LØRN case C0257 -
LØRN. ENTERPRISE

Elisabet Line Haugsbø

Senior Cybersecurity Engineer

DNV GL

Cybersecurity ICS testing

I denne episoden av #LØRN snakker Silvija med Senior Cybersecurity Engineer i DNV GL, Elisabet Haugsbø, om sikkerhet, kontroll-teori og hacking. DNV har sin virksomhet innen skipsklassifikasjon, sertifisering, rådgivning, inspeksjon, testing og forskning. I episoden deler Elisabet sine synspunkter på hvordan man kan avdekke sårbarheter og design-svakheter i et nettverk. Hun deler også erfaring om hva som kan skje dersom en rigg, et skip eller en vindpark blir hacket og mister ett eller flere av systemene som skal overvåke og kontrollere prosesser.
LØRN case C0257 -
LØRN. ENTERPRISE

Elisabet Line Haugsbø

Senior Cybersecurity Engineer

DNV GL

Cybersecurity ICS testing

I denne episoden av #LØRN snakker Silvija med Senior Cybersecurity Engineer i DNV GL, Elisabet Haugsbø, om sikkerhet, kontroll-teori og hacking. DNV har sin virksomhet innen skipsklassifikasjon, sertifisering, rådgivning, inspeksjon, testing og forskning. I episoden deler Elisabet sine synspunkter på hvordan man kan avdekke sårbarheter og design-svakheter i et nettverk. Hun deler også erfaring om hva som kan skje dersom en rigg, et skip eller en vindpark blir hacket og mister ett eller flere av systemene som skal overvåke og kontrollere prosesser.
Facebook
Twitter
LinkedIn
Email

19 min

Choose your preferred format

Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SS: Hei og velkommen til Lørn. Mitt navn er Silvija Seres. Temaet i dag er cybersecurity og gjesten min er Elisabeth Line Haugsbø fra DNV GL. Velkomen.

EH: Takk.

SS: Elisabeth vi skal snakke om hvordan cyber security implementeres og utvikles egentlig i den industrielle siden av IT-systemer. Nå som internet of things, og big data, og energi systemer og mye annet smelter sammen. Så begynner det å bli også veldig mange spennende nye sårbarheter. Før vi gjør det så har jeg lyst til at du skal fortelle våre lyttere litt om hvem Elisabeth er og hva som driver henne.

EH: Ja. Tja, hvem er jeg da. Tror jeg kvalifiserer meg som en ganske engasjert og energisk person. Det skal ikke så veldig mye til før jeg blir veldig engasjert og lyst til å gjøre ting eller å snakke om det eller… Fikse det kanskje. Men sånn faglig bakgrunn så gikk jeg på teknisk fysikk på NTNU, så ikke akkurat sånn cybersecurity linje da, kan du si. Men det er jo en linje som går på kontrollsystem. Og hvordan du regulerer ulike prosesser og sånt. Så det er på en måte der man kommer inn på cybersecurity i kontrollsystem, da.

SS: Jeg må spørre deg litt, for når man snakker om den fjerde industrielle revolusjon så sier man at cyber-physical system, altså det er kontroll teori i kjernen og i bunnen av all den digitaliseringen vi snakker om nå. Hva er kontroll teori? Hvordan gjør man det?

EH: Ja, du hadde bare 15 minutter sa du...

SS: Ja!

EH: Nei, altså kontroll teori kan jo være forskjellig, men sånn som når du har… Altså cyber-physical system… Et kontrollsystem er jo et system som er laget for å kontrollere en hvis prosess.

SS: Riktig. Produksjonsprosess.

EH: Ja, det er et relativt dumt system, da. Eller, det finnes jo selvfølgelig veldig komplekse kontrollsystemer. Men alle systemer er jo bygd på at de skal gjøre ting i deterministisk system. Det vil ikke kunne irettesette seg selv, eller lære seg selv.

SS: Følge en oppskrift, sant.

EH: Ja, nettopp. Og det er jo et kontroll system per. Definisjon. Det er bygd for å gjøre en hvis ting.

SS: Vi anvender rett og slett algoritmisk tenkning på den fysiske verden, men det spennende nå er at den fysiske verden begynner å kunne gjøre det innenfor energisystemer sånn som dere gjør det innen DNV GL, innenfor skip. Altså når man begynner å digitalisere skip så er det egentlig et enormt stort kontrollsystem, sant.

EH: Eller flere.

SS: Eller flere som du sier. Også har du også disse digitale speilbilder som vi gjør etterhvert for å forstå de fysiske systemene bedre. Og nå begynner det å bli ganske spennende i forhold til digitalisering og sårbarheter.

EH: Absolutt.

SS: Og hva tenker dere der? Hva skal man gjøre for å sikre de?

EH: Ja hva skal man gjøre for å sikre.. Det er banalt, altså det handler jo om å ha kontroll på hva en egentlig har. For det er veldig mange ganger vi er ute bant kunder også sier de at “Ja, men systemet vårt er slik og slik”, også begynner vi å se på det, men så stemmer det jo ikke. “Det er jo ikke sånn, det er sånn… Og den og den er koblet sammen, og det sa jo du at er adskilt.” Og da har du jo et problem fordi da ser systemet helt annerledes ut. Og hvordan kan du da beskytte noe som du ikke har oversikt over. Det er jo helt umulig. Så problemet begynner jo allerede da. Utdatert dokumentasjon, at systemet er… Det lever jo litt i sin egen verden, for eksempel at du har et skip også er det jo 10 forskjellige… Si at det er skift ofte. Du har jo gjerne 4-5-6 ulike personer som har en stilling som går på skift. Og det kan være for eksempel tekniske stillinger som har ansvar for å gjøre ulike ting. Også gjør de sånne småting “Neida, det er ikke så farlig. Jeg kan bare koble den over dit og den over dit”, og så vil systemet over tid endre seg i forhold til sånn det var designet i utgangspunktet. Og det er jo designet ofte - forhåpentligvis, trygt. Den skal jo være designer trygt. Men så vil det på en måte gå over til noe som ikke er trygt.

SS: Det er en evolusjon og etterpå en forkalkning.

EH: Det lever sitt eget liv rett og slett. Og da blir det vanskelig. Og på toppen av det der, da - så er det veldig vanskelig å oppdatere systemer. Innenfor IT da for eksempel så sier man at man har “path thursday”. Men på OT Systemer, operation technology så har jo en mer “path decade” kanskje.

SS: Det er mer krevende rett og slett.

EH: Ja fordi at de systemene kjører prosesser og de prosessene må kjøre hele tiden hele døgnet. Og det er ikke muligheter til å begynne å skru av den maskinen for å gjøre en restart for å gjøre en oppdatering. For da må du jo stenge ned ulike prosesser. Kanskje ikke den prosessen går ann å stenge ned. Så det er veldig vanskelig, så da må man gjøre andre ting enn det som er på en måte det vanlige en gjør for å ha et sikkerhetssystem. Som er type å oppdatere systemene sine på regelmessig bakgrunn.. Så man må gjøre ting litt annerledes.

SS: Så dere ser på sårbarheter og design svakheter. Så prøver man egentlig å fikse dem uten å la dem gå i betennelse, da.

EH: Ja.

SS: Hva er prosessen mot kundene? Prøver dere å komme inn veldig tidlig i forhold til å hjelpe dem før de har konvertert alt for mye? For disse tingene har en tendens til å fortegnes også.

EH: Ja, altså kundene som vi jobber mot er jo stort sett eierne av… Det kan være fartøy, det kan være industriparker, det kan være cruiseskip, det kan være whatever. Men vi kan jo komme inn

både tidlig i for eksempel design fasen av et nybygg, eller vi kan komme inn som et sånt sjekk på et objekt som er i drift. Og det er som regel der vi gjør mye av arbeidet vårt. Og vi ser at enten så har de opplevd et problem og ønsker hjelp med å fikse det og finne ut av hva det er. Ellers så ser vi at det blir sånn “Oi nå ser vi at vi har litt for mye hull i systemene her, kan dere komme å ta en sjekk?” også sitter vi oss ned også prøver vi å finne ut av hvordan vi kan fikse det sammen. For de trenger litt sånn en hånd å holde i når det gjelder å estimere og å finne ut hvordan… For du må jo vurdere risikoen opp mot hverandre. Altså risikoen for at det er sårbarheten kan føre til noe, og risikoen med å faktisk fikse den. For det er jo noe som er litt sånn særegent med OT fordi du har en risiko med å fikse ting og.

SS: Ja.. Du skal bytte motoren mens flyet flyr.

EH: Ja faktisk.

SS: Jeg våknet på en måte til at det er faktisk ganske spennende med cyber security av Stuxnet. Som var dette angrepet på en iransk nuclear power plant. Jeg er ikke sikker helt egentlig på om jeg har det rette svaret, men de angrep avkjølingssystem ved at de fikk det til å vibrere ved å få en litt for høy eller litt for lav frekvens. Så ble det en overoppheting og sammensmelting og nedstenging. Og dette var for meg et så spennende eksempel hvor data og denne veldig fysiske møtet virkelig møttes. Og dette er noe som alle energiselskaper kommer til å måtte forholde seg til fremover.

EH: Ja nå er jo Stuxnet.. Begynner å bli pensjonister, men i aller høyeste grad levende. Men det er jo akkurat som du sier at det er nettopp det der når IT møter OT kan du si, da. Og det er akkurat det der med Stuxnet kan du si. Eller ikke Stuxnet direkte, men den power planten eller en power grid som er elektrisk nettverk. Og der har en jo sett flere angrep i for eksempel i Ukraina som går direkte mot power plants. Og det er jo dessverre et lukrativt… For det er så mye å si for infrastrukturen. Hvis noen klarer å hacke seg inn på noe sånt og klarer å stenge ned strømmen. Bare prøv å tenk hvordan hvis du klarer å stenge strømmen i for eksempel Norge. Nå er jo det 10- her i Oslo. 40- oppe i nord. Det blir fort kaldt hvis ikke det er strøm. Og hvis en skal på en måte tenke terror og konsperajosnteorier da. Hvis en klarer å hacke seg inn der og stenge ned sånn at det tar lang tid før en får det opp igjen, så har en jo terror på høyeste nivå.

SS: Og forskjellen faktisk på et kraftverk og et sykehus eller en bank har ikke så stor som folk tror, når det gjelder IT sårbarheter.

EH: Nei egentlig ikke, men nå har jo bank og finans vært veldig flinke og best in class i mange år nå. Og de er jo fortsatt veldig god. Sykehusene kommer litt sånn haltende etter. Men sånn i teorien er det ikke sånn super stor forskjell, nei. I alle fall ikke fra en hacker sitt ståsted, da. For de har jo på en måte samme fremgangsmåte i alt da. I større eller mindre grad.

SS: Men det som jeg syns hadde vært spennende å høre deg litt på er forskjellen på at: en ting er at noen som kan bryte seg inn og stjele noe. Enten det er helse data eller prosess data, eller finansielle data, ikke sant. Men en annen ting er at de kan bryte seg inn og gjøre dette her på en måte som stopper tjenesten, ikke sant. Og pasientjournaler kan være så trygge at til slutt så dør pasientene fordi vi får ikke operert, ikke sant. Fordi vi vil ikke ta risiko. Så hvordan veier man opp den der risikoen mot nedstenging eller system stopp vs datalekkasje eller hva annet det måtte være?

EH: Du tenker på hva som er verst eller?

SS: Ja hvordan designer man systemer som finner en eller annen balanse her?

EH: Ja, nå er ikke jeg noe system designer her. Jeg er mer den som leter rundt etter feilene. Jeg kan ikke legge meg bort i hvordan man skal designe et bra eller dårlig system da… Jeg er mer en som ser etter hvor feilene ligger og hvor man kommer seg inn, da. Det er stort sett det vi gjør. Vi ser på et system også prøver vi å finne svakheter. Er det noen av de svakhetene vi kan utnytte for å komme oss inn, kan vi hente informasjon eller ja.. Sånne type ting.

SS: Er det noen bedrifter eller organisasjoner i Norge som du syns gjør dette veldig bra? Er det noen du ser til som inspirasjon?

EH: Det er jo veldig mange som gjør veldig mye bra arbeid på cyber security. Om jeg skal trekke frem noen spesielt vet jeg ikke helt om er på mitt bord å gjøre da. Men det jeg kan si er at de bedriftene som greier å forstå alvorligheten bak cyber security og å ta det alvorlig og gjør de tiltakene som de får til eller som de, ja… Gjør en innsats. De fortjener faktisk en liten cred. Cyber security må være noe mer enn bare en sjekkboks i budsjettet.

SS: En må tenke helhetlig.

EH: En må tenke mer helhetlig.

SS: Og ikke minst lære opp ledelse.

EH: Ja vi må gjøre litt voksen opplæring innimellom og. Det er bare sånn det er, det.

SS: Du, jeg spurte deg hva du liker å lese for å holde deg oppdatert i et felt som er i enormt utvikling.

EH: Ja, jeg leser jo litt forskjellig. Jeg liker hackernews, også tror jeg kanskje at jeg hadde fått et spark i skinnleggen om jeg ikke anbefaler å lese på NSM sine sider. De har jo veldig mye bra. Men nei… Jeg er litt… Jeg skikker og på noe som er veldig lett fordøyelig for veldig mange, så kan jeg faktisk anbefale instagram profil som heter “the cyber security hub”. Veldig sånn high level enkelt å forstå. Litt humoristisk. Men fortsatt litt sånn cyber security preg.

SS: Du jeg savner en ordentlig god Dilbert på cyber security. Vi trenger humor.

EH: Men du Dilbert har hatt et par striper på. Nei kanskje ikke Dilbert…

SS: Nei jeg tror du har rett, vi får finne de frem rett og slett.

EH: Jeg har sett et par på power grid og på hacking.

SS: Vi får nerde litt på humor. Du nevner også noe som heter cyber heits news?

EH: Ja det stemmer.

SS: Cyber security oppfattes som noe som er tungt og vanskelig, ikke sant. Og konsekvenser er store og. Men det er litt sånn som med mye annet her i livet at det er først når man kan begynne å le litt av det at man begynner å skjønne hva det er også.

EH: Jeg tenker at cyber security er skummelt og vanskelig og hårete. Og hvor skal man begynne og det blir litt sånn stikke hodet i sanden oppgave omtrent da. For det er veldig mange selskaper som kommer sånn “Hvordan kan vi bli cyber secure?!” og da blir jeg sånn… For det første det er en reise. Men du blir jo aldri 100% cyber secure. Det fungerer ikke sånn. Men en kan gjøre litt også kommer man ganske langt. Men bare det at en innser at en må gjøre noe, så har en jo allerede begynt. Så det trenger ikke være så veldig vanskelig. Og det der med at man må inkluderer. Hvis en er en bedrift så må en også inkluderer sine ansatte. Det er de som er dine “first line of defense”. Så hvis dine ansatte driver å roter det til og trykker på lenker de ikke skal. Så har du et problem altså.

SS: Det er en grunnleggende hygiene.

EH: Ja, det er det altså.

SS: Du hvis du skal gi våre lytterne et lite sitat som gave. Hva ville du sagt?

EH: Jeg er veldig glad i et sitat som heter “Change has never happened this fast before, and it will never be this slow again”. Og jeg husker ikke helt hvem, jeg tror det er flere som har sagt det, men det er veldig beskrivende for den tiden vi er i nå og som vi har vært i og kommer i. Det går fortere og fortere og fortere. Også ser du tilbake i fjor eller i forfjor også tenker du at shit, det er jo tusenvis av.

SS: Da hadde vi det bra da..

EH: Ja hehe, så det tror jeg vi kommer til å se mer og mer av. Og cyber security kommer til å bli en stadig større del av livet vårt.

SS: Jeg tror det er et utrolig viktig poeng, for det hjelper ikke å bare vente til det går over eller til det blir klart. Man må liksom ut å paddle. Og hvis folk skal huske et poeng fra vår samtale, hva ønsker du at det skal være?

EH: Kanskje noe vi ikke har snakket så veldig mye om, men det med kunnskapsdeling. Fordi at cyber security er jo litt sånn banalt da at en må bruke tillit sammen med cyber security. Men jeg tenker at hvor mye kunne vi ikke lært hvis vi hadde vært villig til å dele litt sånn cyber wars eller wars stories med hverandre. En kan jo trekke frem Mersk i 2017. Vet ikke helt om de hadde noe annet valg enn å dele, men de delte i vertfall hva som hadde skjedd.

SS: Både nesten ulykke og ulykker for at vi skal alle lære. Det er et kjempe viktig poeng.

EH: Ja, verden hadde vært mye bedre om vi kunne stolt litt mer på hverandre på akkurat det der.

SS: Ja de gode folka må samarbeide for å vinne over de ikke så gode. Veldig veldig spennende Elisabeth. Jeg syns vi også kan skryte av DNV LG som har vært definisjonsmakten på hva “good looks like” i godt over 150 år. Dere gjør en fantastisk jobb.

EH: Mhm.

SS: Elisabeth Line Haugsbø som inspirerte oss til å dele kunnskap mer effektivt og mer uredd rundt cyber secuirty på industrielle kontrollsystemer. Tusen takk for at du var her hos oss i Lørn.

HE: Takk for at jeg fikk komme.

SS: Takk til dere som lyttet.


Du har lyttet til en podcast fra Lørn.Tech. En læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.Tech.


Hvem er du, og hvordan ble du interessert i cyber security?

Jeg studerte Teknisk Kybernetikk på NTNU og begynte å jobbe med testing av kontrollsystemer for maritim og offshore sektor rett etter studiene. Selskapet jeg jobbet for, ble kjøpt opp av DNV GL i 2014, og rett etter det begynte jeg å jobbe en del med ekspertene våre innen cyber security. Interessen min for testing og sjekking av systemer gjør at cyber security passer midt i blinken for meg.

Hva er det viktigste dere gjør på jobben?

Det viktigste vi gjør i jobben, er å avdekke sårbarheter og design-svakheter i nettverket til kundene våre. Dermed kan bedriftene ta de nødvendige grepene for å øke sikkerheten.

Hva er du mest opptatt av innen cyber security?

Vi fokuserer primært på ICS, altså industrielle systemer, siden det er her vi har den tunge fagkompetansen vår. Vi driver selvfølgelig også med ren IT-testing.

Hvorfor er det spennende?

Jeg tror litt av spenningen ligger i at systemene kan være veldig sårbare, både med tanke på design og testmetodikk, men også med tanke på hvor viktige de er for kunden. Bare tenk dersom en rigg, et skip eller en vindpark mister ett eller flere av systemene som brukes til å kontrollere prosessene sine?

Hva synes du er de mest interessante kontroversene?

Tenk hvor mye vi kunne ha lært dersom vi alle hadde våget å være mer åpne om ulike hendelser som har skjedd (for eksempel angrep eller nesten-uhell), og hvilke tiltak man har iverksatt! Dette krever imidlertid tillit blant industrier og kanskje til og med mellom konkurrenter.

Dine andre favoritteksempler på god cyber security internasjonalt og nasjonalt?

Bedriftene som greier å forstå viktigheten av cyber security og ikke minst viser vilje til å gjøre det som skal til for å kunne bli bedre, er mine favoritteksempler på cyber security internasjonalt og nasjonalt.

Hva tror du er relevant kunnskap for fremtiden?

Nysgjerrighet og pågangsmot! Når det gjelder faglig kunnskap rundt cyber security, tror jeg det er viktig og nyttig med litt bredde.

Er det noe vi gjør her i Norge som er unikt?

Jeg har dessverre dårlig oversikt over hvordan de ulike studielinjene er bygd opp i dag, men jeg håper at norske universiteter og høyskoler klarer å følge litt med på hva som skjer i industrien, slik at de kan legge til rette for relevante fag/linjer.

Har du et favoritt-fremtidssitat?

«Change has never happened this fast before, and will never happen this slow again.»

Viktigste poeng fra samtalen vår?

Det er viktig å kunne se helheten i et system for å kunne teste cyber security på en god måte.

Elisabet Line Haugsbø
Senior Cybersecurity Engineer
DNV GL
CASE ID: C0257
TEMA: CYBERSEC AND COMPLIANCE
DATE : 190206
DURATION : 19 min
YOU WILL LØRN ABOUT:
RisikoCybersikkerhet Cybersecurity ICS (industrial control system) testing
QUOTE
"Det handler om å ha kontroll på hva du har. Mange har ikke kontroll på hvilke systemer de sitter på og hvordan disse er kobDet handler om å ha kontroll på hva du let opp mot hverandre. Hvordan kan du da beskytte noe du ikke har oversikt over."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB