LØRN case C0255 -
LØRN. ENTERPRISE

Jens Kristian Skårerverket

Security Portfolio Manager

EVRY

Breaching the wall

I denne episoden av #LØRN snakker Silvija med Security Portfolio Manager i EVRY, Jens Kristian Skårerverket, om sikkerhet og hvordan man sikrer konfidensialiteten. Jens Kristian forteller om hvordan et IT-økosystem fungerer, og hvorfor det er viktig for selskaper og organisasjoner å gjennomføre risikoanalyser.
LØRN case C0255 -
LØRN. ENTERPRISE

Jens Kristian Skårerverket

Security Portfolio Manager

EVRY

Breaching the wall

I denne episoden av #LØRN snakker Silvija med Security Portfolio Manager i EVRY, Jens Kristian Skårerverket, om sikkerhet og hvordan man sikrer konfidensialiteten. Jens Kristian forteller om hvordan et IT-økosystem fungerer, og hvorfor det er viktig for selskaper og organisasjoner å gjennomføre risikoanalyser.
Facebook
Twitter
LinkedIn
Email

16 min

Choose your preferred format

Velkommen til Lørn Tech - en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SS: Hei og velkommen til Lørn. Temaet i dag er cyber security. Mitt navn er Silvja Seres og gjesten min er Jens Kristian Skårerverket fra EVRY. Velkommen!

JKS: Takk for det.

SS: Du er Security Portfolio Manager og det er nok å ta motet fra en hvilken som helst dame. Vi kommer tilbake til hva dette her egentlig betyr, men før vi gjør det, Jens Kristian, kan du fortelle oss litt om hvem du er og hva som driver deg?

JKS: 33 år gammel, vært i IT-bransjen i ti år. Jeg startet egentlig på Help desk og har jobbet med det meste etter det. Bedrift og applikasjonsutvikling og litt forskjellig, så jeg har vært borti det meste og sett det meste av merkelige løsninger. Jeg startet med sikkerhet for fem-seks år siden hvor jeg egentlig testet systemer jeg satt og driftet og fikk se hva svakhetene var, og plukket det litt fra hverandre. Man kommer over ting, og det er litt interessant å se. Så begynte jeg å skrive mye tilbud i det selskapet jeg jobber i, for vi har jo flere store kunder hos oss som går ut på anbud, og da har jeg vært med på å besvare sikkerhetskapitaler og sikkerhetsarkitekturen som de etterspør, og da lærer man veldig mye om hvordan ting henger sammen og om hvordan kundene ser hvordan ønsker det, risikovurderinger de har gjort og i det hele tatt hvordan hele økosystemet deres henger sammen. Veldig lærerikt, og da har det vært en veldig morsom reise, og ting har forandret seg veldig på de fire-fem årene siden jeg begynte å skrive sikkerhetstilbud for å si det sånn.

SS: Det må du fortelle oss litt mer om, for en god venn av meg som jobber i et av de veldig spennende overvåkningsselskapene innenfor data hadde en kommentar til meg hvor jeg spurte om noen tekniske ting, så sier han at «Jaja, men vi er langt forbi det, Silvija. Vi er i et mye mørkere sted enn du aner». Og de fleste av oss vet ikke, og vil kanskje ikke vite det heller. Det jeg opplever når jeg snakker med IT-sikkerhetseksperter så blir det veldig fort veldig prinsipielle samtaler om at dette er viktig og at man må tenke helhetlig og sånn, men det er vanskelig å gi vanlige folk noe konkret som det er lett å forholde seg til. Det er det jeg er litt ute etter. Hvis man hører ordet sikkerhetsarkitektur, hva i all verden er det? Og risikoanalyse, hva i all verden er det? Og hva er de viktigste tre ting man må passe på skal man ha et noenlunde sikkert system? Kunne du ha snakket litte grann om de konkreter?

JKS: Det kan vi snakke litt om, og da kan vi ta et reelt eksempel som mange kanskje kjenner seg igjen i. Hvis vi tar for eksempel outsourcing, du skal kjøpe en tjeneste hos den andre, og de fleste mennesker i dag gjør jo det uavhengig om det er IT eller ikke, men skal du for eksempel pusse opp badet ditt, så må du ha noen fagfolk til å gjøre det. Du kan velge å gjøre det selv og ta den risikoen, vil ikke ha noen papirer på det, eller du kan gå til en håndverker som ikke har noe papirer på det, men sier han er flink til å gjøre det, eller så kan du gå til en som er sertifisert håndverker på våtrom og så får du en kvittering på det og så har du faktisk gjort en liten risikoanalyse på det. Det samme gjelder jo IT når man skal outsource ting. Tenke litt igjennom hva er det du egentlig skal oppnå? Hva er det man ønsker at dette skal gi oss, først og fremst? Hvilke verdier har vi som selskap eller som virksomhet? Hva har virksomheter som har en personlig informasjonsdata, persondata, om flere av brukerne sine? Noen har til om med om alle nordmenn og får knotet seg oppover i Norge, det kan være helsedata, det kan være sikkerhetsobjekter. Det vi så når jeg begynte på dette i 2014, så var det da den outsourcing-bølgen var på høyden og mange av kravene på sikkerhets-delen var kanskje en halv side på et dokument som inneholdt 600-700 krav. Den største grunnen til at man har outsourcet var kostnad. Man skulle ha det billig fra et lavkostland, og vi har vært borti avtaler der kravene er 80% outsourcing til India. Det var bare det ene og alene kravet, lavest pris vant. Så har dette forandret seg litt oppigjennom årene, så i 2017 begynte jeg på et større anbud på kjøkkenbransjen. Det er noe helt annerledes enn det va i 2014. Avtalen var delt i åtte, det var forskjellige towers man kunne vinne, i bunn så lå det et sikkerhetsbillag på flere hundre sider som alt skulle svares opp på. Da hadde man faktisk gjort et ekstremt godt arbeid til den kunden om hvordan man skal passe på at en leverandør faktisk gjør det de sier de skal gjøre på sikkerhet. Så kunden hadde tatt et standpunkt på hvordan arkitekturen skulle se ut, litt som badet, hvordan skulle det se ut, og hvilke parametere skulle de faktisk følge oss opp på. For det handler om at hvis du setter bort et bad, og du ikke får noen kvittering, så har du ikke noen måte å audit noe, du ser ikke noe. På samme måten når virksomheter går ut og skal kjøpe tjenester på outsourcing, så handler det om hvordan kontrollerer jeg de som skal levere disse tjenestene og at de leveres i henhold til, for det er jeg som virksomhet som sitter med ansvaret til slutt. Det kan du ikke outsource. Så jeg har sett veldig morsomme eksempler på det, noen virksomheter har veldig god kontroll på dette, og ber om risikovurderinger på bare nesten en pc-mus, om man skal kjøpe det, hva er risikovurderingen på det?

Så er det de som ikke er der helt, og som tror at man kan outsource alt og alle og så sitter det leverandører med ansvaret, og det er ikke tilfelle. Det bildet har endret seg veldig i det norske markedet, det etterspørres nå mer og mer, og det er veldig gøy å jobbe med for oss som liker sikkerhet.

SS: Hva er det viktigste, for eksempel kunder fra finans- og forsikringsbransjen skal passe på? Hva er de viktigste parameterne for dem når det gjelder sikkerhet?

JKS: Det er kontroll på informasjon. Hvor er informasjonen deres lagret, for de har informasjon om veldig mange av oss, ganske sensitiv økonomisk informasjon, det er kortholderinformasjon, hvordan den dataen brukes i virksomheten, men også hvordan den brukes i informasjonssystemer. Skal det bare ligge inne i en database eller skal dette ut i noen andre databaser som ligger for eksempel i sky-tjenester, hvilken informasjon går da ut? Det å ha et helhetlig bilde av hvor informasjonsarkitekturen går hen, for det er fort et bilde som blir litt borte i den sky-verden. Tidligere så hadde vi den gamle middelalderborgen vår som vi bygde IT inni, og gjerne i et lokalt datasenter, eller kanskje under pulten vår også, og da visste vi hvor vi hadde alt. Så kom sky-tjenestene der vi ønsker å benytte oss av det, da det er veldig mange muligheter der, og så åpnet vi denne muren og så visste vi ikke helt hvor ting var hen. Klart skal vi bruke skyen, for det er utrolig mye muligheter der, men den største sikkerhetsargumentasjonen for å gå til skyen er rett og slett at du ikke har noe valg, for hvis du ikke sier noe om det som virksomhet, så vil dine ansatte ta deg dit uansett. De vil finne ut at den informasjonen som jeg ønsker å dele med en kollega, det går ikke på min arbeids-pc, så jeg lager meg en Dropbox på min private e-post og sender den opp dit, og så er det en kollega som laster den ned. Der ligger informasjon, virksomhetens informasjon utenfor virksomhetens kontroll, og da har du en risiko der i seg selv. Det å ha et bevisst valg til det, hva man ønsker å oppnå, i stedet for å bare si at vi skal dit fordi vi skal dit. Klart man kan si det også, men det er greit å ha en tanke bak det.

SS: Jeg spurte deg om synes du er de mest spennende eksemplene på cyber security, og da nevnte du WannaCry som viser samfunnssårbarheter. Kan du si litt om det?

JKS: Ja, når WannaCry kom, så var det jo en større hendelse, eller det var en stor hendelse på store steder. England ble hardt rammet på sykehussiden. Det var rundt 16 sykehus som rett og slett ble slått av, så har man krisestab i britiske statsministers kontor, og etter to timer så kommer han ut og sier at ingen fikk tilgang til person- eller helsedata, så det er flott, men ingen fikk operert noe heller. Så tilgjengeligheten på medisinsk bistand var nesten borte, mens ingen fikk sett på helsejournalen. Da må vi tenke for oss selv at dette er noe vi bare tar for gitt. Går vi 20-30 år tilbake og det datasystemet falt ned, så fikk vi operert mennesker, men nå er vi i en samfunnssituasjon der det ikke alltid er mulig å gjennomføre uten digital tilgjengelighet. At man da fokuserer på at ingen skal kunne lese helsejournalen framfor det å faktisk få operert et menneske som kanskje trenger livsviktig kirurgi der og da. Det er litt sånn oppveining på det, det går liksom på konfidensialiteten i systemene, integriteten, at noen ikke kan endre på ting og tilgjengeligheten. Det bruker jeg veldig mye også internt når jeg hjelper utviklere hos oss med risikovurderinger. Det kan se veldig tungt og kjedelig ut med dokumenter på 58 sider med bare egentlig akademisk tekst, men når vi starter arbeidet, så er det ganske morsomt. Jeg har fått tilbakemeldinger på det. Vi gjorde det sist i forrige uke om informasjonssystem som skal brukes til forsikring der det var litt sånn motstand, at «Dette var veldig tungt og kjedelig», men så begynner vi å se på det, og ser at «Åja, dette her er jo egentlig ganske kult». Man kan se at det trenger ikke nødvendigvis å være noe dyrt å gjøre det, men det handler om bevisstgjørelse og dokumentere det og så se at «Åja, der har vi faktisk et selskap som har tilgang inn i testmiljøet vårt, og det er greit, men hva gjør vi i produksjon? Hvordan integrerer vi det da?». Sånne enkle ting.

SS: Jeg spurte om du har noe lesing som du kunne anbefalt, og da nevnte du NSM sine grunnprinsipper for IKT-sikkerhet, er det noe man finner på nett?

JKS: Det ligger åpent på nettet, det er en ny revisjon kommet nå. Jeg synes den er veldig fin bare å henvise folk til når man vil ha en sånn grunnleggende innføring, for den er også linket opp til flere dokumenter man kan lese både internt hos NSM og utenfor. De skriver på en forståelig måte for mange som ikke jobber med IKT-sikkerhet hver dag for å komme og sette seg litt inn i det, hva dette handler om og hvordan man skal tenke på en fornuftig måte. Mye handler om sunn fornuft.

SS: Det er sunn fornuft, men mye blir sunn fornuft når man kan litt - hvordan ting henger sammen. Jeg spurte hva du tror er det viktigste at vi lærer, og du svarer det at det rett og slett er hvordan komponenter innenfor IT-økosystemer henger sammen, fordi det er den dynamikken som er nødvendig å forstå for å forstå sårbarheten også. Hvor går folk da? Tenk deg en god økonom eller en samfunnsviter som skal beskrive et viktig samfunnsprosjekt osv. Man kan ikke forvente at de skal gå og studere IT.

JKS: Nei.

SS: Så hvordan får man den IT-innsikten for å kunne lagre sikre systemer? Eller bestille?

JKS: Ja, bestiller i krav. Man trenger som du sier, ikke nødvendigvis å være noen ekspert i IKT eller i IT for å forstå eller å kunne programmere og for å kjøpe et datasystem, men det handler rett og slett om hvordan det er bygget opp. Hvis man skulle kjøpe et arkivskap i gamle dager, ha noen sikre dokumenter, så var det veldig enkelt å se på det arkivskapet og skjønne at det var sikkert, fordi det var lås på ting som det. Nå er det digitalt, og det er fysiske papirer inne på laptopen eller på en server et sted, og da bør man vite hva en server er. Hvordan er en server bygget opp, og mye av det kan man jo google seg til også. Mange av de store skyleverandørene har også veldig gode forklaringer på hvordan ting henger sammen og hva de gjør. Så egentlig litt nysgjerrighet også, det er det som har vært litt utfordrende med IT, for det endrer seg så fort. Så det som var hot og flott i dag det er legacy i morgen, men det å forstå grunnprinsippene, kanskje i IKT, og forstå hva et nettverk er for noe og hvorfor vi trenger et nettverk. Hva er det for noe?

SS: Jeg smiler fordi du er en av disse hybridfolkene som jeg tror vi trenger mange flere av. For i bunn har du økonomi, jus og ledelse fra BI.

JKS: Ja, det var det min arbeidsgiver satte meg på en eller annen gang i tiden.

SS: Og så har likevel forstått hva en server er og hvordan nettverk funker. Det har du gjort rett og slett ved å grave selv?

JKS: Grave selv og så har jeg jobbet i drift, med IT-drift, og vært i krisesituasjoner mange ganger. Ting har falt ned og jeg har egentlig bare vært inne på server og utforsket. Se hvordan ting henger sammen, og så lærer man hele tiden.

SS: Så det er håp for alle?

JKS: Jada, det er det.

SS: Det er veldig bra. Hvis du skulle anbefalt noe å lese, så nevnte vi NSM sine grunnprinsipper i IKT-sikkerhet og så har vi nevnt rett og slett nettet, altså å gå ut og let og les. Er det noen konferanser eller noen samlingsteder som er gode hvis man skal komme i gang med sikkerhet?

JKS: Jeg synes HackCon i Oslo er en god konferanse som er årlig. Der får man mange gode historier fra det virkelige liv. Mye testere og pentestere som er ute og forteller om hvordan de gjennomførte testene sine, og det er ganske humor i hva de finner av og til og hvordan de finner det. Da får man virkelig innsyn i stedet for å lese om noe på internett som skjedde, så får man faktisk en mer gjennomgående teknisk analyse hva man faktisk gjorde.

SS: Den nye datakrimsamlingen.

JKS: Ikke sant.

SS: Hvis du skal gi et lite sitat som gave til våre lyttere, hva ville du ha valgt?

JKS: Jeg synes et sitat som jeg hørte i 2016 av var det Roar Thon Jeg er usikker på om det var han som hadde opphavet til det, men han sa fra en anonym IT-direktør så var det en som hadde sagt at «Det er mange muligheter i skyen», så er det er en anonym hacker som sier at «Det er mange muligheter i tåken også». Det synes jeg er ganske sammenfattende, for det har vært en veldig stor hype om å dra ut i skyen, og det er bra, for det er ny teknologi. Vi skal bruke ny teknologi, det er veldig viktig å gjøre det, men vi må også tenke på hvordan vi går dit på en god måte, slik at vi har kontroll. Vi ser nå at det er to ting som blir stort i år i skytjeneseter, og det er sikkerhetene dine, og sikkerhetene i skytjenester er veldig god. De leverandørene som leverer det har kontroll på dette, men som virksomhet, hvordan henger alt sammen, det er du som virksomhet som in the end of the day har ansvaret. Og så er det kostkontroll så klart, det er alltid noen som er interessert i det.

SS: Ja, jeg liker også det andre som du siterer Roar Thon på fra NSM. Hva er den største sikkerhetsgrunnen for å gå i skyen? «Rett og slett at du ikke har noe valg».

JKS: Ja, den bruker jeg mye både eksternt og internt. Du kommer til å bli tatt der som virksomhet uansett enten om du vil det eller ikke, og da er det bedre å faktisk ha et bevisst forhold til det. Å snakke om det med dine ansatte og forklare hvorfor man gjøre det. Det er god sikkerhetskultur.

SS: Hvis folk skal huske én ting fra vår samtale, hva vil du at det skal være?

JKS: Jeg tror det er det å tenke litt, gjøre det tankearbeidet før man går ut på outsourcing i skytjenester, nye tjenester og det som er. Tenke litt over hva det skal brukes til, hvilken informasjon er det i de tjenestene vi skal bruke, og hvem har tilgang til de, hvordan skal vi sikre de, sikrer vi konfidensialiteten, integriteten og tilgjengeligheten på de tjenestene?

SS: Jens Kristian Skårerverket fra EVRY, tusen takk for at du kom hit og inspirerte oss til å rett og slett begynne å grave på bredt grunnlag, men med forståelse for at dette her er ting vi bare er nødt til å kunne for fremtiden.

JKS: Takk for at jeg fikk komme.

SS: Takk til dere som lyttet.


Du har lyttet til en podcast fra LørnTech – en læringsdugnad om teknologi og samfunn. Følg oss på sosiale medier og på våre nettsider lorn.tech.


Hva er det viktigste dere gjør på jobben?

Vi hjelper våre kunder med å oppnå sine strategier innen cloud og sikkerhet.

Hva fokuserer du på innen cybersec?

Mennesker og teknologi, og samspill og strategier for å sikre en god sikkerhetskultur og arkitektur.

Hvorfor er det spennende?

Det er spennende fordi alle driver med informasjonssikkerhet, så dette treffer alle.

Dine egne prosjekter siste året?

Jeg har mange prosjekter i finans- og forsikringsbransjen. Nå bygger vi opp en strategisk tjenesteportefølje innen cybersikkerhet.

Dine andre favoritteksempler på cybersec internasjonalt og nasjonalt?

WannaCry viste hvor sårbare vi har blitt som samfunn, i forhold til når flere sykehus i England ble stengt ned.

Hva tror du er relevant kunnskap for fremtiden?

IT og hvordan komponenter henger sammen. Man trenger nødvendigvis ikke inngående programmeringskunnskap, men man bør forstå hvordan et IT-økosystem fungerer i teorien.

Hva gjør vi unikt godt i Norge av dette?

Vi har mange flinke folk som bruker mye tid på faget.

Et favoritt cybersec-sitat?

Hva er den største sikkerhetsgrunnen til å gå i skyen? Du har ikke noe valg.

Viktigste poeng fra vår samtale?

IT-sikkerhet starter med mennesker. Vi kan ha så mange tekniske løsninger vi vil, men om vi utelater det menneskelige aspektet med IT-sikkerhet kan det fort gå galt.

Jens Kristian Skårerverket
Security Portfolio Manager
EVRY
CASE ID: C0255
TEMA: CYBERSEC AND COMPLIANCE
DATE : 190206
DURATION : 16 min
YOU WILL LØRN ABOUT:
CybersikkerhetIKT Risikoanalyse IT-økosystem
QUOTE
"Vi kan ha så mange tekniske løsninger vi vil, men om vi utelater det menneskelige aspektet med IT-sikkerhet kan det fort gå galt."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB