LØRN case C0260 -
LØRN. STARTUP

Erik Nord

Styreleder og partner

Nord & Bremtun

Cybersikkerhet — et topplederansvar

I denne episoden av #LØRN snakker Silvija med styreleder og partner i Nord & Bremtun, Erik Nord, om hvorfor cybersikkerhet er en videreføring av rettsstaten inn i den digitale tidsalder. De diskuterer cybersikkerhet ut fra et perspektiv om ledelsesansvar, og hvordan man kan kartlegge og håndtere utfordringer relatert til cybersikkerhet og uønskede IKT-hendelser.
LØRN case C0260 -
LØRN. STARTUP

Erik Nord

Styreleder og partner

Nord & Bremtun

Cybersikkerhet — et topplederansvar

I denne episoden av #LØRN snakker Silvija med styreleder og partner i Nord & Bremtun, Erik Nord, om hvorfor cybersikkerhet er en videreføring av rettsstaten inn i den digitale tidsalder. De diskuterer cybersikkerhet ut fra et perspektiv om ledelsesansvar, og hvordan man kan kartlegge og håndtere utfordringer relatert til cybersikkerhet og uønskede IKT-hendelser.
Facebook
Twitter
LinkedIn
Email

16 min

Choose your preferred format

Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.


SS: Hei og velkommen til Lørn, temaet idag er cyber security, mitt navn er Silvija Seres, og min gjest i dag er Erik Nord. Han har mange år lederposisjon i Telenor, men som nå leder Nord & Bremtun som fokuserer på cyber security for toppledelse. Velkommen!

EN: Tusen takk!

SS: Erik, i voksen alder bestemmer du deg for å bli en grunder med fokus på cyber security. Jeg vil gjerne starte med at du forteller oss litt om hvem du er og hva som driver deg?

EN: Ja min bakgrunn er at jeg egentlig er økonom, men jeg begynte å jobbe som journalist i ganske ung alder. I aftenposten gikk jeg gradene, og ble nyhetssjef. Så begynte jeg i PR bransjen som da var i sin grunder periode i for seg. Og var med der i Geelmuyden Kise i 6-7 år, og min største kunde der var Telenor, spesielt på kringkastingssiden og satellitter og den type ting. Så har jeg jobbet innenfor det feltet i 18-19 år, men de tre siste årene så har jeg også ganske mye inn mot systemer som har med cyber security å gjøre, som en del av ledelsen i Telenor Europa. Og det var da jeg i første rekke fikk øynene opp for hvor alvorlig dette cyber problemet egentlig var, og dette er ikke noe som går bort. Dette er noe vi må leve med, og jeg ser at dette har vært underkommunisert, altså trusselen, og da så jeg at her er det mulighet til å gjøre noe spennende. Forutsatt at jeg fikk en partner som er noe yngre enn meg.

SS: Ja, da vår kjøre Jørn Bremtun. Du sier at det var underkommunisert, jeg tror dette også er delvis fordi det er vanskelig å forstå ansvarsfordelingen her. Det er en ny overlapp mellom det offentlige og det private, og det nasjonale og det internasjonale. Det begynner å bli større trussel, enn mange av de fysiske truslene man er vant til å tenke på, også tror man at man må kunne så utrolig mye IT for å aktivt kunne forholde seg til dette. Hvordan gjør dere den kommunikasjonslæringsreisen rundt cyber security for kundene deres?

EN: Altså, for det første så må jeg si at veldig mange av kunder og aktører i dette markedet har gjort mye riktig. Men det som ofte mangler er at dette ikke blir tatt opp til toppledelsen. Det blir ofte liggende som en budsjettpost eller aktivitet i IKT- avdelingen, mens når du vet for eksempel at et alvorlig dataangrep kan stoppe hele virksomheten din, så er jo dette en sak for toppledelsen og styret. Men da må de få den viktige informasjonen opp til seg, slik at de er i stand til å ta beslutninger. Fordi som regel så er det veldig mange ting som skjer innenfor disse tingene, som skjer enten i en statlig virksomhet eller en privat virksomhet, men det er ikke strukturert slik at toppledelsen får dette på bordet. Så det er vår oppgave: både å bevisstgjøre dem på at dette er viktig, men også å da å skissere en struktur på hvordan de skal få denne informasjonen, og hvilke ting de bør stille spørsmål om, og hva de bør ta stilling til når det gjelder risikonivå, sårbarhet, tiltak også videre.

SS: Kan du gi oss litt tips på det? Fordi min erfaring er at man gjerne vil spørre; er vi nå sikre? Og hvis vi er sikre så er vi ferdigsnakka til neste styremøte eller neste strategirunde hvor vi snakker digitalisering.

EN: Ja riktig.

SS: Hva skal toppledere spørre?

EN: Nei, altså for det første så bør de jo selv sjekke om de har overvåking på plass. Hvis du ikke har overvåkningen og infrastrukturen din på et gitt nivå så har du i realiteten ikke noe kontroll. Da kan du være kompromittert uten at du er klar over det. Så det er jo en sånn ting som man bør ha, også bør man ha en oversikt over hvilke applikasjoner man har, og hvilke er det som er mest sårbare? Og mest verdifulle for deg? Dette bør du ha i prioritert rekkefølge. Også må du ha oversikt over hvem som har ansvaret for de ulike applikasjonene, fordi hvis noe skjer så må du vite hvem du skal kontakte. De aller viktigste applikasjonene bør du sørge for å ha sikkerhetskopi av, som er på et helt annet sted enn i virksomheten. Fordi hvis virksomheten din blir lammet så står du der. Dette var jo det som for eksempel skjedde med Maersk NotPetya angrepet hvor hele container virksomheten deres ble lammet. Når de skulle re- installere dette så manglet de jo blant annet styringsstrukturen som da var hele hjertet i virksomheten. Nå hadde de jo flaks da, fordi det var strømstans i et marked som gjorde at de fikk tilgang til det allikevel. Men dette er jo sånne ting som du virkelig oppdager hvis du blir rammet, hvor du er avhengig av å ha backup på et sikkert sted. Så det å stille den typen spørsmål, og sørge for at du har den type ting oppe på bordet, blant annet en statusrapport: hvor mange angrep har vi vært igjennom siden forrige styremøte, eller kanskje hvert halvår? Hvor mange har vi vært igjennom, og hvor mange er seriøse av disse angrepene? Er det nye ting som tilsier at vi bør fatte andre tiltak når det gjelder risikonivå og avbøte tiltak, eller er det tilstrekkelig det vi har gjort? Det er en del av de tingene man bør kunne snakke om, og egentlig så bør man kunne snakke om disse tingene på samme måte som man snakker om økonomirapportering. Og det er ingen som er i tvil om at økonomirapportering er en styringssak, men jeg tviler på at det er et flertall av norske selskaper som har cyber sikkerheten på styringsagendaen dessverre.

SS: Ja, jeg tror det har noe med at plutselig så kommer det nye ansvar fra ganske mange områder som kjerne business: du har operativ risiko, du har markedsrisiko, nå har du cyber risiko også, ikke sant? Her er det også noe med at vi åpner oss også for nye angrep med internett of things, med overgang til digitalisering, men du kan ikke la vær. Og der har jeg lyst til å høre litt med deg om hva du tenker om det. Når vi tenker på vår helse, og vår ve og vel, så er det til syvende og sist politiet og staten som har ansvar for vår sikkerhet. Men så enkelt er det ikke lenger. Et eller annet med overlapp med rettstat, og den nye digitale tidsalderen.

EN: Nei altså, hvis du tenker sikkerhet i en digital verden da, så er det jo noen som har tenkt at teknologien løser det, men det gjør det jo ikke. Fordi du har mange elementer her. For det første er det, som du er inne på, så må det være en viss ramme av lovgivning og regler, som også respekteres i den verden. Og de må jo kommunisere sånn at folk er klar over at reglene er slik. Og du får jo ikke respekt for regler hvis de ikke håndheves, sånn at du er nødt til å ha, det er derfor vi veldig ofte blir sammenliknet med å være politi, også må du i tillegg ha en logistikk på tingene. Dersom du lager en digital applikasjon eller tjeneste, så må den være slik at, altså leilighet gjør tyv. Hvis det blir for enkelt å svindle deg, og sånn er det jo i den virkelige verden også. Dersom du glemmer å låse døra, en del sånne ting, så får du kanskje ikke erstatning. Og sånn må du altså også tenke i den digitale verden. Også kommer teknologien, slik at løsningen må være enkelt å bruke, slik at du faktisk bruker den samtidig som det er i en sikker setting. Så det er mange ting som må være på plass her for at den digitale verden skal fungere innenfor et rettsstat- rammeverk.

SS: Ja. Jeg spurte deg om de mest interessante kontroverser, og du sier at det er egentlig nesten mangel på kontroverser som er mest interessant her. Det har blitt angrep på både helsedata, og diverse energisystemer, og massekommunikasjon, så jeg tror ikke vi vet hvor ofte vi blir angrepet. Kanskje godt er det også? Men vi forstår ikke konsekvenser, og debatterer det ikke nok.

EN: Nei, og jeg tror det er en litt sånn mangel på, litt sånn avmektighet for det store problem. Og det er ikke noe bare jeg har oppdaget. Extensor offentliggjorde en undersøkelse nå i Januar, som pekte på at flertallet av toppledere, de hadde intervjuet da 1700 pluss en del teknologer, og gjennomgående så var det slik at de tok i bruk digitale løsninger, til tross for at de var klar over at de ikke var sikre nok. Men de visste, og forsto ikke helt hvordan de skulle sikre seg. Så du har på en måte en utvikling som er litt det jeg kaller et «krokodillegap», altså hvor den digitale utviklingen går ekstremt fort, men hvor sikkerhetsutviklingen ikke følger med på samme måte. Og det er klart at når det gapet blir for stort, så får vi virkelig alvorlige problemer. Og vi er jo på vei inn i den alvorlige problematikken, og det er mange som har pekt på det. Men jeg er enig i at det er avmektigheten som preger den offentlige industrien, og den offentlige forvaltningen.

SS: Og vet du hva, det er en lang reise. Men jeg tror folk må forstå at det er en reise, og ikke et mål, også er det bare å begynne å gå. Også får vi samle oss litt underveis også.

EN: Ja, også må man ta tak i problemene, og det nytter ikke å være likegyldige i forhold til dette. Mange bedrifter kan gjøre veldig enkle ting, ved å strukturere tingene, slik at de får tingene på bordet.

SS: Føler du at det var en slags oppvåkning i Telenor når alle disse lederne ble hacket i 2012/2013?

EN: Ja, det var definitivt en oppvåkning. Telenor Norge har jo gjennomført et stort prosjekt hvor de har endret veldig mye av det de gjorde den gangen. Fordi de så jo at inntrengeren kom, men de hadde ikke verktøy til å gjøre noe med det. Nå har de jo jobbet veldig mye med det som kalles forsvarbar infrastruktur, altså delt opp ting i tegler og brakt dette opp til toppledelsen, og gjennomfører tiltak på en annen måte enn de gjorde før. Og det preger også resten av Telenor, så man har jo nå sjøsatt et stort prosjekt, som gå på cyber sikkerhet i alle markeder.

SS: Du har lært deg cyber security i voksen alder, hva er de beste triksene? Hvor anbefaler du folk å gå?

EN: Nei, men det er jo veldig enkle ting som skal til tross alt. De fleste angrepen kommer via eposter faktisk. Så det å tenke gjennom hva du laster ned av eposter. Jeg hører veldig mange si at: «jammen, vi er så uinteressante, så vi er ikke interessante for angripere», men hvis du har et stort nettverk for eksempel blant sentrale politikere, sentrale næringslivsledere, selv om du ikke sitter på store hemmeligheter så kan du blir brukt til å angripe folk du jobber med eller er i nettverk med. Så det å tenke gjennom den situasjonen, og sjekke hvem som er avsender av mailene, altså helt enkle ting, så vil du få ryddet ganske mye av veien. Store angrep, har ofte begynt med den type emailer. Det NotPetya som er det dyreste hackerangrepet som har vært sjøsatt så langt, det kostet over 80 milliarder norske kroner i henhold til det hvite hus. Det var jo også startet med epost angrep mot et firma i Ukraina.

SS: Du sier at det er en fin gjennomgang av dette i Wire, også nevner du også en Tysk TV- reportasje om det å hacke hoteller og kraftprodusenter. Det er noe man kan google seg frem til på nettet?

EN: Ja, det det går på der. Her snakker vi om nye energikilder. I Tyskland så er det slik at vindkraft og solcellepaneler, slik at du kan selge tilbake til energiverket, og det gjelder alt fra skoler til private husholdninger. Men noen har funnet ut at det er bekvemmelig å styre dette via en app, også har de brukt WIFI systemer som ikke er sikret. Også har da inntrengere klart å komme seg inn via disse WIFI- systemene, og inn i leveransesystemene til kraftverksystemet for eksempel. På samme måte også kommet inn på hotellene via usikrede WIFI løsninger, og sånn sett hoteller som har elektroniske dørlåser, så har man da klart å åpne dørlåser. Sånn at det forteller litt om hvilke sikkerhetsutfordringer du har. Det er veldig fint med det grønne skiftet, men du er avhengig i sånne sammenhenger om å sette ting sammen. Du kan ikke være avhengig av strømleveranser til en og en, det er det samlede nettverket av strømleverandører som utgjør leveransen til et kraftverk.

SS: Ja. Du har du et lite sitat som vi kan legge igjen som en gave til våre lyttere?

EN: Ja, jeg tror det bør gå på dette med at : «Hvis du tror at teknologi kan løse dette med sikkerhetsproblemene dine, så betyr det at du ikke har forstått problemene, og at du heller ikke har peiling på teknologi.» Og det går litt på de tingene jeg har vært innom: det har med lover og regler å gjøre, at man overholder disse lovene og reglene, og at de som ikke gjør det faktisk er i risiko for å bli tatt. At du har en logistikk i tingene, at du har bygget opp tingene på en måte som gjør at det ikke er for enkelt for svindlere å benytte seg av det, også har du teknologien som må være slik at den er lett å bruke for brukeren. Så det er mange ting som må stå sammen. En teknologisk løsning løser ikke det.

SS: Hvis folk skal huske en ting fra vår samtale, hva vil du at det skal være?

EN: Jeg mener at en av de mest vesentlige tingene er at cyber sikkerhet er et naturlig tema for et styre og en toppledelse i en bedrift og en virksomhet.

SS: Alle må med, også når det gjelder cyber security.

EN: Du får ikke alle med hvis ikke toppledelsen tar dette alvorlig.

SS: Det er helt riktig. Erik Nord fra Nord & Bremtun, tusen takk for at du var med oss for å inspirere oss til å lære mer om cyber security!


Du har lyttet til en podcast fra Lørn.Tech - en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech.


Hva er det viktigste dere gjør på jobben?

Vår viktigste oppgave er å få ledere og styret i en virksomhet til å forstå at cybersikkerhet er et topplederansvar og prioritere i forhold til det.

Hva fokuserer du på innen cybersec?

Vårt fokus vil være å hjelpe ledelsen og styret til å etablere en styringsstruktur rundt cybersikkerhet, slik at ledelsen og styret kan holde seg oppdatert og håndtere den digitale virksomhetsrisikoen.

Hvorfor er det spennende?

Det er et forholdsvis nytt område der mye er ugjort og et område som er viktig for samfunnet. En kan godt si at en god cybersikkerhet er en videreføring av rettsstaten inn i den digitale tidsalder.

Hva synes du er de mest interessante kontroverser?

Det mest interessante er mangelen på kontroverser på dette området i Norge. Vi hører om hacking av helsedata, fylkesmenn og store bedrifter uten at det tilsynelatende vekker stor almen bekymring eller debatt. I den analoge verden ville dette vært spektakulære saker for media og opinion.

Dine egne prosjekter siste året?

Vise til implementeringen av system for cybersikkerhet i Telenor og arbeidet for et selskap som driver kommunikasjonsløsninger mellom foresatte, barnehager og skole.

Dine andre favoritteksempler på god cybersec internasjonalt og nasjonalt?

Telenors norske virksomhet har gjort en stor jobb innenfor cybersikkerhetsområdet etter at flere av lederne ble hacket tilbake i 2012/2013. Her er det mye å lære når det gjelder ledelsesinvolvering, bygging av forvarbar infrastruktur og overvåkning.

Hva tror du er relevant kunnskap for fremtiden?

God kunnskap om samfunn og mellommenneskelige forhold, kombinert med god teknologiforståelse er og blir viktig. Teknologifag er på full fart inn som en viktig del av allmennkunnskapen.

Hva gjør vi unikt godt i Norge av dette?

Vi har en gjennomgående god IT- og telekominfrastruktur. Det legger et godt grunnlag for å etablere og videreutvikle trygge løsninger i cyberspace.

En favoritt fremtidssitat?

Hvis du tror at teknologi kan løse sikkerhetsproblemene dine, betyr det at du ikke har forstått problemene og at du heller ikke har peiling på teknologi.

Viktigste poeng fra vår samtale?

Ledere og styret i virksomhetene må ta ansvar og styring med cybersikkerheten. Et «vellykket» angrep kan stenge hele butikken.

Erik Nord
Styreleder og partner
Nord & Bremtun
CASE ID: C0260
TEMA: CYBERSEC AND COMPLIANCE
DATE : 190206
DURATION : 16 min
LITERATURE:
Magasinet Wires gjennomgang av NotPetya cyberangrepet
YOU WILL LØRN ABOUT:
CybersikkerhetForsvarbar infrastruktur «Krokodillegapet» Risiko Ledelse
QUOTE
"Under en undersøkelse hvor 1 700 toppledere ble intervjuet, sa flertallet at de tok i bruk digitale løsninger til tross for at de var klar over at de ikke var sikre nok. Dette er en utvikling jeg kaller «krokodillegapet», der den digitale utviklingen går ekstremt fort, men sikkerhetsutviklingen ikke følger med."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB