LØRN case C0254 -
LØRN. ENTERPRISE

Hans Petter Holen

Chief Information Security Officer

VISMA

Helhetlig sikkerhet

I denne episoden av #LØRN snakker Silvija med Chief Information Security Officer i Visma, Hans Petter Holen, om tidlig internetthistorie og hvordan vi kan tenke helhetlig om cybersikkerhet. Hans Petter bygger for tiden opp en sikkerhetsorganisasjon innenfor softwareselskapet Visma og for deres kunder. Hans Petter deler sine erfaringer med dette arbeidet, og om viktigheten av å tenke sikkerhet fra starten av en organisasjon. Hans Petter og Silvija diskuterer også definisjoner på hva som går for å være god cybersikkerhet internasjonalt og nasjonalt.
LØRN case C0254 -
LØRN. ENTERPRISE

Hans Petter Holen

Chief Information Security Officer

VISMA

Helhetlig sikkerhet

I denne episoden av #LØRN snakker Silvija med Chief Information Security Officer i Visma, Hans Petter Holen, om tidlig internetthistorie og hvordan vi kan tenke helhetlig om cybersikkerhet. Hans Petter bygger for tiden opp en sikkerhetsorganisasjon innenfor softwareselskapet Visma og for deres kunder. Hans Petter deler sine erfaringer med dette arbeidet, og om viktigheten av å tenke sikkerhet fra starten av en organisasjon. Hans Petter og Silvija diskuterer også definisjoner på hva som går for å være god cybersikkerhet internasjonalt og nasjonalt.
Facebook
Twitter
LinkedIn
Email

21 min

Choose your preferred format

Velkommen til Lørn Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SS: Hei, og velkommen til Lørn. Jeg er Silvija Seres og tema i dag er Cyber Security. Min gjest er Hans Petter Holen, en gammel venn av meg som også Chief Information Security Officer hos Visma. Velkommen!

HPH: Jo, takk for det.

SS: Vi skal snakke litt om hvordan Visma bygger opp sin sikkerhetsavdeling, hvor finner man folkene, hva er det viktigste man må fokusere på i sånne oppgaver, men jeg har også lyst å høre litt om internetts tidligere historie i Norge, sånn ca. Oslonett tider. Og så skal vi snakke litt om internasjonalt standard arbeid som du kanskje er en av de mest aktive vi har i Norge på.

Alt det kommer, men først håper jeg du kan fortelle våre lyttere litt om hvem Hans Petter er og hva som driver han.

HPH: Jeg er utdannet programmerer fra Universitet i Oslo.

SS: Husker det.

HPH: I tidlige tider så begynte jeg å jobbe ved siden av studiene, jeg jobbet for UCIT på universitet med drift av systemer der, og så ble jeg med i en gjeng som startet Oslonett, som du sa, i 1991, så det begynner å bli fryktelig mange år siden. Da var vi 16 stk som hadde noen visjoner om å starte en tjeneste for å utvikle informasjon og vi ville basere det på unix og internettprotokoller.

SS: Da fantes ikke uttrykket Internet Service Provider enda?

HPH: Nei, det var vel ingen internettleverandører på det tidspunktet, og vi hadde ikke så mye penger, så vi gjorde et konsulentoppdrag for Telepost Communications som var en sånn joint venture mellom posten og televerket, Telenor ble de vel kanskje kalt litt senere. Og da bygget vi opp et internett backbone for dem, slik at vi kunne begynne å selge internett til bedrifter.

SS: Hva er et internett backbone?

HPH: Da var det jo om å gjøre å få internett ut fra Oslo sentral til de store byene i Norge, slik at man kunne koble på bedrifter på internett der.

SS: Og da brukte man fortsatt telefonlinjer?

HPH: Nei, det var faste linjer for å koble opp bedriftene, men det vi fokuserte på i Oslonett det var konsumentmarkedet og bedrifter var jo også interessert i det, fordi å drive å kjøpe et oppringt via modem, via vanlig telefon det var jo en inngangsbillett som ikke kostet så mye, selv om prisene var helt annerledes da enn nå. Det som var gøy med dette her var at veksten hos oss var så enormt mye større enn det Telepost klarte i bedriftsmarkedet, så etterhvert skjønte de at de også måtte inn i det markedet og få konsumentkundene og da var det hard konkurranse i flere år vi ble kjøpt opp av Schibsted og da gikk det jo ikke så veldig mange år før Schibsted og Telenor fant ut at «her må vi fokusere på det vi kan – Schibsted på innhold, Telenor på kommunikasjon», og så ble Schibsted nett en del av Telenor og så er resten historie.

SS: Egentlig så har vi hoppet over en veldig viktig del av pre-historie enda før dette her. Jeg synes ikke vi feirer våre store helter i dette landet. En ting er Ole Handal og Kristen Nygaard med objekt orientert programmering men en annen ting er alt det som ble gjort med internett om det er Pål Spilling eller Kjeller og den gjengen der. Disse historiene må vi tilbake til, Hans Petter, for dette er folk som har gjort ting først i verden altså.

HPH: Ja, og det Pål Spilling er jo kjent for det han klarte å få til med Televerkets forskningsinstitutt på Kjeller og miljøet rundt det. En av de som jeg synes kanskje ikke har fått så mye anerkjennelse er jo en av de som faktisk gjorde jobben for Pål med å sette opp rutere og konfigurere, en venn av meg som heter Jens Thomassen. Og det er egentlig hans skyld at jeg ble involvert i internasjonalt arbeid fordi når vi trengte IP-adresser til dette nettet, så var det en søknadsprosess med å finne skjemaer som man skulle sende til RIPE NCC til Amsterdam og Jens så på dette her og sa at «Dette her er veldig mye papirer, Hans Petter, det kan du gjøre, og kom og spør hvis det er noe du lurer på». Så sendte jeg avgårde en søknad og fikk adresser for Telepost og så et år eller to senere skulle jeg gjøre det samme for Oslonett, og da fikk jeg ikke noen adresser. Mye frem og tilbake, og jeg reiste til Stockholm på IETF for å møte Daniel og Miriam som håndterte dette her og fikk da vite at «Nei, men Hans Petter du må følge policyene». «Ja, men jeg har gjort det». «Nei, men vi har endret policyen på siste RIPE møte». «Kan du sende meg de nye dokumentene da?». «Nei, de har vi ikke rukket å skrive ned enda». Så der var det jeg fant ut at her kan jeg engasjere meg og gjøre en forskjell. La oss i hvert fall skrive ned policyene før vi endrer de.

SS: Og dette er policyer for hvordan man får tak i disse IP-adresser?

HPH: Det er riktig.

SS: For uten IP-adresser har man ikke et sted på nettet..?

HPH: Nei, og det alle ser på internett i dag er et domenenavn, en URL som man taster inn i browseren sin, men bak den, så ligger det en IP-adresse. I teorien kunne man ha brukt internett fint uten et domenenavn, selv om det ikke hadde vært særlig brukervennlig.

SS: Og man måtte ha husket masse tall.

HPH: Ikke sant, men uten IP-adresser ville det ikke ha fungert i det hele tatt. Så det er liksom kjernen. Og det er da et arbeid som jeg har vært med i siden 1996.

SS: Du vi får nerde egentlig, vi lager en ny podcastserie som kommer til å dreie seg om våre gode IT-helter, Ole Bjørn Hessen må vi skryte av og Erik Naggum må vi skryte av. Men en av de som sitter i hodet på meg nå er Bjørn Remseth. Jeg husker vi satt på terminalstua i 1993 kanskje, og han var helt over seg over å måtte vise meg Browser, det var Mozilla. «Se, dette er så kult, Silvija». «Ja, akkurat det samme gjør du med protokoller, når du taster alt på kommandolinje». «Nei, men her er det en link du kan klikke på!». Han var helt i hundre og skjønte hvor stort dette ville bli lenge før jeg klarte å innse viktigheten av det. For det er det at det ble enkelt å bruk det, man slapp å huske alle disse tallene, man slapp å kunne masse sikkerhetsdetaljer, som gjorde at internett etter hvert ble den kommersielle og politiske maskinen det er blitt da. Morsomt observere det eller hva tenker du?

HPH: Helt utrolig. Jeg husker en kollega av meg i Oslonett, Tore Solvar Karlsen, han sa på et tidspunkt at «Dette kommer til å bli stort. Internett kommer til å bli større enn en video, altså leievideoer». Og vi så på han og tenkte at nå har det rablet for han. «Så stort kan det jo ikke bli». Og når jeg tenker tilbake på det så er det jo sånn i dag kan vi jo nært sagt ikke leve uten internett. Samfunnet fungerer ikke, og da er vi kommet over i en situasjon hvor vi har kommet fra et nett som ble bygget for forskning og utvikling og som nå er blitt kritisk infrastruktur i samfunnet egentlig helt uten at det er laget for det.

SS: Ikke sant. Det er der jeg tror at våre politikere kommer til å få litt overraskelser, for dette er første fullskala eksperiment i anarki egentlig. Hele internett TCP-protokollen er bygget for å kunne flyte, uten å bli stoppet, uten å være sentralisert. Og så kommer nå alle disse block chain greiene i tillegg. Det blir litt spennende for alle de som tenker litt sentralisering, og midt oppi dette her så prøver du å lage litt strukturer og litt vett.

Appropo vett så tenker jeg Oslonett, jeg må bare fortelle den siste anekdoten der. Jeg husker ikke om det var du eller Jens som fortalte om en person som ringte opp og lurte på om de kunne kjøpe litt internett. Og så sa de at «Ja, her hos Oslonett». «Ja, det er fint det med Oslonett, men jeg vil ha internett». Så vi har skjønt at vi er en del av det store internettet etterhvert. Og der jobber du nå ikke bare med å få det til å funke, men å la folk bygge kritiske løsninger på toppen av det, sånn som regnskapssystemer. Og så må dette her i tillegg være sikkert. Hvordan begynner man med en sånn jobb?

HPH: Dette her var en veldig lang reise for Visma, når jeg begynte der for snart femten år siden, så leverte vi jo regnskapsprogrammer på en CD som økonomisjefen installerte på PC-en under bordet og sikkerhet var egentlig hans problem. I dag så har vi flyttet disse tjenestene, slik at Visma er ansvarlig for de, vi leverer det som en tjeneste på nett, og vi har flyttet tjenesten ut fra datasenteret vårt ut i skyen, så vi er på en måte avhengig av en av de store leverandørene som Microsoft eller Amazon, som jo er mange ganger større og mange ganger bedre på å drifte grunnleggende infrastruktur enn oss. Men da har vi plutselig flyttet ut fra bak brannmuren, så måten vi tenker på sikkerhet i dag er jo helt annerledes enn vi gjorde for femten år siden. Det er behov for å tenke gjennomgående sikkerhet, koden må være sikker, de som jobber med koden må ha sikre plattformer å utvikle på og egentlig så må sikkerhet gjennomsyre alt vi gjør. Det er ikke noe som kan limes på i ettertid.

SS: Hvordan tenker man sikkerhet fra starten av? Finnes det noe sånn ti bud, Fjellvettsregler? Begynner man med data eller hva begynner man med?

HPH: Det er et veldig interessant spørsmål. Fordi vi jobber egentlig med dette på to måter på dette i Visma. Kundene våre ser på oss utenfra og tenker at her må man jo følge lover og regler og være compliant med ymse standarder, og de finnes det jo flere av enn de man ønsker å forholde seg til, og da blir det veldig top-down tilnærming til sikkerhet hvor på en måte styret bestemmer noe, og konsernledelsen og sikkerhetssjefen osv. Men ekte sikkerhet den kommer jo i dag egentlig fra bunnen av med de unge, smarte menneskene som kommer og som har de rette ideene og de rette tankene om hvordan å lage en sikker løsning. Litt av utfordringen vår ligger i en god balanse mellom å ha et rammeverk som viser at vi har en god sikkerhetskultur og en god måte å tenke rundt sikkerhet på, men samtidig gir frihet til unge programmerere og designere til å virkelig gjøre neste generasjons sikkerhet, som ikke vi som har holdt på noen år kanskje har tenkt på.

SS: Når vi lenger ting ut i skyen, så åpner vi da opp for nye sårbarheter, men det er uunngåelig.

HPH: Ja, vi ønsker jo at tjenestene skal være tilgjengelige for alle hvor som helst fra på hvilken enhet når som helst, og det åpner jo også for at alle aktører som vi ikke ønsker skal ha tilgang til disse systemene gjennom sårbarheter som jo nødvendigvis er der selv om vi sørger for å sørge for at de ikke er det. Så har vi en utfordring der med å sikre oss mot disse aktørene.

SS: Jeg spurte deg hvorfor Visma er så spennende, og du svarer at det er et selskap i sterk vekst og flere og flere spennende områder man dekker, men så sier du «Kombinert med ny teknologi blir hverdagen i cyber security aldri kjedelig». For vi åpner opp mer og mer av livene våre for digitalisering - Internet of Things, ny medisin, alle de nye reguleringer, og etterhvert så har både banker og andre institusjoner blitt Software institusjoner. Hvordan i all verden klarer man å lære seg nok i alle disse retningene?

HPH: Man klarer aldri å lære seg alt om cyber security, man er veldig avhengig av samarbeid. En av de tingene som vi tenker helt annerledes med sikkerhet enn banker, det er at vi tror på åpenhet. Sharing is caring er et slagord vi bruker, fordi det å lære av andre, det å lære av hverandres sårbarheter både internt, men også eksternt gjennom responsible disclosure program, altså finn gjerne feil i tjenestene våre, så lenge du forteller oss om det, så skal vi la være å anmelde deg til politiet, men vi lover da å gjøre det vi kan for å løse disse sårbarhetene som andre finner. Det samarbeidet som finnes mellom freelance sikkerhetsforskere som bruker all fritiden sin på å finne dette sammen med profesjonelle utviklere som ser lyset i at folk ikke er ute etter oss, men vil hjelpe oss, det er noe av nøkkelen i det. Og ny teknologi, machine learning eller kunstig intelligens er jo veldig i vinden nå, og det siste systemet vi har kjøpt inn nå er et system som skal analysere trafikk i nettverket vårt og da detektere unormale ting, og det er vi veldig spent på hvordan fungerer, det ser veldig fint ut i presentasjoner, men vi har et stort håp om at skal kunne bringe oss til det neste nivå.

SS: Du nevnte for meg noen spennende kontroverser, veldig mange av dem er egentlig politiske. Den ene dreier seg om UN/ITU om cyber security og nasjonal råderett og den andre er Macron sin «Paris call». Kan ikke du si veldig kort hva disse tingene dreier seg om?

HPH: Du sa jo innledningsvis at internett er anarki og det har det jo vært, men det er det ikke nå lenger fordi nasjonalstatene vil nå bestemme over sin bit over internett. Kina, Russland ønsker sine egne kjøreregler og hva som er greit og ikke greit av innhold og oppførsel på nett. Internett forøvrig har vært et industrisamarbeid, hvor det ikke har vært noe lover eller regler som styrer det. Organisasjoner som RIPE eller ICANN hvor man jobber sammen for å finne ut av det. Der er jo også myndighetene begynt å vise interesse og ta del, mens neste skritt nå har vært å bringe cyber security inn i DC, og det har kommet gjennom FN og ITU som har vært de tradisjonelle der nasjonalstatene møtes, men der har det egentlig vært en konflikt mellom Russland og Cuba som har vært et talerør for at hvis vi har en konflikt i cyber space, så skal ikke den eskaleres til den virkelige verden, til konvensjonell krig, mens USA forbeholder seg retten til å bruke alle midler til å forsvare seg. Man kan jo ha en viss sympati for begge synspunktene, men den konflikten har man ikke klart å bli enige om enda i FN, og derfor var det initiativet som kom i Paris fra den franske presidenten med et samarbeid mellom privatsektor og myndigheter for å lage et regime, et regelverk for cyber security. Det er også veldig interessant, for dette er noe man har jobbet lenge med på internettsiden for teknisk koordinering, men aldri forsøkt på sikkerhetsproblematikk.

SS: Jeg tror dette blir kjempe spennende, både jus og politikk, og det som er viktig da er at vi hjelper våre politikere og jurister til å forstå hva som er teknisk mulig og umulig, eller sannsynlig. Det som er greia med cyber security er at vi mennesker vil så gjerne ha noen absolutter her – er det trygt eller er det ikke trygt, er det hvitt eller sort, men dette dreier seg om sannsynligheter og statistikk hele veien. Hva er tall som passer deg?

HPH: Jeg fikk et spørsmål fra styreformannen i Visma da jeg presenterte sikkerhet i fjor sommer til styret og han spurte «Hans Petter kan du garantere at vi ikke blir hacket?» og det er det eneste jeg kan garantere deg, vi kommer til å bli hacket, spørsmålet er bare hvordan vi klarer å håndtere det.

SS: Veldig interessant hva han ene representanten for en av de nasjonale sikkerhetsinstitusjonene i USA som ble sagt opp av nåværende president sa da han ble spurt under en lunsj om hva hans største bekymringer var, og hva som holdt han våken om nettene. Han sa «In order of priorities: cyber security and then the failiure of Nation-states”. Så de tror at det kommer til å skje enorme ting før vi innser hvor viktig del av livet vårt dette her har blitt. Jeg spurte om du har noen favoritteksempler på god cyber security internasjonalt eller nasjonalt, og da nevner du Per Sandberg litt sånn malapopos?

HPH: Ja, det er jo egentlig helt utrolig hvilken hjelp han har gitt oss til å få fokus på hvor viktig det er å tenke sikkerhet. Det er litt fordi han i, sånn jeg ser det, i sin naivitet gjorde ting som er helt åpenbart at en mann i hans posisjon ikke skulle gjøre, men det er jo så lett å tenke for seg selv at «Ja, jeg har jo vært på ferie i Kina. Tenkte jeg da på at jeg ikke skulle ta med meg mobiltelefonen min? Nei, det gjorde jeg jo ikke».

SS: Det gjorde ikke jeg

HPH: Nei, ikke sant? Nettopp. Du må jo være på Facebook og Instagram, og jeg vet ikke hva. Så den bevisstheten rundt det som den hendelsen åpnet, samtidig som det er en veldig søt historie, gjorde det at vi fikk et ekstra fokus på sikkerhet gjennom det.

SS: Vi går tom for tid, men jeg må si deg to setninger om dine egne prosjekter, for du gjør innmari kule ting. Si litt om deteksjon og si litt om darktrace.

HPH: Deteksjon handler om å finne ut ting, og én ting er å bruke tekniske løsninger for å scanne sårbarheter, finne ut hva vi har i nettet. Darktrace er å ta dette til neste generasjon, man må bruke machine learning for å finne ut hva som er unormal oppførsel, men det som er virkelig spennende nå og som det kommer til å leses om i avisene ganske snart er det arbeidet vi gjør også å finne ut hvem som står bak og å få de frem i lyset, at det har en konsekvens å angripe bedrifter.

SS: Altså identifikasjon og konsekvenser.

HPH: Riktig. Og det er vi veldig avhengig av samarbeid mellom det private og næringsliv, og myndighetene gjennom organisasjoner som NSM og politiet for etterforskning.

SS: Veldig spennende. Har du en bok du har lyst å anbefale våre lesere?

HPH: Jeg tenker at det jeg har lest den siste tiden egner seg neppe for anbefalinger, som den nye sikkerhetsloven og NIST direktivet som jeg leste forrige uke, men jeg fikk en bok i fjor fra ... som jeg synes var veldig bra. Jeg har ikke kommet så veldig langt i den, men den går mye på hvor mye vi legger igjen og gir bort av informasjon, og hva egentlig konsekvensene av det er.

SS: Data og Goliath?

HPH: Data og Goliath, ja.

SS: Kjempe spennende, den skal jeg sjekke ut. Har du et lite sitat du kunne ha gitt til våre lyttere som en gave?

HPH: Ja, jeg tenker litt på det at Vint Cerf, en av internettets fedre, som han ikke liker å bli kalt, men som vi gjerne kaller han. Han var i Oslo for en del år tilbake og ble spurt om hva han tror om fremtiden til internett, og da svarte han at «Vel, det vet jeg ingenting om. Gå og spør barna deres. De kan fortelle dere om hva internett kommer til å bli i fremtiden».

SS: Større en video?

HPH: Større enn video.

SS: Fantastisk. Hvis folk skal huske én ting fra vår samtale, hva skal det være?

HPH: Det må være at sikkerhet er noe man må tenke på fra begynnelsen, det er ikke noe som kan komme en ettertanke, så start med å tenke sikkerhet fra første stund.

SS: Hans Petter Holen, en god venn og en utrolig flink IT-mann og en sikkerhetsmann, takk for at du var her og inspirerte oss om å tenke helhetlig på cyber security.

HPH: Takk skal du ha.

SS: Takk til dere som lyttet.


Du har lyttet til en podcast fra Lørn Tech – en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier, og på våre nettsider lorn.tech


Hva er det viktigste dere gjør på jobben?

Vi lager programmer for å gjøre kundene våre mer effektive, som for 20 år siden ble brent på CD-er. I dag leverer vi skytjenester og har overtatt ansvar for sikkerhet.

Hva fokuserer du på innen cybersec?

Jeg bygger en sikkerhetsorganisasjon for Visma og finner de rette folkene for å sikre dataene til kundene. Hovedfokuset vårt er å se hendelsene helt i mål, og ikke gi oss når uvedkommende er oppdaget, stengt ute og skaden reparert.

Hvorfor er det spennende?

Det er aldri mulig å vite hva som venter, og kombinert med ny teknologi blir hverdagen med cybersikkerhet aldri kjedelig.

Hva synes du er de mest interessante kontroverser?

Politisk er det nasjonal råderett og rett til eskalering, og dualismen mellom offentlig/privat samarbeid og iveren etter å regulere. Ned til det nære er det om hvor åpne vi skal være om hendelser.

Dine egne prosjekter siste året?

Scan av alt i nettet for å oppdage sårbarheter for å levere funnene og neste skritt er trafikkanalyse.

Dine andre favoritteksempler på god cybersec internasjonalt og nasjonalt?

Per Sandberg, fordi det var et fantastisk eksempel på hvordan vi ikke bør tenke om cybersikkerhet.

Hva tror du er relevant kunnskap for fremtiden?

Metakunnskap, fordi det er en av den aller viktigste egenskapen og kompetansen å lære

Hva gjør vi unikt godt i Norge av dette?

Vi har et åpent samfunn der det er mulig å lære av hverandre og stille spørsmål. Det er grunnleggende for et godt sikkerhetsarbeid.

Et favoritt fremtidssitat?

Vinton Gray Cerf, når han for noen år siden ble spurt om internetts framtid og svarte «det må du spørre barna dine om».

Viktigste poeng fra vår samtale?

Tenk på sikkerhet fra begynnelsen.

Hans Petter Holen
Chief Information Security Officer
VISMA
CASE ID: C0254
TEMA: CYBERSEC AND COMPLIANCE
DATE : 190206
DURATION : 21 min
LITERATURE:
Data and Goliath av Bruce Schneier
YOU WILL LØRN ABOUT:
CybersikkerhetOslonett Marcon – Paris Call Cyber AI
QUOTE
"Sikkerhet er ikke noe som kan komme som en ettertanke. Vi kommer til å bli hacket, spørsmålet er hvordan vi håndterer det."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB