LØRN Case #C0596
Utfordre antagelser
Hvorfor er det så vanskelig med datasikkerhet, eller er det egentlig vanskelig? Og er det egentlig greit å utvikle all denne teknologien til helsesektoren, men bare legge den på hylla fordi vi ikke er sikker på om den er trygg nok? I denne episoden av #LØRN snakker Silvija med senior konsulent i Knowit, Cecilie Wian, om at vi kommer til å bli utsatt for sikkerhetsangrep online, derfor må vi ha en plan for når det skjer.

Cecilie Wian

Business Designer

Knowit

"Begynn med å skjønne hvilke verdier du har og hvem som er interessert i disse. Og husk at det ikke er sånn at en test som funker for en bedrift, nødvendigvis fungerer for et annet"

Dette er LØRN Cases

En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. 

Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.

En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.

Vis

Velg ditt format

Varighet: 36 min

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Hvem er du, og hvordan ble du interessert i teknologi?

Jeg er en softwaretester, jobber for et konsulentselskap Knowit, som utvikler digitale tjenester for andre. Akkurat meg, leies ut til firma, for å hjelpe de med den utviklingen de gjør selv. Du kan og si jeg er en sånn digital native; oppvokst med teknologien i et stort skifte. Teknologien var bare der så jeg tenkte ikke så mye over det, men da internet kom – mitt første møte med chatterom. Du verden, da var jeg frelst! Hva er det viktigste dere gjør på jobben? Utfordrer antagelser sånn at det vi lager blir bedre.

Hva fokuserer du på innen teknologi?

Mennesker og sikkerhet. Eller brukervennlig sikkerhet.

Hvorfor er det spennende?

Hver lille dings eller sak som lages påvirkes av den konteksten det ble skapt og blir brukt i. Teknologien alene er ikke så interessant for meg, men hva vi kan få til med den. Enten det er gode ting, eller ikke fullt så gode ting.

Hva synes du er de mest interessante kontroverser?

Det snakkes mye om at mennesker er viktige i sikkerhet, men lite om hva det innebærer. Det er mye antagelser om at folk må bare ta seg sammen å slutte og bli lurt. Det er jeg ikke enig i.

Dine egne relevante prosjekter siste året?

Det siste året har jeg brukt tid på hva som skjer i hodet på folk når man skal lage et passord, og passordhåndtere for å se om hvilke som er brukervennlige. For vi er veldig avhengig av passord, og passordhåndtere er et meget bra hjelpemiddel om folk får til å bruke dem! Om ikke, så er de bare enda en installert sak som forstyrrer livet ditt.

Hva tror du er relevant kunnskap for fremtiden?

Etikk! Utviklingen av teknologi går raskt og det er mye vi kan gjøre, men vil vi det? Burde vi det? Teknologi er ikke nøytral eller naturgitt.

Hva gjør vi unikt godt i Norge av dette?

Datatilsynet, Difi, Norsis…Vi har mange gode kilder til kunnskap – om man bare vil bruke dem.

Et favoritt fremtidssitat?

A ship in harbor is safe — but that is not what ships are built for. — John A. Shedd. In 1981 Grace M. Hopper.

Viktigste poeng fra vår samtale?

Du kommer til å bli lurt. Ha en plan for det.

Hvem er du, og hvordan ble du interessert i teknologi?

Jeg er en softwaretester, jobber for et konsulentselskap Knowit, som utvikler digitale tjenester for andre. Akkurat meg, leies ut til firma, for å hjelpe de med den utviklingen de gjør selv. Du kan og si jeg er en sånn digital native; oppvokst med teknologien i et stort skifte. Teknologien var bare der så jeg tenkte ikke så mye over det, men da internet kom – mitt første møte med chatterom. Du verden, da var jeg frelst! Hva er det viktigste dere gjør på jobben? Utfordrer antagelser sånn at det vi lager blir bedre.

Hva fokuserer du på innen teknologi?

Mennesker og sikkerhet. Eller brukervennlig sikkerhet.

Hvorfor er det spennende?

Hver lille dings eller sak som lages påvirkes av den konteksten det ble skapt og blir brukt i. Teknologien alene er ikke så interessant for meg, men hva vi kan få til med den. Enten det er gode ting, eller ikke fullt så gode ting.

Hva synes du er de mest interessante kontroverser?

Det snakkes mye om at mennesker er viktige i sikkerhet, men lite om hva det innebærer. Det er mye antagelser om at folk må bare ta seg sammen å slutte og bli lurt. Det er jeg ikke enig i.

Dine egne relevante prosjekter siste året?

Det siste året har jeg brukt tid på hva som skjer i hodet på folk når man skal lage et passord, og passordhåndtere for å se om hvilke som er brukervennlige. For vi er veldig avhengig av passord, og passordhåndtere er et meget bra hjelpemiddel om folk får til å bruke dem! Om ikke, så er de bare enda en installert sak som forstyrrer livet ditt.

Hva tror du er relevant kunnskap for fremtiden?

Etikk! Utviklingen av teknologi går raskt og det er mye vi kan gjøre, men vil vi det? Burde vi det? Teknologi er ikke nøytral eller naturgitt.

Hva gjør vi unikt godt i Norge av dette?

Datatilsynet, Difi, Norsis…Vi har mange gode kilder til kunnskap – om man bare vil bruke dem.

Et favoritt fremtidssitat?

A ship in harbor is safe — but that is not what ships are built for. — John A. Shedd. In 1981 Grace M. Hopper.

Viktigste poeng fra vår samtale?

Du kommer til å bli lurt. Ha en plan for det.

Vis mer
Tema: Moderne ledelse
Organisasjon: Knowit
Perspektiv: Mindre bedrift
Dato: 200129
Sted: VESTLAND
Vert: Silvija Seres

Dette er hva du vil lære:


DatasikkerhetPassordDigital kultur Risikovurdering

Mer læring:

Les deg opp på etikk Nudge av Sunstein og Tale

Del denne Casen

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Flere caser i samme tema

#C0250
Moderne ledelse

Marie Louise Sunde

Lege og gründer

HunSpanderer

#C0269
Moderne ledelse

Benth Eik

Administrerende direktør

BlockWatne

#C0313
Moderne ledelse

Petter Sveen

Country Manager

Lineducation

Lytt #C0596

Tekst for Case #C0596

Velkommen til Lørn.tech, en lærings dugnad om teknologi og samfunn med Silvija Seres og venner. 

 

Silvija Seres: Hei og velkommen til Lørn. I dag er tema cyber security. Navnet mitt er Silvija Seres og gjesten min er Cecilie Wian, som er seniorkonsulent og Softwaretester i selskapet Knowit, velkommen! 

 

Cecilie Wian: Tak skal du ha!

 

Silvija: Cecilie, vi skal snakke om kultur forbedre cyber security, eller datasikkerhet generelt.

 Hvorfor snakker vi alltid med det engelske ordet for det forresten?

 

Cecilie: Mye av arbeidsspråket innenfor dette området er på engelsk og da er det enkelt å bare fortsette å bruke det for det er så innarbeidet. 

 

Silvija: Men det er datasikkerhet som er greia? 

 

Cecilie: Datasikkerhet og informasjonssikkerhet. 

 

Silvija: Etterhvert er det jo også objektsikkerhet med «Internet of things» og alt som styres som digitale tvillinger og sånt. Men før vi snakker om datasikkerhet så håper jeg du kan fortelle litte om hvem Cecilie er, og hvorfor hunjobber med datasikkerhet? 

 

Cecilie: Ja, jeg er en av de digital natives som det heter på engelsk, oppvokst med ett ganske stort paradigmeskifte, fra analoge til det digitale. Når jeg var 2 år fikk jeg min første datamaskin i huset, jeg fikk ikke bruke den før jeg var 4. Men det stod det en datamaskin fra norsk data og det har bare vært en del av livet hele veien, og har i mange år egentlig ikke tenkt over at det ikke var sånn for alle. Før i 1998 da det var noen som presenterte meg for internett. Da begynte jeg å merke forskjell mellom de som hadde og ikke hadde datamaskin. De som hadde Internett, og de som ikke hadde det. For da var det en helt annen diskusjon og måte å forholde seg til verden på. Som de som ikke hadde internett bare ikke var med på. 

 

Silvija: Jeg synes dette er veldig spennende. Tilbake til barndommen din egentlig, jeg har akkurat lest en bok som dreier seg som digital parenting. Nå er alle foreldre bekymret for arbeid med skole, skjermtiden, spilletid, leggetid og sånt. Men jeg snakker om 3 typer foreldre: Digital enablers, digital inhibitors og digital mentors. Der de siste er de som ikke bare lar deg bruke helt ukontrollert og ubegrenset, men bygger denne her digitale kompetansen som en klok bruker. Og det er det som avgjør i veldig stor grad om barna blir digitale flyktninger, digitale foreldreløse, altså fremmed i eget land når landet blir digitalt, eller digital heirs, arvinger bli ikke rettferdig måte å oversette på. Men de som arver jorden, de som har selvsikkerhet, men også et positivt selvbilde i den digitale verden. Det viker som du er absolutt en av de siste, og hva er det foreldrene dine gjorde. Hva gjorde de med en datamaskin da, og hvorfor begynte du å bruke den som 4 åring? 

 

Cecilie: Fordi det var en del av livene våre. Mine foreldre brukte det jo, og jeg var til stede der de var. Når mamma skulle bruke datamaskin var jeg i samme rom. Det var ikke slik at når hun bruke datamaskinen så måtte jeg gå i ett annet rom. Mennesker er grunnleggende sosiale,

og det gjelder også med det digitale. Vi slutter ikke å være sosial bare for at vi er digital, og vi må få med ungene våre også på dette området. Internett er på ekte. Det digitale er på ekte, det er en del av livet. Vi slipper ikke bare ungene våre ut i verden. vi følger de opp, vi oppfostrer de og lære de ting. Og det gjelder også på datamaskin. 

 

Silvija: Også er jeg veldig fascinert av din utdanning. Jeg elsker kombinatorisk kunnskap, det sier noe om nysgjerrighet, det sier noe om kreativitet og det sier noe om glede over fremtid og mennesker. Du har det bachelor i pedagogikk, det er da utdanning i psykologi. Så der kunne vi snakket mye rundt Ipader og barna. Og hva man egentlig bør endrer rent pedagogisk

i forhold til det som finnes nå. 

 

Cecilie:Når jeg studerte det, så var det det store spørsmålet; Skal vi virkelig slippe datamaskinen inn i skolen? Og da var jeg litt kjerringa mot strømmen, og mente at selvfølgelig skal vi det. Vi har egentlig ikke noe valg. 

 

Silvija: Helt enig, men hvordan skal vi utvikle det til det bedre enn litt sånn klønete papir? 

Cecilie: Nettopp, skal vi bare sette strøm på ett skjema eller skal vi faktisk digitalisere det? Det er ikke det samme. Også har jeg lært meg ett nytt Buzz word «T Shaped profile» og det er å ha både i bredden og i dybden. Så jeg har mye i bredden. Jeg har ett år på sykepleie, fordi mennesker for meg er aldeles nydelig. Jeg synes mennesker er flott. 

 

Silvija: Med alle sine skavanker tenker jeg. Det er det som gjør oss vakre. 

 

Cecilie: Ja. Absolutt. Og etter jeg hadde gjort disse to tingene, jeg gjorde det egentlig fordi jeg fikk verdens verste rå. Det var noen som sa til meg, «Du Cecilie du må ikke gjøre hobbyen din, altså til yrke ditt, for da kommer du til å ødelegge hobbyen din». Neivell tenkte jeg, da får jeg gjøre noe annet.  Og det var derfor jeg tok ett år på sykepleien og sånn. Men så innså jeg at det var ett elendig råd. Så da kom jeg tilbake til universitetet også studerte jeg det som kalles Digital kultur. Og det skjønner ingen hva er. Alle skjønner digital og kultur, men satt sammen blir det merkelig. Men det er altså humanistisk informatikk, eller du kan kalle det «human and computer interaction». Det er når mennesker og teknologi møtes. 

 

Silvija: Jeg tror det er det viktigste vi må kunne for fremtiden egentlig. Og ha i hvert fall ett bevisst og klokt forhold til. Men du, jeg er også veldig fornøyd med at du tok det året på sykepleien. Og bare for å provosere kan jeg si at kanskje vi skal slutte med førstegangstjeneste i militæret, og alle burde få førstegangstjeneste i sykepleie. For det er der behovet til samfunnet kommer til å være størst med all den demografien vi har foran oss. Masse gamle folk som lever forferdelig lenge fremover. Men jeg tror også det gjør noe med å styrke fellesskapet og kjærligheten til hverandre.

 

Cecilie: Jeg skal ikke være uenig med deg der. Fordi helsevesenet angår oss alle, men for veldig mange så er det en fjern ting helt du blir veldig dypt i det. Også helsevesenet, sett fra teknologisk perspektiv så henger de veldig langt etter. Og for å snakke med sånne sikkerhetsøyne på dette. Fordi integriteten til data og konfidensialiteten er så veldig viktig. Også har det dominert veldig kraftig, og dette med tilgjengelighet har kanskje ikke dominert like mye. Men vi begynner å komme et sted av gårde. Vi har fått kjernejournal, det kraftig diskusjoner om å ta i bruk sensorer som går på kropp og sånne ting. Nettopp fordi at hva er da poenget med teknologien hvis ikke kan bruke den. Og er det egentlig greit å utvikle all denne nydelige teknologien, og så la den ligge på hylla fordi vi ikke sikker på om den er trygg nok, eller sikker nok. Er det etisk riktig?

 

Silvija: Jeg helt enig. Største risikoen er kanskje å ikke ha en målbart og bevisst holdning til nødvendig risiko. Og det er nødvendig risiko å finne ut av der. 

 

Cecilie: Ja. Og helsevesenet er veldig konservative på dette området. 

Jeg er både glad for det, men også litt skuffa. 

 

Silvija: Jeg er også enig i det. Jeg tenker at det høres jo forferdelig ansvarlig ut. Det er veldig flott og si at dette bruker vi ikke før vi er helt sikre, og det gjelder både farmasi, verktøy. Men har vi råd til å la være, å vente og se hvis det virkelig kan redde liv i mellomtiden?

 

Cecilie: Også er det jo slik at den teknologien vi har tatt i bruk i helsevesenet viser seg at den er ikke så innmari sikker eller robust. Fordi at vi handler etter gammel vane, har kanskje litt forenklet Focus. For det jeg synes er så flotte mennesker er all sin kompleksitet. Vi er veldig forskjellig, og det som vil være riktig for deg vil ikke nødvendigvis ikke være riktig for meg. Også er det spørsmålet om hvem som skal bestemme hva som er riktig for meg og deg. Og i Norge så har vi forså vidt veldig dyktige tenkere. Vi har datatilsynet som tenker veldig stort, organisatorisk og systemisk. Også har vi de ivrige gründerne som kommer fra helt annen retning og tenker «time to market». Også tar vi de to sammen. Det er derfor jeg gjør det jeg gjør. For å være tester, for det er gøy.

 

Silvija: Gikk du rett til Knowit etter master i Digital kultur? 

 

Cecilie: Nei.

 

Silvija: Hva var den profesjonelle reise etter det?

 

Cecilie: Da jobbet jeg for et helseforetak som trengte hjelp digitalisering. Fordi hadde masse god kunnskap som de slet med å få distribuerte ut. Og det var innenfor psykisk helse, og de hadde veldig stor pågang. Og så at hvis de kunne gi uten informasjon, så kanskje de kunne hjelpe folk litt tidligere, før ting ble veldig vanskelig. Så da hjalp jeg de med det.

Alt fra helt grunnleggende ting som hvilken datamaskin de skulle kjøpe i dette foretaket, til hva vil vi med dette her. Og hvordan skal vi gjøre det tilgjengelig, hvem er målgruppen og hvordan når vi de.

 

Silvija: Og derfra? 

 

Cecilie: Derfra til Knowit. 

 

Silvija: Fortelle litt om Knowit. Nå har jeg møtt flere imponerende mennesker fra dere og det hadde vært veldig gøy å finne ut litt mer om hvordan selskapet tenker. 

 

Cecilie: Ja, vi er et stort selskap, men det er ett konsern som eier masse små selskap, så du både har denne storkonsern/storbedrift situasjon. Men også de små, litt lettbeinte mulighetene. Så akkurat den lille biten jobber jeg for. Vi har spesialisert oss på test, prosess og den type ting. Og vi er bare 23 menneske. 

 

Silvija: Testing av Software er en ekstremt undervurdert art. Moren min, som egentlig var utdannet kjemiker og etterhvert økonom, da hun flyttet til Norge fikk hun jobb som tester i et Softwareselskap som far også jobbet med, de bygget kart blant annet. Mor er det mest praktiske, hun er veldig pragmatisk og hun er ekstremt effektiv og ryddig. Og det helhetlige overblikket over det komplekse systemet som ble bygget, var det ingen andre som hadde. Ikke Chief Technical Officer engang. Det er noe med at når du er tester, du driver og dytter og drar og du får en forståelse av systemet som jeg tror helt unik. 

 

Cecilie: Ja, det tror jeg også. Men det er veldig gøy! Akkurat nå så har vi ett paradigme hvor vi tenker at vi tester automatisering av attester, og så tester vi produksjon med kundene våre. Også er det en bite imellom, som ikke kanskje ikke er så godt dekket. Men som jeg liker veldig godt. Fordi det er ikke alltid slik at du bare kan slippe ting ut produksjons. Fordi konsekvensen av det du holder på med kan være uakseptable. For eksempel hvis du tilfeldigvis har laget stilig program som skal være kommunikasjonen mellom hjem og skole.

 

Silvija: Veldig bra. Men cyber Security er en del av det du tester, hvordan tester man det? 

 

Cecilie: Fra mitt perspektiv er det å utfordre antagelse, det er det første jeg gjør. Jeg prøver å finne ut av hva jeg har og hvilke antagelser det er vi har gjort. For det er hvor antagelser er gjort at du finner glippene. 

 

Silvija: Så du er en slags whitehead hacker som skal prøve å finne veier inn for å kunne tette dem? 

 

Cecilie: Ja. Også er det mange av mine kolleger som har veldig teknisk tilnærming. Som, her scanner vi pakker, her sjekker vi trafikk som går og sånne ting. Mens jeg veldig ofte utforsker hva vi kan gjøre innenfor de lovlige grensene i dette produktet. For eksempel gjennom grensesnittet.

 

Silvija: Så du leker med systemet til du finner hull? 

 

Cecilie: Ja, eller til jeg oppdager at er det en mangel. Det er noe som burde vært her som ikke finnes. 

 

Silvija: Jeg finne rett og slett ikke veien gjennom systemet?

 

Cecilie: Ja, eller at dette systemet er stort inngrepene i menneskers liv. For eksempel appen din som tilrettelegger for at du kan spionere på din kjæreste, eller dine barn. Er vi sikker på at det er det vi har lyst å tilrettelegge for? 

 

Silvija: Ja, og under hvilke premisser. 

 

Cecilie: Man kan spørre: Hva hadde verdens verste menneske gjort med appen din? Tenker vi sånn begynner vi å nærme oss en jobbe. 

 

Silvija: Blir du sliten av å tenke sånn? 

 

Cecilie: Noen ganger går jeg bare hjem og gjør noe helt annet. 

 

Silvija: Jeg spurte det hva som er det viktigste du gjør på jobben, og du sier «Jeg utfordrer antagelser». Det er kjempespennende. En dame vi snakket med nylig sa «never asume», eller du må huske at folk har veldig mange forskjellige antagelser. Hvert hode er en sort boks med masse antagelser vi ikke helt klarer å forstå.

 

Cecilie: Ja, også er det å få ord på hva er det vi faktisk vet. 

 

Silvija: Hva er de nødvendige antagelsene, og hva er de riktige? 

 

Cecilie: Ja, hva er det vi kan ha kunnskap om. Hva vet vi at vi ikke vet. sorter det for seg selv. Også er det å jobbe med å redusere det vi vet at vi ikke vet. Dette høres litt teoretisk abstrakt ut, men det har noe for seg. 

 

Silvija: Unknown unknown, er det værste. Known unknowns kan vi gjøre noe med. 

 

CW Ja. Det kan vi håndtere. Og det vi vet at vi vet er stort sett også greit hvis vi faktisk vet og at det ikke er en antagelse. 

 

Silvija: Men det som er vanskelig da, er akkurat som du sier at da må du gå ut av det perspektivet. Og dette mener jeg også utvikler i Software gjør veldig ofte feil. For du sitter jo der med den boksen som hodet ditt er, og du tenker sånn som du alltid har tenkt. Og sånn er det jo bare, og alle som ikke tenker sånn er jo bare dumme. Men altså, det er ikke sånn det er. Alle andre tenker sine ting på grunn av sine tidligere erfaringer, utdanning og behov osv. 

 

Cecilie: Ja, og jeg synes heller ikke at utviklere er dumme. De er også mennesker, og de skal få lov til å ha sine styrker og sine svakheter de også. Og da er veldig greit at det ikke bare er en person som har ansvar for sikkerhet, men at hele teamet har det. Og at dette er en del av de samtalene vi har. 

 

Silvija: Da har vi egentlig snakket litt om kontroverser. Det ene jeg synes er litt morsomt og pirker i er statusen til testerne. Jeg mener at dere har den mest krevende jobben, og kanskje den mest ansvarlige jobben. Mens jeg synes at utvikler ofte er litt høye på seg selv, for de er med på å lage. Microsoft bruker like mye ressurser på testing som på utvikling, for oss når vi ble en del av Microsoft så ble det helt sånn med de lange sykluser, men det å ha strukturer, rutiner, respekt og disiplin for testing er noe av det som gjør at Software blir trygg nok når så mange skal bruke det, og etterhvert så gjelder det all Software.

 

Cecilie: Den andre tingen som jeg tenker på når det gjelder testing, var det at det er ikke bestandig sånn at den testing som er riktig å gjøre for Microsoft, eller riktig å gjøre for ett helseforetak er det riktig å gjøre som gründere. Men man må gjøre en risikovurdering, og dette sier alle risikofolk hele tiden. Også tenker man litt på de her store ISO 27001 osv, som er tykke bibler av ting. Men du kan gjøre en risikovurdering på en serviett i lunsjen. Men begynn å vite hva har du, hvilke verdier har du. Så kan du begynne å forstå hvem det er som er interesserte i dem, å gå litt derfra. For det er ikke sånn at den testingen som er på en måte i ett selskap må være sånn i ett annet selskap. Så vi kaller det risikotilnærming på test. 

 

Silvija: Ja. Og kanskje de viktigste områdene først som kritisk risiko og sannsynlighet?

 

Cecilie: Ja. Og særlig for nye firma, og små selskap som vi har veldig masse av i Norge. Så er dette med time-to-market, hvor raskt kan jeg få produktet mitt ut, konkurransen teller veldig mye. Det hjelp ikke ha ett trykt produkt hvis du er ute av leken.

 

Silvija: Men kan jeg spørre deg om dette begrepet med «relativ sikkerhet». Tilbake til helsebransjen. Det kan fort være sånn at vi har 100% sikkerhet, men vi får ikke tak i den informasjonen vi faktisk trenger når vi trenger den og da dør pasienten. Så det er egentlig en avveining. Det er det er litt leke med sannsynligheter, og med konsekvenser. 

 

Cecilie: Absolutt! Og når vi snakker om sikkerhet så snakker vi om 3 grunnsteiner. På den ene siden så er det konfidensialitet. Den er kjempeviktig. Også var det dette med integritet. Og den siste er tilgjengelighet. Og har du ikke alle tre, så har du ikke sikkerhet. Da har du tilsynelatende sikkerhet. Du kan låse alt du hører, men det hjelper ikke hvis du glemmer dataene. 

Og veldig mange er veldig god på integritet og konfidensialitet, men så glemmer de tilgjengelighet. 

 

Silvija: Ett kontrovers til som jeg vil gå veldig godt innom. Du sier at det snakkes mye om mennesker som er viktig sikkerhet. Det høres fint ut men hva betyr det egentlig, hvordan skal vi jobbe med det?

 

Cecilie: Første så tenker jeg vi må vi må gå litt inn i det. Hva betyr det for deg og hva tenker du er viktig med ha mennesker inn. Kan det være at du tenker at mennesket er det svakeste punktet. Så har du sånne som meg, som er Humanister. Vi tenker at mennesker er ett svakt punkt, men også ett veldig sterkt punkt. Mennesker er veldig flink til veldig mange ting, men du må vite hva det er. Å bygge på de styrkene. Vi har mye programvarer som er laget med tanke på hva som var mulig med datamaskinen da. Også har vi bygget opp under tradisjoner som slettes ikke bygger opp under de sterkeste siden hos mennesker. Det tenker jeg vi kan gjøre noe med.

 

Silvija: Veldig bra. Kan du snakke om noen konkrete prosjekter, jeg antar det ikke er så lett å snakke om firmanavn, men om du fikk noe spennende aha-opplevelser pga noe spesielle oppgaver eller sånn, noe du synes har vært kjempegøy det siste året i jobben din?

 

Cecilie: Egentlig det nest siste årene så havnet jeg i en diskusjon om passord. Fordi at noen sier at «Ja men, passord er så gammeldags, det må vi slutte med». Ordentlig god utviklere mener det bli metricks om noen år. Også var jeg i denne samtale med en som heter Per Thorsheim var til stede, og han er kjent som Passord Per. Og han snakket om hvorfor i all verden passord fremdeles er gyldig. Også kom vi inn på dette her med passord-manager som det heter på Amerikansk, eller som jeg liker å oversette til «passord bank». Fordi det er lettere å forstå på norsk, at det var veldig viktig å ha. Så tenker jeg flott, men er det mulig å bruke det? Også fant jeg ut at dette vil jeg forstår. Er det brukervennlig å bruke disse passordbanken. Så det har jeg brukt en del tid på, og i fjor så begynte jeg å ta tak i det og begynte å snakke med disse sikkerhetsfolkene. Og jeg kom for det første fram til at veldig mye de passordhåndterer løsningene er kjempedårlig. De er gode på integritet og konfidensialitet men på tilgjengelighet er de helt håpløs. Jeg fant heldigvis noen få som faktisk er laget med brukeren i utgangspunktet, men som også ivaretar de andre.

 

Silvija: Kan du anbefale en eller to? 

 

Cecilie: Onepassword er veldig god. 

 

Silvija: Så da slipper man å huske passordene sine, den foreslår passord også bruker man det passordet, men den har man tilgjengelig både på PCen, Mac og telefon? 

 

Cecilie: Ja. Litt sånn som banken din, du lagrer passordene din på samme måte som du lagrer pengene dine. Også har du ett veldig godt passord kanskje til og med også SMS for å logge inn og der lager du ting trygt. Men når du skal bruke det, så kopierer du det ut derifra og inn der du skal ha det. Og da har du det tilgjengelig på telefon og rundt omkring.

 

Silvija: Mitt problem er at det av og til ikke blir tilgjengelig, og da endrer jeg passord og så vet jeg ikke hva det ble endret til og hva er den siste utgaven og sånn. så det krever litt disiplinering i bruk.

 

Cecilie: Ja, men jeg tenker det er litt som forsikring. Det er bare noe vi skal ha. Ikke fordi vi ønsker å bruke det, eller at det skal være innmari nødvendig. Man ønsker ikke å bli svindlet eller hacket på noe vis, men vi skal bare ha det som en god vane. 

 

Silvija: For alternativet er at vi har altfor enkle passord. Nå har Google blitt veldig flinke. Jeg har blitt hacket og har brukte det samme passordet litt for mange steder. Nå er det ryddet opp i, men det er fortsatt en metode jeg bruker for å finne på nye passordet som de som kjenner meg kan gjette seg til. 

 

CW Men det er ikke de som kjenner deg godt som kommer til å hacke deg. 

De som bruker tid på å pønske ut passord. For det første skjer det automatisk. De har begynte nå å finne ut hvordan konstruere språk. Dette er profesjonelle som jobber med. Det er ikke noen sin hobby ett sted. Dette godt utdanna mennesker som står oppå morgen, spiser frokost, tar bussen til sin jobb, og jobben er å finne en måte å svindle nordmenn på. 

 

Silvija: Og første steget er da å finne folk sine passord? 

 

Cecilie: For eksempel. Det er særlig to måter det er lett å nå noen på. Og det ene er å få de til å klikke på noe, eller bare bruke brukernavnet og passordet deres. 

 

Silvija: Jeg må bare igjen si at de har blitt så altfor flinke. For ett par av de store organisasjonene jeg jobber for har hatt nylige tilfeller hvor noen som utgir seg for å være meg, styre eller ledelsen fra styret sier at honoraret utbetales til en ny konto. Alt ser veldig riktig ut, alt er riktig timet i forhold til prosesser. Det er rettet mot riktig person. Og hvis ikke man er veldig oppmerksom på dette kan komme så er det ekstremt troverdig. 

Cecilie: Universitet i Tromsø har nettopp fortalt at de ble svindlet for 12 millioner kroner på den måten. Og de gir oss også et lite hint i hva er det som foregår i svindel. For det første er det profesjonelt. Det er ikke tilfeldig, uhell eller noen ting. For de andre, de tar seg god tid. De er inne i systemet ditt og tar seg god.

 

Silvija: De er inne i regnskapet og lærer seg å vite hvem i regnskapet som er ansvarlig?

 

Cecilie: Det er ekstremt lønnsomt å svindle norske bedrifter, dessverre. 

 

Silvija: Men kan jeg stille et litt dumt spørsmål: bankene har plikt til å vite hvem som står bak de kontonummeret, og det er det må vel være et norsk kontonummer hvis man skal ikke stoppe og lurer på hvorfor skal alle plutselig ha penger i Afrika. Så hvorfor er det da vanskelig å spore det og ta de pengene tilbake?

 

Cecilie: Hvorfor skal ikke svindlerene ha norske bank kontonummer? Jovisst kan de det, men pengene drar videre ett sted.

 

Silvija: Men den personen som har det norske bankkontonummeret må vell banken vite hvem er, det er vell en fysisk person, eller?

 

Cecilie: Det trenger ikke være det, og hvordan verifisere jeg at du er du?

 

Silvija: Men det tror jeg bankene må gjøre det. 

 

Cecilie: Ja, de har noe sånn pass som de må ha for BankID og litt sånne ting. I tillegg har du mange organisasjoner hvor det er helt normalt for dem å betale til utlandet. Så igjen, svindlerne er kjempeflinke til å finne ut av hvordan de kan få penger ut av deg uten at du oppdager det før det er for sent. 

 

Silvija: Og da er det tilbake til det med mennesker og sikkerhet. Her må man prøve å forstå hvordan tenker de, hvilke psykologiske knagger henger de seg på?

 

Cecilie: Ja, og noen av oss skal bruke mye tid på det. Men så er det det at litt urimelig å si at «kjære regnskapsmedarbeider, du må bare ta deg sammen. Du må slutte å bli lurt». Det går ikke an å si det, for vi kommer til å bli lurt. Og hennes eller hans jobb er ikke og være fokusert på om noen prøver og lure meg eller ikke. Deres jobb er å få regnskapet gjort. Men de blir utsatt for angrep fra folk hvor hele hverdagen deres går ut på å finne måter å lure de på. La meg ta et eksempel; hvis du begynner å brenne i huset ditt. For det første så brannalarmen og antageligvis har du en viss formening om at brannslukningsapparatet som fulgte med huset står et sted.

Også vil du prøve å gjøre noe med det. Og for det tredje hvis du finner ut at dette var veldig stort og vanskelig så ringer du brannvesenet. Men for cyber kriminalitet, for det første så har veldig mange ikke noe sted å gå. Det beste de kan gjøre er å ringe politiet, og det er ikke sikkert at det er så lett. Det er ikke sikkert at de oppdager at de er blitt lurt heller. Vil de oppdage det blir det veldig vanskelig. Så vi må slutte å tenke på det som at det er bare sånn «Ta deg sammen». Vi må ha en plan, og det må løses kollektivt og ikke individuelt. Og der har faktisk banker i Norge vært veldig gode. 

 

Silvija: Også ser jeg også at man blir personlig utsatt for typer lenker på Facebook og «er det virkelig deg i denne videoen» den er det mange som har fått. Og kjente folk fra venner også egentlig e-poster med type om at det er en passord-beskyttet statement eller en sånne ting som ser ut som er fra det offentlige. 

 

Cecilie: Jeg fikk tilsendt fra en kollega som sa hun hadde meldt seg på en konferanse som skrev «Her er en pdf hvor jeg skulle lese informasjonen om konferansen, men jeg får ikke åpnet den, kan du hjelpe meg?» Og hun har faktisk sendt med den pdf-en, men den pdf-filen var ikke ok. Men fordi hun er min kollega så utnyttet de den tilliten oss imellom. 

Og dette er normaliteten. Vi kommer til å bli utsatt for svindel, så vi må ha en plan for hva gjør vi da.

 

Silvija: Nettopp. så du må du må rett og slett annta at de er på deg hele tiden. 

 

Cecilie: De er det. Det har ingenting å si hvem du er du er. 

 

Silvija: Er det noen du beundrer spesielt i forhold til jobben din, nasjonalt eller internasjonalt. Noen vi kunne lært litt mer om? 

 

Cecilie: Difi er utrolig flinke. Og de gjør min jobb, og veldig mange andre sine jobber ganske mye enklere. De tar store kompliserte fagområde, også lager de brukervennlige, hjelpsomme dokumenter, veiledere som forklare det på vanlig norsk sånn at hvem som helst skal kunne lese og forstå det. Både om universell utforming, men også om sikkerhet og veldig mange viktige tema. Gode veiledere. De har jurister inne og masse fagfolk som hjelper de og sørger for at de blir gode. 

 

Silvija: Og da er vi over på neste punkt: Hva er relevant kunnskap om fremtiden? Vi må lære mye ny digital grunnkunnskap. Hva vil du vi lærer litt mere om, både som barn og voksne?

 

Cecilie: Etikk. Fordi og lær om etikk betyr at du også utfordre deg selv om hva er det riktige. Og den tror jeg er en kunnskap som vi trenger mer. Både når det gjelder om vi lager produkter, hvem tjener vi og hvem tjener vi ikke. 

 

Silvija: Etikk er tenking. Også må vi finne ut hva vi skal prioritere. Også tenker jeg med den tiden vi går inn i med AI og sånn, så blir det alt for lett å tenke at dette kan jeg out source om det er staten, lovverket eller maskinen. Men det er menneskelig ansvar. 

 

Cecilie: Ja, og så må vi vite hva gjør vi når det blir vanskelig. Hvordan tar vi en god avgjørelse når ingen avgjørelser vil være god. Det trenger vi å øve oss på. De vanskelige og umulige valg.

 

Silvija: Hva er unike styrker ved å jobbe med dette her i Norge? Jeg prøver å utfordre den tankegangen om at alt er så mye bedre i Silicone Valley. 

 

Cecilie: Du har noe som kalles stordriftsfordeler, og noe som heter smådrifts fordeler. Og det har vi mye av i Norge. Vi har massevis av bittesmå firma som er smidig, lettbent som tilpasser seg. I tillegg har vi masse mennesker som har stor generell kunnskap, og som når det trengs kan gå i dybden der det trengs. Og det tenker jeg er en kjempe styrke.

 

Silvija: Hvor kan vi lese mer for å bli litt flinkere på mennesker og teknologi, eller cyber security?

 

Cecilie: Jeg vil anbefale en bok som heter «Nudge» og det er Sunstein og Tale, den handler om hvordan man tilrettelegger for gode valg. Men den tar også for seg de etiske avgjørelser og endringene man må gjøre når man begynner å forme den frie vilje hos mennesker. Men den er veldig god nettopp fordi at det er litt urimelig å forvente at alle bare skal ta seg sammen helt uten videre. 

 

Silvija: Veldig bra.  Har du et sitat som vi kan hekte på deg?

 

Cecilie: Ja, det er engelsk «A ship in the harbour is safe, but that is not whay ships are build for» og den liker jeg veldig godt. Vi kan gjøre mennesker innmari sikker, men det er ikke poenget.

Mennesket skal leve og utforske. 

 

Silvija: Veldig bra. Hvis folk skal huske én ting fra vår samtale, Cecilie. Hva vil du at det skal være? 

 

Cecilie: Først og fremst; du må starte ett sted. Du kan ikke forholde deg, eller ikke forholde deg til hele dette sikkerhetsspørsmålet. Det må man gjøre. Og, du kommer til å bli lurt, dine ansatte kommer til å bli lurt. Ha en plan for når det skjer.

 

Silvija: Helt enig og veldig bra oppsummering, Cecilie Wian, seniorkonsulent i Knowit. Tusen takk for at du var med oss i dag og snakket om det gode menneske i en teknologisk verden, og ansvaret både testere og utviklere har for å tenke mer menneskelig når det gjelder cyber security. Og takk til dere som lyttet. 

 

Du har lyttet til en podcast fra Lørn.tech. En lærings dugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.Tech.

 

Quiz for Case #C0596

Du må være Medlem for å dokumentere din læring med å ta quiz 

Allerede Medlem? Logg inn her:

0

C0596 CYBERSEC Utfordre antagelser - med Cecilie Wian

1 / 3

Hva er som oftest hackere i bunn?

2 / 3

Hvilke ingredienser må en tjeneste bestå av for å oppnå 100 % sikkerhetsklarering?

3 / 3

Utviklere har en tendens til å glemme én av de tre grunnsteinene som er vesentlig for at en Software-tjeneste skal være 100 % sikker. Hvilken?

Your score is

The average score is 0%

Du må være Medlem for å kunne skrive svar på refleksjonsspørsmål

Allerede Medlem? Logg inn her: