LØRN Case #C0526
Cyber security, hvorfor ble det så vanskelig?
Hvordan havnet vi her med så mange sikkerhetshendelser? Og hvordan adresserer vi det – fra et sikkerhetsståsted? I denne episoden av #LØRN snakker Silvija med leder for Cyber Security i Sopra Steria DPS, Jørgen Rørvik, om at sikkerhet i digitale systemer har noe å si – det påvirker din og min sikkerhet, og er essensielt i å opprettholde samfunnskritiske funksjoner i et digitalisert Norge.

Jørgen Rørvik

Security Operation Center (SOC)

Sopra Steria

"Alle virksomheter med digitale verdier må rangere systemene sine i flere kategorier, og for de systemene som er i kategorien «Foretningskritisk» må man faktisk ta jobben med å forstå og overvåke hele verdikjeden dersom man skal klare å kjempe mot dagens og morgendagens trusselbilde."

Dette er LØRN Cases

En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. 

Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.

En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.

Vis

Velg ditt format

Varighet: 48 min

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Hvem er du, og hvordan ble du interessert i teknologi?

Jeg er Jørgen! En skikkelig «blidfis» med over 20 år i bransjen. Jeg har alltid vært en som skrur fra hverandre alt, så å bygge pc var helt naturlig. Min inngang til IT var igjennom gaming, og så bare ballet det på seg.

Hva er det viktigste dere gjør på jobben?

Det er å hjelpe samfunnskritiske virksomheter å redusere sin cyberrisiko.

Hva fokuserer du på innen teknologi?

Sikkerhet med spesialitet innen sikkerhetsovervåking.

Hvorfor er det spennende?

Fordi sikkerhet i digitale systemer har noe å si. Det påvirker din og min sikkerhet, og er essensielt for å opprettholde samfunnskritiske funksjoner i et digitalisert Norge.

Hva synes du er de mest interessante kontroverser?

At bransjen for alltid ser ut til å skyve funksjonalitet og enkelhet foran gode sikre løsninger. Sikkerhet trenger ikke gå på kompromiss med sexy og «smoothe» løsninger, men det blir vanskelig når sikkerhet skal inn til slutt. Dine egne relevante prosjekter siste året? Jeg har etablert Sopra Steria sin 24/7 SOC funksjon og MSSP-portefølje.

Hva tror du er relevant kunnskap for fremtiden?

Det å forstå verdikjedene til sine kritiske systemer vil være helt avgjørende for fremtiden. Det gjelder spesielt når vi introduserer nye teknologier som skal leve sammen med legacy-systemer. F.eks 5G på toppen av dagens datasenter.

Hva gjør vi unikt godt i Norge av dette?

Vi er på vei til å få en god kultur for deling på sikkerhet og sikkerhetshendelser. Dette gjør det lettere å lykkes. Bransjen har kollektivt et enormt kompetansegap og ressursbehov, så deler vi ikke – taper vi kollektivt. Vi har også et meget godt NSM som deler hyppig.

Et favoritt fremtidssitat?

«Know your stuff» (Uavhengig av hvor mye AI og ML du får hjelp av, må du kunne greiene dine. Altså dyp kunnskap om egne systemer må til for å lykkes med sikkerhet).

Viktigste poeng fra vår samtale?

Alle virksomheter med digitale verdier må rangere systemene sine i flere kategorier, og for de systemene som er i kategorien «forretningskritisk» må man faktisk ta jobben med å forstå og overvåke hele verdikjeden dersom man skal klare å kjempe mot dagens og morgendagens trusselbilde.

Hvem er du, og hvordan ble du interessert i teknologi?

Jeg er Jørgen! En skikkelig «blidfis» med over 20 år i bransjen. Jeg har alltid vært en som skrur fra hverandre alt, så å bygge pc var helt naturlig. Min inngang til IT var igjennom gaming, og så bare ballet det på seg.

Hva er det viktigste dere gjør på jobben?

Det er å hjelpe samfunnskritiske virksomheter å redusere sin cyberrisiko.

Hva fokuserer du på innen teknologi?

Sikkerhet med spesialitet innen sikkerhetsovervåking.

Hvorfor er det spennende?

Fordi sikkerhet i digitale systemer har noe å si. Det påvirker din og min sikkerhet, og er essensielt for å opprettholde samfunnskritiske funksjoner i et digitalisert Norge.

Hva synes du er de mest interessante kontroverser?

At bransjen for alltid ser ut til å skyve funksjonalitet og enkelhet foran gode sikre løsninger. Sikkerhet trenger ikke gå på kompromiss med sexy og «smoothe» løsninger, men det blir vanskelig når sikkerhet skal inn til slutt. Dine egne relevante prosjekter siste året? Jeg har etablert Sopra Steria sin 24/7 SOC funksjon og MSSP-portefølje.

Hva tror du er relevant kunnskap for fremtiden?

Det å forstå verdikjedene til sine kritiske systemer vil være helt avgjørende for fremtiden. Det gjelder spesielt når vi introduserer nye teknologier som skal leve sammen med legacy-systemer. F.eks 5G på toppen av dagens datasenter.

Hva gjør vi unikt godt i Norge av dette?

Vi er på vei til å få en god kultur for deling på sikkerhet og sikkerhetshendelser. Dette gjør det lettere å lykkes. Bransjen har kollektivt et enormt kompetansegap og ressursbehov, så deler vi ikke – taper vi kollektivt. Vi har også et meget godt NSM som deler hyppig.

Et favoritt fremtidssitat?

«Know your stuff» (Uavhengig av hvor mye AI og ML du får hjelp av, må du kunne greiene dine. Altså dyp kunnskap om egne systemer må til for å lykkes med sikkerhet).

Viktigste poeng fra vår samtale?

Alle virksomheter med digitale verdier må rangere systemene sine i flere kategorier, og for de systemene som er i kategorien «forretningskritisk» må man faktisk ta jobben med å forstå og overvåke hele verdikjeden dersom man skal klare å kjempe mot dagens og morgendagens trusselbilde.

Vis mer
Tema: Cybersikkerhet og etterlevelse
Organisasjon: Sopra Steria
Perspektiv: Storbedrift
Dato: 191111
Sted: OSLO
Vert: Silvija Seres

Dette er hva du vil lære:


Mulighetsrommet for trusselagenter Right securitySikkerhetsplan Rørvik sine 4 bud for sikkerhet Nation statesSikkerhetsovervåking

Mer læring:

Netflix filmen «Snowden»Netflix dokumentaren «The Great Hack – Cambridge Analytica»

Del denne Casen

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Flere caser i samme tema

#C0155
Cybersikkerhet og etterlevelse

Kristian Gjøsteen

Professor

NTNU

#C0180
Cybersikkerhet og etterlevelse

Vigleik Hustadnes

Leder

Tussa

#C0210
Cybersikkerhet og etterlevelse

Judith Rossebo

Cyber Security Specialist

ABB

Lytt #C0526

Tekst for Case #C0526

Silvija Seres: Hei og velkommen til LØRN i samarbeid med Sopra Steria. Tema i dag er cyber security, jeg er Silvija Seres og gjesten min er Jørgen Rørvik som er leder for cyber security eller som det heter security operations center ved Sopra Steria. Fikk jeg det til riktig nå Jørgen? 

  

Jørgen Rørvik: Nja, nesten nesten. SOC eller Security operations center det er en del av sopra steria, så har vi tre ledere som driver cyber security på tvers av Sopra Steria og jeg er en av de. Og innenfor det området som jeg er ansvarlig for så ligger blant annet security operations center, som driver med sikkerhets overvåking for kundene våre. 

  

Silvija: Dette er komplekst før vi har begynt. 

  

Jørgen: Ja, beklager det. Jeg skal prøve å gjøre dette ganske enkelt underveis altså.  

  

Silvija: Veldig bra, cyber security er i hodet mitt littegrann som klima, for la oss si for tolv måneder siden så syntes jeg vi fortsatt være et sted hvor det var lov å krangle om det er menneskeskapt eller ikke og haster det eller ikke og jeg tror vi er litt ferdig med den diskusjonen, nå vet vi at jeg haster og det er menneskeskapt og nå må vi egentlig begynne å krangle om hvordan vi gjør noe konstruktivt med det og det er litt sånn dermed cyber security,  det har vært liksom et eller annet muffens som kan skje der ute og så har det vært et par ordentlig store incidents close to home og så tror jeg at vi har kommet dit at det er så nå begynner folk å tenker jeg at ok dette her er noe vi er nødt til å investere ordentlig i eller?  

 

Jørgen: Too close for comfort blir det vært den jeg tror jeg tror det er det er mange år siden jeg var  

på et foredrag om sikkerhet som starter med en tordentale at hvis dere ikke gjør som vi sier så kommer det til å gå dere ille, den retorikken har heldigvis blitt litt borte og det er fordi vi som du sier at VG gjør den jobben for oss det kan jo gå opp når vi får nesten uten at det er noe  

sikkerhetshendelser der. Så vi skjønner at det her pågår hele tiden og inntil vi adresser det sjøl  så er vi kollektivt bare så glad for at det ikke var oss denne gangen, men andre selskaper.  

Jeg tror at det har påvirket litt hvordan vi går på deg så dukker her dersom du samme klima 

men det her må vi gjøre noe med og da tror jeg vi skal gjøre jobben vår sånn som i podcaster sånn som dette som adresserer det hva kan man gjøre nå hvordan går man fram,  

uten at det skal bli så innmari mystisk hemmelig og vanskelig. For det trenger ikke det ikke være. 

 

 Silvija: Eller sånn super teknisk.  

Jeg tror det dreier seg om kultur framfor et prosjekt da, men vi kommer tilbake til det, og jeg jeg vil bare legge til en sånn kommentar. Jeg sitter i noen styrer og jeg syntes også det er 

fascinerende hvordan cyber security her er liksom gått fra å være noe du nevner når du har  

strategi og digitalisering på det årlige seminaret til noe du faktisk må berøre littegrann i hvert  

styremøte og av og til av finans folk av og til er det revisjonsutvalg som må faktisk ta det opp og det synes jeg er fint.  

 

 

Jørgen: Det er flere av de største norske virksomhetene vi har, eller alle har et sånt risikoregister;  

hvilke risikoer har vi i vår virksomhet, og det er flere av de store norske som har cyber  

security øverste i høyre hjørne.  

også må vi adressere det. E nten er det Rune Bjerke i dnb har vært tydelig på det, Telenor har vært tydelige på at dette er en viktig greie til tross for at disse i utgangspunktet ikke er cyber selskap ikke sant.  

Så det er blitt styreromsmat, absolutt og det handler om økonomi for det her  

gjør vondt når det smeller og jo nærmere det smeller jo mer 

begynner det å bli et tema og  for å bruke litt tullete uttrykk; når det brenner litt på  

alle dasser, så begynner folk å lure kan kan dette også skje hos oss. 

 

Silvija: Kan min dass også brenne?  

  

Jørgen: Ja, ikke sant. Litt tøysete sakt, men det handler litt om det. også er det noe med at, før hvor kanskje virksomheten.. du og jeg, vi har en virksomhet sammen og før så var den liksom... 

den var autonom, den var for seg, men nå med digitalisering agendaen som vi er med å kjører, så henger innmari mye ting sammen med innmari mye ting.  

 

Silvija: Alt smitter alt. 

  

Jørgen: Ja litt er i sky og litt er hjemme og litt er under pulten din ikke sant.  

Og da ser at vi kan få at de kan få en brann hos oss, på så mange nye måter.   

Får så måtte man komme på besøk og å ødelegge datasystemene din, men nå er det jo tilgjengelig gjennom utallige angrep sektorer, enten er skyer eller andre ting.  

Vi har eksponert oss veldig med digitalisering agendaen og da må vi få litt kontroll på det. 

Og styrerommene de skjønner det for dette gjør vondt er det gjør vondt det er på økonomi  

ofte eller bonus eller hva det måtte være. 

Her må vi skynde oss og ikke minst skal passe på dataene våre  

  

Silvija: Jeg tenker at dette her blir det nye complience også, så styrerommene er  

veldig opptatt fordi de må for de rett og slett vil bli personlig ansvarlige etterhvert for å ikke  

ha tenkt på saken hvis vi ikke har tenkt på saken, men det jeg tenker jørgen er en også denne her kultur saken, hvor det er ikke noe du gjør en gang i året eller det er ikke så når du kjører antivirus og så er alt i orden det er mer som helhetlig hygiene,  

som folk må begynne å venne seg til  

 

 

Jørgen: Og jeg tror at hvis man skal komme noe nærmere  

en  sikrere digitale hverdag som å adressere det  to steder: 

den andre om kultur og du og jeg skjønner at dette er viktig i vår jobb til tross for at vi kanskje  

ikke jobber med sikkerhet og nå har vi jo nasjonal sikkerhets måneder og sånn, men det må være helt sånn innarbeidet i hvordan vi tenker og er. Så er det den andre  

biten som handler om teknologi. For vi er nødt til å ta høyde for at både folk gjør feil, at mennesker har som jobb å åpne ved epost vedlegg for eksempel. Hvis du har verdens beste og awarenes og kultur for sikkerhet i din bedrift og jeg søke på en stilling dere har ledig og vedlagte pdf min cv det er noen som har som jobb våpnene som vi må også adressere med teknologi det å sørge for at 

at vi kan gjøre feil og å åpne uheldige ting men også at vi skjønner hvorfor dette er viktig, men tror det er litt er kanskje vi bommer ofte på awarenes for det har lett for å bli en sånn greie at han er viktig med sikkerhetskultur fordi det er viktig for oss i sikkerhet men det er jo ikke det er viktig for virksomheten vår 

så begge deler dro kultur er viktig men det må også understrekes med teknologi som tar høyde for at det gjøres feil og at det skjer ting. 

  

Silvija:  For egentlig umulig å oppdage med dette her bare ved å unngå  å  åpne vedlegg.  

  

Jørgen: Riktig og det er jo ikke gjennomførbart heller ikke sant! det lar seg ikke gjøre.  

Det er begge deler kultur er ekstremt viktig, men det løser ikke alene akkurat som teknologi bitene er kjempeviktig men aleine er det heller ikke noe vitner som må gå sammen. 

  

Silvija: Jørgen jeg lyst å gå tilbake til dette her får jeg hørte nylig på et utrolig fascinerende  

foredrag fra et norsk em..starup miljøet egentlig som jobber med biometrix security.  

Pr i dag så driver du med passord, det kan fort være noe som går over og vi logger oss inn med ansikter i kombinasjon med stemme eller finger eller et annet og jeg var ikke klar over hvor utrolig mange muligheter der til å jukse med det også! 

når man da kan bruke kunstig intelligens på å lage nye bilder og så videre så det blir kjempespennende å være oss! enda mer spennende finner litt. Men før vi går inn i en selve hva skal jeg si.. i foredrags delen om cyber security, si littegrann om hvem du er kanskje litt hvorfor bryr  du deg om Cyber security? 

  

Jørgen: Jeg er først og fremst en ganske positiv fyr, jeg ser ganske positivt på fremtiden, enten måtte være maskinen learning, AI, 5G eller hva det det måtte være, så er jeg positiv og ønsker velkommen, og vi har hatt store mulighet rundt de. Så jeg er nok en litt sånn irriterende blid fis,  

  

Silvija: Man må nesten være det skal han jobbe med Cyber security 

  

Jørgen: Jeg tror ikke det hjelper å være trist og sur hvertfall, også har jeg en ganske teknisk bakgrunn så i godt over tjue år jobbet jeg veldig teknisk  

så jeg kommer egentlig fra under data gulvet liksom binært og heks og jobber sånn og så er det blitt mer at jeg nå jobber i det laget mellom fryktelig tekniske mennesker og styrerommet 

for der trenger vi litt oversettelser innimellom. Det er bakgrunnen min, ellers er jeg  

gift og driver med hund og veldig glad i fisking. Litt om meg.  

 

 

Silvija: Hva slags fisking? 

 

Jørgen: Gjeddefisking. Må være gjedde fisking..  

  

Silvija: Nå må du forklare hvorfor. Er gjedde fiskere forskjellig fra andre fiskere? 

  

Jørgen: Jeg er fra østlandet og vi har ikke de råflotte lakseelver som de har lenger nord for eksempel så dem er naturlig del av oppveksten å drive med gjedde fisken er noe mere gjedde er den ultimate predatoren. Den har ingen naturlige fiende 

og den overlever i nesten alle konvensjoner og spiser sine egne.  

Så det var liksom jakten på den  

  

Silvija: Veldig bra. Du, hvordan er det så mange sikkerhetshendelser nå og og hva gjør man? 

 

 Jørgen:  Oi.. det er for det første litt sånn langhelg svar på det, men vi skal prøve å gjøre det korte allikevel. Jeg trur,  hvorfor er det så mange sikkerhetshendelser, det tror jeg, jeg kan prøve å svare på hva jeg tror det handler om at fra vi startet med it og teknologi egentlig, la oss kalle det it natten så har vi drevet på med å utvikle nye løsninger ved å knytte til oss ny teknologi enten for  nettverk, trådløst eller hva det måtte være, og underveis på den reisen så har vi kollektivt målt - målt hele greinene på perfomance, oppetid og kostnad i drift. Det kan godt koste litt å sette det inn, men det skal være ganske billig å drive med. så opex skal ned. Og når i gjær det over tid så får vi jo mer av det, så vi får masse it som måles på oppetid Perfomance, men så har vi ikke vært gode nok historisk sett på å måle sikkerhet underveis, og da får vi jo ikke ås mye av det. Noe resultat er etter tyve år etter som jeg har holdt på så har vi blitt kjempeflinke til å ha enorme it-er som er komplekse og hybride og alt mulig. Og først nå begynner vi virkelig å dra sikkerhet inn. Men da skal vi alts prøve å etterkomme  alt vi kanskje har glemt av på de årene. Hadde ikke vært noe problem hvis all it var ny, men den er ikke det for vi har fremdeles tyve år gammel it sammen med den nye. Da sitter vi med enorme angrepsvektorer og sårbarheter vi kanskje ikke historisk har blitt målt på å ha god kontroll på, og så integrer vi det inn i ny teknologi, og da er vi det. 

 

Silvija: Så det er rett og slett en slags sveitsisk ost i våre it-systemer?

Jørgen: Jeg tror ikke nødvendigvis det, for det finnes veldig bra it-systemer og flinke folk som jobber med det, men jeg tror det handler om hvordan vi har målt it over mange år, og dette er ikke liksom sånn for meg, men generelt i bransjen over hele verden. Vi har ikke måkt det på god sikkerhet, men på andre ting; at det skal være oppe, planlagte endringsvinduer, koste mindre hvert år. Vi har målt det på det.

Silvija: Gjøre mer og mer for mindre og mindre.

Jørgen: Ja. Ikke sant. Helt klassisk. Og derfor tror jeg, for spørsmålet ditt var hvorfor det er ås mange sikkerhetshendelser? Jo, derfor! For om mange år da vil det være umulig å ha kontroll på alle angrepsvektorer og sårbarheter, og underveis som dette har skjedd så ser jo trusselaktører - som vi sikkert skal snakke om etterpå - at mulighetsrommet har jo blitt helt enormt, sant. Så jeg kan jo sitter hjemme å nå alle verdens bedrifter; og hvis de har sårbarheter jeg kan utnytte da, så er mulighetsrommet kjempestort.

Silvija: Men én ting er jo da at vi her da møter mellom gamle systemer og nye eller den slags lapskaus av dette her da, men en annen ting er at måten at vi håndterte sikkerhet på var litt ettertanke. Så må man skrive om systemene med sikkerhet som first principal da, eller går det ann å legge på nok lag på det gamle?

Jørgen: Ja. heldigvis er det siste det riktig. Fordi. hvis vi skulle bygd om alt går ikke det. Vi har store, sikkert samfunnskritiske ting, som er avhengig av løsninger som er gamle. enten det er i børs, eller kraft eller hva det måtte være. Å bare bygge alt riktig nå, går ikke. Den investeringen er for stor. Og verdikjeden er for vanskelig. Men å identifisere hvilke systemer vi er nødt til å ha kontroll på og hvilke vi ikke kan ha sikkerhetsbrudd på er en øvelse som er sunn å gjøre. Da kan vi beskytte de. så hvis virksomheten har 2000 systemer da, ås kan det hende at 200 er ekstremt viktige. vi kan ikke bygge de om, men vi kan sikre de. Ved å legge på et sikkerhetslag som jeg nevner, eller rundt det eller sørge for aksess til systemene kontrolleres veldig bra uten å måtte bygge om systemene.

Silvija: Så det jeg hører deg si er at det går ann å ha en pragmatisk holdning, men hvis man jobber disiplinert med det, så kan man komme ganske langt. Så kanskje sånn at man må lære seg at du blir aldri helt sikker.

Jørgen: Jeg er litt enig.

Silvija: Det er litt som kroppen vår; den er utsatt for angrep hele tiden, men vi har noen ting vi er nøye med immunitet på, ikke sant. Og så er det andre liksom; det finner vi ut av.

Jørgen: Ja, det er helt riktig. Også er det helt sikkert blir det ikke  - ferdig med det. Det er vi helt enige om; det får du ikke til. Da må du ta det helt offline og legge det på bunnen av havet, og selv går det sikkert ann å finne noen u-båter. Men det går ann å ha..å sikte på hvilken sikkerhet skal vi ha i vår virksomhet. Og i  en annen virksomhet trengs et annet nivå. Det å treffe det for seg og kartlegge; hva er riktig sikkerhet om oss. I Sopra Steria så snakker vi om Right Security. Og det er ikke en sånn bedreviter: at vi har skjønt det så skal du få kjøpe Right Security. Nei, nei. Det handler om at hver virksomhet har forskjellige behov. Det er ikke bare: kjøp min sikkerhetspakke. Det ville ikke hjulpet noe særlig. Du må forstå virksomheten din, og basert på det så kan vi legge plan for god sikkerhet. Den kan du gå på ganske pragmatisk. Det er samme tilnærming enten vi skal beskytte 10 systemer eller 50 000 systemer. Måten å gå på er ganske lik. 

Silvija: Du Jørgen, før vi går i noen gode historier - for her er det mange gode. Jeg tror det er viktig for folk å forstår det for da blir det liksom ikke så mystisk. Men kan jeg prøve meg på noen bud? Altså Silijias 3 bud som Jørgen skal skrive om til litt mer fornuftige bud.

Jørgen: Kom igjen.

Silvija: Det ene kunne vært å gjøre en ordentlig dataanalyse og forstå hvilke data som er sensitive på hvilke nivåer, og tenke litt...definere litt roller, aksess og need to know - basis for datahåndtering. Samme da med kommunikasjonssystemer - eller alle systemer egentlig. Hva er kritisk esystemer for drift for produksjon for kommunikasjon avhengig av hva man er, om man er forsvaret eller Hydro, ikke sant. Og det tredje; å ha litt kontinuitet -  på en måte hygiene vedlikehold. Altså akkurat som at vi blir lært til å vaske hender og i en viss alder ta noen vaksiner og sånt - at man definere en sånn cyber-hygiene kultur for bedriften sin som alle egentlig synes er fornuftig. Det har litt med passord og gjøre, men også kanskje litt med, tja hva vet jeg, hvordan eller hvem man slipper inn i med tilgangsrettigheter osv.

Jørgen: Ja. Får jeg lov til å utfordre budene dine?

Silvija: Ja, vær så snill! Det er det jeg håper på.

Jørgen: Jeg foreslår mine bud. Jeg ville tenkt bud nr 1: Gjør øvelsen av å...eller gå gjennom alle systemene du har og sett de i tre kategorier. Den ene kategorien er business critical: forretningskritisk. Altså hvis vi mister data eller har hendelser her, så er vi out of business. Det er et sett systemer. Det kan være en billing-plattform eller sharepoints holder mergent acquisition informasjon eller hva det måtte være, men forretningskritisk. Én kolonne med de systemene. Så har vi en kolonne med de systemene som er operasjonelt kritisk. Det er hvilke switcher som må være oppe og hvilke rutere trenger vi for at dette skal virke. Men det er noe annet. Til sist; supporting systemer som printere og hvilke rutere vi trenger for at dette skal virke, men som ikke vi er avhengig av men som er fint at er der. Da har vi tre kategorier av systemer, og det er allerede en ganske stor elefant så da må vi begynne med business critical. Det er de vi legger en plan for først. Så det ville vært mitt bud. Bud nr én: gjøre den analysen. Da vil jeg dra med han Lysne fordi hvis vi da er enige om at kolonnen med business critical systemer; den har kanskje 40 systemer, da må vi ta oss jobben med å forstå verdikjedene. så hvordan aksesseres disse systemene, hvordan henger de sammen, hvilke deler av nettverket er i bruk for å at de skal fungere. Og forstå verdikjeden. Det er veldig ofte der vi bommer da. Vi identifiserer systemet, også sikrer vi det. Men hvis det er tilgjengelig fra internett er man liksom like langt.

Silvija: Eller hvis en av leverandørene til det systemer er en Roge?

Jørgen: For eksempel. Så det var bud nr 1. Det ble litt langt, men det kan oppsummeres i: definer business critical systems.

Silvija: Å forstå verdikjeden.

Jørgen: Å forstå verdikjeden. Det er bud nr 1. Ehm, og bud nr 2: implementer Multi-Faktor Autentisering; MFA.

Silvija: Og det betyr?

Jørgen: Det betyr..sånn som når man logger inn på Bank-ID i banken din. Så Multi-Faktor betyr at det er flere ting i spill. Så når du skal logge inn har du brukernavnet ditt, så har du passordet ditt og så har du en ting til. Multi faktor.

Silvija: Noe du er og noe du har og kanskje noen ting til.

Jørgen: Ja. Something you have and something you know...og den siste biten da, men den glemte jeg i farta da, men...det...det blir riktig. Og da tenker jeg...for de fleste tenker: ååh, enda vanskeligere å logge på - skal det bli enda vanskeligere å jobbe nå. Nå kommer sikkerhet med umulige krav. Nei. Men, enn med MFA for business critical systems? Det må vi være enige om skal kunne gå ann at er krav hvis det er forretningskritisk. Da må vi tåle å bruke bank id.

Silvija: Da kan man jo etterhvert spørre om hva det koster å la vær.

Jørgen: Nettopp. (18:49) Men for alt det andre, fine, kjør med andre løsninger. Og så det var bud nr2: MFA. Bud nr3: nesten i kjernen av de aller fleste sikkerhetshendelser som du og jeg kan lese om som er offentlig kjente så står det et produkt som er essensielt i sikkerhets hendelsen. enten så har det blitt kompromittert, eller så har det blitt brukt for å distribuere skadevare. det heter active directory. Det er en katalogtjeneste for pålogging., Der man logger på om morgenen. Det heter active directory. Den er veldig ofte sentral i store sikkerhetshendelsen. så det å sørge for, bud nr 3: at active directory er implementer of driftes i henhold til dagens best practises - det vil være en utrolig lavt hengende frukt for alle styrer å bare få kontroll på.

Silvija: Hvordan gjør man det, hva betyr det?

Jørgen: Det betyr...alle som har active directory implementer - og det har alle. det har på tidspunktet det ble implementert, og sikker satt opp helt riktig, og alt er i henhold til beste praksis, men så lærer også Microsoft ting underveis, også kommer det nye guidelines: pass opp nå må vi gjøre sånn. Nå må vi ikke aksessere det gjennom disse nettene, og nå må det være styrt tilgang til det. De endrer seg, og så lenge vi ikke sørger for å henge med på det så er vi ofte i stort trøbbel i sikkerhetssenteret. Det betyr at hvis min virksomhet har active directory, og vi bruker det sentralt, så vill jeg gått hjem og: hei, hvem er eksperter på dette hos oss. Kan ikke dere, gjennom en enkelt bestilling, gjøre en gjennomgang og se om vi har implementer å drifte i henhold til beste praksis i dag. Microsoft har en fantastisk guideline til dette. Ligger åpent ute. Gå Gjennom det. Da er det enten grønt lys eller noe som er galt. Adresser de fort. Bud nr 4: følg NSMs gode råd. NSM har en topp…

Silvija: Nasjonal Sikkerhets Myndighet.

Jørgen: Nasjonal Sikkerhetsmyndighet. Veldig bra. Må skryte av NSM her, så den podcasten må handle litt om helter også. NSM - helt! De deler så mye de kan og de har en topp 10 liste over ting du bør gjøre. dette er ikke vanskelige ting og det er ikke dyre ting. Og bare de 4 øverste punktene på listen de har, dem vil eliminere 90-94% av internettrelaterte angrep. Det handler om oppdaterte endepunkter og innføring av multi faktor autentisering og sånne ting. Så følg de. Da har vi 4 bud da.Jeg strakk dine 3. Det ble 4. Så det var Business critical systems som er verdikjeder og så var det multi faktor autentisering for bruk av de, og så var det Active Directory; sørge for at vi gjør det ordentlig, og følg NSM topp 10 råd.

Silvija: Ja. Og bare den bevisstgjøringen på at dem finnes, så at dette her er noe man burde ha holdning til hjemme, så har man kommet ganske langt.

Jørgen: Ja og de rådene til NSM høres så plutselig avansert ut vettu fordi de er sikkerhetsmyndighet:Åj åjj det er sikkert vanskelig, men det er ikke det. Det er helt gjennomførbart. I husstanden hjemme hos meg så har vi kikket på et par av de, og sørger for at selv om vi ikke jobber med cybersecurity alle som bor der, så veit også kona mi: hvorfor jeg skal ha oppdatering, hvorfor skal jeg gidde når telefonen sier oppdater nå - hvorfor det? Det er enkle greier og det gjør det mye sikrere?

Silvija: Ehm, vi hadde en spennende, eller skummel, opplevelse med Hydro rett før sommeren. Har forståelsen og viljen til å investere i Cybersecurity blitt større eller mindre?

Jørgen: Jeg må svare at den har blitt større. det må jeg. Også er det litt sånn at investering ikke sitter løst. Du får det ikke så fort alltid. Det er som regel - litt tøysete sagt - du er som regel en god sikkerhetshendelse unna masse penger

 

Silvija: Som en leverandør?

Jørgen: Nei generelt. så hvis du er en sikkerhetsansvarlig som kjemper for budsjettet for neste år, så er det vanskelig å finne midler etter at det har gått galt. Og så håper vi jo da at sånn som Hydro som altså skal ha honnør for å ha vært så åpne og elt masse underveis med oss andre, at det påvirker og at nå blir det mer fokus på det. Og det har det blitt. Det er mer fokus på det. Så det er mye mer interesse for hva og hvordan vi kan gjøre det. men om investeringsviljen er der når man ser hva det koster, tror jeg svaret er at: det får vi se. Det er spennende å se. Men at man blir nedringt om hvordan man kan unngå lignende, det blir man. Hvis svaret da er dyrt så er det varierende hvor mye man faktisk ønsker å gjøre

 

Silvija: Men du. Vi snakker om store bedrifter, men også samfunnskritiske offentlige tjenester. Det er masse scenarier hvor noen kan angripe strømnettet vårt og stenge hele landet eller banksystemet eller enda verre, altså sånn som Stuxnet da som ble angrepet i Iran, atomfare plutselig, så det er så vanskelig å forstå hvem som er aktører. og ikke sant, det er noe sånne anonyme grupper ikke sant som hacktivist, også er det noen gutter på kjelleren som leker bare for å se hva de får til, så finnes det de som driver med ulovlig virksomhet på mange forskjellige måter, så er det nasjonalstater.

 

Jørgen: Og mellom de to siste ligger kontraktørlaget som du kan leie til å bruke. Men du har utrolig god oversikt over trussel-aktørene for det der nevnte du egentlig alle sammen i litt sånn forskjellig rekkefølge. Men du har helt rett. Det er alt fra gutterommet:altså plagsomheter og støy, også helt opp til avanserte nation states som driver med..hvordan skal jeg si det..offensiv sikkerhet da om du vil.

Silvija: Det må du si litt mer om. Det må du forklare meg litt egentlig; nation state, det betyr bare en stat ikke sant, men altså poenget er at det er en stat som er aktør som potensiell angriper i cyber enn å ikke liksom en mafiaorganisasjon. Hvorfor i all verden skal noen stater drive med dette her?

Jørgen: Jeg tror vi skal være tøffe nok til å si liksom at det ikke er potensiell - det er pågående og det skjer. Og hvis man leser PST åpne trusselvurdering så får man liksom det bekreftet også. Dette pågår og skjer hele tiden. Så jeg synes at på Netflix heter det en film som heter Snowden som jeg anbefaler å se som tar for seg hvordan NSA har holdt litt på. Og de har..de er..et godt eksempel på en nation state aktør. De har en bit som heter for TAO som står for Tailored Actions Operation. Er deres offensive muskel på cyber security. Det betyr at da bruker man de for å se om...drive med etterretning ellerinnhetne data og informasjon eller avlytte på hverandre eller spionasje om du vil. Det kan være for politisk vinning eller det kan være alt fra industri eller storpolitikk eller forskjellige ting som de..

Silvija: Kan jeg bare avbryte et øyeblikk. Er Cambridge Analytica en del av dette, på en måte, dette laget, eller er det noe som kanskje tilfeldig men kan misbrukes til å påvirke, for det er definitivt et cyberangrep; det påvirker valget jo.

Jørgen: Ja, nei…

Silvija: Spørsmålet er hvem er bestilleren?

Jørgen: Nei, jeg vil….det er ikke det samme, men godt spørsmål fordi Cambridge Analytica i utgangspunktet som jeg har forstått det brøt egentlig ikke så mange lover de. Det var egentlig greit. Problemet var at det kanskje ikke er greit å holde på sånt. Og så de hadde jo bare en muskel som man kunne benytte. Vi kunne…

Silvija: Så de skjønte det før andre?

Jørgen: Ja. Så vi kunne kontakte de og hei kan dere hjelpe oss å svinge et valgt i Tanzania så gjorde de jo det med stort hell ikke sant kun med å bruke data som du og jeg hele tiden deler, så ble det en stor greie - en kjempe stor greie. Konkurs gikk de også og måtte legge ned. Men de ble vel ikke dømt for noe for jeg tror ikke de hadde gjort ne ulovlig. Vi kan være enig om at det er forkastelig og håper ikke det er sånn det fungere

Silvija: Det er forskjell på ulovlig og ugreit.

Jørgen: Så det var ikke en maison straight aktør. Det var et selskap som var utrolig om seg med å gjøre ting som kanskje ikke støtter helt da, men disse trusselaktørene Stuxnet nevnte du. Det er en litt eldre hendelse hvor atomanrikingsanleggene i Iran ble utsatt for skadevare angrep som var skrevet spesielt for deres atom sentrifuger, vi skal ikke bli så veldig tekniske på det...men, og så ender man opp med at et it-virus - om du vil veldig forenklet forklart, tar ned kjempe enorme greier. DEt handler om å bremse deres utvikling på atom selvfølgelig. Andre veien så vi ukraina juni  2016-2017, noe rundt der, hvor de hadde kraft..sier media at man mistenker at det kan ha vært russland som var inni der. De mistet jo kraftsektoren sin. Woop!

Silvija: Stengte ned kraftsektoren?

Jørgen: Det gikk ned. Ja. Og da får vi det også litt tett på kroppen vi også. kan dette gjelde oss? Her må vi være på! Jeg tror at når vi først er inne på de mest avanserte aktørene så er det heldigvis for de aller fleste av noe som svært få av oss skal jobbe med og drive med og det er veldig lurt. Det vi må forstå alle sammen for å gjøre livet deres litt vanskeligere, så handler det ikke må være ekspert, men det handler om å følge de 4 budene som vi snakket om istad. Da har du gjort så veldig mye. Og utrolig mye. Og mye mer enn de fleste virksomheter gjør, så man trenge rikke å vøre cybersecurity ekspert eller investere milliarder i sikkerhet for å gjøre livet til trusselaktører mye verre. det handler om å adressere the basics og gjøre det godt.

Silvija: Men jeg har lyst til å be deg kommunisere på to caser om da er veldig nærme oss. DEt ene er Hydro, og det du kan fortelle da, og de har vært flinke til  gå rundt og informert verden hva de har gjort og lært. Jeg tenker at en sånn måte er viktig for å oss å samarbeide.

Jørgen: Ja, enig.

Silvija: Jeg tenker også som var Not Petia som blant annet traff MeShc. Og det var rent hell at det ikke traff noen av våre bedrifter for dette var også et angrep på, altså mange selskaper som hadde buisiness med offentlig sektor i ukraina. egentlig ganske banalt angrep hvis det først er et hull da, men hvis du forteller oss litt om hva som skjedde om det man vet offentlig om disse to casene, og litt i etterkant da dette her med hva det skal koste og beskytte seg mot cybersecurity. Vi se rjo hva det har kostet MeShc og vi ser hva det har kostet hydro å ikke gjøre det, 

 

Jørgen: Ikke sant. Og kosten for å ha sikret seg fra de tingene det ikke traff, er jo forferdelig mye lavere enn kosten å rydde det opp etterpå. ikke bare må man rydde, men man får tap på renomme, aksjer og vil påvirkes, også må man kanskje bygge masse systemer på nytt. Så kostnadene er forferdelig mye dyrere med å ta det i etterkant med å rydde opp enn å ta det i forkant. Så to casene da; så skal jeg godt jeg kan snakke om det jeg vet du selv kan finne på internett, da vil jo..hvis vi tar MeShc som du var inne på først så handler det om en skadevare som distribuerte seg, eller som flyttet seg rundt, i infrastrukturen sin basert på at det manglet en del viktige kontroller. Så hvis man hadde fulgt Silvija og Jørgens 4 bud, så hadde det ikke gått sånn. Da hadde det vært mye mer isolert; en sikkerhetshendelse kunne de fått alikevel, men det hadde ikke spredt seg sånn som det overalt. Så det handler litt om it-hygiene over tid hovdan man har målt it over tid. Nå kjenner ikke jeg til it’en i MeShc, men nettopp mekanismene for det utbruddene det baserte seg på en del utdaterte sårbarheter og protokoll bruk. Og så Hydro biten: kanskje litt lignende. Og hvis vi leste på VG når saken pågikk, så var det liksom todelt angrep sånn som det så ut på media ihvertfall, og det var at pcer og servere hadde fått skadevare på seg. Lockergoga het det. Og samtidig også at de hadde...katalogtjenesten var tatt. Det kunne vi lese. Og katalogtjenesten er - hold deg fast - active directory. Og den snakker jo med hele nettverket sitt så hvis man bruker active directory i en hendelse, så hvis man har muligheten til det kan man også ramme veldig bredt. Så hvis man har brukt bud som 2 og 3 som var innenfor multi faktor autentisering og sørge for at AD design og drift er i henhold til dagens retningslinje, noe jeg er sikker på de gjør nå, så vil de ikke kunne kanskje ikke på samme måten. Man er ikke helt sikker forde, men det handler om at mange av de store angrepene blir store fordi det mangler ting vi kanskje tenker er helt naturlig at er på plass. Men it’ens historikk da - den fartstiden er så lang at man kanskje ikke har hengt med på alle tingene underveis, og da blir det lett. Så det er ikke så vanskelig å gjøre det...redusere risikoen for at det skjer, men da må man gjøre det da. Da må man ta det prosjektet.

Silvija: Men Jørgen. Som en da frustrert styredame og ikke en optimistisk teknologi dame da. Hvis jeg tar den andre hatten på meg; det som skjer i både Hydro og MeSch er at jeg er sikker på at styret spør om vi har CyberSecurity i orden. Da er svaret at: ja, vi er kjempeflinke på det. Og det er sikkert sant. Og alikevell skjer det.

Jørgen: Ja. Supert, bra spørsmål. Da tenker jeg...får jeg lov til å utfordre en i styret litt?

Silvija: Ja, vær så snill.

Jørgen: Da tenker jeg...nå har vi jo 4 bud som vi nå har etablert her nå da. Da tenker jeg hvis man i styret har en liten sånn liste over 3-4 ting som: dette her har vi hørt i Lørn Tech at det må vi ihvertfall gjøre. Da kan man som styremedlem spørre: Har vi gjort disse 4 tingene? Det vil jeg gjerne ha en status på. Please. Ikke sant. Og istedenfor å spørre om alt er i orden og håpe du får grønt, så ta bittelitt mer del i å kanskje si: er dette i orden? Har vi multi faktor autentisering, eller vet vi  hvilke systemer som er forretningskritiske . Og være litt med der, trenge rik eå være supeteknolog for det, men å ta utgangspunktet i å spørre, så tror jeg man vil få andre svar. Og hvis man får avvikende, eller unnvikende svar, altså da skal man jo pirke da. Okey, hva betyr dette? Hva trenger dere for å få det til? For eksempel.

Silvija: Det andre spørsmålet jeg har, det er når man setter ut sine it-tjenester i skyen, endrer det veldig? Altså kan man da bare peke på om det er Basefarm eller hvem det nå er. De tar for seg sikkerheten hos oss.

Jørgen: Ah, hadde ikke det vært deilig?

Silvija: Ja, det hadde vært veldig deilig.

Jørgen: Ja, det hadde vært kjempe deilig, hehe!

Silvija: Ja, det er derfor jeg spør!

Jørgen: Hehe, ja. Ja, ehm, så bra. Du tar sånne...du har så bra spørsmål som alle egentlig er sånn kjempe omfattende, så vi må prøve å svare kort da!

Silvija: Hehe.

Jørgen: Sky - det applauderer jeg! Kjempebra! Litt fordi at sikkerheten sky leverandørene gir er i utgangspunktet så mye bedre enn det meste vi har at det er bare å kjøre på med.

Silvija: Det meste av det man koker sammen hjemme på server-rommet?

Jørgen: Ja, det som vi har hatt i 20 år sammen da, våre kollektive datasentre da. Så det er veldig bra. Men sikkerhet i sky - vi har en shared responsibility model. Og det betyr at skyens sikkerhet, den står for eksempel Google, Amazon, Asher eller Microsoft for. Men det du implementere i skyen, den sikkerheten står du for. Og all hendelseshåndtering som Mandion, et stort selskap, har gjort i sky de siste 5 årene, viser at nesten utelukkende så er det jo ikke sky-infrastrukturen som er problemet som er hendelsen, det er hvordan du og jeg har implementert det. Så det delte ansvaret tror jeg er viktig. Og så er det en...sett at vi implementere i sky, vi har all kontroll på det, så er det altså fryktelig få selskaper som er cloud-native; at dem ikke har koblinger til legacy systemer. Så hvis vi gjør alt riktig i sky da, men det henger sammen med legacy - verdikjedene husker du , og det er dårlig der, ja da var det kanskje ikke så smart.

Silvija: Da har du fortsatt et hull.

Jørgen: Poenget er at man må se det i ens tørre sammenheng. Ja - gå til sky; det er jeg kjempefan av. Det er veldig bra der man kan, gjør det. Men man er nødt til å forstå verdikjedene. så bare vi flytter noe til sky, så betyr det ikke at det ikke snakker med noe med premise lengre; det kan det jo hende det gjør. Og hvis vi da bare er verdensmester på sikkerhet i skyen, så taper vi.

 

Silvija: Ja. Et kontrovers som du har nevnt...altså litt sånn spørsmålene mine har vi ikke snakker så disiplinert gjennom fordi det er s mye annet morsom tå ta av her, men du er Jørgen og du liker sikkerhet og gjeddefiske, og du jobber samfunnskritisk i virksomheter med å redusere sin cyberrisiko. Det tror jeg er..det kom frem rimelig tydelig. og du har en spesialitet innenfor sikkerhet som er sikkerhetsovervåkning som jeg tolker som disse analyser som du snakker om her. Er det riktig?

Jørgen: Det kan du godt si. Fordi, altså, sikkerhet og sikkerhetsovervåkning, jeg skal rask prøve å forklare forskjellen. Så sikkerhet i it: det tar it-drift seg egentlig av; de ivaretar jo sikkerheten i it. men hvis jeg bryter meg inn hos deg så kommer jeg til å bruke din konto idin arbeidstid og se ut som deg. Og det er jo ikke noen sikker it vil egentlig plukke opp. Så det  å ha sikkerhetsovåkning handler om å ha innsyn i egen infrastruktur og applikasjoner og nettverkstrafikk sånn at man kan si at: nei men vet du hva, nå har Silvija aksessert den samme databasen både fra Brasil og fra blindern iløpet av 5 min, her er det noe rart selv om det er riktig bruker og lovlig trafikk. Og alt ser bra ut. Sikkerhetsovervåking detekterer slike ting litt enkelt forklart.

 

Silvija: Og det er disse Sandbox’ene  hvor du leker litt mer.

Jørgen: Ja det er liksom en av kapabilitetene. Vi pleier å snakke om kapabiliteter når vi snakker om sikkerherhetsovervåking. Og det handler om: hvis du vil ha sikkerhetsovervåking burde vi ha en plan på hva det er vi ønsker å kunne oppdage. For eksempel så ønsker vi å kunne oppdage om skadevare Lockergoga om den er i nettverket vårt. Det ønsker vi. Så kan vi implementere løsninger for det. Så da vil Sandbox vre en teknikk hvor hvis vi finner noen skadevare kan vi slippe det ut og detonere det i et trygt miljø for å se hva det er. Men det er bare et verktøy og en kapabilitet i sikkerhetsovervåkning.

Silvija: Det er ikke tvil om at du synes det er spennende, og det forstår vi jo egentlig grunnen til: dette er jo så business kritisk at det kan ikke være mere business kritisk, men også kanskje samfunnskritisk?

Jørgen: Jeg tror noe av grunnen til at jeg engasjerer meg så fært...jeg kunne gjort det uansett hva klokka var og pratet med deg fordi det er jo viktig! Det har noe å si. så din og min sikkerhet når vi kollektivt digitaliserer samfunnet vårt. Er vi ikke med da, så taper vi. Da havner vi...sånn som for eksempel Cambridge Analytica som et eksempel da, når vi ikke henger med selv skjer det mye rare greier. Så er det noe med det at tidligere der sam f kritiske tjenester var levert litt mer isolert og autonomt, så henger nå alt sammen. Henger vi ikke på da, ja da er vi i trøbbel. Er det verdt å bruke tid å prate om det tenker jeg.

Silvija: Du nevnte noe som et interessant kontrovers dette her med at bransjen alltid ser ut til å skyve ut funksjonalitet og enkelhet foran sikkerhet. Er det sånn naturlig menneskelig greie?

Jørgen: Ja, er det ikke det da? Vi har lyst på ting som liksom…kjapt!

Silvija: Skal blinke!

Jørgen: Ja, litt sånn: faster - quicker, more sexy - more smooth. Det skal være veldig kult og det skal funke med én gang; ett klikk vær så snill. Og det gjør vi litt kollektivt. Vi gjør jo det der: førstemann til skyen - wohooo. Førstemann på trådløstnett - wohooo. Også etterpå springer vi etter og rydder opp på sikkerhet. Det tror jeg ikke går bort, men jeg tror at vi er nødt til å få mer på dagsordenen at det å få inn sikkerhet etterpå er så innmari mye dyrerer enn å ha det med fra starten. Så det...når for eksemplel 5G kommer godt eksempel. Når 5G kommer ordentlig da vil det være en distribusjonskanal for tjenester oppå en hybrid infrastruktur. Så vi har noe i skyen og noe i premice og så kommer 5G til å endre helt hvordan…

Silvija: Så kommer internet of things.

Jørgen: Ja ja, og er der allerede. Og da..hvis vi skal springe etterpå med sikkerhet, så blir det forferdelig dyrt. Man må ha det med når man starter. Hvis vi har en god idé som ivi har lyst til å involvere i teknologi, så må vi fra starten av tenke: hvordan ivaretar vi personvernet her? Hvordan sørger vi for at ting er sikre?

Silvija: Jeg fikk et sånt bilde i hodet mitt når du snakket. Litt sånn kollektiv ADHD når det gjelder ny digital funksjonalitet.

Jørgen: Ja det er spennende vettu; det er gøy!

Silvija: Ingen konsekvenstenkning, bare få det til å funke.

Jørgen: Ja. Skal ikke svartmale det helt, for jeg tror ikke det er ingen konsekvenstenking. Heldigvis ikke! Men vi er allikevel for dårlige, sant. Det er gøyere med kule ting som virker fort, og så kan vi heller siden liksom spørre: var det sikkert forresten?

Silvija: Mhm.

Jørgen: Så var det sånn: naah, vi veit ikke, nå må vi springe tilbake og sjekke om det var det. Og da blir det dyrt altså. Da blir det kjempedyrt.

Silvija: Det er veldig spennende som du posisjoner det ikke sant, fordi at vi gikk fra, jeg vet ikke, internett first til mobile first til AI first. Jeg hørte aldri security first.

Jørgen: Ja, er ikke det rart? Og en av de beste sikkerhetskonferansen som går heter First. Det er litt morsom, hehe. Men nei, jeg har ikke hørt så mye jeg heller, men vi hører mye om heldigvis mye om security by design. Det hører man masse om. Og da er vi inne på noe. Dette å flyttet sikkerhet til venstre i liksom i hele verdikjeden når vi skal på med nye ting - det er ikke bare sånn at det er lurt fordi sikkerhet sier det. Men det som gjør at vi burde gjøre det er at i en business case lønner seg. Det er god økonomi i å gjøre det.

Silvija: En av de tingene du har jobbet med de siste årene kan jeg ikke uttale engang. Du har jobbet med Sopra Steria gjerne MSSP porteføljen. Hva er det for noe?

Jørgen: Ja, høres ikke det flott ut? Du, det står for Manager Service Security Provider. MSSP, og det er fordi, altså jeg skal forklare kjapt hva det er. Det betyr at Sopra Steria har etablert sikkerhetssenter hvor du som virksomhet kan kjøpe sikkerhetsovervåkingstjenester som en tjenenste: 24/7, 365, bemannet året rundt. Noe av grunnen til at vi gjøre det der, er 2 grunner til det; det ene er at vi tror det er helt nødvendig å kunne ha den kapabiliteten når vi er en så stor leverandør som det vi er, også av driftstjenester. Og det andre er at kompetansegapet og sikkerhet er så enormt at hvis alle skulle bygd den kapabiliteten selv, så går det ikke. Det er jo nesten sånn at: jeg kjenner jo det som kan det der, sant, og det er ikke så mange folk. Og it-Norge er fryktelig lite. Så derfor så har vi etablert en Managed Security Services portefølje som vi tilbyr til markedet. Så det betyr sikkerhetsovervåking som en tjeneste.

Silvija: Veldig kult. Hva tror du er relevant kunnskap for fremtiden?

Jørgen: Ja, relevant kunnskap for fremtiden..

Silvija: Du snakker om å forstå verdikjene.

Jørgen: Ja absolutt. Jeg tror at relevant kunnskpa om fremtiden, litt sånn framtidsrådet er - prøver meg på det, det er at du er nødt til å kunne systemene dine og verdikjedene på de. Og da mener jeg ikke på alle, men på de viktige. Og vi har kanskje 3000 systemeter, og det går jo ikke, men de viktige. Så disse må vi kunne ut og inn og skjønne verdikjedene. For uavhengig av hvor mye machinelearning, CloudFirst og 5G og IoT som kommer, så må vi kunne våre egne viktigste systemer. Og det kommer ikke utenom så det betyr at vi kan ikke “toole” oss ut av det eller masklearne også ut av det. Vi må kunne greie våre.

Silvija: Men å forstå hvor problemer oppstår rett og slett.

Jørgen: Ja, vi må skjønne verdikjeden i systemene våre.

Silvija: For mennesker er kanskje det siste på en måte, hva skal jeg si, det siste: last bug in the system as well.

Jørgen: Jo, jo, men en viktig en da. Vi må henge med på det vi og.

Silvija: Hvilke fordeler har man ved å være i Norge skal man jobbe med dette her?

Jørgen: Hvilke fordeler man har... det er jo at vi er langt framme på teknologi. Så i Norge så har man mulighet å jobbe med virkelig kule greier for å si det litt sånn enkelt. Vi har store forskningsmiljøer, vi har en veldig god økonomi, vi har en digitaliseringsminister - altså vi har det her så på agendaen vi at dette tekno-toget; her kommer vi! Og vi sitter først i den kupéen der og flagger hele veien inn. Så en av fordelene at vi..du trenger ikke å reise andre steder for å jobbe med Cutting Edge greier. Og den andre biten er at vi har...vi nærmer oss ihvertfall mer et norskt samfunn der vi skjønner at hvis ikke vi samarbeider her så går vi kollektivt under så delingskultur i sikkerhet - det er noe som har vært helt om utopia før, men vi nærmer oss, og det tror jeg også er litt fordi vi er lille kjæret Norge. Det er ikke så mange, og hvis vi ikke da samarbeider så kommer vi til å knekke kollektiv. Så man får vært med på delingskultur i sikkerhet - det vil jeg påstå at vi har, og super high tech og langt fram. Det er litt av fordelen med å være i Norge.

Silvija: Ja. Du har anbefalt Snowden på Netflix og så har du også anbefalt The great hack.

Jørgen: Ja, jeg fikk spørsmål om du har du noen filmer om noe sånt som du vil anbefale folk å se som er relatert da til mitt arbeidsfelt og da var det de to. Den ene er en film på Netflix som heter Snowden bare. Å det var i forbindelse med lekkasjene som heter Snowden leaks så ble litt verden våken for hva som faktisk skjer og det endret innmari mye om hvordan man arbeider med sikkert. Så den er interessant å se bare for å forstå. Og en ganske ny dokumentar som heter The Great hack Cambridge analytica for den er veldig fersk og der er det litt sånn...det er antydninger om at de kanskje var involvert i brexit, og dette er veldig nære greier også Interessant å se og kommer garantert til å gjøre at du etterpå går inn på Facebook og går igjennom hvor mye du har godtatt.

Silvija: Av venner og sånt, eller hva mener du?

Jørgen: Nei av hvor mye du deler som du ikke tror du deler. Så det vil jeg anbefale å se.

Silvija: Jeg måtte si “ja” til en eller annen sånn new...hva heter det...Service Agreement, eller...Conditions of Service da. Husker ikke om det var Twitter eller noe sånt, men altså jeg tenkte jeg skulle scrolle meg igjennom. Og jeg scrolla og jeg scrolla, og til slutt så tenkte jeg: nei, søren heller, jeg har ikke tid til dette her. Accept, ikke sant.

Jørgen: Og da gjorde du jo mer enn de fleste av oss for at du scrollet og scrollet. Det kjenner jeg få som gjør. Vi hoppet jo til bunn for å finne den boksen vi kan huke av i. Og det skjønner jeg kjempe godt jeg. Det har også bransjen og markedet skjønt så derfor så kan man legge inn der at det blir med på da å dele litt mer enn du hadde tenkt. Og da kan det hende at man ikke vil ikke ha huket av hvis man hadde lest ordentlig.

Silvija: Mhm. Har du et lite sitat du vil legge igjen til våre lyttere?

Jørgen: Mhm; at hvis du skal jobbe med informasjonssikkerhet, it-sikkerhet, cybersikkerhet - kall det hva du vil eller liksom it: know your stuff. Du er nødt til å kunne greiene dine ordentlig hvis du skal klare å sikre det. Så hvis vi ikke kan våre egne systemer...så jeg vil slå et slag for den lokal it-avdelingen som jobber døgnet rundt - det er de som er heltene. Og hvis de kan greiene sine så har vi mulighet til å faktisk sikre ting veldig bra. Know your stuff!

Silvija: Du må kunne stuffet ditt.

Jørgen: Du må det! Hehe!

Silvija: Du, vi har  mye innenfor sikkerhet. Hva ønsker du skal være det ene poenget folk må få med seg?

Jørgen: Jeg tror...det ene poenget. Det er liksom litt vanskelig assa. Jeg drister meg til to jeg. Så det ene poenget...Nei! Nå skal jeg prøve å være litt lur. Det ene poenget man må få med seg er den 4 bud listen som nevnt i stad.  Også faktisk ta med seg det hjem og snakke med virksomheten sin, styret sitt, direktøren sin eller hvem det er, så: du, de fire punktene her har jeg skjønt er kjempe viktige at vi har kontroll på og det trenger ikke være så dyrt heller. Kan vi gjøre en sjekk på at vi har det. Det håper jeg at de gjør, for da har de gjort mye rett etterpå. Mhm. Jeg tror det.

Silvija: Jørgen er lur fordi at du sa fire, men det er egentlig tre pluss ti eller noe sånt noe, hehe. Så det er veldig bra.

Jørgen: Hehe.

Silvija: Jørgen Rørvik, en som klarer å inspirere selv om cyber security håndtert på en pragmatisk og konkret måte. Tusen takk for at du var her med oss i Lørn og for at du rett og slett inspirerte oss til å gå hjem og gjøre noe.

Jørgen: Takk for at jeg fikk komme.

Silvija: Takk til dere som lyttet. 

 

Quiz for Case #C0526

Du må være Medlem for å dokumentere din læring med å ta quiz 

Allerede Medlem? Logg inn her:

0

C0526 CYBERSEC Cyber security, hvorfor ble det så vanskelig? - med Jørgen Rørvik

1 / 3

Hva er Right Security i Sopra Steria?

2 / 3

Hvilke 4 bud har Jørgen mot trusselaktører og hva er rekkefølgen?

3 / 3

Hva betyr det å kartlegge Business Critical?

Your score is

The average score is 0%

Du må være Medlem for å kunne skrive svar på refleksjonsspørsmål

Allerede Medlem? Logg inn her: