Velkommen til lørn.tech, en lærings dugnad om teknologi og samfunn med Silvija Seres og venner.

Silvija Seres: Hei og velkommen til Lørn, mitt navn er Silvija Seres og tema i dag er cyber security. Gjesten min er Erlend Andreas Gjære fra secure practice, velkommen!

Erlend Andreas Gjær: Takk for det!

Silvija: Vi skal snakke om hvordan man kan få vanlige folk til å både forstå og kanskje like ting rundt cyber security og IT mer generelt. Men før vi gjør det så lurer jeg på om du kan fortelle oss litt om hvem du er og hva som driver deg.

Erlend: Ja, jeg heter Erlend og er gründer. Og jeg er spesialist på sikkerhet og folk etter å ha jobbet med menneske-maskin-interaksjon. Jeg har en mastergrad i det fra NTNU.

Også har jeg jobbet med forskning på sikkerhet, og samtidig hatt ansvar for å lære opp folk til sikker praksis på jobb i flere år, i flere selskap forsåvidt. Blant annet Sintef. Og jeg har skjønt ganske mye om arbeidshverdagen til folk, og det driver meg. For jeg ser et gap mellom hvordan vi som sikkerhetsfolk kommuniserer sikkerhet, og hvordan faktisk realiteten er for helt vanlig ansatte som vi skal prøve å beskytte.

Silvija: Og det å gå på et kurs om cyber security er omtrent like attraktiv som å gå ett kurs om rotfylling. Det er sånn folk tenker på det hvert fall. Jeg tror folk er redde for at de kommer til å bli utsatt for en hel drøss med uttrykk de ikke forstår. Og bli fortalt at dette er egentlig for komplekst for deg. Og samtidig så vet vi at det største sikkerhetshullet i alle systemer er mennesker. Det alltid vi som åpner for alle mulige smitter, og for alle mulige systemiske feil også. Så hva gjør man for å bygge gode relasjoner mellom folk, IT og cyber security mer presist?

Erlend: Du nevnte for eksempel frykt. Og frykter er et utgangspunkt som kan slå flere veier. Folk kan føle seg redde eller underlegne i forhold til de tekniske råd som blir gitt. Fordi det rett og slett er for kompliserte til å forstå. Så det med å forenkle dette budskapet å gjøre det folkelig. Gjøre det enkelt å forstå, relatere til egen situasjon og eget liv. Selv om vi er på arbeidsplassen. Så å koble det opp mot en nytteverdi som folk har privat. Alle må beskytte sitt eget hus og hjem mot cybertrusler også.

Silvija: Jeg tror at det som er litt spennende for oss som driver med cyber security er omfanget av det som etterhvert blir omfattet av cyber security. Fordi våre fysiske liv, våre hjem, våre finansielle live og våre politiske liv vil etter hvert styres på basis av digital infrastruktur. Og det er nok til å overvelde de fleste tenker jeg. Hvis du skulle forklare på en veldig folkelig måte til meg hva greia med cyber security er. Hva ville du sagt? 

Erlend: Sikkerhet angår alle. Ingen er imot sikkerhet. Alle er imot at svindlere og hackere skal lykkes. Og derfor er det viktig at vi alle har en forståelse av hva dette innebærer. Men det betyr ikke at vi skal gå rundt å være redd. For frykt kan føre oss til fornektelse. Det skjer ikke meg for eksempel. Så det er en veldig negativ konsekvens av å gå rundt å skremme folk og ansatte med hva som kan gå galt. Men det at vi kan bruke erfaringer å koble det opp mot folk sin private opplevde nytte av rådene vi gir.

Silvija: Hva skal de være redde for. Man ser for seg en hacker, en gutt med hestehale og hettegenser som går inn i PCen din. Hvorfor?

Erlend: Svindlere og hacker er drevet helt enkel vinningsintensjon. De ønsker å oppnå økonomisk vinning. Så det de er ute etter er veldig fysisk. Men når det skjer i det digitale rom, så føles det litt fjernt for oss. Men det er like fult mennesker på andre siden som prøver å gjøre kriminelle handlinger for å vinne på det.

Silvija: Men det er lettere å forestille seg en skurk med skrutrekker, enn en skurk med tastatur. Så sitter han eller hun på det tastaturet og skal inn i PC-en min. Hvordan finner de en bakdør?

Erlend: Det er av og til snakk om avanserte trussel aktører og sånn. Og det er det vi hører om i media. Veldig ofte så handler dette om en e-post. En e-post som er utformet for å lure noen til å tro at du har fått en pakke, eller her en faktura for noe som du ikke har betalt for. Eller kredittkortet ditt er utløpt, klikk her for å legge inn dine personlige opplysninger. 

Silvija: Også klikker du, og hva er det som skjer da? 

Erlend: Det er tre ting. Enten klikker du, også får du ett virus på pc-en fordi du klikka. Og virus kan gjøre mange ting, skap en vei inni pc-en din for de som sitter på andre siden.

Silvija: Så noen kan gå og lese filer de ikke burde kunne lese, eller ta ut data de ikke burde kunne ta ut?

Erlend: Riktig. Og det andre er hvis du blir lurt inn på en falsk påloggingside for et eller annet firma. Google for eksempel. Da skriver du inn brukernavn og passord i det skjemaet, men så tar de imot det, og bruker det til å logge seg inn som om de var deg. 

Silvija: Så nå er vi på fishing. De har fiska ut noe hemmelig data fra meg.

Erlend: Riktig. Og det tredje er hvis de lurer deg til å gi bort informasjon. Jeg kan sende en e-post til deg hvor jeg skrive at du skylder meg 200 kr, betal til den kontoen. Og det er en ren løgn. Eller jeg kan spørre deg om informasjon som er sensitiv, og du kan svare på e-posten og oppgi denne informasjonen til meg. Du tror du at det er noe annet, eller at jeg faktisk har rett til å ha tilgang på den informasjonen. Og det brukes veldig aktivt, og det er veldig vanskelig å avsløre teknisk. 

Silvija: Så vi har snakket litt om trojanere, og vi har snakket litt om viruser. Vi har snakket om fishing. Men vi har ikke snakket om denial-of-service. For når jeg tenker på sikkerheten rundt helsedata og livsviktige data så er jeg faktisk mer bekymret for at de gjør sånn at maskinene ikke funker, eller at de ikke får tak i nødvendige data. Hva gjør de da, eller hva gjør en hacker for å lage en sånn denial-of-service?

Erlend: Nei det er alltid ett motiv som ligger bak. Og det som har blitt mer vanlig i det siste og som vi hører mer om. Ikke bare er denial-of-service der for å stoppe ett eller annet eller for å skape et navn fordi du klarte å stenge ned en eller annen tjeneste.

Det handler rett og slett om å plante inn en programvare som kan stenge ned og sperre av. Også krever hackerne løsepenger for å åpne opp igjen. For de kriminelle som gjør dette her er drevet av økonomisk vinning. Og kryptovaluta har gjort det mye enklere å kapitalisere på cyberkriminalitet. Derfor ser vi nye forretningsmodeller, for eksempel stenge ned system, men krever penger for å låse det opp igjen. 

Silvija: Du sier at du synes det er så deilig at folk er så forskjellige og herlig uforutsigbare. Og det er egentlig på begge sider av den muren. Både de som blir angrepet av veldig uforutsigbare, og kan finne på de rareste ting som å stikke inn en USB i PC-en sin, når de har funnet den på ett eller annet vilkårlig sted. Men det er også de som gjør disse angrepene, som finner på ting raskere enn noen andre. Det er egentlig den uforutsigbarheten som gjør dem til så gode hackere. Hva gjør man for å bygge sikre systemer når vi mennesker egentlig ikke er sikkerhetsroboter? 

Erlend: Jeg synes det er viktig å tenke helhetlig. For der vi utvikler teknologi ligger vi på en måte alltid et lite steg bak hackerne. For de vil prøve å finne nye metoder å komme rundt systemer. Og de kan se hvilke produkt som fungerer sånn og sånn. Også bygger de systemer rundt for å være mest mulig effektive. Og der ser jeg gang på gang at det å inkludere folk, som en positiv faktor i sikkerhetsarbeidet har veldig stor gevinst. For vi har noe å i oss vi er menneske. Vi har noen egenskaper som maskiner ikke har. Jeg kan synes det er mistenkelig å lese den og den e-posten. Det kan være at frykten min for å gjør noe feil fører til at jeg ikke vet hva jeg skal gjøre, og ikke handler riktig. Men da er det viktig å gjøre det enkelt for folk å gjøre det rette, å håndtere det her på en god måte. Så det er der vi også jobber med produktutvikling. Vi har ett program som heter mailrisk som er en knapp i Outlook du kan trykke på for å få hjelp med en mistenkelig e-post. 

Silvija: Fortell litt om det. Dere vant priser for denne tjenesten også? 

Erlend: Ja, vi vant pris for beste nye sikkerhetsprodukt i fjor. Og det var nemlig med begrunnelsen av at mailrisk gir folk veldig lett tilgang på hjelp.

Silvija: Så hvis jeg får en mistenkelig mail så trykker jeg på en knapp i Outlook, også har den analysert avsenderen eller formatet. Hvordan klarer den å se at dette er fishy?

Erlend: Vi bruker 3 nivå av analyse. Det første er regelbasert analyse, der vi som alle andre teknologiske produkt ligger litt bak. Men vårt utgangspunkt er at brukeren har trykket på knappen og synes det er mistenkelig. Og det er data for oss. Så vi crowd sourcer de mistankene også bruke vi de i nivå 2, der vi også ser på tvers mellom brukere. Hva er det folk synes er mistenkelig akkurat nå? Vi ser at e-poster går også flere steder. Kanskje vi ikke har nok bruker til at de store aktørene i USA fanger opp dette med en gang og putter det inn i filtrene sine, men vi ser det på bedriftsnivå. Her har tre personer fått samme e-posten, da kan vi hjelpe bedriften til å oppdage at de er utsatt. Også kan vi få brukerene sin hjelp til å samle inn data, for det gjøres automatisk i bakgrunnen. Og samtidig får de en feedback på at de hjelper. Men hvis du er først ute her og ikke får hjelp av steg en eller to, så tilbyr vi en tjeneste «ønsker hjelp». Det er ett klikk, og da har vi en vennlig robot på utsida som sørger for en analyse, og vi lover alltid et svar. Om det så må gjøres manuelt av oss.

Silvija: Men veldig overordnet og enkelt. Det første man burde er å prøve å forstå avsenderadressen. Hva er det mest mistenkelige man pleier å se der?

Erlend: Si at du får en mail fra Netflix, men så står det ikke netflix.com i avsenderadressen. Og det er en sånne ting som man kan lære opp folk til. Og det er sånn som jeg har jobbet med selv, det å prøve å lære folk å huske 10 000 ting om hva som er en mistenkelig e-post. Og der går det an å lære seg en del ting. Eller du kan holde musepekeren over en link og da ser du at den linken går ikke til netflix.com, da er det også mistenkelig.

Silvija: Så det å tenke kildekritisk ut ifra avsender og grammatiske feil. 

Erlend: Ja, for hackerene driver også med kunstig intelligens og maskinlæring. Eller de betaler en oversetter som en tjeneste for å få en perfekt norsk e-post.

Silvija: Men her er det ganske mye rom for gamification. Du nevnte selv at du synes det er litt morsomt å gi folk den store cybersec jakta, og hjelpe de med å finne masse påskeegg med sikkerhetsutfordringer. 

Erlend: Og ikke bare på liksom, men det er reell hjelp. Gamification i seg selv er ingen løsning på motivasjonsproblemer. Men gamification hjelper til å skape litt spenning, interesse og positivitet rundt noe som kanskje er fryktbetont eller hvor folk føler seg litt teknisk underlegne. Men når du bygger en sånn feedback-loop er det veldig viktig for oss at du ikke bare får lære når IT synes du skal lære. Men du får lære når du har et problem du må løse. Det er veldig mye bedre læringseffekt av å sitte med problemet selv også får du den lille ekstra motivasjonen av gamification. 

Silvija: Vi nærmer oss slutten, men jeg har veldig lyst å dra deg gjennom et par poeng litt fort. Det ene som du nevnte for meg som jeg er så fascinert av er Angela Sasse, fra University College London. Hun snakker så spennende om de menneskelige sidene ved sikkerhet. Og hun skrev i 1999 noe som heter «users are not the enemy». Hva sier hun der?

Erlend: Hun sier det rett ut. Det er ikke folket som er problemet. Det handler om at vi som It folk må forstå brukerne bedre. Det er så enkelt. Og den forskningsgruppen hun leder er verdens ledende på tverrfaglig forskning innenfor cybersikkerhet og menneske, og har psykologer som jobber med dette her, og har laget veldig mye bra råd. Som blant annet NCSC UK har tatt ut i befolkningen i dag. Men det tar ofte 10 år før forskning blir anvendt. 

Silvija: Den store Paranoia konferansen i Norge, har dere det gøy der?

Erlend: Ja, det er en kjempebra konferanse i slutten av mai. Og jeg sitter i komiteén der og synes det er veldig artig å få lov til å bringe inn veldig spennende foredragsholdere fra hele verden inn til en stor samling. Men det beste synes jeg er å møte folka. Det fagmiljøet vi har i Norge rundt sikkerhet er kjempepositivt, og en veldig bra læringsarena for både nye og erfarene. 

Silvija: Når jeg spurte deg hva du synes vi gjør unikt godt i Norge, så snakket du om digital identitet. Hva betyr digital identitet? 

Erlend: En ting er påloggingsinformasjonen din. Men en annen ting er den identiteten som vi kan vite at du har. BankID for eksempel. Og der har vi utviklet en unik infrastruktur i Norge i 15 år. Og den er rett og slett verdensledende. Vi har en bedrift her i Norge som tar dette ut i verden på en veldig spennende måte. Og vi ser at verden begynner å komme etter å lære av Norge på digital infrastruktur.

Silvija: Veldig gøy. Da jeg spurte deg hva du liker å lese, eller hvor du får inspirasjon fra nevnte du switch, fra chip and dan heat. Fortell to setninger om det.

Erlend: Ja, det handler ikke om IT, men det handler om endring. Skal vi få med oss folk så må vi treffe med kommunikasjon. Vi må få de med. Men så er det den biten med motivasjon og å opprettholde endring over tid som føles veldig fjernt og vanskelig. Som gjør at vi IT-folk ofte mislykkes med endringsinitiativ. Det å lære om folk er så utrolig viktig. 

Silvija: Har du ett lite sitat som en gave til våre lyttere? 

Erlend: Jeg pleier å sitere en programvareutvikler son heter Sidney Dekker, «The software isn't finished until the last user is dead». Og det er ett litt trist sitat, men det handler om at vi må jobbe med videreutvikling. Så lenge det er brukere så må vi holde fokus på brukeren og hjelpe de. Og brukerne endre seg også, og det samme gjelder sikkerhetsarbeidet. Vi må ha fokus på brukerene. Vi kan ikke si at vi er ferdig. 

Silvija: Hvis folk skal huske én ting fra vår samtale, hva er det viktigste de skal huske?

Erlend: Jeg er veldig opptatt av at vi må bygge positive relasjoner til folk, i forhold til sikkerhetsarbeidet. Vi må gjøre det forståelig og enkelt. Og da er det viktig med kommunikasjon, og det å forstå endringsprosesser. Rett og slett være bevisst på den menneskelige faktoren i informasjonssikkerhet. For selv om vi har kunstig intelligens så kommer vi aldri utenom at vi må ha med folka. 

Silvija: Cyber security får du ikke ved å trykke på en knapp. Det får du rett og slett ved å kjøre gode prosesser. Erlend Andreas Gjære fra Secure practice, tusen takk for at du kom hit og inspirerte oss til å lære mer om cyber security. 

Erlend: Takk for meg.

Silvija: Takk til dere som lyttet.

Du har lyttet til en podcast fra Lørn.tech, en lærings dugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech.