Velkommen til LØRN.TECH, en læringsdugnad om teknologi og samfunn, med Silvija Seres og venner.

Silvija Seres: Hei, og velkommen til LØRN. Temaet i dag er cybersecurity, navnet mitt er Silvija Seres og gjesten min er Nils Roald fra Jazz Networks, velkommen.

Nils Roald: Takk for det.

Silvija: Du, Nils, er salgsdirektør for Norge og Island for Jazz Networks, du må fortelle oss littegrann om Jazz Networks, men før du gjør det så håper jeg du kan fortelle litt om hvem du er og hva som driver deg?

Nils: Jeg er da som du hører en sunnmøring som har gått da på teknisk utdanning, uten i grunn å ha planlagt det. Det var mer det at jeg valgte å ta vekk det jeg ikke kunne tenke meg, og med far som lege så kutta jeg veldig fort ut legestudiet, og endte opp med det som i grunn var interessen min, og det var teknologi. Jeg syns teknologi var gøy fra jeg var liten gutt, og et eksempel er når jeg satt oppe om natta med min bestekompis, for han hadde da fått tak i et sånt kvartsur, og av en eller annen grunn syns vi det var fantastisk å se et datoskifte. Og da vi var små gutter var det ganske sent å være oppe til kl 12 for å se et datoskifte. Også skjedde det, vi ble selvfølgelig litt skuffa da vi så bare et tall skifte, men vi hadde opplevd det og.

Silvija: Veldig gøy. Hva gjør Jazz Networkd?

Nils: Du, Jazz Networks, vi har sett et behov i markedet som går på det at normale trusler, som jeg har jobba med hele livet, folk på utsiden som prøver å komme inn i infrastrukturen din, stjeler, ødelegger eller endrer på data som du har, gjerne ved bruk av force-teknikk, at det sitter en hacker bak en maskin, eller ved å klare å lure deg til å få inn en skadelig kode med virus eller hva vi måtte kalle det, og det har vi mange bra sikkerhetsverktøy for. Men så har vi de som er på innsiden av nettverket ditt, dine ansatte, contractors, det kan være tredjepart, underleverandører, styremedlemmer, folk som har autorisert tilgang til dine data. De trenger ikke denne skadelige koden for å gjøre skade. Og det er det vi ser på som en av de mest spennende tingene, å kunne detektere at folk gjør noe som er potensielt skadelig, uten at vanlig sikkerhetsmekanismer man stoppe det.

Silvija: Dere er basert i mange land, eller

Nils: Ja, vi har utvikling i Oslo, eller da i Akershus rettere sagt, på Fornebu, på Technopolis holder vi til. Også har vi utvikling i London, et lite sted utenfor London, også har vi salgsskontor i Oslo, vi har i Sverige, vi har i London, UK, og vi har i USA, Washington, New York, og en del sånne satelittkontor.

Silvija: Og det dere er spesielt gode på, det er på en måte egne algoritmer for trafikkanalyse, eller hva slags unik inngang er det på analyse?

Nils: Vi ser på endepunktet selv, alt som skjer på et endepunkt. Normal behaviour, eller oppførsel, så over tid så lager vi en profil på det, og ser deg som den type bruker du er, så begynner du plutselig å ha store utskrifter på 3000 dokumenter, eller deler opp med en skytjeneste som du i grunn ikke skulle gjøre, som ikke er godkjent av selskapet, eller bruker en browser for å skjule det du ville gjøre. Sånne indikatorer kan machine learning hjelpe deg å finne, de advarslene. Og det kan være en kombinasjon av ting, det kan være at du er på et usikra VLAN i Singapor, du sitter med sensitiv informasjon på pcen din, du er CEO, skal i et møte, men vi vil dra deg opp som en risiko for selskapet, fordi du har par-tre-fire ting som er indikatorer, da, som sensorene våre reagerer på.

Silvija: Ja. Fortell oss littegrann, altså, lær oss littegrann om cyber security. Så du snakker om at dere analyserer endepunktet, altså der brukeren er, hvilke andre alternative approach har man?

Nils: Ja, man har mange approacher i sikkerhet i dag, utfordringa de siste åra er at den vanlige sikkerhetsmekanismen som vi hadde, eller som vi har, som firewaller, IDS-er, webgateveier, alle disse her begynner å få en liten utfordring, og det kom med at nettverket begynner å bli blindt. Og bakgrunnen er kryptering. Vi krypterer, og det er bra. Det har med privacy å gjøre, og at vi blir beskytta for man in the middle, ingen kan lytte på kabelen, kan man si. Men problemet da, er at en brannmur får et problem når han skal se på trafikken inn til meg som person eller til en server. Og da vil jeg som en sikkerhetsperson starte å bli blind når jeg skal bruke disse her. Og en av de største driverne på det der er TLS13, som ble ratifisert i fjor, og det er en krypteringsalgoritme, eller måte å kryptere på, som alle store selskap har blitt enige i å bruke. Som etterhvert blir enforca, sånn at når du skal accessere skytjenester, sailforce.com, gmail hva du skal, så blir den her 13 enforca på det, og det betyr at første stedet du i grunn ser klartekst dataene dine på en enkel måte, det er på endepunktene. Så veldig mye trykk nå, på sikkerhet, ligger rundt å få kontroll på visibilitet på endepunktene. 

Silvija: Men det du også sier, at det er, altså, en av de tingene som er viktige her, er å lære folk om hvordan de skal tenke på en overkommelig måte, på IT-sikkerhet. For de fleste mennesker, inkludert mange av oss innenfor software, er det liksom, det er blitt så vanskelig, det er blitt så stort. Det er så mange angrepsmetoder og det er så, det er så mange angrepsmuligheter også, at man bare håper at de profesjonelle får ta seg av det. Og samtidig, så opplever man ting i hverdagen, oftere og oftere, en ting er fra profesjonelt posisjon, så hører vi om selskapene våre, hvor det skjer ting. En webside som ble tatt over i flere måneder før man skjønte det, også videre. Privat så opplevde jeg for et par dager siden at jeg ble oppringt av en av styrene jeg sitter i, hvor det var noen som sendte mail til perfekt timing, perfekt person, perfekt norsk, om at jeg ber om å endre bankkontonummeret mitt. Men her var de tydeligvis våkne nok til å se at okei, dette kan være mistenkelig. Det var ingenting i den mailen som i første omgang trigget det, ikke sant. Hvordan i all verden skal man forholde seg til dette her?

Nils: For det første, så må man dessverre være litt paranoid. Espen Barth Eide sa det når han åpna cyber security defence-delen til forsvaret, at naivitet, eller ikke naivitet, men tillitskulturen i Norge, gjør seg litt dårlig i cyberspace. Så vi som privatpersoner, definitivt, vi må være mer på vakt. Det er ingen freelounge, det der hvis du kan vinne en ipad ved å bare klikke en ting, eller ett eller annet, så må vi tenke og være veldig, eller veldig.., paranoid hvertfall. Men det er viktig nå når vi skal digitalisere Norge, så er det viktig at vi får med oss digital cyberkompetanse også på cybersecurity, og noe av det vi jobber med, det er akkurat det at når vi kan sette regler for hva som skal være lov å gjøre, det skal være lov å bruke usb hvis det er de ti usb-ene vi har godkjent i bedriftene, og det er ikke lov å bruke den skytjenesten. Og hvis du gjør den feilen, da får du en beskjed opp på vinduet ditt, at nå bryter du regel nummer det og det, også kan du kanskje få en link til pdf-en der det står, eller en liten video som viser hva betyr dette her, hva kan det føre til at du tilfeldigvis... Du har lyst til å gjøre jobben din veldig godt, tar med deg et utskrift, en usb av jobben du skal gjøre, og tar den med på fjellet til helgen, også klarer du må miste den, også er det sensitive data på avveie. Og akkurat sånn, det å lære folk på veien mens de jobber, i stedet for å sende de på kurs. Hvis du er sykepleier eller høyesterettsadvokat, også må du på et dagskurs for å lære om cybersecurity, det er kanskje motivert av de som jobber med det, kanskje ikke, mens de som jobber med helt andre ting i samfunnet vårt, kanskje de sliter litt med å holde seg interessert gjennom et heldagskurs, til og med, og når du da kommer tilbake til jobb, så gjør du akkurat samme feil, og måten å jobbe på. Derfor ønsker vi å få den ansatte til å lære når de gjør feilen, og få rask tilbakemelding, det her du gjorde nå, det var feil. Her er en bedre måte å gjøre det på, for da er vi innenfor policy, og det kan være GDPR, det kan være sikkerhetslover, det kan være egen direktiv innen helse, forsikring, hva det skulle vært. Så det å lære på veien. Og det her gjelder jo både vi som privatpersoner, og vi som ansatte i selskaper. Vi må være med å være førstelinjeforsvarere i selskapet vårt, eller for vårt privatliv.

Silvija: Men da driver dere og strukturerer denne læringen, rett og slett, gjennom en liste med protokoller som selskapene da implementerer hos seg selv, hvor man får.., eller er det noen opplæring først?

Nils: Ja, det jeg kan si, det.., vi fokuserer veldig mye på å kunne se på innsidetrusler, eller innsiderisiko, og få vekk den. Og det er, man deler det gjerne i to. Det er de som er uheldige eller gjør noe dumt, altså de som ikke har intensjon om å gjøre noe skadelig, de ønsker bare å gjøre jobben sin hver eneste dag, på en god måte, men kan gjøre dumme ting. De kan ta et utskrift fordi de skal sitte på bussen hjem, og glemme det, eller de kan sette opp en tjeneste, en skytjeneste som de hadde tenkt til å bare bruke i en uke, også glemmer de det. Også har du de få, men de finnes fortsatt, det er de som med dårlig intensjon, de som med intent har tenkt til å stjele eller ødelegge data, av ideologisk bakgrunn, av økonomisk gevinst, eller de er bare sinte og sure. Jeg vet at når oljebransjen i Norge hadde litt downturn for fem-seks år siden, så var en av fokusene fra nasjonalt sikkerhetsmyndighet og petroleumstilsynet, det var å passe på når vi nedskalerer selskap, så kan du sitte igjen.., du må ta vare på mennesket, fordi folk er veldig mye lettere påvirkelig for å gjøre innsidestygge ting når de er i en sånn prosess, fordi de ser for seg økonomiske problem, de er sinte på arbeidsgiveren, og da kan det være veldig lett å gjøre en sånn liten ekstra greie for å tjene noen ekstra penger, eller bare ødelegge.

Silvija: Ikke sant. En av de prosjektene som du har jobbet med det siste året dreide seg om å lage MSSP-løsninger, for, ja IT-selskaper i Nord-Europa. Hva er det og hvorfor er det viktig?

Nils: Ja, det er viktig, med i security service provider, det er noe jeg har sett lenge på. Igjen så går det på denne her mangelen på kompetanse. Ifølge ISACA, som er en interesseorganisasjon for cyber security, så ligger vi på det neste året, da, to millioner for få sikkerhetsprofesjonelle i verden. Og da sier det jo seg selv, med komplekse trusler mot oss, masse spesielle og spennende sikkerhetsprodukt, så er det vanskelig for en vanlig bedrift å kunne beskytte seg selv. Og heter du Equinor eller heter du Johnsens Gartneri, så har du akkurat de samme utfordringene, da, på akkurat de samme truslene. Og det å ha kompetanse for et lite revisjonsselskap versus et stort nasjonalt konsern, det er vanskelig. Så derfor har jeg vært med å bygge i Benelux, baltikum og norden, partnere av selskapet som bygger tjenester der deres kompetansemiljø, det blir en en til mange-måte, det å ha ett kompetansemiljø som hver dag får jobbe med de verste tinga, de kan bruke sin kompetanse for flerfoldige kunder, da spesielt retta mot SSB og midsize kunder, som aldri villet ha sjans til å gjøre det. For det er gjerne da økonomisjefen som har mange hatter, cybersecurity, it-sjef, sekretær, what ever.

Silvija: Ja. Hva, hvem gjør dette her veldig bra? Hvem inspirerer deg?

Nils: Mange av de selskapene jeg har jobba i, de har hatt ingeniører som har gjort fantastiske jobber, og inspirasjonen faller i grunn fra begge sider, jeg får det fra hackersiden, eller de som har dårlig intensjoner. Fordi det er fantastisk spennende å se hvor kreative de er på måter å hele tiden finne bakdører. Ett av de eksemplene jeg pleier å si, det er typisk hvis du vil beskytte huset ditt, bilen din står parkert utenfor huset, så må du huske å låse, og hvis du har en litt bedre lås enn naboen, så går de kanskje til neste bil eller neste hus. Ganske enkelt. Og sånn er det i sikkerhetsverden også. Jeg tenker, hvis du gjør jobben din godt nok, så kan det være at de faktisk går til noen andre og prøver ett eller annet, så det må være godt nok, for sikkerhet er ikke 100%. Så det gir meg motivasjon, men også selskap som tenker nytt. Og det er jo mye av det jeg ser i miljøet, sånn som mindre miljø i Norge hvor man tenker nytt, snur opp ned og tenker litt vekk fra det typisk norske - jaja, vi følger den vanlige måten å gå rett frem på, men tenke og tørre å ta sjanser. Tørre å risikere at lønna di kanskje ikke er like bra de neste åra, men muligheten er der for å være med å skape noe. Og en av grunnene til at jeg begynte i Jazz var jo akkurat det, det at jeg får være med å komme nærmere produkter, der jeg kan ta imot hva kunden sier, også få engineering til å lage svar på løsninger i løpet av uker og ikke i løpet av år.

Silvija: Hva tror du er relevant kunnskap for fremtiden?

Nils: Ja, definitivt, jeg har merka, nå sa jeg akkurat ISACA, 2 millioner for få, og jeg tror IKT Norge snakka om en 4-5000 mennesker i Norge bare som er mangelvare når det gjelder cybersecurity. Men jeg tror også det at alle har interessante teknologier som er mer tradisjonelle, sånn type produksjon og energi, og ikke minst da miljøet, hvordan vi kan beskytte de miljøene, miljøet vårt. Alle de blir nå drevet av innovasjon rundt disse enerne og nullene, som jeg kaller digitale eller cyber eller hva det skal være. Det syns jeg er, og tror det er, der vi skal gå.

Silvija: Ja, finne ut av hvordan vi kan bruke all den digitale teknologien på en sikker måte. Og data. Og der har Norge noen unike muligheter. Du nevnte da offshore teknologi tidligere, vi er veldig gode på simulering også, også har vi egentlig ganske mye penger på å leke oss med prosessindustri.

Nils: Ja, vi har det og vi har jo, vi har et stort land, vi har grei temperatur fortsatt her oppe. Vi har faktisk alt som skal til, skal jeg si, utenom politisk gjennomføring. Selvfølgelig gjør vi noe, men vi burde se muligheten nå, og tenke enda mer i forhold til hva oljen har gitt oss, alt det positive, men vi må snart få konvertert og se enda raskere rekkefølge over, for vi har alle muligheter. Vi har thorium mining-muligheter i Norge. Vi har alle mulige muligheter, også har vi denne pengeboka vår som gjør at det kan være kjempespennende for oss som er nordmenn.

Silvija: Har du et lite sitat som du kunne legge igjen som en gave til våre lyttere?

Nils: Ja, jeg vil jo si at det å drive med cyber security, det er mer å forberede seg på det neste. Og ikke det siste. For det er, jeg føler at det ofte, så snakker man, også er det nyhetsprat, også er det dét angrepet mot et fransk konsern eller Hydro i Norge eller hva det skulle være, også er folk veldig opptatte av å tette hullene som sikkerhetsmarkedet allerede vet om. Jeg føler mer problemstillingen er at vi må tenke hva kan det neste være, for sikkerhetsbransjen er utrolig god på å finne raskt, kall det patcher eller mottiltak, mot angrep når vi først vet det. Men det er det ukjente som er det skumle. Og for ti år siden, jeg jobba med sikkerhet da, da var det relativt enkelt, eller for 15 år siden, det var relativt enkelt, du hadde unike skadelige koder som ble sendt ut. Litt sånn som når man får influensa. Vi får det muligheter for forkjølelse hvert år, fordi det muterer. Det muterer sakte men sikkert, og nå har vi polymorfisk virus, vi har muterende ting, sånn at jeg kan sende til 100.000 forskjellige selskap, forskjellige unike virus som aldri har vært sett av sikkerhetsbransjen før. Og da er det litt vanskelig med sånne tradisjonelle filter som bare “ja, jeg har en liste over 100-200 versjoner av denne filen, og de er helt greie”, men hvis det kanskje er 100.000 forskjellige av akkurat samme skadelige kode, så må vi stramme inn litt på maskeviddene når vi fisker etter dette her. Så da må vi se etter ukjente.

Silvija: Ja, den er veldig fin. Du nevnte også noe som heter darknet diaries som en god podcast serie?

Nils: Ja, den syns jeg er fantastisk bra. Jeg oppdaga den.., jeg hører mye på podcast, om det er om amerikansk politikk, eller hva det skal være-

Silvija: Eller LØRN?

Nils: Ja, ja, selvfølgelig. Men på cybersecurity så har jeg den daglige som jeg hører på, men det blir veldig etterhvert ganske kjedelig, for det er bare sånn newsfeed med 5 minutter om hver ting. På darknet diaries, så er det faktisk gjort god research. Det er en fyr som sitter der og bruker ukevis på å finne mest sånn high impact, som Stuxnet, de store tingene, EternalBlue, det er masse spennende der. Men det er en times podcast der han går i dybden, hva skjedde egentlig, og du får så mye utrolig spennende informasjon. Nesten som en sånn der spionroman, hva er det egentlig som skjedde her. Så det anbefales for de som er interessert i cybersecurity.

Silvija: Du, det høres ut som en morsom måte å lære om cybersecurity på.

Nils: Ja, uten tvil.

Silvija: Storytelling er veien i fremtiden, tenker jeg. Du, hvis folk skal huske én ting om vår samtale, hva skal det være? 

Nils: Ja, fra vår samtale så tror jeg jeg ville ha husket det at vi må også, ikke bare tenke på disse her utsidetruslene, de som prøver å sende en mail og prøve å hacke deg, men også, ifølge DVC så hadde de en cybersecurityundersøkelse som de slapp i oktober, og norske og danske selskap ble spurt, og største frykten deres fremover, det er at autoriserte snille og søte ansatte gjør feil, 67%. 33% var redde for at autoriserte som hadde brukerkontoer inn i det aller hemmeligste skulle bruke det på en ondsinnet måte. Og det å da ta tak i innsidetrusler, sånn som NSM gjør nå, sånn som petroleumstilsynet, næringslivets sikkerthetsråd, mange av disse her som nå har satt dette på dagsorden, og da må vi i IT-sikkerhetsbransen, som jeg føler henger litt etter der, ta tak i dette også. Men det er så lett med antivirus og finne ting som er ukjent.., sånn er det.

Silvija: Nils Roald fra Jazz Networks, tusen takk for at du var med oss i LØRN, og lærte oss til å tenke bredt og fremoverfokusert i forhold til våre cyberforsvarsverk.

Nils: Tusen takk for at jeg fikk komme.

Silvija: Takk til dere som lyttet.

Du har lyttet til en podcast fra LØRN.TECH, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på være nettsider LØRN.TECH