Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

Silvija Seres.: Hei og velkommen til Lørn. Mitt navn er Silvija Seres, tema i dag er cyber security, og gjesten min er Thom as Tømmernes fra Atea. Velkommen. 

Thomas Tømmernes: Takk skal du ha.

Silvija: Thomas, du leder Ateas IT-sikkerhetssatsning nasjonalt og det er mye jobb, tenker jeg.

Thomas: Det er mye jobb. Det er mange mennesker og et stort fagområde.

Silvija: Ja, og større og viktigere blir det. Vi skal snakke litegrann om hvordan bygger man rett og slett en hel sikkerhets- hva skal jeg si, divisjon, og det er ikke akkurat et marked man trenger å bygge, fordi folk skjønner at dette er superviktig, men de skjønner ikke kompleksiteten i det. 

Thomas: Det er helt riktig, og mye av det er at de som har ansvaret ikke forstår at de har ansvaret. Og det ser vi ofte fordi typisk ansvaret for IT og sikkerhet, det ligger alltid på et styrerom, leder hos styret. Men det er ikke alltid de skjønner sitt eget ansvar. Men at folk skjønner at man trenger sikkerhet, det er det jo ingen tvil om.

Silvija: Det er litt sånn krig og fred da, selvfølgelig trenger man mer sikkerhet og mer demokrati og alt sånt, men akkurat hvilke prioriteringer og valg må man foreta, for å få sikkerhet som er riktig for en selv, der begynner plutselig detaljene å poppe opp. Før vi nerder litt om dette her, så har jeg lyst at du skal si litegrann om hvem Thomas er.

Thomas: Oi. Thomas. Ja, jeg er en kar som pusher 50, pappa til to barn, jeg har Balder og Eiril, som er tenåringer, bor på Nordstrand. Ja, stort sett hobbyer og greier er litt sånn fluefisking og ut med båten og gjøre litt sånn, ja, svømmer en del. Ellers så er det jo veldig mye jobb, for å si det sånn. Man har jo valgt seg et yrke som ikke akkurat er åtte til fire.

Silvija: Drev du med IT-sikkerhet hele veien, eller er det noe du har tatt til deg nå?

Thomas: Hele veien har jeg ikke gjort det. Jeg så på IT og sikkerhet da det het VIC-20 og Amiga og sånn noe for 35-40 år siden. Men jeg ble skiboms, så jeg har hatt lange dreadlocks og kjørt masse ski og jobba for Tomm Murstad jeg og kost meg masse.

Silvija: Vanskelig å forestille seg deg med lange dreadlocks.

Thomas: Det er ikke mye hår igjen i dag.

Silvija: Skjegget, da.

Thomas: Du, skjegget er igjen. Jeg hadde ikke skjegg den gang faktisk. Men jeg traff et tre i litt for stor hastighet, så jeg måtte omskolere meg faktisk. Så jeg har studert i voksen alder, og da studert sikkerhet. Jeg ble coachet litt i forhold til at sikkerhet er noen smarte ting av en onkel, og så la jeg opp til å begynne å studere IT og sikkerhet, og vi så at det var fremtiden.

Silvija: Ja. Og der lærte du deg mye om nettverk og, hva lærer man da når man skal bli sikkerhetsekspert?

Thomas: Oi, hvis du skal bli en sikkerhetsekspert så er det veldig mye å si med erfaringen. Det er det. Men for å komme inn i dette her, så er det det å kunne forstå nettverk, OSI-modellen, hvordan ting er bygd opp, skjønne kompleksiteten i en typ løsning ende til ende, det er viktig. Begynner man med den tekniske forståelsen og tar for eksempel Cisco CCNA og tar en del av de sertifiseringene, setter seg litt inn i hvordan ting henger sammen, så er du et stykke på vei. 

Silvija: Jeg tror det å bare kunne forstå nettverk og kommunikasjon, jeg ville gjerne nerdet litt med Shannon og informasjonsteori, jeg, og entropier og sånn. Men det å forstå hvordan informasjon flyter, fra det ene endepunktet til det neste. Det er litt sånn grunnleggende, nesten filosofisk grunnlag da, for å skjønne hvorfor er dette så sårbart?

Thomas: Og det har du så rett i, for det vi ser da, når du skal på en måte bli god på sikkerhet, så må du forstå hvordan nettverk, hvordan komponentene prater sammen, hvordan ting er satt opp helt fra endepunktet gjennom routing, switching, you name it, innom alle typer servere, og ikke minst over til ja, gatewayer og ut på nettet. Og i dag så er det jo mer og mer fokus på å ta med deg sikkerhet fra nettverkssegmentet også. Tidligere så har det vært tenkt veldig mye sikkerhet på klienter, antivirus og den type ting, og så har vi tenkt veldig, veldig mye på en brannmur. Men alt det i mellom, det har ikke nødvendigvis vært så i fokus. Men jeg, min spådom er at innen veldig kort tid, så vil man si at de som klarer å ta med seg hele ?renchen?, det er de man satser på.

Silvija: Hjelp oss å forstå, du nevnte OSI-modell. For folk som ikke kan noen ting om nettverk, hvordan altså, dette nettverket er lag på lag med diverse ting, hvorfor trenger man flere lag? Hvorfor kan man ikke bare ha en kabel og sende noe strøm gjennom? 

Thomas: Jeg er veldig glad for at du stiller det spørsmålet. Det er mange, mange år siden jeg har vært borti teknisk. Hvordan skal man forklare dette enkelt og greit, jeg tror...

Silvija: Vi trenger sånne små animasjoner vet du, altså bare dette her med, uten at vi går inn i detaljer, men jeg tenker TCP/IP-protokoll og sånn, det er data, disse minste dataelementene da, disse bitene, de pakkes inn i flere lag med informasjon, for at man skal vite hva slags type data det er og hvor det skal og hvilken vei det er kommet og dette åpner for masse angrepsmuligheter.

Thomas: Det er helt riktig, det er jo måten man gjerne kommer seg inn i et nettverk på, er jo å forkle seg og være med i den strømmen. Jeg må innrømme at mine ferdigheter rundt både TCP/IP og OSI-modeller og nettverksstruktur og sertifiseringer og alle disse tingene, det har jeg ikke gjort på veldig, veldig mange år. Vi har ekstremt mange gode ressurser på det i Atea.

Silvija: Hvordan bygger man da opp disse folka, som skal bekymre seg over sikkerhet dag inn og dag ut? Hva gjør de, hvordan gjøres denne jobben?

Thomas: Tenker du på hvordan du bygger opp konsulenter som er ute og gjør jobben? I utgangspunktet så er jo, når vi får dem inn til oss, så er jo vi ute og leter etter typisk folk som har CCNA fra Cisco, folk som har gått nettverk- og systemadministrator fra Noroff eller noen som har gått på universitetet og har en bakgrunn. Og så er det sånn at man innenfor privat sektor som vi jobber i, eller alt mulig egentlig, så er det sånn at det er veldig produsentstyrt. Altså man spesialiserer seg gjerne og sertifiserer seg innen teknologier fra store produsenter. Det å kunne veldig mye teknologi eller ha veldig mye teorier, det er ikke nødvendigvis det du klarer å få omsatt til arbeidstimer og få løst et problem. Det å være sertifisert på Cisco firewaller, ? firewaller, IBM-løsninger i forhold til logg- og rapporteringsverktøy, det å forstå hvordan reisen til skya er, hvordan du setter opp disse forskjellige elementene på gatewaynivå, det er der vi snakker. Og det går mye på interesse, altså hvis du tror du skal jobbe med IT og sikkerhet, og ikke er interessert i teknologi, da må du gå over på salgssiden. Da kan du på en måte forstå helheten og store tenk og krig og fred og sånn, men skal du jobbe aktivt ute i felten med IT og sikkerhet så må du brenne for det.

Silvija: Så rett og slett mye god informasjon fra leverandører av de forskjellige komponentene, og så sørger de for at man kan på en måte rydde opp i deres egen del av–

Thomas: Ja, det er jo noe av det, men det vi også ser da, er at flere og flere av disse store produsentene begynner jo å prate sammen. Altså teknologien sklir mer og mer inn i hverandre, og det åpner jo for en helt ny måte å tenke på. Så hvis du tar sånne store aktører som IBM og Cisco, nå var jeg akkurat på Cisco Live forrige uke, og for det første så prater de mer og mer nettverk, for det andre så integrerer de med felles apper og sånn, slik at du kan hente all informasjonen fra Cisco klientsikkerhet, fra Cisco serversikkerhet, fra Cisco nettverkssikkerhet, Cisco skysikkerhet, alle elementene og nettverket inn i IBM verktøy, som analyserer og lager loggene. Og når du sitter på loggene, det er jo da du kan respondere på ting, ikke sant, for sånn som jeg pleier å si, det er ikke noen vits i å implementere sikkerhet hvis du ikke vet at det virker. Du må ha et vindu inn i sikkerhetsløsningen som sier at dette fungerer.

Silvija: Trenger det dashboardet rett og slett, som viser at det er grønt, eller stort sett grønt.

Thomas: Ja, også må du ha en plan på det. Fordi hvis du har sikkerhet uten et dashboard, så er det som å kjøpe seg en Bugatti Veyron og kjøre i 400 kilometer i timen med sort rute, du aner ikke hvordan det går. Det du må gjøre, du må implementere et dashboard, altså en loggsamler fra alle de elementene som skjer i nettverket, klienter, you name it. Denne driver hele tiden og ser om det skjer ting i forskjellige steder i nettverket som kan oppfattes som en trussel. De truslene må noen sitte og gå gjennom. Så da må du inn på det som heter et Security Operation Center, et SOC, for da kommer du over på spesialkompetanse igjen, som er da nesten sånn hacker light som kan sitte og følge med på om dette er noe som kan brukes til skumle formål, og hvis det kan brukes til skumle formål, så må du ha en stor, rød panikknapp som du kan slå på, og så må det rykke et incident response team ut, altså et sånn blålysteam som stopper hackerne, låser opp problemet–

Silvija: Ghostbusters.

Thomas: Ghostbusters, ja, who gonna call us. 

Silvija: Du snakker også om at det er ganske mye automatisering etter hvert, der det lar seg gjøre.

Thomas: Og det å automatisere sikkerhet, det er, vi kaller det automatisering, det man egentlig gjør er at man setter det bort til drift. Det er et par elementer her, det ene er at det er ekstremt stort behov for sikkerhet, og så er det veldig få mennesker som kan det der ute. Hvis man kan sikkerhet, så er man veldig etterspurt, og man har relativt gode premisser både på jobb og det ene og det andre, som gjør at det er vanskelig å flytte på noen. Det gjør at brorparten av virksomheter, både innenfor offentlig og privat, sitter med et stort behov for ressurser, og det koster så mye å ha et sikkerhetsteam på plass i en bedrift, at det lønner seg ikke. Mitt stalltips der, og ikke bare mitt, det er jo gjentatt av både NSM og NorSIS og alle andre, sett bort driftinga til de som gjør dette profesjonelt, istedenfor å prøve å fikse det halvveis selv, for det klarer man ikke. Det er for mange loggkilder, det er for mange ting som skjer på én gang.

Silvija: Og det er for mye som endres også.

Thomas: Og det er helt riktig. Trusselbildet er så dynamisk, det endrer seg så fort at man er rett og slett, altså man må ha fulltidsstillinger for å sitte og følge med på det.

Silvija: Ja. Du nevnte som ditt eget prosjekt disse fabeldyrene i IT-bransjen, hva mener du med det?

Thomas: Du, det er litt morsomt. Det begynte egentlig med at vi satt og trengte mer mennesker, og så sitter vi da fire stykker i rommet, og så sier vi okei, hva er det vi er ute etter? Og alle fire hadde jo sine ønsker da, til hvordan det burde være, ikke sant. Vi ønsker jo å få mer damer inn i bransjen, selvfølgelig. Og det er noe vi ser at vi heldigvis klarer. Vi ønsker å få flere unge inn, vi ønsker å få ikke sant, har en del sånne–

Silvija: Og det er fabeldyrene?

Thomas: Det vi fant ut, da vi satt ferdig med jobbsøknaden da, så ser vi stillingsannonsen, så ser vi at det vi ber om, det er ikke mulig å finne, for alle har jo sine områder, ikke sant. Det må være en som er 200 år gammel, ikke sant, hvis du skal ha alle disse elementene.

Silvija: 200 års erfaring i en 30 års kropp?

Thomas: Ja, det er jo det, ikke sant, som er formbar, som er villig, som er interessert, som ikke sant.

Silvija: Og tvekjønnet.

Thomas: Og det førte til at jeg skrev en artikkel om IT-bransjens fabeldyr, som ble publisert i Digi, som det ble veldig mye oppmerksomhet om. Jeg holdt foredrag rundt det på HR-arrangementer og ting etterpå. Og så har vi jo gjennom det tiltrukket oss fabeldyr da, så vi har jo ansatt flere unge damer og unge mennesker generelt, gamle mennesker generelt. Altså det som er greia er at vi er i en bransje hvor det er kompetansen som står høyest.

Silvija: Jeg spurte deg hvilke favoritteksempler har du på dette rundt cyber security, og du sa nasjonalt så er du egentlig ganske stolt av de der ? som setter 1,6 milliarder til formålet, hva tenker du der?

Thomas: Det har jo vært masse i nyhetene de siste dagene, om hvordan regjeringen har bevilget 1,6 milliarder til styrking av offentlig, hvor en 500 millioner går til styrking av NSM og sensorer og den type ting. Det som er interessant der er at det går 800 millioner også til opplæring og styrking av neste generasjons IT og sikkerhetsmennesker, og fylle det som er. Og det er jo noe vi applauderer med begge hender, for å si det sånn. Det eneste vi må ha en strålende plan for hvordan disse menneskene skal formes, hva er det man ønsker, vi må jobbe veldig tett der, og jeg tror løsningen er at man jobber tett også med privat næringsliv i forhold til for eksempel sertifiseringer som vi ser på de største produsentene, noe som sikrer folk en jobb veldig kjapt når de kommer ut. Og ikke bare sikrer de en jobb til de som kommer ut, men de sikrer også arbeidsgiveren da, at har du den sertifiseringen så vet du at vi kan bruke dem, det sikrer også de som skal få tjenesten videre, for da ser du at oi, disse konsulentene har disse sertifiseringene på plass. Så litt tettere samarbeid rundt det, og være litt mindre redd for at man tråkker over den grensen i forhold til å være uhildet og hildet, den tror jeg kan være lurt at man kikker litt nærmere på.

Silvija: Med kunnskap skal landet sikres, tenker jeg. Og da må alle med, ikke bare kidsa.

Thomas: Nei, det er helt riktig.

Silvija: Og da er det viktig at vi driver og inspirerer, rett og slett, til at det her er egentlig ganske morsomt å lære seg også.

Thomas: Det gjør vi. Altså det er en ting som jeg er litt stolt av, det er at i Atea så gjør vi noe som heter Sikkerhetsdager, og vi hadde over 2000 forskjellige virksomheter innom i fjor på sikkerhetsdagene. Vi hadde med oss Datatilsynet på tur, vi har gjort det samme med NSM, vi har hatt med NorSIS, vi har hatt alle aktørene. Og det vi egentlig gjør, det er et gratis arrangement som går over hele landet, og det vi har gjort der er rett og slett at vi bruker det til en arena hvor vi informerer, rett og slett, vi informerer lokale ledere, lokal HR om hva er ditt ansvar, hva burde dere gjøre, hva må dere gjøre for å komme videre. Så det er opplysende arbeid vi er veldig stolte av, samtidig så må jeg innrømme at vi både skriver litt kronikker og litt blogger og er litt tydelige. Vi skriver veldig gjerne artikler og blogger og kronikker og sånn, på bakgrunn av henvendelser vi får av mange. Så hvis det er flere som begynner og stiller de samme spørsmålene så er det sånn okei, da lurer folk på noe. Da er det veldig greit å skrive et slags opplysende dokument som man kan forstå hvordan dette henger sammen.

Silvija: Og jeg tror teknologer som tør ta posisjon er noe av det viktigste vi har nå. For det er et eller annet med at en ting er å kunne noe, men en annen ting er å ville noe med det. Og der syns jeg dere er veldig flinke til å både skryte av andre og formidle dette på en veldig forståelig måte.

Thomas: Det er veldig hyggelig å høre.

Silvija: Du skryter også litt av Karianne Myrvold fra Trend Micro blant annet?

Thomas: Det er helt riktig. Karianne Myrvold i Trend Micro er en av de damene som har tatt en posisjon innenfor IT og sikkerhet i Norge. Hun er god til å skrive, hun er mye i media, hun ser ting på en måte som gjør at mannen i gata skjønner hva som er utfordringen. Du har også Nils Roald, han jobber nå i Cisco. Han er også en fyr som skriver mye interessant, og så følger jeg Christian Brosstad, han har WhatsApp, som kommer fortløpende, som gir meg mye inspirasjon i forhold til hvordan det henger sammen med sosiale medier, hvordan verden egentlig forandrer seg. For jeg må innrømme, jeg er pappa til to barn, og bør følge med på alt som skjer av apper og full pakke, men ting går fort, man må bli inspirert noe sted.

Silvija: Jeg spurte deg om et sitat som du kunne gi til våre lyttere, da sa du «IT og sikkerhet er ikke en jobb, men en livsstil».

Thomas: Og det er helt riktig.

Silvija: Og du ser ut som du har det ganske gøy med den livsstilen.

Thomas: Du, vi har det kjempegøy med den livsstilen. Det var en kollega fra Watchcom som er en kollega jeg har hatt, som heter Magne Barsnes, og han sa det. Han prater dialekt, jeg skal ikke prøve å herme etter den dialekten, for det kan bli feil, men han sa det. IT sikkerhet, det er ikke en jobb, det er en livsstil. Og det har brent seg fast i alle de som var i det rommet, for å si det sånn.

Silvija: Ja. For jeg spurte, hvis du skulle oppsummere vår samtale, så nevnte du for meg dette med at man må dele kompetanse, sier du, tenke som indianere og sitte rundt leirbålet, og jeg digger det bildet der.

Thomas: Ja, og det er jo litt den jeg ser. I og med at det er mangel på mennesker innenfor IT og sikkerhet, så har vi en tendens til å prøve å dra ut folk før de er ferdige med studiene. Man prøver å sende dem ut i oppdrag uten at de nødvendigvis har fått den erfaringen som er. Men jeg har tro på indianerne, jeg, de satt i ring rundt leirbålet og fortalte hvor fiskeplassene var, hvor du kunne få tak i ulv, hvorfor du skulle løpe fra bjørn. Det er kanskje litt banalt, jeg trenger bare å løpe fortere enn nestemann, men den erfaringen, det å ha mentorer og seniorer som lærer opp juniorene, det er essensielt for å vinne frem.

Silvija: Jeg syns det er veldig inspirerende, Thomas, og jeg sitter gjerne ved leirbål og utveksler notater.

Thomas: Vi får dra ut i skogen en dag og fyre opp bål.

Silvija: Ja. Du, Thomas Tømmernes, som leder da IT security i Atea Norway, tusen takk for at du var her og inspirerte oss til å lære mer om cyber security.

Thomas: Veldig hyggelig, tusen takk for at jeg fikk komme.

Silvija: Takk til dere som lyttet.

Du har nå lyttet til en podkast fra lørn.tech, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier, og på våre nettsider, lørn.tech.