Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres, Sunniva Rose og venner.

Silvija Seres: Hei og velkommen til lørn! Temaet idag er Cyber sikkerhet. Mitt navn er Silvija Seres, og gjesten min er Richard Skjarstad, som er direktør for sikkerhetstjenester i Telenor Norge. Velkommen!

Richard Skjarstad: Tusen takk, det er veldig hyggelig å være her.

Silvija: Du driver egentlig kanskje en av de viktigste kommunikasjonsplattformene i dette landet, og vi begynner å skjønne hvor viktig sikkerhet er der. Du må ha veldig mange spennende historier til oss. Vi skal snakke litt om både krigshistorier, men også prinsipper for god datapoltikk. Men før vi gjør det Richard, kan du fortelle oss litt om hvem du er og hva som driver deg?

Richard: Ja, jeg heter Richard, og jeg er 49 år gammel. Jeg bor i Oslo, ordentlig oslogutt, og jeg er gift med Marit og har fire barn. Jeg er veldig glad i motorsykler. Jeg jobber i Telenor, og det har jeg faktisk gjort i 21 år.

Silvija: Og du tjenestegjorde på hærens tekniske fagskole?

Richard: Ja, det gjorde jeg!

Silvija: Det må du fortelle litt om.

Richard: Ja, jeg var så heldig at jeg var ferdig med studiene før jeg gikk i førstegangstjeneste. Og da var jeg på Jørstadmoen, og der bruker de ferdig utdannede rekrutter til å undervise på fagskolen. Det var kjempe spennende, så jeg var på elektrolaboratoriet der oppe, og da fikk jeg lage lab oppgaver. Da lagde jeg blant annet en på kryptering. Det var veldig enkelt da, men allikevel da å kunne vise hvordan krypteringsnøkler funker, og hvordan man kan kode og dekode og sånt, kjempe spennende!

Silvija: Ja, også er du en sånn sikkerhetsmann som jeg digger. Fordi du har hendene så langt inn i paien. Første jobben din var i ABB, og du lagde sikringssystemer for jernbane. Hva er det for noe?

Richard: Det er forriglingssystem kaller vi det, de lager systemer som bare er masse regelsett for hvordan en jernbane skal styres og hvordan den skal fungere. Da har man en tankegang der man sier at den er failsafe. Altså hvis du har en feil, så må du ha tenkt gjennom hvilken tilstand du skal gå til. Det er så viktig, og det er det cyber security handler om også. Hva gjør du, når det går feil? Du må ha tenkt gjennom det, slik at du vet hva du skal foreta deg. 

Silvija: Ja for feil oppstår i alle systemer. 

Richard: Ja, feil oppstår og det må vi bare erkjenne. Det er ikke mulig å være helt trygg. Huset ditt for eksempel, skal du bygge deg et brannsikkert hus, da må du bo i et akvarium da, eller noe sånt? Det brenner nok ikke så lett. 

Silvija: Nei. Fryser da.

Richard: Hehe, ja. Kanskje det!

Silvija: Jeg jobbet med en av disse store gamle dataheltene Edsger Dijkstra som pleide å minne oss på, fordi vi jobbet med formelle systemer og skulle bevise at systemet er korrekt. Så sier han at: «ja, enten kan dere lage systemer som er så komplekse at det ikke er noen opplagte feil, eller så kan de være så enkle at det er opplagt at det ikke er noen feil». Og det er det siste man skal gjøre, det er den forenklingen og avskallingen som er vanskelig i disse systemene våre. Det er ikke så lett å bygge et jernbanesystem som er enkelt. 

Richard: Nei, det er ikke det. Og bare det å ta med seg det menneskelige aspektet der når man skal programmere noe da, og si at: «her er regelsettet du skal programmere med», kanskje har du en gruppe som sitter et annet sted som programmerer på en helt annen måte, også sammenlikner du resultatene. Da tar du vekk en del av de menneskelige feilene der, fordi de har vi rundt oss hele tiden. 

Silvija: Også sier du at i Telenor så har sikkerhet vært en viktig del av porteføljen, altså tjenestene tenker jeg, så lenge man kan huske. Telenor, eller televerket, har vært en viktig del av internettets fødsel, og vi har vært veldig flinke til dette her i mange år. Men nå blir det nesten enda viktigere. Både med digitalisering av samfunn, men også internett og things, og at plutselig så flyter ting enda tettere sammen. Hva gjør dere nå?

Richard: I Telenor så ønsker vi å koble mennesker sammen, det er det som betyr mest for dem. Det er hele grunnsteinen i forretningen vår, og for Telenor så er det veldig viktig at de tjenestene og de produktene vi tilbyr i de markedene vi er tilstede i, at de er bygget og produsert i en sikker tilværelse. Det vi ser er at mye av den kompetansen på sikkerhet vi har innad i Telenor, det kan vi også tilby som en tjeneste utad i markedet. Vi ønsker å være kundenes favoritt partner, den foretrukne partneren, når de er på sin digitaliseringsreise. Og da tenker vi at sikkerhet er en del av det vi skal by på, på våre kunders reise. 

Silvija: Og du sier at Cyber security er egentlig en kulturreise. Hva mener du med det?

Richard: Jeg tenker at det handler veldig mye om adferd, om ting vi gjør hver eneste dag, eller ting vi ikke gjør hver eneste dag. Vi sitter fast i rutiner. Det handler om å tenke over sånne veldig enkle ting som, om man låser skjermen sin på PCen hver gang man går på toalettet, eller hver gang man tar seg en kopp kaffe. 

Silvija: Grunnleggende fjellvettregler, hvor vi fortsatt glemmer egentlig at så lenge vi har data så er vi litt sårbare, men vi kan jo heller ikke la være. Du hadde et nydelig sitat til meg tidligere, om at datasikkerhet ikke er en kostnad, men en investering i fremtiden. 

Richard: Ja, jeg mener vi må se på det. 

Silvija: Vi kan jo ikke la vær?

Richard: Nei vi kan jo ikke det. Det er mange som ser på dette som litt sånn ubehagelig kostnad, litt sånn «uff, vi må ha med sikkerhetsdimensjonen, så skrur vi av sikkerhetsmekanismer». Dette må vi snu litt på, også må vi se at dette er en investering. Det er en investering i hvordan vi oppfører oss, hvordan vi oppfattes av andre, om produkter og tjenester vi leverer ut til markedet er til å stole på, ikke sant? Vi forvalter veldig mange menneskers data, og det må vi gjøre på en ordentlig måte. Vi må vise oss tilliten verdig. Da tror jeg adferd ligger der, er du ute og går i parken, også ser du en benk det står nymalt på, så må vi bort å kjenne om den er tørr. Det er kanskje ikke alt man bør trykke på, og det må vi skjønne.

Silvija: Eller hver USB som man må plugge inn og se hva som er på den.

Richard: Ikke sant, og hva skjer da? Det vet vi ikke. Så at vi tenker oss om, og det handler veldig mye om adferd. Derfor kalles det en kulturreise. Alle har en sikkerhetskultur, men om det er en god kultur eller ikke- det er selve spørsmålet. 

Silvija: Jeg liker veldig godt også hvordan du snakker om Telenors samfunnsansvar på dette. De forvalter noe som er vår viktigste infrastruktur. Uten nettet så stopper dette landet veldig fort. Så er det kanskje noen som har alternative løsninger, men det er en veldig liten brøkdel av dette landet. Så er spørsmålet: det å formidle at dette er en kontinuerlig reise for Telenor, at det er helt nye aktører i Cyber space er det ingen grenser egentlig. Det er en del forskjellige aktører, du kan ikke bare passe på at din del av grinden er ren. Du er avhengig av alle sammen. Hvordan jobber man i et sånt grenseløst system?

Richard: Mhm, ja jeg tenker at det er litt det man må tenke på. Her er det ingen grenser, det er ikke det vanlige spillerommet som man er vandt til innenfor Norges grenser hvor vi stoler på hverandre. Her har vi en rekke andre aktører som kanskje ikke vil oss vel. Eller aktører som kanskje ikke er ute etter oss i det hele tatt, men som kanskje er ute etter noen vi jobber sammen med. Det kan være en kjøkkendør som står åpen. Så det å ha bevisstheten, og det å ha gjort seg tanker rundt dette er veldig viktig. Hvor er vi sårbare? Og det er en referanse til jernbanen igjen, hvis noe går galt her, hva gjør vi da? Hvordan kan vi beskytte oss? Også er det en analogi igjen da til dette huset som kan brenne: hvis det brenner hjemme hos deg, så må du velge. Du får med deg noe, men du får ikke med deg alt. Hva er det viktigste du tar med ut? Barn, ektefelle, album? Du får ikke med deg godstolen, den må bli igjen. Og du må ta med deg det ut, som er viktig for deg for å komme deg videre i livet. 

Silvija: Sånne brannøvelser tror jeg er kjempe viktig å tenke gjennom på forhånd. Det fascinerer meg alltid når vi bruker det eksemplet: det brenner, hva tar du med deg ut? Det er ungene, mannen, bilder, eller en eller annen harddisk med noen bilder på. Du tar ikke med deg smykkene, det driter du i. Det er de dataene du har i deg, som du ønsker noen form for bevis for da.

Richard: Det som ikke kan kjøpes eller erstattes. 

Silvija: Ja ikke sant, og det er tiden vår. 

Richard: Ja, det er det. 

Silvija: Dere i Telenor er også på en strategisk reise, det er mange strategiske reiser dere er på, men av de er dette med Internet of Things. Tingenes internett, hvor alle ting blir koblet sammen, de snakker sammen, og de blir en blanding av software og hardware og etterhvert blir kroppene våres det også, sant? Nye sikkerhetstrusler: hva tenker du der?

Richard: Vi så jo noen eksempler ifjor, med blant annet klokker til barn. Hvor man har en veldig god ide om at man skal lever en IOT enhet ut til markedet, som skal passe på barna. Også er ikke sikkerheten ivaretatt, så istedenfor at det blir en sikkerhet så blir det heller en trussel.  Flere av disse klokkene ble trukket fra markedet også. Nå var ikke vi direkte inne i loopen på det, men jeg tenker en del av de kontroversene som er på dette temaet i markedet. 

Silvija: Det kommer til å være en million sånn utfordringer med medisinske diagnostiske chipper vi bygger inn i kroppen vår, det er en nyttig tjeneste, for noen livsviktig, men så har det sikkerhetskonsekvenser.

Richard: Ja, så det må vi jo passe på. 

Silvija: Du sier at du ser til bilprodusentene som noen som har tenkt gjennom dette ganske bra. Hva tenker du på der?

Richard: Jeg pleier å bruker bilindustrien som eksempel, fordi der er de kjempe flinke. Der er det Security by design, bilene er designet med deformasjonssoner som skal rett og slett gå istykker ved sammenstøt for å beskytte innholdet. Og innholdet er jo oss, altså den som kjører. Du kan jo ikke gå i en butikk idag og si at jeg vil ha den bilen, i blå, også vil jeg spare litt penger så jeg vil ha den uten ABS, og uten airbag. Ikke sant, du får ikke det! Og dit må vi på IT- sikkerhet også. Cyber sikkerhet, det må være der, det må være designet. Det tror jeg er veldig viktig, når man setter opp nye ting også. Tenk på sikkerheten allerede på arkitekturen. 

Silvija: Og det er ikke alltid man er bevisst på, at man tenker på cyber security som at man er et offer hvis man blir et mål. Men det finnes masse «collateral damage» i dette systemet hvor alt henger sammen med alt. Kan ikke du nevne tankene dine rundt mersch? Og det de har opplevd. 

Richard: Ja, nå har jo Mersch fått veldig mye oppmerksomhet etter bruddet de hadde hvor infrastrukturen deres låste seg. Jeg syns at det som er interessant her er hvordan Mersch ikke var mål for et angrep, de var en tilfeldig forbipasserende. Hvilke konsekvenser det har, hvilke ringvirkninger det får når en klarer å stoppe skipstrafikk. Nå klarte de seg veldig bra, men de var ikke offer. Nei sorry, de var jo offer men de var ikke et mål. 

Silvija: Nei ikke sant, men kunne man hatt noen av disse grunnleggende håndvask reglene dine som kunne ha gjort det vanskeligere å bli et sånt tilfeldig offer?

Richard: Ja, det er jeg helt sikker på. Det er en del hygiene som må på plass her, og det er viktig å snakke om. Jeg tror mange kan spare mye på sikkerhet gjennom et godt grunnleggende oppsett.

Silvija: Vi har en del gode nasjonale utgangspunkter her også, rett og slett fordi vi har så tillit til hverandre. Hvordan spiller dette her seg ut når det gjelder cyber security?

Richard: Ja, vi i Norge har et fantastisk brand som en «trygg nasjon», og det må være et godt utgangspunkt for å drive med sikkerhet. Så er det jo mange som mener at vi i Norge er veldig naive også da, det er jo den andre siden av saken. Men når vi er i et land hvor vi stoler så mye på myndigheter, at lover og alt er på stell, og vi er vant til å forholde oss til dette, så tenker jeg at vi har et fantastisk utgangspunkt for å gjøre dette på en skikkelig måte. Dette blir en differensierer for Norge, å være det stedet hvor dataene dine er trygge, vi gjør ting på en ordentlig måte, hvor du kan stole på at det blir gjort i henhold til lover og regler. Fordi det er vi gode på å følge. 

Silvija: Jeg spurte deg hva du liker å lese når det gjelder Cyber seucrity, og du nevnte Telenors årsrapport om digital sikkerhet fra 2018. Hva lærer man der?

Richard: Der kan man få litt sånn overblikk over hvordan telenor ser på samfunnet, litt rundt samfunnsansvaret vårt, og hva vi mener må til på samarbeidssidene. 

Silvija: Og det er språk som man kan forstå?

Richard: ja, den er veldig lettlest så den anbefales. 

Silvija: Du nevner også denne gode mørketallsundersøkelsen fra Næringslivets sikkerhetsråd. 

Richard: Ja, jeg syns det er interessant å se statistikken som er der, så den anbefaler jeg alle å ta en kikk på. Jeg ønsker at man skal kunne snakke om cyber sikkerhet og at det ikke skal være noe tabu. Og da se litt statistikk på hvordan de andre selskapene opplever brudd, om de har hatt innbrudd, jeg har snakket med hundrevis av selskaper, og jeg tror aldri jeg har snakket med noen som aldri har opplevd noe.

Silvija: Det er ikke spørsmål om, men når og hvordan.

Richard: Ja, og hvor alvorlig. Hva de har gjort med det, og hva de har lest. 

Silvija: Du anbefaler folk også å se på Youtube, på noe rundt Stuxnet. 

Richard: Ja, fordi er det noen som ikke kjenner seg så varm i trøya på cyber sikkerhet så tenker jeg at det er et veldig godt case. Det er gammelt, men allikevel se på det, og se hva som skjer. Hvor avansert det kan være. 

Silvija: Og hvor lett det er å gjøre. 

Richard: Ikke sant. 

Silvija: Også nevner du egentlig min podcast med Eirik Kristoffersen som leder Heimevernet. Han er en av mine virkelig store helter fra forsvaret. Hvorfor liker du den?

Richard: På grunn av menneskefokuset. Det syns jeg var utrolig interessant å høre på, og han snakker mye om menneskene, og det er vi veldig opptatt av. Kulturreisen, og menneskene i det hele. Dette handler ikke bare om et virus, eller spam- filter. Dette handler om adferd. Det er en kulturreise. 

Silvija: Har du et lite sitat du har lyst til å legge igjen til våre lyttere som en gave?

Richard: Ja, det er fra en veldig god kollega av meg som heter Kjersti Stathopoulou, som sier: «We are on a mission to do good». 

Silvija: Jeg får litt sånn NASA assosiasjoner. «We are on a mission”, veldig veldig bra. Det innebærer en viss aktiv holdning også, dette er ikke en vals, det er en aktiv boreoperasjon. 

Richard: Ja helt klart, dette er rundt oss hver eneste dag, både privat og på jobb. 

Silvija: Ja, hvis folk skal huske en ting fra vår samtale, hva vil du at det skal være?

Richard: Dette er en kulturreise, snakk om det. Del erfaringer, gjerne i lukkede rom. Hvis det må snakkes om. 

Silvija: men slutt å tenk på det som et tabu, fordi da lærer vi ingenting.

Richard: Ja, det tror jeg er veldig viktig. 

Silvija: Richard Skjærstad fra Telenor, tusen takk for at du kom og viste oss i praksis hvordan godt samfunnsansvar og sikkerhetsansvar utøves. 

Richard: Tusen takk, veldig hyggelig å være her.

Silvija: Og takk til dere som lytter. 

Du har lyttet til en podcast fra Lørn.Tech - en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech.