.

SR: Skikkelig hell i uhell.

BW: Det er helt riktig. De måtte da fly mennesker ned til Afrika, fysisk hente ut systemene og ta dette med til hovedkontoret. Der klarte de å finne en kopi som gjorde at de kunne tilbakestille nettverket til slik de var før de ble rammet. Uten strømbruddet hadde tapet kunne vært mye større.

SR: Man må tenke på alt man ikke har tenkt på.

BW: Man må være veldig kreativ og så må man ut av boksen hele tiden.

SR: Du må kunne det rent programmeringstekniske rundt hardware og Software men også tenke på mye måter.

BW: Ja, du må være litt kaotisk i hodet rett og slett, litt kreativ.

SR: Spennende. Hva er vi unikt gode på i Norge av dette? Er vi unikt gode på noe?

BW: Er det ikke typisk norsk å være god? En ting vi er gode på som er bra for oss er at vi har et samfunn i Norden som i veldig stor grad er basert på tillit. Når jeg vokste opp på Sørlandet låste vi for eksempel ikke døra når vi gikk på butikken, for det så vi ikke på som noen risiko. Det at vi har en høy grad av tillit det gjør at behovet for kontroll reduseres. Så i et samfunn hvor det er en lav grad av tillit, der må man kontrollere hele tiden. I Norge så har vi muligheten til å fokusere på få kontrollpunkter hvor vi ser at det er en risiko, istedenfor å fokusere på alt.

SR: Det gjør det enklere å få til ting rett og slett?

BW: Det gjør det enklere å ivareta god sikkerhet, for vi har færre ting vi behøver å sjekke. Så det er bra for oss.

SR: Nå skal vi begynne å gå inn for landing, men hvis lytterne har lyst til å lære enda mer om infosikkerhet, hva bør det gjøre, se, lese?

BW: Internett er jo en kilde til informasjon, også om informasjonssikkerhet naturligvis. Man kan både lære å hacke og også hvordan man kan beskytte seg mot det. Men det er et par personligheter som jeg selv synes er interessante. En jeg vil trekke frem er den amerikanske journalisten Brian Krebs, han har en blogg som heter «Krebs on Security». Han er i utgangspunktet ingen datatekniker eller hacker, men har over flere år hatt informasjonssikkerhet som et spesielt interesseområde og han bedriver gravende journalistikk og har veldig mye interessant informasjon skrevet på et språk som folk flest forstår rundt alle disse store datainnbruddene som mann leser om i mediene ellers. Der er det veldig gode muligheter til å få seg innsikt i og kompentanse på informasjonssikkerhet. En annen er Bruce Schneier som i miljøet er en veldig kjent skikkelse. Jeg liker han spesielt godt fordi han ikke er tabloid og han har et veldig faglig og korrekt syn på informasjonssikkerhet. Han skriver en del bøker, og når han diskuterer holder han seg veldig til fakta, det er interessant lesning.

SR: Så da har vi Brian Krebs og Bruce Schneier, det er gode tips.

BW: Søk opp disse på internett så kan du lære deg mye.

SR: Hvis lytterne våre skal huske bare én ting fra denne samtalen, hva er det de må huske om informasjonssikkerhet?

BW: Det viktige er å være bevisst på hva man gjør. Tenke seg om. Som nevnt så har vi veldig mye god teknologi, men om jeg har kryptert telefonen og passord, og låsekode og allikevel velger

å låne den bort til deg. Vær forsiktig hvem du låner bort til, vær forsiktig med hva du gjør rett og slett, og tenk deg om.

SR: Tenk deg om. Tusen takk til deg Bjørn Watne fra Storebrand for at du kom hit og lørnte oss litt mer om informasjonssikkerhet. Og takk til deg som lyttet.


Du har lyttet til en podcast fra Lørn.Tech - en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech.

Hva gjør dere på jobben?

I Storebrand jobber alle mot et felles mål – å bli et sparekonsern i verdensklasse. Sikkerhetsavdelingens jobb er å kontinuerlig overvåke risikobildet og sørge for at vi til enhver tid opererer innenfor den risiko-apetitten som er bestemt av ledelsen.

Hva er de viktigste konseptene i informasjonssikkerhet?

Vi må sørge for at informasjonen til enhver tid er tilstrekkelig beskyttet, riktig og tilgjengelig for dem som trenger den når de trenger den.

Hvorfor er det spennende?

Fordi det alltid er noe nytt. Verden digitaliseres, og informasjon blir viktigere enn aldri før. Informasjon omtales ofte som det nye gullet eller den nye oljen. Det er av flere samfunnstopper og næringslivsledere ansett som langt fremme når det gjelder hva vi skal leve av i fremtiden.

Hva synes du er de mest interessante kontroverser?

Vi som jobber med informasjonssikkerhet har en rekke fantastiske verktøy til rådighet for å sikre informasjonen vi forvalter, men brukt på feil måte kan de også utgjøre en stor trussel mot personvernet.

Dine egne prosjekter innen informasjonssikkerhet?

Arbeidet vi gjør i forhold til medarbeiderne våre. Det hjelper ikke med gode verktøy og prosesser om en ansatt gir fra seg passordet sitt for eksempel.

Dine andre favoritteksempler på informasjonssikkerhet internasjonalt og nasjonalt?

Target-kjeden av kjøpesentre, som for 5 år siden ble angrepet gjennom aircondition-anlegget, og ble påført tap på 160 MNOK. Det viser at man må tenke utenfor boksen, og at informasjonssikkerhet ikke lenger dreier seg om IT – eller brannmur og antivirus.

Hvordan pleier du å forklare informasjonssikkerhet?

Det arbeidet som gjøres med å kontrollere tilgangen til informasjon- og informasjonssystemer rundt konfidensialitet, integritet og tilgjengelighet.

Hva gjør vi unikt godt i Norge av dette?

Norge og Norden har et samfunn bygget på en svært høy grad av tillit, og gjør arbeidet med informasjonssikkerhet lettere. Det gir oss muligheten til å rette fokuset mot et snevrere trusselbilde enn hva andre stater opplever.

Viktigste poeng om informasjonssikkerhet fra vår samtale?

I dagens digitale verden er det lett å at føle ting går for fort, og at kontrollen forsvinner. Likevel er det fremdeles slik at veldig mye står og faller på våre egne valg og hvordan vi selv oppfører oss.

Bjørn Richard Watne
Sikkerhetssjef
Storebrand
CASE ID: C0225
TEMA: CYBERSEC AND COMPLIANCE
DATE : 181220
DURATION : 20 min
LITERATURE:
Brian Krebs Bruce Schneier
YOU WILL LØRN ABOUT:
Informasjonssikkerhet vs. datasikkerhetKonsepter i informasjonssikkerhet Kontroverser i informasjonssikkerhet
QUOTE
"De viktigste konseptene er å sikre informasjonen vi forvalter i tre dimensjoner – konfidensialitet, integritet og tilgjengelighet. Vi må sørge for at informasjonen til enhver tid er tilstrekkelig beskyttet, riktig og tilgjengelig for dem som trenger den når de trenger den."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB