LØRN case C0572 -
LØRN. ENTERPRISE

Lillian Røstad

Head of cyber s.center & c.s. Advisory/adjunct associate prof/Head of information security

Sopra Steria

(U)sikre produkter og tjenester

LØRN case C0572 -
LØRN. ENTERPRISE

Lillian Røstad

Head of cyber s.center & c.s. Advisory/adjunct associate prof/Head of information security

Sopra Steria

(U)sikre produkter og tjenester

Facebook
Twitter
LinkedIn
Email

32 min

Choose your preferred format

Velkommen til LØRN.TECH, en læringsdugnad om teknologi og samfunn, med Silvija Seres og venner.



SS: Hei og velkommen til LØRN. Navnet mitt er Silvija Seres, tema i dag er cybersecurity.

LR: Ja, sikkerhet i produkter og tjenester, kan vi si.

SS: Sikkerhet i litt mer enn cyber.

LR: Litt mer enn det, faktisk.

SS: Og gjesten min er Lillian Røstad, som er managing director til business consulting ved Sopra Steria. Velkommen.

LR: Takk skal du ha, takk for invitasjonen.

SS: Lillian, vi snakker egentlig i dag med mange flinke damer, for vi har lyst til å lage en serie på damer som gjør og kan og vil.

LR: Det er jo veldig hyggelig å være en del av det, da

SS: Ja, du er en definitivt en del av det. For egentlig også du og din arbeidsgiver sopra steria syns jeg har ansatt veldig mange kjempeflinke damer, og det må være noe dere gjør riktig der, i forhold til at å attrahere og beholde, da.

LR: helt klart, jeg tror det handler mye om rollemodeller, faktisk. å vise frem at man kan og det er helt vanlig å være dame, også tror jeg kanskje at man drives av å se samfunnsnytten og nytteverdien av teknologi

SS: Ja, ja. Jeg tror det er veldig viktig poeng, for mitt inntrykk er at når man skal attrahere menn, så skal man snakke veldig mye om hvor vanskelig og hvor stort og hvordan det blinker, og hvordan det funker, og fokusere da på produktegenskaper, mens jeg tror at for å attrahere damer så må man fokusere på konsekvenser av teknologi.

LR: Yes, man kan tenke hvordan er det nyttig, hvordan hjelper det mennesker, hvordan hjelper det samfunnet, i snitt så er det mer der motivasjonen ligger, tror jeg

SS: Det interessante, tror jeg, da er man også bedre til å selge produktene sine.

LR: Ikke sant, ja.

SS: For det er sånn de skal selges. Du, vi skal snakke om dette med sikkerhet etterhvert, men før vi gjør det håper jeg du kan fortelle oss littegrann om deg selv. Hvem er du og hva driver deg?

LR: Ja, Lillian heter jeg. Og er da leder for en del av Sopra Steria, som driver med forretningsrådgivning, så jobber mye i grensesnittet teknologi og forretning. Jeg har alltid drevet med sikkerhet og risiko, som nå har flytta seg fra å være noe jeg sa driftssjefen brydde seg om, til noe som er på styrerommet. Enorm utvikling, så jeg er en teknonerd, og er interessert i hvordan ting funker også da, jeg er det, men også hvorfor. Og har alltid brent for sikkerhet og personvern.

SS: Hvorfor sikkerhet?

LR: Ja, det er godt spørsmål, jeg tror jeg oppdaga en gang i studiene, jeg er utdanna systemutvikler egentlig-

SS: Det er en programmerer?

LR: Ja, egentlig da. Fra datateknikk på NTNU i Trondheim. Også begynte jeg å jobbe med sikkerhet, også oppdaga jeg til min forferdelse at det var ingen som lærte utviklerne noe som helst om sikkerhet den gang da, fortsatt altfor lite. Og man kan snakke mye om at hackere hopper inn over brannmurer og andre ting, men egentlig så lykkes de fordi det er sikkerhetsfeil i produktene. Og hvis vi gjorde færre feil, så hadde egentlig veldig mye av nøkkelen til bedre sikkerhet ligget der. Så det gjorde meg litt forferdet, også ble jeg engasjert.

SS: Men det er bra. Det er sånn de gode prosjektene oppstår og gjennomføres, egentlig, at man får et problem man brenner for. Min lille teori om sikkerhetsutfordringer og løsninger, er at det kommer alltid til å være feil i programmer, sånn er det bare med programmer, men vi er nødt til å vite hva de vanligste feilene er, også er vi nødt til å finne dem og tette dem før de slemme gjør det, da.

LR: Det må vi, og for å faktisk gjøre det så må du lære deg å tenke som en angriper. Så jeg har undervist disse tingene i mange år, det er liksom mitt lille bidrag, da, som jeg håper har hatt en impact, jeg har hatt etterhvert ganske mange studenter, og da har vi pleid å undervise, pleid å kalle det learning by failing and fixing, sånn at de først lager noe som har problemer, også prøve de å finne alle sikkerhetsfeilene og tenke som en angriper, prøve å forstå hvordan det skjer, også prøver de å fikse de. Og kommer ut av det på den måten.

SS: Og det er egentlig ganske spennende hvor mange flere sånne muligheter for feiling vi produserer i livene våre nå. Du nevnte for meg en kronikk du aldri fikk skrevet ferdig i desember, men syns at tittelen er så kul, dette burde du gjøre i januar da-

LR: Fortsatt relevant

SS: “Hvorfor er det så mange hackbare gaver under juletreet”, hva mener du med det?

LR: Nei, det er jo sånn at det stilles forferdelig lite krav til sikkerhet når man utvikler produkter og tjenester, og faktisk er det sånn at mye ny teknologi kommer først inn i hjemmene våre. Og jeg er glad i teknologi, vi har robotstøvsuger, den er helt fantastisk, vi har robotgressklipper og mange smarte ting på et eget IoT-nettverk hjemme, godt utstyrt. Men det er fortsatt sånn at veldig mye ny teknologi lages av startups, sånn som vi sitter rundt her, kjempebra, men det er jo ingen som stiller krav til at sikkerhet skal være på agendaen fra starten av, så det blir for mye at det kommer på agendaen senere når man oppdager feil, og som forbruker har man egentlig ingen beskyttelse. For fysiske produkter så har du det, du har produktsikkerhetsregelverket, og dusjdørene dine hjemme er sertifisert sånn at hvis de knuser, så knuser de sikkert, de skal pulverisere og ikke kunne bli til noe som skader deg. Hvis en IKEA-kommode viser seg å være usikker, så blir det nyhetssak og den trekkes tilbake fra markedet. Men hvis du skal ha ny smartklokke eller ny robotstøvsuger, hva enn det skal være av nye smarte dingser, så har du som forbruker ikke egentlig noe vern. Og det stilles for lite krav til produsentene, og du har heller ingen kilder til å finne ut, for å hjelpe deg til å velge, da.

SS: Men jeg tror det har noe med at vi vet ikke hva konsekvenser er, hvis den klokka viser seg å være veldig usikker. Altså, hvor ille kan det gå hvis en robotstøvsuger blir hacka, altså den går og knuser noen møbler og sånt, men jeg tror at å forstå at det er inngang til alle våre andre nettverk, kanskje at det etterhvert snakker med litt for mange ting i husene våre.

LR: Det er absolutt det, det var en hackegruppe som gjorde et forsøk på å hacke robotstøvsugere, de endte opp med å finne mange fine bilder av hunder alene hjemme. Det var ikke så vanskelig å få tilgang. Så jo, det er sant. Men hvorfor jobber vi med sikkerhet, det er stort sett en av to grunner som gjør at folk bruker mer tid på sikkerhet, og det er enten endra risikoforståelse, fordi du har hatt en hendelse. Kanskje ikke du, men kanskje naboen din. For bedrifter da, så kanskje en annen bedrift som man sammenligner seg med, og da investerer man, for da tenker man at dette plutselig kan skje hele tiden, selv om det ikke er mer eller mindre sannsynlig. Eller så er det compliance krav, og det er myndighetenes viktigste virkemiddel, som stiller krav før folk blir utsatt for de store problemene, fortrinnsvis skal myndighetene være litt i forkant.

SS: Jeg tror at der må vi hjelpe dem rett og slett, for de vet ikke helt hvilke krav de skal stille foreløpig, det har vært litt for lite debattert, nettopp som du sier.

LR: Det har vært litt for lite debattert, og det kom en veileder like før jul, en veileder fra KMD, om å stille krav i anskaffelser, så det er en start. Det har vært veldig mye fokus på det reaktive, egentlig, at man skal håndtere hendelser når det skjer, og formen for sikkerhet som jeg er opptatt av handler egentlig om forebygging. Og lage mindre feil. Og det er kanskje litt vanskeligere å forstå, vet ikke, enn det å håndtere de store spennende hendelsene. Poenget mitt er jo at jeg helst ikke vil at så mange av de skal skje, og egentlig handler det om kvalitet og robusthet og...

SS: Ja, det er vanskelig det der, for jeg tenker at det har vært litt skriverier nå om hvor mye de forskjellige smarthjemløsninger egentlig lytter til oss, og at det er faktisk mennesker som hører en del av det og kan gjøre ting med det, også i utgangspunktet for å forbedre produktet deres, men det er liksom ingen garanti for at ikke det skal brukes til noe annet, og når du snakker om at man kan hacke seg inn i en robotstøvsuger for å ta bilder gjennom den, så kan det være bilder av en hund alene hjemme, men det kan også være andre bilder, ikke sant, som da kan både hjelpe noen å bryte seg inn eller ta bilder av noe du helst ikke vil at folk skal ha bilder av, da.

LR: Ja, det kan det. Så det er, og en ting er robotstøvsugeren, en annen ting er alarmsystemene vi har hjemme. Ser det nå, de menneskene som ikke vil ha bilde på alarmsystemet sitt, ikke kamera, men også faktisk så installerer vi elektroniske låser nå, og det er jo en sikkerhetsmekanisme for hjemmet vårt. Så det er ganske viktig da, at den faktisk fungerer som den skal

SS: Og der er vi litt sånn tilbake igjen til dette her gamle dilemmaet, damned if you do, damned if you don’t, for egentlig så, vi har også elektriske låser, disse her kodelåser, ikke sant, og de er utrolig praktiske når du har mange barn som ellers ville bare mistet nøkler, og det er tryggere enn å gå rundt med gud vet hvor mange kopier av nøklene dine hos håndverkere osv-

LR: Som du har mistet og ikke vet hvor er, og det er kjempemange fordeler, for du får jo med en app så du får beskjed, du kan, da, få beskjed, om noen går inn eller ut, hvis du har hund, vi har hundelufter, da kan jeg slippe de inn og bare åpne opp for de når de skal inn, og du kan faktisk også se at de har vært og hentet hunden, og at hunden har fått vært på tur. Så det er kjempemange fordeler, men allikevel så er det noe med den grunnleggende sikkerheten i produktet da. Som forbruker er jo poenget at du skal stole på at den er der. Så jeg nevnte at i Frankrike så har de prøvd seg med et forslag, å legge mer ansvar på leverandørene, systemer og tjenester, fordi per i dag så er det egentlig ganske lite av det, da.

SS: Jeg er helt enig, og jeg tror det er en veldig fin vei å gå. I Barcelona så, apropos data og offentlig bruk av data og sånt, så har byen sagt at noen av disse kjøretjenestene får selvfølgelig lov å etablere seg, og de må gjerne samle data om trafikk i Barcelona, men de må garantere at de dataene kommer også Barcelonas innbyggere til gode. Også sa disse leverandører at vi vet ikke hvordan vi skal gjøre det, og da sa barcelona men det er deres problem. Dere er leverandøren, dere får bevise at dere har gjort det og at dere har en løsning.

LR: Ja. Veldig godt poeng. Og du nevnte dette med at smarte enheter samler inn mye data, og det gjør de jo, om de er i hjemmet ditt eller om de er i byen eller om de er på arbeidsplassen din, og det er nesten ikke en ting du kan starte opp nå som ikke spør deg på et tidspunkt “vil du bidra med data til oss, sånn at vi kan forbedre produktet vårt”. Og det er jo kjempebra, men det er utrolig bra også at i fjor så fikk vi jo sterkere personvernregelverk i Europa. Utrolig viktig, og at vi får det innført skikkelig, da, men der også er det jo noen krav til privacy by design, og også jobbe med å bygge inn personvern i produktene

SS: Men jeg tror inntil vi har egentlig nettopp begynt å stille krav til leverandører, at nå må dere bevise hva dere egentlig betyr, så kan de bare si at ingen vet akkurat hva det betyr, så ikke sant. Så man ser at man signerer egentlig bare for produktet, eller bruk av data, i konkrete brukeshensikter. Men alle vet at alle som samler data kommer til å komme med nye avtaler, agreements, ikke sant. Som du bare signerer på, for hva skal du gjøre? Også lese 20 sider av et eller annet legal lease som ingen skjønner, ikke sant. Så sier vi ja til at de kan bruke det til også det ene og det andre, og det får vi nå hele tiden fra alle våre sosiale tjenester. Så derfor så tenker jeg at vi forbrukere må læres litt opp, da, til hva som er OK bruk av våre data, og hva som er ikke OK bruk av våre data, og det er der vi ikke har gjort nok, kanskje.

LR: Vi har ikke gjort nok, kanskje, også tror jeg ikke det har vært nok eksempler enda, for det er noe med at den risikobevisstheten i samfunnet øker først når det blir store saker på VG, sånn er det dessverre. Så, men allikevel så mener jeg at sånn produktleverandører og myndighetene har et ansvar for å gå foran, og også undervisningsinstitusjoner, så det har vært min tanke, da, ved siden av Sopra Steria så jobber jeg på Universitet i Oslo, og før det så jobba jeg på NTNU i mange år, og underviste på NTNU i et fag i programvaresikkerhet, her heter det security by design. Og jeg tenker jo at hvis hver enkelt utvikler og arkitekt hadde mer basiskompetanse om sikkerhet og personvern, så vil det også være en hjelp et stykke på veien, da, for det består jo av flere ting, man kan stille krav, men så må jo faktisk de som skal gjøre det, da, hvis leverandøren skal finne ut selv hvordan løser vi det, så må de jo ha kompetente folk.

SS: Og jeg tror at det der ansvaret blir så veldig fordelt nå også, bare disse eksemplene fra 3D-printing og alle de legale diskusjonene man har hatt der. Det var, jeg tror det er 3-4 år siden nå at noen la ut en oppskrift på 3D-pringing av et gevær som kunne printes i plastikk med 3D-printere som var, egentlig, veldig bredt tilgjengelig. Og som kunne funke. Også var det trukket tilbake etter at myndighetene oppdaget det, men i mellomtiden har 100.000 stykker lastet ned oppskriften. Og hvis man printer ut en sånn, og man bruker det, og la oss si at den eksploderer på feil måte, eller la oss si at den eksploderer på riktig måte, og noen blir skadet, hvem er ansvarlig? Ikke sant, er det den som har laget oppskriften, er det den som har publisert den, er det den som har laget printeren, er det den som har laget guggen, er det den som er dum nok til å printe, er det… ikke sant. Og det kommer til å være mange kokker i alt vi bruker.

LR: Definitivt, det er et godt spørsmål. Hvem er ansvarlig i det tilfellet der. Og det er kanskje et umulig spørsmål å svare på akkurat nå. Til syvende og sist vil jeg tro at det er den som brukte oppskriften til å lage geværet som er ansvarlig hvis man skader noen andre, og hvis man skader seg selv, hva da?

SS: Ja ikke sant, og så har du etterhvert smarte hjem som driver og printer for oss ting de trenger, de tror vi trenger, kanskje det smarte hjemmet finner ut at du trenger faktisk akkurat en sånn en, eller kanskje den finner ut at du trenger, hva vet jeg, en ny stol, og den stolen brekker på en måte som gjør at man faller bakover og slår hodet, altså. Jeg tror det kommer til å være litt for mange argumenter som kommer til å peke på at AI-en fikk meg til å gjøre det, eller maskinen gjorde det, eller ett eller annet, og der tror jeg at til syvende og sist at vi kommer tilbake til ditt startargument, og det er at vi som brukere av den teknologien må vite noe om dens konsekvenser, om å ta ansvar for å være kunnskapsrike brukere.

LR: De må være det, og da trenger vi litt hjelp, faktisk. for å klare å være kunnskapsrike brukere.

SS: Ja. Det er kjempeviktig poeng, den kronikken må du skrive.

LR: Okei, jeg skal prøve. Kalle det noe annet, da, siden jul er over.

SS: Ja, du, vi har egentlig snakka oss bort. Istedenfor å snakke gjennom de spørsmålene som jeg sa vi skal snakke om. Men jeg skal gå litt fort gjennom noen av dem, og stoppe littegrann ved noen av dem. Jeg spurte deg litt om hvem du er, og jeg syns det er veldig spennende å høre at du har systemutviklingslinja fra NTNU, var det gøy å være der og være jente?

LR: Fantastisk gøy, jeg var en del av det første kullet med jenter og data, faktisk. Og det er en historie bak det, fordi at opprinnelig så hadde jeg satt kjemi som førstevalg når jeg skulle søke studier, for det var favorittfaget mitt, jeg har alltid vært interessert i hvordan ting funker. Men så leste jeg, av alle ting, jeg leste i Det Nye den sommeren da jeg skulle begynne å studere, også var det en annonse fra NTNU som var veldig klein, kan man kanskje si, hvor det sto at “jenter tegner rundinger og gutter tegner firkanter, og IT-faget er så viktig at vi trenger alle typer, søk datateknikk på NTNU” også tenkte 18 år gamle meg, ja, kanskje det er litt mer fremtiden enn å stå på en kjemilab, selv om jeg elsker kjemi, også gikk jeg for det, så jeg bytta, omprioriterte valgene mine, så det kan man jo si jeg har hatt ganske mye effekt på karrieren videre. Ikke kanskje så gjennomtenkt av 18 år gamle meg, men utrolig glad for at jeg gjorde den endringen. Det var det første kullet hvor det var en stor andel jenter også, og teknologi trenger jo kvinner og menn, ja, men det trenger mangfold, fordi det er mangfold i brukerne. Så de som skal lage det må representere det.

SS: Og det blir rett og slett både hyggeligere, men også kanskje litt mer kulere løsninger.

LR: Definitivt.

SS: Hva er det viktigste Sopra Steria gjør? Det er svært konsulentselskap som altfor få på en måte kan plassere, hva, hva er overskriften?

LR: Vi jobber jo med digital teknologi.

SS: For offentlig sektor? For alle sektorer?

LR: For offentlig, for privat, for å hjelpe norske virksomheter til å bli bedre på det de gjør, for å finne nye forretningsområder, til å hjelpe offentlige sektor med å levere mer effektive tjenester, og vi pleier å kalle oss en ende til ende-leverandør, som jo høres kanskje litt kjedelig ut, men som egentlig betyr at vi ivaretar alle aspekter, da, alt fra hvordan lage den løsningen, hvordan treffe brukernes behov, hvordan ivareta sikkerhet og risiko, hvordan hente ut effekter, sånn at man kan- for offentlig sektor så er det et kjempepoeng å gjøre en del av tjenestene deres mer effektive, sånn at de kan omprioritere ressursene sine til å bruke mennesker til det mennesker må gjøre, også kan maskiner gjøre det maskiner er gode på. Også kan man være mer effektive og få til et bedre tjenestetilbud på den måten. Så Sopra Steria sin rolle er jo virkelig å kunne teknologi, kunne digital teknologi, og forstå hvordan du kan bruke det, og det er der vi ser at kundene våre nå roper mest etter hjelp, og egentlig mye på ledernivå. Forståelse av teknologi, forståelse av hva de kan bruke det til, de skjønner at dette blir viktig for dem, men de føler litt på at de har ikke nok innsikt i hva er AI, hva er IoT, hva er alle disse tingene som skjer, hva betyr det at vi skal jobbe smidig, for vi jobber jo smidig i prosjekter, men vi møter jo et veldig lite smidig styringslag i de fleste virksomheter. Så, ja, Sopra Steria jobber med alt det der.

SS: Jeg tenker på dere som en som har veldig, altså, du brukte ordet ende til ende, altså en slags helhetlig partner som kan kanskje være med å utfordre helt fra de første spesifikasjonene, til posisjonering etter at alt er levert, og kanskje måling av konsekvenser.

LR: Og ofte før den tid, og, når det handler om å finne ut av en digital strategi, hvor skal man gå hen.

SS: Men når jeg spurte deg om hva det viktigste er som dere gjør på jobben, så svarte du utvikle flinke mennesker, det liker jeg veldig godt, si litt mer.

LR: Nei, men det er jo, vi er jo i the business of people. Vi leverer kompetanse gjennom medarbeiderne våre. Og som jeg skrev også, teknologi er bare interessant når det kan levere noe for mennesker, og det er mennesker som lager teknologi. Så det vi gjør er å utvikle folka våre, både med tanke på hvordan de jobber og hva de kan, sånn at de kan gå ut og hjelpe kundene våre på best mulig vis.

SS: Ja. Folk skal.., altså dette med livslang læring, det er en av mine da virkelig store kjepphester, og jeg tenker at vi har snakket nok om det, nå må vi gjøre det, og det er veldig viktig å finne konkrete hverdagslige måter å plassere ny kunnskap inn i hodene til alle ansatte, ikke bare, liksom, de top ten percent eller noe sånt no. Og det har jeg inntrykk av at dere gjør, og det gjenspeiler antakelig også i disse rangeringene man har for å være populær.

(Begge snakker i munnen på hverandre)

LR: Ja, absolutt.

SS: Når jeg spurte deg om hva du fokuserer på, så svarte du sikkerhet og personvern, og når jeg spurte deg hvorfor det er spennende, så sier du at det er absolutt nødvendig, men det er også spennende å tenke som en angriper. Og da er vi litt tilbake til dette her med at hvis ikke the good guys gjør det ordentlig, så får the bad guys bare en kjempefordel.

LR: Yes, det gjør de, og jeg skal innrømme det at en av innfallsportene mine til sikkert var at jeg syns det var veldig gøy å tenke som en angriper. Jeg syns det er gøy å prøve å se om man kan bruke ting på andre måter enn det var egentlig var tenkt til å brukes, og hva som skjer da. Absolutt, også syns jeg også bare grunnleggende, så er jeg litt idealist av meg, da, og blir tidvis opprørt når jeg ser at ting som burde vært håndtert som ikke er det, som dette med sikkerhet i produkter og tjenester. Personvern er Norge ganske gode på, men det er en utrolig viktig debatt, med alt som skjer nå. Vi snakker om at data er det nye gullet, hvordan skal vi bruke det og hvordan skal vi gjøre det ansvarlig. Vi blir ikke ferdig med den betatten, for det finnes ikke noe fasitsvar.

SS: Hva er noen konkrete prosjekter du har jobbet med i det siste? Du nevnte security by design, som er et kurs.

LR: Det er et kurs her i Universitetet i Oslo, som jeg underviste for første gang i fjor. Som jeg etablerte. Det er typisk det jeg gjør, da, jeg lager nye ting, jeg ser noe som mangler. Då det er et eksempel. Også er jeg jo, hva skal jeg si, lederskapet på jobben min, er kanskje mitt aller viktigste prosjekt. I fjor så gikk jeg fra å lede sikkerhetskonsulenten Sopra Steria til å lede forretningsrådgivning, som er ett av tre områder i Sopra Steria. Så nå om dagen så går mye av min faglitteratur på ledelse og lederutvikling, og komme meg videre der, kjenner på at jeg tørster etter påfyll på det, får man si, men jeg har vært leder i mange år, men jeg er alltid leder i kraft av faget mitt, og nå er jeg leder for mer enn mitt eget fag.

SS: Ja, jeg har lyst til å spørre deg litt om det, for jeg er en som elsker å gjøre. Og jeg elsker det faktisk kanskje mer enn å lede. Det er så gøy, å lage ting, det er så gøy å bygge ting, det er så gøy å få til ting. Hvordan, hvordan, på en måte, gjør du den overgangen fra å lede gjennom og gjøre ting selv, til å lede ting gjennom og gjøre ting gjennom andre? Hva er det viktigste?

LR: Ja, den viktigste overgangen, eller en viktig motivasjon, er, for meg er det den impactfaktoren man kan ha. Faktisk. Ved å lede andre, være med og sette retning, hjelpe folk å lykkes, så kan man ha en mye større påvirkningskraft på samfunnet totalt sett, enn hva man noensinne klarer som en egen sololøper. Så det har vært mye av min motivasjon i mange år. Også elsker jeg å se folk lykkes. Det syns jeg er veldig, veldig gøy.

SS: Veldig bra. Hvor henter du inspirasjon fra? Altså, er det noen lignende prosjekter, enten nasjonalt eller internasjonalt, som har løftet deg i det siste?

LR: Ja, jeg nevnte jo det fra Frankrike forsåvidt, også skjer det veldig mye spennende i Norge på sikkerhetsområdet, forsåvidt, men også på digitalisering generelt, som jeg syns er spennende å følge med på. Det som har skjedd med nye digitaliseringsstrategien, opprettelsen av digitaliseringsdirektoratet nå, spent på å se hva vi får ut av det av effekt. Jeg følger egentlig med på mangt, tror jeg nevnte litt ulike bloggere og ting jeg følger med på, lytter til noen podcaster, mange ting. Inspirerer meg også voldsomt å følge vår egen Workplace, det høres kanskje rart ut, men den delingskulturen vi har på jobb er ganske unik, så bare det å følge med på det alle kollegaene mine gjør, alle våre ulike prosjekter.

SS: Hvordan fungerer Workplace hos dere? hva bruker dere den til?

LR: For oss så er det en delingsplattform. I og med at vi er et konsulentselskap, så er vi distribuert i hverdagen vår. Vi sitter jo ikke sammen, som gjør at vi er veldig gode på digital samhandling, naturlig nok. Så Workplace for oss er en plass hvor man kan dele informasjon om ting man har gjort, hvor man kan stille spørsmål til kollegaer, og få svar veldig fort, og rett og slett dyppe inn til denne 1800 store massen av folk som kan utrolig mye. Det er en veldig utprega kultur av at folk svarer og vil hjelpe, og deler av sine erfaringer, da. Så det er på alle måter egentlig en delingsplattform, og en måte å ta tempen på selskapet.

SS: Ja, det virker som dere har klart å få det til å bli noe som faktisk, hva skal jeg si, bygger samhold.

LR: Absolutt.

SS: Det er ikke alltid det det er, av og til er det på en måte en vegg som man går forbi, uten å nødvendigvis la seg bli dratt inn til den. Hvorfor er det engasjerende hos dere?

LR: Ja, altså det, jeg har reflektert en del over det, hvordan har denne delingskulturen vår blitt bygd? Vi har jo en toppledelse som har ledet selskapet veldig lenge, så jeg vil gi Kjell Rusti og Solfrid Skilbrigt egentlig veldig mye av æren for at de har satt den delingskulturen, også har vi egentlig bare tatt den over til en digital plattform, også vil folk dele, og dette er.., når jeg intervjuer folk, det gjør jeg mye av, så er noe av det det viktigste jeg gjør å snakke om delingskulturen vår, og se om lyset kommer på i øynene deres. Så tror jeg egentlig det handler om det, at vi egentlig bare har tatt vår etablerte kultur, også er det en digital plattform som gjør det enkelt for oss å dele enda mer. Også tror jeg det er det, også handler det jo om at sikkert også, at man går foran som et godt eksempel og at man er aktiv, noen er aktiv der, og da blir det en plass man må være.

SS: Ja, man kan snakke om åpenhet alt man vil, men hvis ikke man selv lever veldig åpent, så tror jeg.., også er det noe med som du sier at dere har antagelig.., det er også en selvfiltrering gjennom de som søker seg da til steder som bruker sånne ting veldig effektivt og aktivt.

LR: Som ønsker å være en del av det.

SS: Ikke sant, samhold. Dere jobber internasjonalt, også? Jeg vet ikke hvor mye du har jobbet internasjonalt, jeg har lyst til å spørre deg littegrann om hvis du måtte fremheve, hva er Norge unikt god på rundt det vi snakker om, hva ville du sagt?

LR: Ja, jeg vil jo faktisk si personvern. Jeg mener at norge er ordentlig gode på personvern. det betyr jo ikke at vi skal ha det som en sovepute, men det er gjort en ordentlig god jobb av datatilsynet i Norge gjennom mange år. På å få opp vissheten i det norske samfunnet rundt det. Rett nok var det noen få i fjor som sa at “ja nå gjelder plutselig personvernregelverket for oss også”, og det har det jo alltid egentlig gjort, men det norske samfunnet er gode på personvern, men vi har en kjempejobb å gjøre for å ivareta det, og fortsette å være et høyt tillitssamfunn, da, som jeg tenker er et av norges største konkurransefortrinn.

SS: Hvor skal vi gå for å lese mer om ett eller annet som inspirerer oss til å tenke nytt rundt både sikkerhet og kanskje ledelse, har jeg lyst til å spørre deg om.

LR: Ja, sikkerhet, så, jeg liker Brian Krebs sin blogg, han er en tidligere journalist som nå skriver en blogg som heter Krebs on Security, skriver sånn ganske utfyllende om ting som skjer, men samtidig på en måte som folk flest får tak i. Så er jeg alltid glad i Wired selv, jeg vet ikke, jeg har fulgt det i mange år, syns man kan lese mye gøy på Wired, de har gode temaer.

SS: Også er de gode til å i hvert fall ha overskrifter som er veldig sånn pirrende, jeg lærer, jeg lar meg dra inn veldig ofte.

LR: Ja, det gjør jeg også, også skriver de noen veldig bra featureartikler, sånn som den, den artikkelen de skrev om MERST, om hvordan det egentlig kunne skje, det som skjedde der, den er veldig, veldig bra.

SS: Og det er så lesbart.

LR: Yes. Så det, mhm, ja.

SS: Geekonomics nevnte du?

LR: Ja, det er en ganske gammel bok, faktisk, den er over ti år gammel, men den snakker om the real cost of insecure software, og det er liksom hjertebarnet mitt, da. At, ja, at det faktisk så ville det vært billigere hvis man tok tak i det tidligere. Det er ikke bare fordel for forbrukeren, men de som lager produktene også.

SS: Jeg tror at, nå fikk du meg egentlig til å tenke på noe rundt fremtiden til LØRN og livslang læring, for det argumentet, da, med at.., også koster cybersecurity litt for mye, hva skal det koste å forsikre for eksempel, det blir veldig fort snudd på hodet når vi har hatt flere MERST-eksempler, hva koster det å la være, ikke sant. Og tilsvarende argument har vi rundt dette med livslang læring og utvikling av arbeidsstyrke, du vet det er den der utvekslingen mellom CFOs som sier at “ja, men hvis vi utdanner alle disse folka, og de forlater oss”, så sier CEO, jeg har en sånn kjell i hodet mitt, “ja, men hva hvis vi ikke gjør det, og de blir?” Liksom hva koster det deg å ikke gjøre det som er langsiktig nødvendig, tror jeg er noe vi har argumentert litt for lite rundt, da.

LR: Yes, nei, jeg er helt enig, og ønsker at fokuset skal flyttes fra å være så reaktivt, håndtere ting når det skjer, til å begynne å lage mer solide ting fra starten av, og da tror jeg utdanning er

helt nøkkelen, for du klarer ikke å ha en sånn superstyrka sikkerhetsekspert som skal gå inn og fikse alt over alt, vi må heve grunnkompetansen nok til at man gjør gode valg, da, de som lager teknologi gjør gode valg.

SS: Jeg tenker grunnkompetanse, pluss ti bud, på mange områder, som gjør at du har liksom noen instinktive reaksjoner som er riktige

LR: Da kan jeg jo nevne en kilde til, OWASP, open web application security project, det er et stort internasjonalt communityprosjekt som lager utrolig mye bra for utviklere, apropos ti bud, de har en sånn OWASP topp 10-liste, over ikke de vanligste feil utviklere gjør, men de største risikoer i programvare, og for hver av de så har de noe de kaller cheat sheets, som er liksom hvordan fikser du det, da. Ja, de har veldig mye bra, og det er det internasjonale programvaresikkerhet-communitien, da, som går sammen og lager ting som alle kan ha nytte av.

SS: Veldig kult. Har du et lite sitat som du vil legge igjen til våre lyttere, som avskjedsgave?

LR: Sitat fra meg? Tja, jeg la inn det her at “la oss være så snill å slutte med å tenke at vi can add security later, la oss ta det med fra starten av, vær så snill”.

SS: Ja, du nevnte Sopra Steria sin nye tagline, den liker jeg veldig godt, den må du si.

LR: Den er “the world is how we shape it”, og den er offensiv, det betyr jo egentlig at vi er ikke offer for denne verdenene, det er ikke sånn at verden skjer med oss eller at modernisering og alt rundt skjer med oss, vi er med å forme verden, og som teknologer så kunne vi jo ikke levd i en bedre tidsalder, vi har en utrolig påvirkningskraft på samfunnet. Så jeg tenker at det er utrolig viktig mindset, da. utrolig, ekstremt spennende tider å leve i.

SS: Jeg skriver en bok som jeg lurer på om jeg skal kalle “fremtidens slaver”, nettopp for å si det du sier, at vi er faktisk ikke ofre for fremtiden, og det er en grusom måte, og det er en forferdelig måte å tenke på fremtiden på.

LR: Forferdelig defensiv måte å tenke på.

SS: Så det er opp til oss, og det er bra. For vi er flinke og vi vil noe godt.

LR: Vi vil det, og vi har muligheter, og vi kan faktisk være med å påvirke teknologi , det er jo.. ja.

SS: Hva er det viktigste vi har snakket om, Lillian? Vi har snakket om mye, høyt og lavt, hvis folk skal ha lyttet på podcasten litt sånn av og på, hva vil du at de skal huske?

LR: Ja, kommer an på hvem lytteren er, men hvis vi skal tenke at de er forbrukere, så hadde det vært fint om de begynte å tenke litt på sikkerhet neste gang de skal kjøpe en smartdings.

Kanskje bare google produktet, og se hva som kommer opp

SS: Veldig bra, Lillian Røstad, managing director til business consulting ved Sopra Steria, tusen takk for at du var her med oss i LØRN, og lærte oss både om proaktivt ansvar, for cybersecurity, men også proaktivt ansvar for vår fremtid.

LR: Rakk for invitasjonen

SS: Takk til dere som lyttet.



Du har lyttet til en podcast fra LØRN.TECH, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider, LØRN.TECH.


Hvem er du, og hvordan ble du interessert i innovasjon?

Jeg er Lillian. Teknonerd og leder. Muligens i omvendt rekkefølge om dagen. Innovasjon handler om hvordan vi formere verden og det interesserer meg. Generelt er jeg en ingeniør som liker å lage nye ting.

Hva er det viktigste dere gjør på jobben?

Utvikler flinke mennesker. Som kanskje ikke høres ut til å ha noe med teknologi å gjøre, men det har det så absolutt. Mennesker skaper teknologi.

Hva fokuserer du på innen teknologi/innovasjon?

Sikkerhet og personvern.

Hvorfor er det spennende?

Fordi det er helt nødvendig at vi tar det mer på alvor fremover. … også er det spennende å tenke som en angriper.

Hva synes du er de mest interessante kontroverser?

Det er kanskje ingen kontrovers, men det fascinerer meg at vi kan ha så sterke krav til sikkerhet i fysiske produkter. Men for elektroniske produkter og tjenester – er det så godt som fraværende. Muligens er det ikke enda en kontroversiell sak for mange nok. Vi har en jobb å gjøre der!

Dine egne relevante prosjekter siste året?

Underviser det nye faget Security by Design ved UiO. Jeg satser på å redde verden med undervisning? Litt mindre flåsete sagt: om bare alle som laget ny teknologi kunne litt mer om sikkerhet så tror jeg det ville hjelpe mye. Så arrangerte vi (ISF som jeg er styreleder i) Sikkerhetsfestivalen. Det ble stort. 1000 deltakere!

Dine andre favoritteksempler på lignende prosjekter, internasjonalt og nasjonalt?

Spennende forslag i Frankrike om software liability:

https://hackaday.com/2018/02/22/france-proposes-software-security-liability-for-manufacturers-open-source-as-support-ends/

I Norge er jeg glad for at det like før jul kom en veileder om sikkerhetskrav i offentlige anskaffelser: https://www.regjeringen.no/no/aktuelt/storre-fokus-pa-sikkerhet-i-anskaffelser/id2678449/

Hva tror du er relevant kunnskap for fremtiden?

Alle vil trenge kunnskap om teknologi i betydningen hva kan den brukes til. Jeg tror programmering blir et yrkesfag. Sikkerhet og personvern MÅ i enda større grad bli en del av grunnutdanningen innen teknologi. Her skjer det heldigvis mye.

Hva gjør vi unikt godt i Norge av dette?

Vi er gode på personvern i Norge. Kan bli bedre, men er bedre enn mange. Det må vi ivareta.

Et favoritt fremtidssitat?

The world is how we shape it! Sopra Steria sin nye tagline. Noe cheesy kanskje, men jeg liker budskapet. Vi er ikke offer for utviklingen. Vi skaper den verden vi vil leve i.

Viktigste poeng fra vår samtale?

Jeg håper alle får med seg at vi trenger å ta sikkerhet på større alvor i utviklingen av teknologi. Det må tidligere på banen. Ikke noe mer «we can adde security later».

Lillian Røstad
Head of cyber s.center & c.s. Advisory/adjunct associate prof/Head of information security
Sopra Steria
CASE ID: C0572
TEMA: CYBERSEC AND COMPLIANCE
DATE : 200122
DURATION : 32 min
LITERATURE:
Geekonomics – The Real Cost of Insecure Software Bloggen Krebs on Security av Brian Krebs. Foredrag fra Gary McGraw. OWASP Top 10
YOU WILL LØRN ABOUT:
Sikkerhet og personvern Sikkerhetskrav på innovasjoner Kunnskapsrike brukere Livslanglæring
QUOTE
"Jeg tror det handler om rollemodellen, å vise frem at man kan og at det er helt vanlig å være dame innen teknologi. Også tror jeg at man drives av å se samfunnsnytten og nytteverdien av teknologi."
More Cases in topic of CYBERSEC AND COMPLIANCE
#C0155
CYBERSEC AND COMPLIANCE
Kryptologi

Kristian Gjøsteen

Professor

NTNU

#C0180
CYBERSEC AND COMPLIANCE
Sikkerhetsstyring

Vigleik Hustadnes

Leder

Tussa

#C0210
CYBERSEC AND COMPLIANCE
Kunnskap — viktigste forsvar

Judith Rossebo

Cyber Security Specialist

ABB