LØRN Case #C0253
Risikolandskapet
I denne episoden av #LØRN snakker Silvija med direktør i Næringslivets Sikkerhetsråd, Jack Fischer Eriksen, om hybride trusler, mørketalls-undersøkelsen og hvordan man skaper en sunn sikkerhetskultur. Næringslivets Sikkerhetsråd sin hovedoppgave er å påvirke vår kollektive tenkning rundt sikkerhet og risiko, og Jack deler sine erfaringer om hva de største risikoene næringslivet bør tenke på når det kommer til sikkerhet, og hvordan man best sikrer selskapet verdier.

Jack Fischer Eriksen

Direktør

NSR

"Fra mørketallsundersøkelsen ser vi at nær 40 prosent av alle norske virksomheter har hatt én eller flere alvorlige angrep. Det at noen prøver å stjele mine data for å få tilgang til virksomhetens data er en økende og skummel trend."

Varighet: 20 min

LYTTE

Tema: Cybersikkerhet og etterlevelse
Organisasjon: NSR
Perspektiv: Offentlig sektor
Dato: 190206
Sted: OSLO
Vert: Silvija Seres

Dette er hva du vil lære:


CybersikkerhetMørketallsundersøkelsen
Næringslivets Sikkerhetsråd

Del denne Casen

Utskrift av samtalen: Risikolandskapet

Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres, Sunniva Rose og venner.

 

Silvija Seres: Hei og velkommen til Lørn! Mitt navn er Silvija Seres, og tema idag er Cyber Security. Min gjest er Jack Fischer Eriksen, som er direktør i næringslivets sikkerhetsråd. Velkommen!

 

Jack Fischer Eriksen: Takk for det, har gledet meg. 

 

Silvija: Vi skal snakke om cyber security, og om krig og fred og sånt. Hvordan sørger vi for at mennesker forstår hva de store risikoene er, og hvordan man bygger en god immunitet. Dere gjør det lett å gjøre det rette, og kanskje vanskelig å gjøre det dumme, for folk. Dere gjør en fantastisk jobb i NSR med å opplyse folket og dere publiserer noen innmari kule rapporter og sånt.

 

Jack: Takk for det. 

 

Silvija: Vi kommer til dem. Før vi gjør det, kan du fortelle oss litt om hvem Jack er, og hva som driver han?

 

Jack: Ja, hvem jeg er, og da tenker jeg å holde meg til det profesjonelle da. Opprinnelig så er jeg utdannet i politiet, og i mitt hjerte så er jeg politimann, og jeg brenner for forebygging av kriminalitet. Jeg jobbet i politiet i 12 år, begynte på politihøgskolen i 1992, og har jobbet innen de fleste seksjoner i politiet, men endte opp med å jobbe mot alvorlig kriminalitet. Jobbet i seksjon for organisert kriminalitet, og jobbet en del med spaning, og da jobbet jeg jo mer i det skjulte. Så fikk jeg en interessant oppgave med å jobbe i Telenor. Så da jobbet jeg der i 6 år med anti- piracy, altså mot hacking av TV- industrien. Og det gjorde jeg egentlig fordi jeg tenkte at dette er et område som er relativt lite belyst. Så det jeg hadde lyst til å finne ut der er hvem er det som tjener millioner på millioner med å drive med hacking og piracy? Så det drev jeg med i 6 år, og det syntes jeg var veldig spennende. Det var både politisk arbeid, rådgivning til konsernledelse, etterforskning, og ikke minst utdanning. Å utdanne politiet innenfor det faget etterhvert når vi fikk en god base å jobbe med. 

 

Så fant jeg ut etter 6 år at; nå vil jeg finne på noe annet. Derfor gikk jeg tilbake til politiet, og jobbet i politiets sikkerhetstjeneste i ett par år. Deretter hadde jeg en liten periode i utenriksdepartementet, også er jeg her jeg er idag. 

 

Silvija: og her er næringslivets sikkerhetsråd, som er et rådgivende organ for næringslivet- for de private aktørene, og dere skal altså da utvikle dem og deres forståelse for cyber- security. Har jeg sagt det sånn noenlunde riktig nå+

 

Jack: Ja, og en kan legge til at vi ønsker jo samarbeid og samhandling mellom næringsliv og myndighetene. Så vi er liksom litt midt i mellom, der vi skal få til det gode samarbeidet der næringslivet får det gode fra myndighetene, og at næringslivet skal levere noe godt tilbake. På den måten blir det et bra samarbeid. Det er veldig viktig innenfor cyber- security. 

 

Silvija: Når det gjelder cyber- security så er denne plattform- tankegangen nasjonal kjempe viktig. For det første så er de som angriper i større og større grad ikke små private aktører i en kjeller, men ofte nasjonale aktører, ofte ganske organiserte private kriminelle, ikke sant? Noen av de kan mye, andre ikke fullt så mye, men jeg tror det er et utrolig komplisert bilde. Og da kan ikke selskapene stå imot dette helt på egenhånd. De trenger noen som hjelper de til å tenke systemisk, og som bygger de opp på en systemisk måte. 

 

Jack: Helt riktig. Og dette blir jo mer og mer komplekst. Jeg var på en konferanse igår, og hørte på tre gode foredragsholdere der dette var tema. Ta et eksempel da: vi går over til smart- cities hvor alt skal henge sammen med alt. Vi blir veldig avhengige av den infrastrukturen vi har, f.eks strøm, internett, mobil, kanskje 5g nett i fremtiden. Da tenker jeg at vi må endre begrepet fra «Smart Cities» til «Secure, Safe and Smart cities». 

 

Silvija: And happy!

 

Jack: And happy, ikke minst! Fordi det er viktig at vi klarer å balansere dette med sikkerhet og overvåkning, i forhold til dette med åpenhet og frihet. Så det må ikke bli for mye kontroll, men vi må ha tilstrekkelig kontroll slik at vi sikrer virksomhetene våre, og den infrastrukturen vi er helt avhengig av. 

 

Silvija: I forbindelse med en ganske grusom kidnappingssak her, så var det en ekspert som uttalte at «Du kan sikre deg så mye at du ødelegger livet ditt helt, eller du kan tenke på de største problemene, de mest sannsynlige risikoene», og det er sånn som alkohol, bilulykker, brann og sånne ting. Hva er de største og viktigste risikoene folk skal tenke på når det gjelder cyber security? Hva er sånne ti bud da, for grunnleggende sikkerhetsvett?

 

Jack: Tenker du da for næringslivet, eller tenker du da for privatpersoner? For det er jo stor forskjell. 

 

Silvija: Du velger.

 

Jack: Vi snakker jo om for næringslivet i utgangspunktet, NORSIS, vår samarbeidspartner, snakker mye for oss forbrukere. Så for næringslivet så tenker jeg at det første du må gjøre er å forstå dine verdier. Det ser vi mangler i stor grad. Du må forstå hva min bedrift har av verdier, som virkelig behøver beskyttelse. 

 

Silvija: I den digitale verden?

 

Jack: I den digitale verden, men også i den fysiske verden. Så en god verdivurdering for å finne ut hva du faktisk ikke kan leve uten, det må kartlegges. Og dette må videre settes inn i en risikoanalyse, slik at du finner ut risikoen for at nettopp den verdien din blir utsatt for en uønsket hendelse. 

 

Silvija: og det er lønningslister, eller det er kundelister..

 

Jack: Det er forskning, kontrakter, ansatte, deres personopplysninger, teknologi man bruker. Altså det er veldig mye et selskap har som verdier som man kanskje ikke tenker over i det daglige. Det vi snakket om på den konferansen var om kjeden «target» i USA, som er en av de største forretningene innen varehandel, alle kundene der fikk sine persondata på avveie ved at de ble hacket. Grunnen til det, er at man ikke har kartlagt hvilke verdier man har, og hvilke verdikjeder man er avhengig av. Det var noen lenger nede i verdikjeden som ble hacket, som gjorde at alle kundene til target kom ut. Og det gjør jo at man får et enormt omdømmetap. Slik at de største farene du skal tenke på er det som er tilsiktede hendelser. Vi deler de gjerne i to kategorier: uhell/ hendelser, også er det de som ønsker å skade deg. Da må man ha kunnskap om trusselaktøren.

 

Silvija: Altså, noen av disse hackerne gjør det da for å tjene penger, eller for å kreve «ransom» for å gi deg tilbake tilgang til tjenester eller å gi tilbake informasjonen din. Veldig spennende det som skjedde i Ukraina, som man ikke ønsker å si hvem som har gjort det, men alle vet det. Hvor alle næringslivaktører som brukte et offentlig rapporterings IT- verktøy ble angrepet, slik at de mistet mesteparten av dataene sine. Og vi har sett hva slags konsekvenser det fikk for de som fikk det verst da. 

 

Jack: Store, store tap.

 

Silvija: Også har du også disse «hacktivist» da. Som gjør ting fordi de vil gjøre et politisk statement. Noen ganger er det bare morsomt, sånn som de som hacket datingtjenesten for gifte folk, og slapp ut hele kundelisten.

 

Jack: Ikke veldig morsomt for de det gjelder.

 

Silvija: Nei, det er ikke veldig morsomt for de det gjelder vettu, og det resulterte i ganske mange skilsmisser, og folk fikk livene sine ødelagt. Så kan denne hackeren si at: «jamen, de burde jo ikke holdt på med dette.» og da kommer vi tilbake til den der naive holdningen som de fleste av oss har. Jeg tror vi er for naive i forhold til vår egen digitale sikkerhet, og hvem som har tilgang til hvilke data. Veldig mange av oss sier: «men jeg gjør ingenting galt, så de må gjerne bare se alt om meg», men brått så kommer det en med litt andre politiske eller religiøse perspektiver, hva vet jeg? Hvor ting tolkes plutselig på en veldig kritisk måte. Man burde kanskje ikke være så naiv, er vel det jeg vil spørre om. Verken selskaper eller personer?

 

Jack: Nei, og det kan man jo godt si. Men på en annen side; for å bruke mange typer tjenester idag, så er du nødt til å legge fra deg data, for å få tilgang til de produktene du skal ha. Så mange ganger så har man ikke noe valg. Også nevner du også ordet naiv, og det har vært brukt veldig mye ordet «tillit» i det norske samfunnet. På NHO sin årskonferanse brukte de ordet tillit, justisministeren har vært ute med tillit, og jeg tenker at det er viktig at vi bevarer tillit. Men samtidig så må vi også ta på oss ryggsekken for profesjonalitet når vi er på nettet, fordi da er vi internasjonale. Da er vi tilgjengelige for hele verden, så det vi har skapt av det gode i samfunnet vårt er basert på tillit, og det må vi forsøke å bevare. Men vi må legge noe av naiviteten til side, og legge på profesjonalitet. 

 

Silvija: Og du snakker mye om denne balansen mellom personvern og sikkerhet som egentlig baserer seg på ens egen holdning til tillit. 

 

Jack: Ja det gjør det, og det er jo også det som er oppe til debatt nå i forhold til ny etterretningslov hvor man skal ha tilrettelagt innhenting som man kaller det, digitalt grenseforsvar. Så her er det jo balansen mellom det å ha kontroll; å kunne sikre våre data, våre nettverk i Norge og balansen opp mot personvern. Så vi er jo ofte veldig ukritiske til det vi selv legger ut på f.eks google, facebook som andre kan misbruke. Samtidig er vi ofte strenge på når myndighetene skal prøve å ha kontroll på oss. Så det er litt sånn rart i samfunnsdebatten; at staten skal ikke få lov å overvåke, men samtidig så er vi ukritiske til det vi legger ut på nett om oss selv. Og det forstår ikke jeg alltid. 

 

Silvija: Altså, det er jo bevisst eller ubevisst også, utrolig mye digital eksos som man kan finne veldig relevante mønstre i, ikke minst om våre politiske perspektiver. 

 

Jack: Absolutt. 

 

Silvija: Du snakker om hybride trusler, hva er det?

 

Jack: Det finnes ikke noen entydig definisjon, men det er en trusselaktør, eller flere, som prøver å påvirke samfunnet med bruk av mange forskjellige verktøy. Nå forsøker jeg å forklare det veldig enkelt. Det kan være at man bruker «fake news», at man påvirker lokale samfunn, man påvirker politisk opinion, man forsøker å påvirke samfunnet med hjelp av mange forskjellige type virkemidler.

 

Silvija: Man angriper strømnettet samtidig som man legger ut en fake news kampanje i alle kanaler. 

 

Jack: For eksempel, om at strømprisen er for høye, og at vi eksporterer, ikke sant? Så forsøker du å skape debatt i en viss retning, med et ønske om å påvirke. Det som du stiller spørsmål ved nå syns jeg er spennende. Fordi nå, i forbindelse med NATO øvelsen «Trident Juncture» som var ifjor, så har vi gjort en spørreundersøkelse som vi skal publisere i mars. Den går på hybride trusler, og der har vi intervjuet 384 ledere fra privat og offentlig sektor med mer enn 100 ansatte. Det vi prøver å finne ut der er hvor omfattende hybride hendelser har vi i Norge. Og det vil vi kunne gi svar på den 22. Mars hos oss. 

 

Silvija: Veldig gøy. Det skal jeg lese. Det andre jeg syns er morsomt fra dere, som jeg gjerne vil at du skal nevne for våre lyttere er denne sorte boka: «mørketallsundersøkelsen». Kan du si litt om den?

 

Jack: Mørketallsundersøkelsen er en undersøkelse som vi gjennomfører annethvert år. Det vi prøver der er å kartlegge IT- tilstanden, sikkerhetstilstanden i private og offentlige virksomheter. Det er en undersøkelse som går tilbake helt til 1987, så det er et gammelt produkt, og man intervjuer pr telefon idag rundt 1500 ledere i norske virksomheter. Det vi ser der er at veldig mange norske virksomheter som har uønskede hendelser hvert eneste år. Nær 40 prosent av alle norske virksomheter i privat og offentlig sektor har hatt en eller flere alvorlige angrep. Det vi ser i 2018- undersøkelsen er at sosial manipulering og sosial «fishing» som man kaller det, er sterkt økende fra opptil 18 prosent på to år. Så det at noen prøver å stjele mine data, for å få tilgang til virksomhetens data er en økende trend, og det er en skummel trend. Så det var bare noen få bruddstykker av det, men det er veldig spennende lesing i den. 

 

Silvija: Blir man deprimert?

 

Jack: Ikke nødvendigvis, fordi det vi prøver å finne der er mulighetene. Så det vi prøver å se på er de som har styringssystem for informasjonssikkerhet, også sammenlikner vi med de som ikke har det. Så de som har et system for informasjonssikkerheten taper ofte mindre penger, ledelsen er oftere involvert, de gjør oftere endring i organisasjonen internt; fordi man ser hvor sårbare man er. De som derimot ikke har et styringssystem taper mer penger, de vet ikke om at de er utsatt for noe, og de lever kanskje i troen om at «det har ikke skjedd oss noe». Det er det som er det skumle, fordi Norge har virksomheter med 10 ansatte eller færre- det er 90 prosent av norske virksomheter, og mange av de har ikke implementert sikkerhet, de har ikke en sikkerhetsdirektør eller en sikkerhetssjef. De har heller ikke en IT- sjef, så de er veldig sårbare fordi de har ikke styring på informasjonssikkerheten sånn som store virksomheter har. Og det er jo sugerøret inn til de store virksomhetene, det er de som angripes, og det er de som gjør at de store virksomhetene blir utsatt for blant annet hacking. 

 

Silvija: Jeg sitter og smiler fordi jeg leser dine råd, og dine grunnleggende råd er; pass på at du har nytt utstyr, holde programmene oppdaterte, lær litt grunnleggende om cyber sikkerhet, sånn typ hygieneregler. Det minner meg litt om folkeopplysning for folkehelsen. Vi vil så gjerne at det skal finnes noen kjempe avanserte teorier om hva er det som gjør at vi lever lenger og sunnere liv, men i grunn så er det; spis fornuftig, sov nok og tren sånn at husker at du har en puls. Det er litt sånn med cyber sikkerhet også.

 

Jack: Mhm, jeg tror ikke man skal gå i den retningen at man tenker at dette er altfor komplisert. Fordi det er egentlig det. Men man må kommunisere på et språk som gjør at man forstår at det nytter å gjøre noen endringer, fordi hvis vi lager det for digitalt i språket vårt så faller de aller fleste av. Og jeg faller av. Så jeg må få det forklart på en måte som gjør at jeg ser at det nytter å gjøre en endring. Hvis ikke så lar vi være. 

 

Silvija: Og det er å holde programmene oppdaterte, ikke skru av anti- virus, fornuftige passord

 

Jack: Fornuftige passord, ikke administrator- rettigheter til alle ansatte,  innlogging også videre. Det er mange fornuftige råd som både NSM gir ut, og NORsis gir ut, følg de rådene! Så tror jeg noen har sagt at nær 90 prosent av de hendelsene du blir utsatt for settes til side. 

 

Silvija: Ja, du nevnte Per Torsheim for meg, og det han sier om passordbeskyttelse. Kan ikke du si litt om hvorfor du syns det er viktig?

 

Jack: Det er mange som mener mye om passord, men jeg lytter veldig til han fordi jeg syns han er veldig flink. Han sier: bruk lange passord, bruk gjerne mellomrom i passordene, skriv ned passordene dine i en bok og oppbevar det hjemme. Fordi det er veldig sjeldent at en hacker over internett kommer hjem til deg for å finne passord. Mange snakker om at du skal bytte passord hele tiden, og ha det komplekst, men det blir vanskelig for folk. Så lag heller setninger, med mellomrom, kanskje litt tegn som vi bruker i Norge, så er du relativt godt sikret. Ikke gjør det for komplisert. 

 

Silvija: Du hvis du skulle gi folk et lesetips, hva ville du pekt på?

 

Jack: Da ville jeg pekt på den boken jeg leser nå, det finnes mye spennende å lese, men den jeg leser nå heter «Homo Sapiens», og den handler om menneskets utvikling fra titusener av år tilbake, hvor vi klarer å få beskrevet det grunnleggende i mennesket. Og det syns jeg er veldig interessant også når man snakker om cyber sikkerhet, fordi det forteller oss litt om hvorfor vi gjør det vi gjør. Det har noe med hvordan vi genetisk er bygget opp, og hva vi kanskje ikke kan forandre. Så den boka anbefaler jeg alle å lese.

 

Silvija: Og litt også om hvordan vi skal være stolte av det, spesielt i disse AI- tider. Veldig på tide med litt mer humanisme, fordi vi er noen fantastiske dyr. 

 

Jack: Helt enig, vi trenger å kommunisere med hverandre, vi trenger å spre rykter, vi trenger å ha tro på noe, og da må vi ikke outsource det til data. 

 

Silvija: Nei. Hvis du skulle gitt folk en liten gave i form av et sitat, hva ville du sagt?

 

Jack: Ja, og da tenker jeg på noe som ofte sies, enda jeg vet ikke helt hvem som har sagt det men; «the best way to predict the future is to invent it». Altså det å være med å påvirke hvordan fremtiden skal være syns jeg er veldig veldig spennende. 

 

Silvija: Syns det er så flott tanke, fordi fremtiden er ikke noe som bare kommer. Det er rett og slett en reise vi skaper. 

 

Jack: Nettopp, og vi kan gjøre en forandring, hver og en av oss, hvis vi vil. 

 

Silvija: Du hvis folk skal huske en ting fra vår samtale Jack, hva skal det være?

 

Jack: En ting så tenker jeg det å være nysgjerrig for eksempel. Det å være lyttende til gode råd. Og få til samhandling mellom mennesker, på arbeidsplasser, mot partnere også videre. Det tror jeg er vesentlig for å klare å beskytte oss mot de truslene vi har idag, og som det kommer mer av i fremtiden. 

 

Silvija: Jack Fischer Eriksen fra Næringslivets sikkerhetsråd, tusen takk for at du er en så inspirerende cyber politimann!

 

Jack: Takk for det, veldig hyggelig å bli bedt!

 

Silvija: Som hjelper oss å forstå at det nytter, og at hver av oss har en rolle både i store selskaper og i det private i forhold til dette med å sikre våre verdier digitalt. Takk til dere som lyttet!

 

Du har lyttet til en podcast fra Lørn.Tech - en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech.