Velkommen til lørn.tech - en læringsdugnad om teknologi og samfunn, med Silvija Seres og venner.

Silvija Seres: Hei og velkommen til Lørn. Navnet mitt er Silvija Seres. Tema i dag er cyber security og gjesten min er Maria Bartnes, som er forskningssjef i SINTEF Digital på avdelingen for Software Engineering, Safety and Security og førsteamanuensis II ved NTNU, velkommen Maria.

Maria Bartnes: Takk for det.

Silvija: Vi skal nerde litt rundt hvorfor cyber security og cyber safety er to forskjellige, men like viktige ting, og hvordan de bør kombineres mer. Før vi gjør det håper jeg at vi kan snakke litte gran om deg, hvem er Maria og hva driver henne?

Maria: Navnet mitt er Maria, og som du sa så jobber jeg som forskningssjef for SINTEF. Har jobbet i SINTEF i ganske mange år. Jeg begynte her rett etter jeg var ferdig utdannet på NTNU. Da hadde jeg gått sivilingeniør-studiet i datateknikk og etterhvert telematikk, så var det informasjonssikkerhet som fanget interessen min en gang ut i fjerde klassen. 

Silvija: La oss bryte det opp litt, det er ikke alle som kan navigere. Datateknikk, så var det telematikk og informasjonssikkerhet? Kan ikke du si litte gran om alle de tre, hva lærer man når man lærer datateknikk, telematikk og IT sikkerhet?

Maria: På datateknikk er det mye fokus på software engineering, programvareutvikling, lage kode, hvordan man lager apper og programvare. Telematikk har mer fokus på nettverk og kommunikasjonsteknologi, hvordan data flyttes fra en enhet til en annen eller hvordan vi bruker 4G -eller 5G, teknologi til å flytte data i mellom systemer. IT sikkerhet handler om på sikre informasjon, som enten befinner seg på en enhet eller som flyttes i mellom.

Silvija: Det skal vi snakke om hvordan man gjør. Men på privaten? Hvordan skal folk tenke på Maria?

Maria: På privaten har jeg tre barn, tvillinger som snart blir 12 år, så har jeg en jente som snart blir 14. Da er på en måte tiden fylt, litt kjøring hit og dit og oppfølging av fritidsaktiviteter. 

Silvija: Driver de med samme fritidsaktiviteter som mor?

Maria: Ja, jentene gjør det, de spiller håndball, det spilte jeg også i tidligere tider. Jeg spilte i 15 år, tror jeg, aktivt som barn og ungdom. Så har jeg vært innom bedrifts-håndballen, det er jo litt risikosport, for så vidt, men veldig artig.

Silvija: Kan jeg spør deg personlig, jeg er en gammel svømmer og jeg er helt sikker på at svømmingen har formet meg. På mange måter digger jeg å være i vannet og være stille. Samarbeider gjerne, men jeg er vandt til å konkurrere alene. Det er noe jeg egentlig har misunnet litt, alle dere som driver med lagsport, hva er det beste håndball har lært deg?

Maria: Håndball var for meg veldig mye sosialt, egentlig. Det å møte venninner på trening, dra på cuper og kamper og felles-opplevelser. Vi tapte ganske mye fra vi var 16 år og oppover, men likevel besto laget. Så da må det handle om det samholdet, de felles opplevelsene og minnene som ble skapt, vel så mye som sportslige resultater. Vi hadde jo lyst til å vinne, det var jo ikke det, men vi var ikke best.

Silvija: Det å kunne stå i det sammen, det er veldig viktig. 

Maria: Så må du kunne sette pris på de gode prestasjonene underveis. Det er jo ikke alltid slik at resultatet føles riktig ut i fra slik man har prestert. Så får man jobbe med å terpe det man er god på. 

Silvija: Det er veldig viktig det du sier nå, for jeg tror det alt det viktige her i livet er antagelig ganske vanskelig å gjøre, også. Det å tåle de motgangene til man endelig får rett til slutt, det er en ganske viktig evne, både i forskning, gründerskap og i ledelse.

Maria: Absolutt. Det å hele tiden terpe på det man selv har kontroll over, det man selv kan gjøre bedre, det er viktig, og det gjorde vi. 

Silvija: Veldig bra. Du har studert på NTNU her i Trondheim, så gikk du rett på SINTEF?

Maria: Ja, jeg var heldig og fikk jobb i SINTEF som nyutdannet master og da skulle SINTEF sette i gang en satsning på informasjonssikkerhet. De hadde fått i oppdrag å etablere senter for informasjonssikring, det som nå i dag er kjent som NorSiS. 

Silvija: Det må du si litt om, for det er et fantastisk senter.

Maria: Ja, det er et kompetansesenter primært for små -og mellomstore bedrifter, som skal spre kunnskap om trusler og sårbarheter, tiltak og hvordan jobbe med IT sikkerhet. 

Silvija: Er det dere som lager den sorte boken? En bok som oppsummerer fjorårets værste darkweb.

Maria: Den sorte boken kjenner jeg ikke helt til. Vi begynte med det å lage en trusler -og trender rapport, det vet jeg NorSiS har fortsatt med etter at de ble flyttet på Gjøvik og ut av SINTEF. 

Silvija: Mulig at det er det jeg tenker på. 

Maria: Det var jo et helt unikt prosjekt å få lov til å være med på å etablere som nyutdannet. Det var i 2002.

Silvija: 2002 er på en måte et annet liv, et annet univers når det gjelder cyber security. Det var ganske visjonært å begynne å jobbe med det da?

Maria: Ja, egentlig. Men truslene begynte å bli ganske synlige og begynte å ramme oss ganske hardt, egentlig. Mye datavirus og ormer. Vi holdt masse foredrag om det, så vi hadde veldig fokus på bevisstgjøring. Forskjellen på virus og orm, det var noe av det vi snakket om, for det var på det nivået. 

Silvija: Det kommer vi tilbake til, jeg synes vi skal lære folk om nettop dette. Så er det noe med at samfunnsoppdraget er også superviktig. For de største selskaper har kanskje også ekstra ressurser de kan bruke til å bygge disse sikkerhetsløsningene sine, men det har ikke de litt mindre. 

Maria: Nei, de er jo litt knapp på både ressurser, penger for å investere i sikkerhet, føler de er veldig prisgitt leverandørene sine, så er det knapt på ressurser, sikkerhet ansvarlig, kanskje også økonomisjef og daglig leder. Så tiden man bruker på å lære om sikkerhet og det å faktisk greie å  prioritere sikkerhet i hverdagen, er mye vanskeligere for et lite selskap enn et stort. Da skulle NorSiS fylle litt det gapet for å bidra litt, for å løfte de små som ikke kunne finne kompetansen selv, det kunne vi hjelpe dem med.

Silvija: Og det tenker jeg er en utrolig viktig oppgave, rent infrastruktur-mesig for samfunnet vårt nå. 

Maria: Absolutt. Så var vi veldig fokusert på dette med erfaringsdeling. Vi etablerte det vi kalte for referansegrupper i ulike sektorer for å få folk til å snakke sammen på tvers av virksomheter. Det var også litt nyskapende, for det å dele hendelser innenfor IT sikkerhet, den åpenheten hadde vi ikke helt da. 

Silvija: Utrolig viktig at de gode deler med hverandre. For de ikke-snille deler også seg i mellom. 

Maria: Det gjør de absolutt og vi kan jo bare lære, vi kan ikke konkurrere på sikkerhet. Vi kan konkurrere om andre ting. 

Silvija: Ikke sant. Nå jobber du fortsatt i SINTEF og leder gruppen for Software Engineering, Safety and Security. Jeg er veldig glad i SINTEF, jeg synes det dere gjør er noe av den kuleste forskningen vi faktisk har. Av og til i akademiske miljøer snakker man om ren forskning og anvendt forskning som litt mer besudlede penger, så tror jeg faktisk dere har de mest relevante og de mest urgent problemstillingene. Si litt om hva anvendt forskning er, hvem er kundene og hvordan finner man prosjekter?

Maria: Anvendt forskning handler om å løse problemer for de som faktisk har de. Vi jobber tett med industri, med næringsliv og med offentlig sektor. Jeg liker veldig godt  å si at vi løser problemer som ingen har løst før. for hvis et problem er blitt løst før så er det andre som kan levere løsninger på det. Men vi vil gjerne gå inn der noen har et problem og ingen har sett på det før, der kan vi bruke vår kompetanse til å finne en løsning, få næringen til å jobbe mer effektivt eller sikrere og vi bidrar til å skape nye bedrifter, også. 

Silvija: Dere gjør dette for industri, næringsliv og offentlig sektor. Jeg har blant annet vært i diverse transport-relaterte utredningsgrupper og har hørt om veldig mye spennende forskning som dere gjør, for eksempel på fremtidens vei, sensorikk og sikkerhet og så videre. Dere jobber også ganske tverrfaglig? 

Maria: Ja, det gjør vi også. Bare i avdelingen min så har vi satt sammen det miljøet som jobber me IT sikkerhet og det miljøet som jobber med safety, der har vi også teknologer og samfunnsvitere som jobber sammen. Vi ser at du kan ikke løse et problem med bare én vinkling, med ett perspektiv. 

Silvija: Hva gjør samfunnsvitere?

Maria: Det er både psykologer og det er sosiologer, det kan være folk som forstår folk, folk som forstår organisasjoner og arbeidsprosesser, hvordan de skal jobbe sammen. Og som ikke er ute etter å lage teknologi for teknologiens skyld. Men de er veldig flinke til å se hvordan samspillet mellom teknologiske løsninger kan være i en bedrift mellom folk som skal bruke den. For å sikre brukerperspektivet, så er det viktig å ha med noen som tenker litt utover teknologien. 

Silvija: Dette er veldig viktig. Ditt fagfelt er informasjonssikkerhet og du er utvilsomt en teknolog, men ledelse-strategi og tilrettelegging og kultur er kanskje noe av det som er viktigst for å få noe glede av ordentlig god informasjonssikkerhet. 

Maria: Ja, helt klart. Sikkerhet er aldri det viktigste for noen. Sikkerhet er egentlig ikke viktig i seg selv heller. Sikkerhet er viktig fordi hvis man slurver med sikkerheten så har det konsekvenser for økonomi eller for liv og helse. 

Silvija: Vi får flere og flere konkrete eksempler, inkludert Hydro for et år siden snart.

Maria: Ja, absolutt og det er et av mine hjertebarn, denne sammenkoblingen vi holder på med nå mellom IT systemer og det vi kaller kontrollsystemer. 

Silvija: Si litte gran om det. Først, veldig kort, lær oss de tre grunnleggende modeller for angrep og si bare to setninger om virus, orm og trojaner. Slik at folk kan forestille seg hvordan dette foregår. Og så litt at vi snakker om dette med kontrollsystemer, industrielle systemer og informasjonssikkerhet.

Maria: Ja. Virus, orm og trojaner, det som er felles for dem og som kanskje er det mest interessante, handler om at det er programvare, programkode, som er laget for å gjøre skade. Forskjellen mellom virus, orm og trojaner handler om hvordan det sprer seg videre. Men det er kommet veldig mange flere varianter av det etter 2002. Poenget er at det er skrevet kode.

Silvija: Det er kodebiter som går inn og låser de noe data eller stjeler noe data, de blir så mange at de kveler systemet.

Maria: Ja, alt det der egentlig. Får systemet til å oppføre seg på en måte som vi ikke helt har styring på, som vi ikke ønsker. 

Silvija: Jeg bare syns at det at folk lærer litt fra konkrete hendelser er også en veldig fin måte å demystifisere på. Jeg sitter og tenker på for eksempel det angrepet på et iransk kjernekraftverk, hvor det var noe software som egentlig fikk varmesystemet til å overopphete, derfor ble det diverse smeltinger. En liten programsnutt kan skape ekstrem store fysiske skader når du vet hvordan du kan  sleppe den inn. Her kommer vi i grenselandet til industrielle systemer. En av de tingene som du nevnte er at du synes det er veldig spennende med at disse ulike systemer med industrielle kontrollsystemer og vanlige IT systemer begynner å møtes og kanskje smelte sammen. Si litt om det.

Maria: Ja, for kontrollsystemer er på en måte systemer som er laget for ett spesifikt formål. La oss ta i kraftbransjen for eksempel, så har det vært teknologiske systemer i lang tid som har styrt kraftforsyningen. Men det har vært systemer som har operert isolert og ikke vært koblet på nett. De var laget for ett spesifikt formål, nettop å styre kraftsystemet. Men så utvikles en ny teknologi som gir nye muligheter og vi ser at her kan vi kanskje få til en fjern-tilkobling. Så kan leverandøren koble seg til fra kontoret sitt og legge inn en sikkerhetsoppdatering eller fikse feil uten å måtte reise ut i felten. Det sparer vi penger på, så det er fint. Eller operatøren kan sitte hjemme eller på kontoret og fikse feil eller operere nettet. Det sparer oss for penger og det er bedre HMS ofte for de ansatte. Og hvis man også kan fjernstyre en oljeplattform uten å sende folk ut dit, så er det selvfølgelig veldig mange gevinster med det. Det vi gjør da er å skape en åpning, vi kobler systemene på nett. Når vi åpner fordi vi trenger det, så åpner vi også for angripere. Slike åpninger klarer vi ikke helt alltid å forstå konsekvensen av, men det gjør angriperne. 

Silvija: Det skaper, som du sier, et helt nytt trusselbilde, fordi vi, for å effektivisere, åpner opp. Så er det litt spennende at man har vandt til å tenke effektivitet på den ene siden og sikkerhet på den andre siden, men nå må vi kombinere det.

Maria: Ja, vi må det. i kontrollsystem-verden har man tenkt safety i veldig lang tid og vært veldig god på det, sørget for pålitelige systemer og robuste systemer og det at systemet ikke skal kunne gjøre skade på omgivelsene, litt enkelt sagt. Men i IT sikkerhet har vi en litt annen tilnærming, der konfidensialitet ofte har vært det viktigste, så har vi vært veldig opptatt av å sikre at ikke omgivelsene, altså folk ofte, kan gjøre skade på systemene. Så det er på en måte en helt motsatt tilnærming. Da lukker man. Da tenker man at hvis det ikke fungerer, da skrur vi det av og restarter, igjen, vi prøver det. Men på en oljeplattform, for eksempel, så vil du ikke prøve det som det første tiltaket, for det koster ufattelig mye penger å stenge ned produksjonen, bare for å sjekke at det kan være riktig måte å gjøre det på. De to tankesettene møtes når vi kobler sammen kontrollsystemer med IT. Når vi snakker om nye trusler, så er det nye trusler for den kontrollsystem-verden.  De truslene er veldig godt kjent innenfor IT sikkerhetsfeltet. Utfordringer er å forene de to verdenene, og det er ulike folk som jobber med to to fagfeltene, det er ulik terminologi, de har ulike prioriteringer, ulike metoder, de holder til i ulike deler av organisasjonen og plutselig får den ene delen av systemet en konsekvens. De blir gjensidig avhengig av hverandre og nødt å jobbe sammen på en helt ny måte. 

Silvija: Dette er noe du har jobbet med i doktorgraden din, også. Da var det fokus på kraftbransjen, men dette tror jeg gjelder alle bransjer. Vi hører mye om dette i sykehusene for tiden, at informasjonen kan være så sikker at pasienten døde. Man kunne ikke åpne det systemet på grunn av sikkerhet, samtidig så vil man ikke sleppe ut våre mest intime data, bare for at vi skal få noen morsommere appen og styre det ene eller det andre med. Hvordan går man fremover?

Maria: Det er et veldig godt spørsmål, for man må hele tiden sikre denne balansen mellom funksjonalitet og sikkerhet. På den ene siden sikkerhet og personvern på den andre siden. Det er ingen som sitter med fasiten på hvordan vi skal gjøre det, men jeg synes det er viktig å tenke at sikkerhet ikke bør være et hinder for at vi skal få til ting. Men det kan hende at sikkerheten i litt større grad enn i dag bør styre tempoet på hvordan vi gjør ting. Tenke sikkerhet først er ofte et bedre prinsipp enn å tenke sikkerhet etterpå. Mens fra toppen av selskapene, så kan det være ønske om funksjonalitet, først. Så kan man si at hvis vi bare får til dette først, så kommer sikkerheten etterpå, fordi det viktigste er at vi får til den løsningen vi ønsker oss. Det er fristende å si det. 

Silvija: Maria, jeg har lyst å spørre deg veldig kort. Du jobber som forskningssjef, hvordan jobber du da?

Maria: Da jobber jeg ikke lenger på forskningsprosjekter, da er jeg leder for avdelingen, så gjør jeg det jeg kan for å tilrettelegge for at forskerene mine får jobbe med det de er gode på. Tilrettelegge mest mulig for forskerene. 

Silvija: Finne gode prosjekter og sørge for at de kommer i mål på riktig måte.

Maria: Ja, absolutt. Sørge for at folk har det godt på jobb og, at de har det best mulige arbeidsmiljøet og best mulig forutsetninger for å gjøre det de er gode på.

Silvija: Ja. Du studerte, fjerde året tok du på universitetet i California på Santa Barbara, du har på en måte din egen Silicon Valley “greie” der i fra. Hva tror du vi bør lære fra dem, mer? Litt sånn internasjonal inspirasjon og litt nasjonal stolthet, de to sidene av saken. 

Maria: Ja, jeg synes det var veldig inspirerende å få lov til å ta fjerdeklassen ute og tok også et halvt år av doktorgraden ved samme universitet på Santa Barbara. Det er veldig fint der og så er det veldig hyggelige folk der, veldig trivelig å bo der, men det var en litt annen kultur på universitet som jeg kjente tiltrakk meg veldig. Det var litt mer tro på å få til ting, tenke litt større. Vet ikke om jeg klarer å sette ord på det, men det var veldig inspirerende å få lov til å oppleve, to ganger, en litt annen kultur. Litt mer satsningsvillig, det synes jeg var veldig inspirerende. Det som var annerledes da jeg tok fjerdeåret der, det var samarbeids-kulturen som var helt annerledes. På NTNU jobbet vi alltid i grupper, mens borte der jobbet man alene. Mye mindre samarbeid i grupper. Man kan godt diskutere med hverandre, men man måtte stå på og levere resultatene for seg selv. Det pushet meg veldig. 

Silvija: Når man har vært ute, så kommer man hjem, så kan man kanskje se ekstra godt det som er ekstra godt her, da. Hva ville du fremhevet?

Maria: Det er nok den samarbeids-kulturen, igjen. Jeg tror man blir bedre sammen. Det å dyrke samarbeids-kultur tror jeg er riktig for oss. Det var kanskje jeg som student som trengte å pushes litt  på å ta litt mer ansvar for mine oppgaver i studiet. 

Silvija: Du jobber også som førsteamanuensis II ved NTNU, og da har jeg lyst å spørre deg om hva tror du er relevant kunnskap for fremtiden, hva er det du vil pushe dine studenter til?

Maria: Det er nok midt i kjernen av det vi har snakket om nå nettop. Det handler om den kombinasjonen av safety og security, og det å forstå begge fagområdene. For i dag har vi ganske mange som forstår det ene og vi har mange som forstår det andre, vi har veldig få som forstår begge deler, kombinasjonen og hvordan vi kan jobbe helhetlig med sikkerhet. 

Silvija: Det som er veldig viktig, som jeg hører deg si, er at i den tverrfagligheten så ligger det noe mer enn å kunne faget, på begge sider. Det dreier seg om å forstå at man har litt forskjellige perspektiver, litt forskjellige referanserammer og det er nesten en slik flerspråklighet som man er nødt til å bli bedre på.

Maria: Ja, og det er veldig fort gjort å si (…) og det har jeg vært borti ganske mange ganger selv, og, når det kommer en med IT sikkerhetsbakgrunn som snakker med folk fra safety området, så har jeg sagt “Men det er jo feil, definisjonen av ordet er egentlig litt annerledes”. Det å heller dyrke den nysgjerrigheten og prøve heller å forstå hvorfor mener du det du sier, hva betyr det og hvordan kan vi utnytte det videre, i stedet for å si at det er feil og at det er jeg som har rett. Det er ganske viktig og ganske åpenbart, egentlig. Men det hender at man må jobbe noen år før man skjønner det i praksis.

Silvija: Jeg spurte deg om det er noe unikt godt vi gjør i Norge, det har vi på en måte berørt litt i forhold til samarbeidskultur, men det du nevnte for meg tidligere var egentlig oljebransjen og kraftbransjen og den industrielle erfaringen vi har der i fra. Men også koblingen mot forskning. Jeg har akkurat vært gjennom en bok om Balchen og hans kybernetikk legacy. Fantastisk mye, egentlig, som jeg tror han har påvirket, som nå spiller seg ut blant annet inn i kraftbransjen og energibransjen, i forhold til de nye. Endelig har vi nok regnekraft til å gjøre det han drømte om med kontrollsystemene sine. Har dere mye glede av det her i SINTEF? Det å jobbe med disse to bransjer hvor vi er ledende i verden.

Maria: Ja, definitivt. Og de er veldig samarbeidsvillig og interessert i forskning, vi har veldig mange forskningsprosjekt, hatt det i veldig mange år med både oljebransjen og kraftbransjen. Så det setter vi veldig pris på, å få lov til å være med å jobbe innenfor områder hvor Norge virkelig er i front i verdenssammenheng. Kjempespennende. 

Silvija: Veldig bra. Maria, hvor skal vi gå for å lære oss litt mer om det vi snakket om? Cyber security kan man sikkert søke på, er det noen gode steder man kunne prøvd å forstå hva industriell safety betyr? Har SINTEF noen rapporter?

Maria: Godt spørsmål. Ja, vi har masse rapporter. Jeg kan jo reklamere for doktorgraden min, avhandlingen min. Vi har en rekke med rapporter, så det er klart at uten at jeg greier å navngi en konkret en, så har vi skrevet ganske mye om det for det er et fagfelt vi har jobbet innenfor i lang tid.

Silvija: Vi legger det inn nå i linken. Har du et lite yndlingssitat, som vi kunne hekte på deg? 

Maria: For det første er jeg veldig glad i SINTEF sin visjon; teknologi for et bedre samfunn. Den synes jeg er veldig god og bør være en ledetråd gjennom alle de prosjektene vi kjører. Så har jeg lyst å legge til en ting til og det handler om den sikkerheten som ikke skal være et hinder, men kanskje av og til en brems. 

Silvija: Veldig bra. Nå har vi egentlig kanskje konkludert også, jeg pleier å spørre folk at hvis du må velge én ting som andre skal huske fra denne podkasten, hva vil du at det skal være? 

Maria: Det er kanskje det siste jeg sa, egentlig. La oss av og til stoppe opp og tenke; hva med sikkerheten her. La oss gjøre det litt i forkant og ikke alltid bygge på sikkerhet etterpå, for det er vanskelig og dyrt, og da hender det at katastrofen kommer litt for tidlig. 

Silvija: Maria Bertnes, forskningssjef ved SINTEF Digital og førsteamanuensis ved NTNU, takk for at du var med oss i Lørn og lærte oss om balansekunst mellom industrielle kontrollsystemers sikkerhet og vanlige IT systemers cyber security. 

Maria: Takk for at jeg fikk delta. 

Silvija: Takk til dere som lyttet.

Du har nå lyttet til en podkast fra lorn.tech, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider lorn.tech.