LØRN case C0258 -
LØRN. SME

Tønnes Ingebrigtsen

CEO

Mnemonic

Trusseletterretning

I denne episoden av #LØRN snakker Silvija med daglig leder i Mnemonic, Tønnes Ingebrigtsen, om cyber trussel-etterretning, og hvordan organisasjoner kan beskytte seg mot moderne cyber-angrep. I samtalen diskuterer Silvija og Tønnes også hvilke paralleller som kan sies å finnes mellom dagens etterretning, forsvar og angrep innen cyber-tech, og tiden med kald krig og spionasje som verktøy for etterretning.
LØRN case C0258 -
LØRN. SME

Tønnes Ingebrigtsen

CEO

Mnemonic

Trusseletterretning

I denne episoden av #LØRN snakker Silvija med daglig leder i Mnemonic, Tønnes Ingebrigtsen, om cyber trussel-etterretning, og hvordan organisasjoner kan beskytte seg mot moderne cyber-angrep. I samtalen diskuterer Silvija og Tønnes også hvilke paralleller som kan sies å finnes mellom dagens etterretning, forsvar og angrep innen cyber-tech, og tiden med kald krig og spionasje som verktøy for etterretning.
Facebook
Twitter
LinkedIn
Email

20 min

Choose your preferred format

Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SS: Hei og velkommen til Lørn. Mitt navn er Silvija Seres og temaet i dag er cyber security, og min gjest er Tønnes Ingebrightsen, som i dag er daglig leder i mnemonic as, men var en av mine første kollegaer i Skrivervik data.

TI: Takk skal du ha.

SS: Du, vi har jobbet med Java og nettverk for 20-30 år siden sammen. Morsomme tider. Det var Juniks, og greier. Nå, de siste ti årene, har du fokusert ...Ti? Hvor lenge siden? 20 år?

TI: Du kan si at jeg har jobbet med sikkerhet de siste 25 årene.

SS: 25 år!

TI: Jeg begynte å jobbe med sikkerhet på midten av 90-tallet. I 94.

SS: Du hadde noen veldig flinke folk rundt deg som gikk sammen, og dere begynte å jobbe med sikkerhet lenge før det var hot å jobbe med sikkerhet.

TI: Ja, det var for spesielt interesserte.

SS: Ja.

TI: La oss si det sånn, det var marginalt i selskapslivet haha.

SS: Var ikke akkurat en sånn middags- samtaleåpner haha.

TI: Dårligste sjekkereplikken jeg noen sinne har hatt.

SS: Det navnet gjenspeiler litt- mnemonic.

TI: Ja.

SS: Du går rett på latin. Hva er greia med mnemonic?

TI: Det var en litt sånn morsom ting. For det første, da vi startet bedriften tenkte jeg at det var litt om å gjøre å ha noe som skilte seg ut, og ble noe som ikke tvang oss til å gjøre akkurat det vi trodde vi skulle gjøre. I tilfelle det failet, var det viktig å kunne gjøre hva som helst annet. Holde kurs, eller et eller annet man kunne leve av. Så det var meningen å ha det åpent, men samtidig så henspiller det på en figur som heter Nemos, som var en tjener som skulle passe på Akilles mot farer haha. Det passer vel godt egentlig for det vi skulle holde på med: Sørge for sikkerheten til store virksomheter.

SS: Skal man bygge legendariske ting, så er det ikke så dumt å ha et, litt sånn, legendarisk utgangspunkt. Dere er svære i dag og dere gjøre en kjempe overvåkningsjobb for veldig mange store sikkerhetsaktører. Fortell litt om mnemonic.

TI: Ja, vi er godt over to hundre mennesker nå, og i fjor ansatte vi førti mennesker, og det kommer vi til å fortsette med i år, og årene som kommer. Så har vi stadig flere internasjonale kunder, bla. Schiphol, i hovedflyplassen i Nederland. Og det ser ut som at ... og du kan si at noe av, ja, kanskje det største området vårt, er sikkerhetsmonitorering. Vi er og fryktelig mange konsulenter som jobber ganske bredt innenfor sikkerhetsfeltet, og vi gjør systemer og selger produkter for å løse ulike problemer. F.eks. i mailsikkerhet hos den samme type kunder – store virksomheter.

SS: Det er kult. For dere overvåker trafikk for en del store selskaper, og dere er på en måte datapolitiet. I tillegg kan dere sørge for at det er en infrastruktur som egner seg godt til sikkerhet.

TI: Ja, nettopp.

SS: Det er enorme mengder data.

TI: Også gjør vi rådgiving, analyse, og f.eks. koderevisjon. Alt fra bankID til ulike viktige applikasjoner som utvikles. Vi gjøre reviews av disse applikasjonene for se om de er skrudd sammen nogen lunde fornuftig fra et sikkerhetsperspektiv.

SS: For dette med sikkerhet har blitt en sånn dyp, dyp spesialiseringssak, samtidig som det er noe vi alle burde kunne litt om, og det er det som gjør dette her så vanskelig. For når dere overvåker trafikk er det enorme mengder data, og mer blir det nå med Internett, og ting. Og mye sårbarheter også, når prosesser fra industrien, eller fra helse, også etterhvert kan angripes via data. Så hva gjør man? Man samler data? Man leter etter mønstre?

TI: Man utvikler, og det er det som er et kjerneproblem du peker på der. Det vi har gjort, vi har gjennom femten år utviklet en applikasjon som vi kaller Argus. Og det er den korte måten å si det på, men det er egentlig et kolossalt system som består av mange delkomponenter. Dette her vi har vel nesten tjue utviklere for å videreutvikle Argussystemet. Og det er nettopp for å løse de tingene du sier. For datamengdene er absurde det er en lang historie å forklare, men det er fryktelig mange ting å gjøre med dataen for å gjøre dem brukbare. Husk at vi samler inn data, først og fremst fra spesialiserte sensorer som er laget for å se etter sikkerhetsbrudd egentlig. Tenk på kompromittering. Tenk på diagnoseapparatet i legevitenskapen, ikke sant? Høy puls. Okei, det er en indikator på noe. Akkurat samme vi ser på ting på nettverket. Visse ting er en indikator på noe som er galt.

SS: Dere prøver å finne de mønstrene.

TI: Prøver å finne indikatorer. Det finnes mange former for indikatorer. Hundrevis, kanskje tusenvis, av ulike indikatorer som vi vet kan tyde på hva spioner gjør. Akkurat som når man overvåker kroppen. Du får høy temperatur og høy puls. Dette er ofte en indikasjon på en sykdom. Samme gjør vi på nettet, men i tillegg ser vi ikke bare på ting som flyter over nettverket internt hos bedrifter, men veldig ofte ser vi på hva som skjer på de ulike klientene, på desktoppen til lydmannen din f.eks. Så vi har spesialiserte programvarer som lytter og monitorer en datamaskin når det gjelder alle ansatte i en bedrift. Så har vi også loggsystemer som samler inn logger fra, forhåpentligvis, alle systemer i samme bedrift. De systemene har vi også tilgang til, så vi analyserer alt det også. Vi vet hva som skjedde på de ulike serverne, i tillegg til det vi ser på nettet. Alt dette skal koordineres, det skal databerikes, og mengden skal reduserer i volum.

SS: Det skal kokes og hardkokes

TI: Det skal kokes og hardkokes til det ikke er suppe, men kraft, som i sin tur serveres til analytikere. Det sitter to mennesker døgnet rundt, eller unnskyld, på natt og helg sitter det to mennesker. Ellers sitter det mange, mange flere og faktisk får presentert disse dataene.

SS: Stirrer på skjermer. Må være verdens grusomste jobb.

TI: Hårreisende jobb, og det er derfor vi aldri mister noen som jobber hos oss. Vi har turnover. Det er ganske fantastisk. Det er litt morsomt og, det er det jeg prøver å si.

SS: Det er for litt spesielt interesserte.

TI: Ja, det er litt James Bond for man kan ... ofte må man rykke ut, og da er det et helt team fra oss som går i gang med å finne ut. Gjerne i samarbeid med nasjonal sikkerhetsmyndighet, men ofte er det vi som gjør de tunge løftene for å finne ut hva som har skjedd, hvem har brutt seg inn og hva de har stjålet, og hva som må til for å få lempet dem ut.

SS: Jeg har lyst til å spørre deg. Du har vært en av våre gode instruktører i skriving.

TI: Stemmer det.

SS: Du er glad i å være pedagog.

TI: Holdt ikke du kurs en gang i tiden, og?

SS: Ja, det gjorde jeg. Første Java kursene i Norge.


TI: Ah, søren. Jeg var old school. Jeg var C og C++.

SS: Der ser du.

TI: Ja, det er typisk.

SS: Måtte ta røykepauser haha.

TI: Haha.

SS: Det jeg har lyst til at du skal forklare litt -Tror de fleste tenker på dette med cyber security som individer som sitter i en eller annen mørk kjeller og skriver noe mailer som du da klikker på, også installerer det en eller annen programsnutt i PCen din som da har tilgang til data som er sårbare. Men vi har kommet et mye mørkere sted egentlig, har du lært meg. Dette med store nasjonale aktører som egentlig har masse utdanning og masse verktøy. Disse advanced threats. Kan ikke du si litt om hva det er?

TI: Ja, det er jo slik at det letteste bildet på det er ganske enkelt : Tenk på den kalde krigen og spionasje. Da sendte man gjerne ut agenter til alle land og brukte masse energi på å kompromittere individer for at de skulle ... tenk på Treholt, ikke sant? Det gjør man jo fortsatt naturligvis, men det er fryktelig kostnadseffektivt å ha tre tusen dataeksperter i en stor bygning i ett eller annet halvtotalitært land. Også gjør man så mye man klarer av spionasje, som vi kalte det i gamle dager, nå elektronisk. For nå er alt connected og du kan få tak i fryktelig mye av det du er ute etter av bedriftsensitiv informasjon og statshemmeligheter ved å kompromittere datasystemer istedenfor å kompromittere mennesker, som før. Logikken er helt oppi dagen, men så er det sånn at når du først har tilgang til ubegrenset med data, hvis du kan bryte deg inn hos viktige bedrifter i viktige industrier, eks oljeselskap, da er det også sånn at dataen du har tilgang til som du egentlig vil ha av politiske grunner, de kan også selger. Hvis du da har nasjoner hvor mafia og etterretning og politikere basically er samme miljø, så blir det jo også en handelsvare. Så du har motivasjonen, evnene, til å kompromittere bedrifter typisk, er mye høyere enn den var før og motivasjonen er også mye høyere. Er ikke det en fantastisk utvikling? Haha.

SS: Så denne konvergensen egentlig, som man snakker om, denne hybrid krigføring i forsvaret. Men det er både nasjonale og private aktører og det er både industrielle angrep og, hva skal jeg si ... sikkerhetskritiske angrep, som flyter over i hverandre?

TI: Spionasje, om du vil. De flyter fryktelig over i hverandre. Og de samme miljøene opererer innenfor de ulike feltene. Det ene øyeblikket kan den ene i miljøet agere som en kriminell, og i neste øyeblikk er de for etterretning spionasje, statlig aktør. Men de flyter fryktelig over i hverandre og det en en hel økonomi haha.

SS: Ja og politikk, eller diplomati, da.

TI: Absolutt.

SS: Det var masse skriverier nå om at Kina har litt annet syn på personvern og sikkert også tilgang til informasjon der vi sørger for infrastruktur, og dette blir vanskelig for dette er noe internasjonal politikk og retningslinjer. Og så forbeholder forskjellige nasjoner seg rett til å mene ting både på eget territorium, men også med sine verktøy på andres territorium. Det blir forferdelig komplisert politikk.

TI: Ja, og men vi har nok komplisert det mer enn vi trengte, lenge. Jeg synes norske myndigheter har funnet en veldig riktig formel for å snakke om det nå. Angående Huawei f.eks., man sier nå at å bygge vår infrastruktur på utstyr fra land som vi ikke har et sikkerhetsmessig samarbeid med, er kanskje ikke så klokt. Det synes jeg er en formulering som er objektiv, ikke sant? Den kaster ikke misstanke på noen kokrete industrier eller utviklede firmaer. Men problemet er så klart at det ikke finnens en måte å samarbeide om sikkerhet på noen felt med land som Kina per i dag av åpenbare politiske grunner og dermed er det også ikke så klokt å bygge vår egen infrastruktur basert på utstyr som driver å kontrollerer. Så jeg liker den formuleringen. Den er veldig bra. Men, tilbake til at det er også sånn at du peker på det her, er at disse aktørene er veldig dyktige. De har store ressurser, så for en vanlig bedrift, selv de store internasjonale bedriftene, så er det veldig vanskelig å få kontroll på hvor vidt dem er kompromittere av en slik eller flere aktører. I hvor stor grad de er kompromittert. Og når jeg sier «kompromittert», mener jeg at disse hackerne er inne i nettene til disse bedriftene.

SS: Er det mange som er kompromittert uten å vite det?

TI: Jaja, fryktelig mange. Helt forferdelig.

SS: Alle er smittet. Spørsmålet er hvor bra immunsystem man har for å ...

TI: Alle kan egentlig regne med å være smittet. Det er utgangpunktet, eller man kan si at man har en 50/50 sjanse som for å være enten kompromittert på et eller annet nivå, eller ikke.

SS: Spørsmålet er bare når, og ikke om?

TI: Ja, det er helt riktig. I hvert fall om man har ett eller annet av verdi. Så det er --- Man må ruste seg til å A) kunne dediktere, og B) kunne håndtere når det skjer. Og det er krevende, og da er vi tilbake på at det er derfor vi gjør så mye utryknings jobb. For det er ikke bare når vi er sikker på at en kunde er kompromittert, så er det forskjell på om de er det av en relativt uskyldig privatperson eller av en stor profesjonell statlig organisasjon. For det er forskjellige implikasjoner for den kunden, så det å attribuere disse tingene- finne ut hvem står bak? Det er det nesten ingen som kan, så vi har et forskningsprosjekt som har gått i tre år støttet av forskningsrådet med femti millioner som går på å systematisere denne typen etterretning. Vi vet noe om metodene f.eks visse miljøer i Iran bruker, og vi vet hvordan vi skal dediktere akuratt disse metodene. Så vårt system, vår argus, vil i fremtiden kunne si til våre analytikere at i så stor grad av sannsynlighet kan vi si at dette er Iran miljø X, og de har veldig ofte følgende motiver og følgende måter å operere på og vi kan forvente oss dette, og dette er hva vi anbefaler å gjøre for å få dem ut. Dette har vi alltid kunnet gjort, men tidligere vært manuelt arbeid som har kunnet ta månedsvis med stort team av mennesker. I fremtiden venter vi at det er snakk om dager istedenfor uker.

SS: For dager er viktig i forhold til zero-day threats.

TI: Ja, og det har noe med kost å gjøre også. La oss si at du er sjef for en bedrift på ti tusen mennesker, så er du skal det mye til for at du er villig til å leie et helt team fra oss gjennom et halvt eller helt år og betale hva det koster. For når du ikke vet, så det er viktig at vi kan få ned den kostnaden og si på et tidlig tidspunkt at dette er hva systemene våre indikerer: a, b, c, d. Det er billig, ikke sant, i forhold? Og da har du mer beskytningsgrunnlag til å vite om det er verdt å bruke ressurser på å finne ut av, eller er det harmløst.

SS: Har man egentlig noe valg? Rent sånn legalt, hvis man er utsatt for eller sannsynlighet for at man er utsatt?

TI: Veldig godt spørmål. Ingen vet, men GDPR gjør det til et mer akutt spørmål, men per i dag er det veldig vanskelig å vita hva slags legale forpliktelser man har. Man opererer hvilke som helst, alle virksomheter i dag, helse eller hva det nå er, har man lov å operere en helseregion dersom det utstyret man rapporterer på er kompromittert, eller hvis man tror, har man lov til å ta inn pasientdata? Ingen vet, men sannsynligvis har man lov til det, men det er jo enorme, svære, vanskelige problemstillinger

SS: Det du sier at man må utvikle vårt felles tankesett, også rundt ansvarfordeling her.

TI: Ja, det tvinges vi nok til. For opererer du en barnehage og noe av utstyret i den barnehagen er defekt og farlig, så har du åpenbart et ansvar. Overføringsverdien, parallellen er ganske opplagt.

SS: Ja.

TI: Og vi konstruerer... det er jo liksom den store skandalen, vi fortsetter å bygge den digitale verden med de metodene som du og jeg sendte fra nittitallet som vi visste var ubrukelig på nittitallet for å bygge virksomhetskritiske systemer, og nå bygger vi oss et helt samfunn på de samme ubrukelige metodene. Selvfølgelig jeg burde ikke klage over det, for det er derfor vi har et market. Men det er realiteten. Vi programmer fortsatt disse telefonene ... baserer dem på det samme unix operativsystemet som vi anså som ...

SS: Vi vet hvor hullene er haha.

TI: Haha! Ja, ja, vi vet hvordan de virker. Og de er skrevet i språk som er tilbake fra sytti/åtte- tallet eller i hvertfall derivater av disse språkene osv.

SS: Godt forstått, for å si det mildt.

TI: Ja, veldig godt forstått.

SS: Vi er tomme for tid, men jeg har lyst til å spørre deg om en veldig kort kommentar. Du kom med en flott rapport. Den er sort og den er stor. Hva sier deres 2019 sikkerhetsrapport?

TI: Den sier litt av hvert, men det viktige vi har prøvd og vi pleier å inviterer andre aktører enn oss selv, så mange av våre egne ansatte, så det er Nikke som har laget den som sitter her borte, men vi får f.eks. ECT, som er European cybercrome center til å skrive en liten artikkel, Schiphol skriver en, Ecvinor har skrevet en. Sånn at det er litt sånn kollaborativ i disse tider hvor det er så på moten å snakke om deling og slikt, så har vi invitert ganske mange dyktige aktører som ikke bare er våre egne, så det forhåpentligvis ikke oppleves som en reklamebrosjyre, men litt som en faglig ressurs.

SS: Jeg skal lese den, også skal jeg tenke på at Tønnes har sagt at vi er i et ganske så mørkt sted når det gjelder cyber security, men det finnes råd. Dere kan passe på oss. Du Tønnes, tusen takk for at du kom hit til oss i Lørn og inspirerte oss om verdien av gode verktøy og gode partnere i den nye cyber securty- verden.

TI: Takk skal du ha.

SS: Takk til dere som lyttet.


Du har lyttet til en podcast fra Lørn.tech, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier, og på våre nettsider Lørn.tech



Hva er det viktigste dere gjør på jobben?

Vi bygger en stadig bedre organisasjon.

Hva fokuserer du på innen cybersec?

Jeg prøver å holde meg oppdatert på alt vi driver med, som sikkerhetsmonitorering, produkter og konsulentvirksomhet.

Hvorfor er det spennende?

Fordi vi lever av det, og fordi kundene trenger partnere som har høye faglige ambisjoner.

Dine egne prosjekter siste året?

Generasjonsskiftet på eiersiden i firmaet.

Hva tror du er relevant kunnskap for fremtiden?

Jeg tror relevant kunnskap er innsikt i trusselaktører og deres metoder.

Hva gjør vi unikt godt i Norge av dette?

Vår egen forskning og utvikling, særlig innen automatisering av trusseletterretning.

Tønnes Ingebrigtsen
CEO
Mnemonic
CASE ID: C0258
TEMA: CYBERSEC AND COMPLIANCE
DATE : 190206
DURATION : 20 min
YOU WILL LØRN ABOUT:
CybersikkerhetSikkerhetskulturer Trusseletterretning Dataangrep
QUOTE
"Trusselbildet endres kontinuerlig, og for å beskytte seg mot dagens trusler er det avgjørende å ha oppdatert, presis og relevant kunnskap om datakriminelle, deres verktøy og mål."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB