LØRN Case #C0627
Risikostyring av digital sikkerhet
Hvordan utvikler grunnprinsippene i angrep og digital sikkerhet seg i dag? Og hvor er det flest folk feiler, når det kommer til digital sikkerhet? I denne episoden av #LØRN snakker Silvija med seniorrådgiver hos NTNU digital Sikkerhet i Gjøvik, Gaute Wangen, om hvordan vi bør jobbe med informasjonssikkerhet og risikostyring.

Gaute Wangen

Seniorrådgiver for digital Sikkerhet

NTNU

"Mange av de sikkerhetshendelsene vi ser idag er mangel på grunnleggende ting. At man ikke har fått implementert kjente løsninger på kjente problem"

Dette er LØRN Cases

En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. 

Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.

En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.

Vis

Velg ditt format

Varighet: 26 min

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Hvem er du, og hvordan ble du interessert i innovasjon eller din teknologi?

Jeg er en traust og kjedelig nord-gudbrandsdøl. Har alltid likt teknologi. Vokste opp sammen med datamaskiner, på småbruk, i en idrettsfamilie. Har derfor fått litt av alt og er relativt allsidig, men er ikke superteknisk. Innovasjon er noe jeg har tenkt på en stund, men det var en modning over lang tid før vi kom i gang med prosjektet.

Hva er hovedproblemet du forsøker å løse på jobben din?

Risikostyring av digital sikkerhet på NTNU, for sektoren og senere for enda flere. Innovasjonen vår går også ut på å løse dette problemet.

Hva er ditt hovedprosjekt nå?

Jeg har flere «hovedprosjekter», men innovasjonsprosjektet vil etter hvert bli prioritert ettersom jeg anser å løse dette problemet som hovedoppgaven i min rolle som sikkerhetsrådgiver. Vi kjører også en virksomhetsrisikovurdering hvor vi inkluderer alle dekaner og instituttledere på NTNU. I tillegg til vanlig rådgivning driver jeg formidling både internt og eksternt på NTNU. Jeg underviser flinke studenter på NTNU Gjøvik i Risikostyring og sikkerhetsledelse, og veileder både bachelor og masterstudenter. Skriver både faglige innlegg og vitenskapelige artikler. Alt dette henger litt sammen.

Hvorfor er det spennende?

Mye av dette er spennende arbeid. Innovasjonen bygger direkte på Ph.D.-oppgaven min i tillegg til at vi bruker den erfaringen vi har gjort oss over noen år med forsøk på risikostyring på NTNU. Jeg liker også å ta risiko selv og arbeidet med innovasjon er i mange tilfeller langt utenfor komfortsonen. Å arbeide med motiverte studenter er givende i seg selv. Vi har fått til mange spennende oppgaver sammen.

Hva synes du er interessante dilemmaer innen fagområdet ditt?

Det er mange dilemmaer innen fagområdet mitt, men den jeg mener er mest interessant akkurat nå er åpenhets og delingskulturen i akademia i møte med krav fra cybersikkerhet. Her er det en del konfliktområder og grenser som må trekkes. Forståelsen for problemene vi står overfor vil jeg påstå er generelt lav og det er store interessekonflikter i spill.

Dine andre viktige prosjekter siste året?

Vi har kjørt et morsomt prosjekt på rotårsaks-analyse av passord på avveie de siste årene. Dette var i utgangspunktet en bacheloroppgave som har endt opp som en vitenskapelig artikkel. Prosjektet har også gitt oss et grundig beslutningsgrunnlag og vi måler resultatene av tiltakene vi innfører. I tillegg så har vi kjørt prosjekter på analyse av hendelsesdata, mørketallsundersøkelse, OSINT, sikkerhetskultur og x-antall risikovurderinger.

Hvem inspirerer deg, internasjonalt og nasjonalt?

Det er mange som inspirerer meg. Jeg liker nye ideer og saklige og dyktige debattanter/forskere.

Hva gjør vi unikt godt i Norge, relater til ditt fagfelt?

Vi er flinke til å være åpne om sikkerhetshendelser, dele data og diskutere konsekvensene av cybersikkerhet i samfunnet. I tillegg står personvernet sterkt i Norge.

Hva tror du er relevant kunnskap for fremtiden?

Jeg er konservativ ift troen på teknologi og hvor mye det kommer til å løse. Jeg ser på det digitale sikkerhetsområdet og mange av de problemene vi har nå er de samme vi har slitt med i 40 år. Kunnskap relevant for fremtiden vil være the basics.

Et yndlingssitat vi kan hekte på deg?

«Risk management is a cursed profession. In which one can only be proven right when it is too late” – Nassim Taleb.

Viktigste poeng fra vår samtale?

Risikostyring er en prosess og ikke en risikovurdering.

Hvem er du, og hvordan ble du interessert i innovasjon eller din teknologi?

Jeg er en traust og kjedelig nord-gudbrandsdøl. Har alltid likt teknologi. Vokste opp sammen med datamaskiner, på småbruk, i en idrettsfamilie. Har derfor fått litt av alt og er relativt allsidig, men er ikke superteknisk. Innovasjon er noe jeg har tenkt på en stund, men det var en modning over lang tid før vi kom i gang med prosjektet.

Hva er hovedproblemet du forsøker å løse på jobben din?

Risikostyring av digital sikkerhet på NTNU, for sektoren og senere for enda flere. Innovasjonen vår går også ut på å løse dette problemet.

Hva er ditt hovedprosjekt nå?

Jeg har flere «hovedprosjekter», men innovasjonsprosjektet vil etter hvert bli prioritert ettersom jeg anser å løse dette problemet som hovedoppgaven i min rolle som sikkerhetsrådgiver. Vi kjører også en virksomhetsrisikovurdering hvor vi inkluderer alle dekaner og instituttledere på NTNU. I tillegg til vanlig rådgivning driver jeg formidling både internt og eksternt på NTNU. Jeg underviser flinke studenter på NTNU Gjøvik i Risikostyring og sikkerhetsledelse, og veileder både bachelor og masterstudenter. Skriver både faglige innlegg og vitenskapelige artikler. Alt dette henger litt sammen.

Hvorfor er det spennende?

Mye av dette er spennende arbeid. Innovasjonen bygger direkte på Ph.D.-oppgaven min i tillegg til at vi bruker den erfaringen vi har gjort oss over noen år med forsøk på risikostyring på NTNU. Jeg liker også å ta risiko selv og arbeidet med innovasjon er i mange tilfeller langt utenfor komfortsonen. Å arbeide med motiverte studenter er givende i seg selv. Vi har fått til mange spennende oppgaver sammen.

Hva synes du er interessante dilemmaer innen fagområdet ditt?

Det er mange dilemmaer innen fagområdet mitt, men den jeg mener er mest interessant akkurat nå er åpenhets og delingskulturen i akademia i møte med krav fra cybersikkerhet. Her er det en del konfliktområder og grenser som må trekkes. Forståelsen for problemene vi står overfor vil jeg påstå er generelt lav og det er store interessekonflikter i spill.

Dine andre viktige prosjekter siste året?

Vi har kjørt et morsomt prosjekt på rotårsaks-analyse av passord på avveie de siste årene. Dette var i utgangspunktet en bacheloroppgave som har endt opp som en vitenskapelig artikkel. Prosjektet har også gitt oss et grundig beslutningsgrunnlag og vi måler resultatene av tiltakene vi innfører. I tillegg så har vi kjørt prosjekter på analyse av hendelsesdata, mørketallsundersøkelse, OSINT, sikkerhetskultur og x-antall risikovurderinger.

Hvem inspirerer deg, internasjonalt og nasjonalt?

Det er mange som inspirerer meg. Jeg liker nye ideer og saklige og dyktige debattanter/forskere.

Hva gjør vi unikt godt i Norge, relater til ditt fagfelt?

Vi er flinke til å være åpne om sikkerhetshendelser, dele data og diskutere konsekvensene av cybersikkerhet i samfunnet. I tillegg står personvernet sterkt i Norge.

Hva tror du er relevant kunnskap for fremtiden?

Jeg er konservativ ift troen på teknologi og hvor mye det kommer til å løse. Jeg ser på det digitale sikkerhetsområdet og mange av de problemene vi har nå er de samme vi har slitt med i 40 år. Kunnskap relevant for fremtiden vil være the basics.

Et yndlingssitat vi kan hekte på deg?

«Risk management is a cursed profession. In which one can only be proven right when it is too late” – Nassim Taleb.

Viktigste poeng fra vår samtale?

Risikostyring er en prosess og ikke en risikovurdering.

Vis mer
Tema: Innovasjon i offentlig sektor
Organisasjon: NTNU
Perspektiv: Forskning
Dato: 200309
Sted: INNLANDET
Vert: Silvija Seres

Dette er hva du vil lære:


Kritisk infrastruktur på nettverkSikkerhetshendelseneGrunnprinsipper i digital sikkerhetskultur Folk, prosess og teknologi

Mer læring:

The Black Swan av Nassim Taleb Antifragile av Nassim Taleb

Del denne Casen

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Flere caser i samme tema

#C0037
Innovasjon i offentlig sektor

Dan Sørensen

Senioradvokat

Selmer

#C0036
Innovasjon i offentlig sektor

Malcolm Langford

Professor

UiO

#C0035
Innovasjon i offentlig sektor

Merete Nygaard

Grunder

Lawbotics

Lytt #C0627

Tekst for Case #C0627

Velkommen til Lørn.Tech - en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

Silvija Seres: Hei og velkommen til Lørn i samarbeid med Gjøvik kommune. Navnet mitt er Silvija Seres. Temaet i dag er cybersecurity og gjeten min er Gaute Wangen som er seniorrådgiver ved NTNU digital sikkerhet. Velkommen:

Gaute Wangen: Takks kal du ha.

Silvija: Gaute, du er både forsker og gründer. Har jeg forstått riktig?

Gaute: Ja.

Silvija: Og du er en av Heges babyer.

Gaute: Ja, man kan si det kanskje.

Silvija: Som da har fortalt oss om noen kjempe kule prosjekter som dere da driver å inkuberer ved NTNU. Altså det er grüdner selskaper basert på forskning, men på vei ut til den kommersielle verden.

Gaute: Ja.

Silvija: Og ditt prosjekt dreier seg om risiko styring av digital sikkerhet.

Gaute: Ja, stemmer.

Silvija: Og dette er en munnfull, og du må hjelpe oss å forstå det når vi kommer så langt.

Gaute: Ja. Okei.

Silvija: Og lykke til med det.

Gaute: Det skal gå bra.

Silvija: Også har jeg lyst til å høre før vi gjør det - litt om Gaute. Hvem er du og hvordan ble du interessert i dette?

Gaute: Ja. Nei, altså jeg er som så som sagt en traust og kjedelig Nord-Gudbrandsdøl.

Silvija: Og hva betyr det?

Gaute: Det betyr at jeg prøver å spille på stereotyper her da. Gudbransdølerene blir jo sett på som trauste personer.

Silvija: I utgangspunktet?

Gaute: I utgangspunktet ja.

Silvija: Så dette betyr at du liker å være på tur alene.

Gaute: Ja, det stemmer faktisk. Det er innertier. Jeg liker godt å være på tur alene. Men jeg har ikke så mye tid til det med små unger også videre. Så det er sjeldent det skjer.

Silvija: Nei, så derfor fortaper man seg litt i cybersecurity.

Gaute: Ja. Så jeg arbeider med cybersikkerhet. Og jeg har 10 av hele utdanningsløpet mitt her i Gjøvik. Så jeg har gått fra bachelor helt ut til doktor her.

Silvija: Men du driver også med fisking, vektløfting, ved, bjørk? Også skikjøring og film og sånt? SÅ det er ikke bare cybersecurity her altså.

Gaute: Nei, prøver å være litt allsidig også. Cybersecurity er jobben min. Så prøver jeg å ha litt andre hobbyer ved siden av. Så det er viktig å presisere at ved er viktig. At jeg er gudbrandsdøler og er interessert i ved.

Silvija: Ikke hvilken som helst ved, men bjørk?

Gaute: Ja, og grunnen til at det er bjørk er at jeg har hatt bjørkepollen allergier i 30 år, så jeg føler jeg får tatt hevn hver eneste gang jeg feller et tre. Så jeg tar litt igjen. Viktig å presisere.

Silvija: Føles godt?

Gaute: Føles godt ja.

Silvija: Ikke sikkert det hjelper på allergi, men det hjelper hvert fall på humøret.

Gaute: Ja, det hjelper på humøret, det er det som er viktig.

Silvija: Okei, veldig bra. Og når det gjelder film og tv. Er det noe spesielt der?

Gaute: Ja, jeg liker veldig mye. Jeg like science fiction da. Ting som er høytflygende og litt fantasifullt. Liker jeg godt.

Silvija: Ja. Det liker jeg og. Jeg har en pappa som er den smarteste personen på denne jord, og han liker Steven Seagal.

Gaute: Steven Seagal, ja.

Silvija: Og den skjønner jeg ikke.

Gaute: Nei…

Silvija: Du må psykoanalysere for meg. Steven Segal og skiskyting så er han lykkelig, da. Men okei, tilbake til Gaute og cybersecurity. Risikostyring av digital sikkerhet. Er ikke hele greia risikostyring?

Gaute: Jo, det er akkurat det. At hele greia er risikostyring. Når du prater med folk om cybersecurity så går de ofte i baner av hacker, nye brannmurer og antiviruser. Men det som jeg ser er at dette egentlig er risikoreduserende tiltak ofte. For eksempel brannmur, antivirus. Det er jo tiltak man innfører fordi en eller annen på et tidspunkt innså at risikoen var uakseptabel. Så derfor måtte du ha disse tingene. Så prøv å ha litt overordnet bilde på dette.

Silvija: Hvis jeg forstår deg riktig så sier du at det er ikke sort eller hvit. Det er ikke noe som kan gjøre oss 100% sikre. Det vi prøver er å hele tiden kontrollere sikkerhet og tenke kanskje der hvor det er viktigste hull. Sannsynlighet og konsekvens og sånne ting.

Gaute: Ja. Det stemmer.

Silvija: Du er forsker?

Gaute: Ja.

Silvija: Men du er forsker på IT fronten?

Gaute: Jeg er både forsker og jobbet litt operativt. Jeg jobber som seniorrådgiver i digital sikkerhet på NTNU. Så jeg jobber egentlig i IT avdelingen. Så driver jeg en del med forskningsprosjekt, så driver jeg en del med undervisning. Så jeg har en fot i begge leirene.

Silvija: Men jeg driver og på en måte prøver å nudge oss litt mot Taleb.

Gaute: Ja okei.

Silvija: For jeg lurer på hvor mye matematikk interesse er det hos deg. For du nevner både Black Svan og Anti Fragile fra Taleb, og for meg er dette to skjelesettende bøker som prøver å formidle om hvor dårlig vi mennesker er til å forstå sannsynlighet og risiko. Og hvordan vi prøver å normal fordele alt. Men den er aldri symmetrisk fordelt.

Gaute: Nei, det er helt riktig. Nei jeg er ikke noe super matematisk, men er ganske interessert i statistikk og sannsynlighet og den type ting.

Silvija: Og hva betyr det for sikkerhet og risikostyring?

Gaute: Jeg ser på risikovurdering for informasjonssikkerhet og digital sikkerhet som at det er litt umodent. Det er ofte å si at risikoen er høy. men så vet de ikke helt hva det betyr. Så det å begynne å sette tall på ting og begynne å si hvor sannsynlig er det at en ting skjer og hvor mye den vil koste. Det er et steg mot modning da. Men det er neppe normalt fordelt. Så har jeg jo sett… Det er jo andre som har drevet å arbeidet innenfor dette og de ser som regel ikke noe normalt den kurven. Du har som regel slik som du ser på NTNU, at du har mye små hendelser. Mye støy. Kanskje tar en 10-20 minutter å håndtere. Og det utgjør majoriteten. Også har vi de enkelt hendelsene som virkelig er store og vonde og vanskelige. Som tar lang tid å håndtere og skaper mye skade. Som skilles ut. Men de er jo på andre siden av distribusjonen.

Silvija: For vi tror at dette kommer aldri til å skje. Me de tingene hvis jeg prøver å parafrasere Taleb på en superenkel måte, så tenker jeg at uansett hvor usannsynlig, hvis den hendelsen er noe som du absolutt ikke har råd til. Og du overlever den ikke. Den er så destruktivt. Da må du rett og slett håndtere den.

Gaute: Ja. Taleb sier jo det. Så han sier “to thrive you must first survive”, sier han. Så først må du overleve, også kan du liksom ha det bra. Så det er en god tanke det altså. Og det da jeg ser på cybersecurity siden også. Vi kobler jo opp ting. Ting du kobler sammen som øker kompleksiteten. og som øker antall komponenter innen nettverk. Og øker antall apper på pcen også videre og bygger opp kompleksiteten. Mens forståelsen for hva folk egentlig har går nedover etter som man øker kompleksiteten. Og det er jo forså vidt greit når man prater om nettverk. Men når man begynner å koble ting inn som faktisk er koblet på kanskje både liv og helse. Noe av dette er jo pacemaker og den har jo fått mye mediarom. Og insulinpumpe for eksempel. Men det er jo kritisk infrastruktur. Ting som har fysisk konsekvenser i det virkelige liv. Å koble det inn på nettverk blir utrolig komplisert altså. Og det kan skje ting som du kanskje ikke har forutsett.

Silvija: Jeg lurer egentlig på om det er nettopp den komplisiteten og de gjennomgående konsekvensene som gjør at vi mennesker bestemmer oss for å tenke litt sånn enkelt og naivistisk om sannsynlighet. La oss ta det som er sannsynlig og det andre håper vi at ikke skjer.

Gaute: Ja. Men i noen tilfeller så vil jo du være kjent med at risikoen er så stor. Så stor at hvis risikoen treffer så kan du gå konkurs eller det kan skje ille ting. Men tiltakene for å redusere det er så dyrt at du må bare akseptere det som det er.

Silvija: Men hvordan prøver dere å lage et selskap ut av denne tanken? Skal det være formidling rundt hvordan vi skal tenke rundt risiko og cybersecurity eller skal det være en verktøykasse? Hva tenker du?

Gaute: Nei, nå bygger vi verktøykasse og metode og et verktøy. Det er det vi bygger nå.

Silvija: Som gjør at folk analyserer bedre?

Gaute: Ja. Også jobber vi med å utvikle metode som gjør at du kan hvert fall begynne å forstå hva du har. For ofte så er det slik at når du gjør risikovurdering så blir det trigget et behov. Så du merker at okei dette systemer her så er det sensitiv informasjon. Eller der er det kritisk informasjon. Eller en prosjektmetodikk om at nå må du risikovurdere et eller annet. Men det er ikke noen plan bak. Det er ikke noe helhetlig tanke bak. Det blir bare trigget etter behovet. Så gjennomfører de risikovurderinger også finner de kanskje de risikoene som er viktig der og da og får kanskje fikset dem. Men alt de andre, sant. Hele risikostyringsprosessen og der du identifiserer risikoen ved å rapportere det bort. Og få rapportert det opp til ledelsen så dem forstår. Og får fulgt opp tiltak senere i løpet og over år da. Det uteblir ofte. Og mye av dette, storparten av dette på informasjonssikkerhets del foregår mye på Excel ark. Så det vi tenker når vi prøver å ta tak i noen problemstillinger så prøver vi å binde det opp i systemnivå. Så sier vi først at vi må kartlegge systemene dine og finne ut hva du har. Og når du har kartlagt stemmene dine og funnet ut av hva du har så kan du vurdere kritikaliteten i de systemene du har. Så si for eksempel dette systemet det håndterer sensitiv personopplysninger. Ergo er det ganske kritisk. Også kanskje det systemet her er du avhengig av for å betale lønn. Ergo så vil integriteten i deg, at du må kunne stole på dette gjør de riktige tingene og det det skulle gjort. Ergo er det er kritisk system. Vi lever jo i en verden med begrensede ressurser. For å ta et eksempel så med oss på NTNU IT sikkerhet, så er det jo opp til personene av hvem av oss som kan drive med risikovurderingen. Også er det over 800 systemer. Så vi har ikke sjanse til å komme oss igjennom alt dette på egenhånd. Så først vi må få prioritert. Også må vi i stand gjøre de ute i organisasjonen til å jobbe med dette på egen hånd, da. Så innovasjon vår slik sett kommer fra det behovet, den bygger på doktorgraden min og bygger på det arbeidet jeg gjorde der. Men den kommer og fra det  behovet som vi har internt, da. Som også er identifisert etter å ha brukt tre år på å bygge dette ordentlig.

Silvija: Og hvordan beskriver du da hovedprosjektet ditt?

Gaute: Hovedprosjektet mitt, du tenker da…?

Silvija: Det du jobber med nå om det er TTO eller eksternt.

Gaute: Jeg jobber jo en del med denne løsningen her da. Og prøver å få kikk på det her. Men det vi jobber mye med er også å prøve å bygge prosesser. Så prøve å bygge en god risikoanalyse prosess. Og prøve å få standardisert den prosessen slik at de som er med i risikovurderingen de kjører gjennom et løp og standardisere det løpet slik det løpet går gjennom: Og det er nødvendig for at vi skal kunne identifisere svakheten i den prosessen. Og forbedre den, sant. Så kan vi ikke ha x antall folk som gjør forskjellige ting. Da har vi ingen mulighet til å sammenstille resultatet etterpå. Så har vi ingen mulighet til å lufte opp slik ledelsen ser hva som foregår. Så hovedoppgaven er å få begynne å jobbe med the basics. Få på plass de mest grunnleggende tingene. Så ser vi at mye av de sikkerhets problemene som foregår både i samfunnet og hos oss og mange andre det er rett og slett mangel på grunnleggende ting. At en ikke har fått implementert, eller ikke fått sett i drift kjente løsninger på kjente problemer. Beste praksis også. Mangel på beste praksis.

Silvija: Der utvikles beste praksis veldig fort, også har dere det dilemmaet at kanskje ligger akademia litt foran på noen områder. Også ligger kanskje forsvaret og sikkerhetsstyrkene våre foran på andre områder. Også ligger næringslivet foran på tredje. Også ligger hackene på fjerde. Også er det ikke så enkelt å dele.

Gaute: Jeg er ikke helt enig i antagelsene dine om at det utvikles veldig fort. Jeg er ikke enig i det altså. Det utvikles ikke så fort det her.

Silvija: Grunnprinsippene.

Gaute: Grunnprinsippene holdes ganske stødige også er de stabile.

Silvija: Du mener type angrep og?

Gaute: Ja angrepstyper og det som kalles “exploit”, altså muligheten for utnytting. Der er det ganske kjapt framdrift. Men de grunnleggende tingene for sikkerhet er ganske stabile.

Silvija: Altså type prinsipper for beskyttelse for data og passord og sånne ting?

Gaute: Akkurat sånne ting. De mest grunnleggende tingene. Og det er ofte der man ser at folk feiler. At de prater om soneinndeling i nettverk. At du kan ha den ytterste sonen der du kan ha litt webservere og sånne ting. Ting som ikke er så viktige. Også vil du gjerne ha en sone bak der som du kanskje kan ha litt mer kritiske ting. Også kan du kanskje ha en sone helt bakerst med enda flere soner. Så vil du ha noen kontroller på de som flyter mellom her. Det er helt grunnleggende arkitektur. og den type sikkerhetsarkitektur har vært kjent i tusenvis av år. Og det er bare at du tar det over i cyberspace og bygger det inn der. Så en del av prinsippene er eldgamle. Som passordene som du har hatt i alle har. Og det kommer vi og til å ha. Mange sier de kommer til å forsvinne, men de kommer ikke til å forsvinne.

Silvija: Og to-faktor autentisering og en del sånne grunnprinsipper rundt det som vi burde ta til oss.

Gaute: Og hvis en har alle basicene på plass, så vil det si at en er bedre enn 99% av resten. Alle norske bedrifter for eksempel. Hvis en klarer å levere på alt dette.

Silvija: Kan jeg spørre deg - er vi litt uvillige til å forklare det som er enkelt og stabilt godt nok. Burde ikke vi ha et lite dokument med 10 bud? For cybersecurity, og dette er det første du må krysse av før vi snakker noe mer om risikovurderinger?

Gaute: Ja, nå har jo NSM gitt ut det her grunnprinsipp dokumentet sitt. Og det er jo bra. Men der er det 144 bud tror jeg.

Silvija: 144 bud...

Gaute: Det er litt mange da.

Silvija: Det høres kanskje ikke så prinsipielt ut da. Vi styrer på detaljer på hvordan vi skal gjøre ting i stedet for å styre på hvorfor vi skal gjøre ting.

Gaute: Jo, men de forklarer godt hvorfor du skal gjøre ting, da. Hvis du tenker det som er beste praksis. Så er jo beste praksis kjente løsninger på kjente problem. Og det som er med grunnprinsippene spesielt for NSM, er at hvis du ikke har dette på plass - for eksempel de kan gi et prinsipp også hvis du ikke har det prinsippet på plass, så vil du bli truffet av denne risikoen her. Da vil den treffe deg. Så du trenger ikke så mye risikoanalyse bak for å gjøre de tingene her. For her vet de at hvis du ikke har dette på plass så er det manglende cyber hygiene.

Silvija: Det er grunnleggende hygiene også ville du gjerne hatt litt strategi på toppen.

Gaute: Ja, så du har beste praksis som alle burde innføre hvis de har den type nettverk eller den type IT system som blir truffet. Så har du det som er mer analyse som er god praksis, da.

Silvija: Ja. Kan du snakke litt om dette prosjektet ditt som går på rotårsaks-analyse på passord på avveie?

Gaute: Ja, det er ganske morsomt.

Silvija: Hva kan vi lære av det?

Gaute: Det treffer ganske bra det vi akkurat diskuterte. Fordi passordsikkerhet er jo et område som du skulle tro var ganske løst. At dette burde vi ha kontroll på. Men på NTNU så har vi hatt ganske store problemer med passord sikkerhet og har hatt ganske mange hendelser og ganske alvorlige hendelser på dette. At folk har kommet seg inn i  infrastrukturen vår og logget inn og gjemt seg bak infrastrukturen og angrepet andre eller gjort andre ting, da. Som ikke er nødvendigvis positivt. Så vi må finne ut av hvorfor dette skjer. Hvordan kom passordene seg på avveie. Og da ble det satt i gang en bacheloroppgave. Og der var det en studentgruppe som tok den og da satt de i gang en rotårsaksanalyse da. Og da samles data fra ca. 75 personer som hadde vært utsatt for passord på avveie. Også hadde vi en database på 150 også hadde røflig 50 personer svart på den undersøkelsen. Så finnes  det ut en del om hvordan det foregår da. I forkant antok vi at det var nettfisking. Altså fishing. At du får en e-post om å oppgi passord og brukernavnet som var det store problemet. Men det var ikke det. Problemet var at de brukte samme passord overalt og det var svake passord i utgangspunktet. Så dem tok NTNU passordet sitt også brukte de dem der de registrerte seg på andre steder fordi det er lettvint. Det er lettvint å bruke samme passordet. Og problemet er at hvis du da logger inn og har samme passord overalt så øker jo du sjansen at det kommer på avveie hvis en av de tjenestene blir hacket da. Si at hvis du har 10 tjenester så blir jo sannsynligheten 10 ganger større for at det blir tatt. Og hvis de i tillegg har dårlig sikkerhet i seg selv og ha lagret passordet på en dårlig og svak måte og du har svakt passord så kommer det på avveie.

Silvija: Du åpner et vindu som går til ganske mange rom etter hvert.

Gaute: Ja rett og slett. Og da blir det lagt ut på internett også få angriperne tak i det også logger de inn som oss. Så det var årsaken der da også innførte de noen tiltak basert på det, da. Basert på de resultatet vi fikk der. Og en masterstudent i samarbeid med meg og to andre har utarbeidet en paper og hadde den i masteren og presenterte den. Så det var ganske spennende. Så nå fortsetter vi med dette og måler resultatene over at dette går.

Silvija: Du Gaute, jeg spør hva gjør vi unikt godt i Norge relatert til ditt fagfelt og du sier at vi er flinke til å være åpne om sikkerhetshendelser og mitt inntrykk er det samme for eksempel etter det som har skjedd på Hydro. Så har Hydro og diverse sikkerhetsaktører vært veldig flinke til å gå rundt å lære resten av landet om hva som skjedde og hvordan man skal beskytte seg.

Gaute: Ja det er jeg helt enig i. Både Hydro er et kjempe eksempel på åpenhet og fortalte hva som hadde skjedd og håndterte det bra. Men du har og Visma. Visma i fjor gjorde akkurat det samme. Gikk ut og hadde full åpenhet om at de hadde vært infiltrert av en statlig aktør. Og fortalte om det og hvordan det hadde foregått. Og det er jo kjempenyttig for går du ut og forteller om hvordan aktøren agerte ofte inne i nettverket og fortalte hva dem var ute etter og hvordan de jobber. Og på bakgrunn av det så kan andre beskytte seg mot det problemet. Det er kunnskapsdeling da.

Silvija: Mhm. Jeg har også spurt deg om hva ud tror er relevant kunnskap for fremtiden og her sier vår traust og kjedelige Nord-Gudbrandsdølingen at jeg er konservativ i  forhold til troen på teknologien og hvor mye det kommer til å løse. Den må du pakke ut.

Gaute: Ja det er greit. Jeg ser at når jeg går ut på markedet og slikt og ser at det er mange som har lyst til å selge meg ting. Men dette med sikkerhetsproblem, det kommer. Først er det folk også er det prosess og så er det teknologi i den rekkefølgen.

Silvija: Folk, prosess og teknologi.

Gaute: Ja. Så først må man investere i folk. Og få folkene på plass og drive opplæring o g kanskje få den rette kunnskapen på plass. Så kan man jobbe med prosessene sine og få gode prosesser og rapporteringsprosesser på plass. Og når først det er kommet inn så begynner man med teknologi i den rekkefølgen. Men det er jo ikke så lett å selge et produkt som trener opp folk, da.

Silvija: Hvor folk trenger å lære noe. Sitte å jobbe med mye læring.

Gaute: Ja, og ser i markedet og har skrevet noen innlegg for å provoserer tidligere, men jeg har sagt at 90% av sikkerhetshendelser våre angår folk og 10% angår teknologi. men sikkerhetsbransjen kommer til å fortsette med å fokusere på de siste 10%.

Silvija: Ja. Mye lettere å få solgt.

Gaute: Ja, mye lettere å få solgt. Så jeg tror at først må du jobbe med folk og trene folk. Og trene folk. Få dem til å forstå hva som foregår og jobbe med forståelsen av teknologi.

Silvija: Der håper vi mange hører på denne podcasten og begynner med å lære der, da.

Gaute: Ja, begynnå tenke gjennom hvilken verdier du egentlig forvalter, da. Det er så lett å forstå -  når du er ute å kjører bil for eksempel så er det så lett å forstå alle risikoene. Du ser bilene kommer mot deg og du skjønner at hvis du krasjer med denne så smeller det. Men når du sitter på telefonen din om kvelden og sitter å scroller og kanskje deler bilder hit og dit og kanskje deler bilder av unger også videre. Det er ikke så lett å forstå hva som egentlig foregår da og hvilken risiko du utsetter deg for. Det er ikke intuitivt for oss. Også må vi virkelig legge inn en mental innsats for å forstå.

Silvija: Ja. Gaute, jeg spurte deg om anbefalt lesing og du anbefalte The Black Swan og en annen bok som heter Anti Fragile av Nassim Taleb. To setninger om disse bøkene.

Gaute: Knallbra bøker. Knallbra bøker. Jeg satt å tenkte at når jeg fikk det spørsmålet skal jeg virkelig gi dem noen fagbøker eller skal jeg gi dem noe som er interessant og morsomt å lese. Så da tenkte jeg at dette med Taleb, han er en skikkelig smarting.

Silvija: jeg synes det er utrolig gode bøker også synes jeg de er ikke lette å lese. De krever ganske mye av leseren, men det er verdt det.

Gaute: Ja, det er verdt det også er det viktig med dette med cyber security at du begynner å tenke utenfor boksen og begynne å tenke litt større. Og han der han er en ekspert på å tenke større. Tenke nye løsninger og tenke gjennom ting. Skikkelig fritenkere han der Nassim Taleb.

Silvija: Og du har også et lite yndlingssitat fra ham?

Gaute: Ja.

Silvija: Si det.

Gaute: Ja, det må jeg jo lese. “risk management is a coursed profession in which one can only be proven to be right when it is too late”. Den er fra Nassim Taleb. Og den synes jeg er fint. SÅ du kan jo gå å advare om ting og rope ulv og ulv, men du blir jo ignorert. Også når det først smeller så er det jo for sent da.

Silvija: Jeg liker å tenke på den måten at de tingene når de først smeller, og du ikke har råd til at det skal skje, da burde du gjøre noe med det. Uansett hvor lite sannsynlig. Og sånn er det litt med klima og litt med cybersecurity. Det koster mye å fikse, men tenk hvor mye det koster å ikke fikse det.

Gaute: Helt enig.

Silvija: Vi har snakket mye om risikostyring. men hvis du måtte oppsummert det, hva er det viktigste poenget fra vår samtale?

Gaute: Det viktigste som vi ikke har touchet så mye, men det som folk må forstå og som jeg har bitt litt i det sure eplet og forstått selv er at når du driver med risikostyring så handler det ikke om en enkel risikovurdering. Det ligger mange kjempe gode risikovurderinger rundt omkring i det ganske lang som aldri har blitt brukt og som har blitt stuet ned i en skuff og sjekket av en hake i en checkbox. Det viktigste med risikostyring er å få på plass prosessen først. Få det til å virke, identifisere risiko og håndtere risiko. Jobbe med det og rapportere. Og når det er på plass, først når det er på plass så kan du begynne å jobbe med metoder. Forbedre metoder og gjøre prosessen bedre rett og slett. Men prosessen først også risikovurderingen. Det er hovedbudskapet mitt.

Silvija: Risikostyring er en prosess og ikke en risikovurdering.

Gaute: Ja ikke en enkel risikovurdering ja.

Silvija: Veldig bra. Gaute Wangen, seniorrådgiver ved NTNU digital sikkerhet. Og gründer rundt risikostyring og digital sikkerhet. Tusen takk for at du var med oss i Lørn og inspirerte oss til å tenke helhetlig rundt cybersecurity.

Gaute: Ikke noe problem. Kjempe trivelig å være her.

Silvija: Takk til dere som lyttet.

Du har nå lyttet til en podcast fra Lørn.Tech - en læringsdugnad om teknologi og samfunn. Følg oss på sosiale medier og på våre nettsider Lørn.Tech


Quiz for Case #C0627

Du må være Medlem for å dokumentere din læring med å ta quiz 

Allerede Medlem? Logg inn her:

0

C0627 CYBERSEC Risikostyring av digital sikkerhet. - med Gaute Wangen

1 / 3

Hvilket grunnleggende sikkerhetstiltak basert på gamle prinsipper ble nevnt?

2 / 3

I et prosjekt ved NTNU med bruk av rotårsaksanalyse ble det undersøkt hvorfor passord kommer på avveie. Hva var årsaken?

3 / 3

Hvilken nevnt bedrift har vist stor åpenhet om infiltrering?

Your score is

The average score is 0%

Du må være Medlem for å kunne skrive svar på refleksjonsspørsmål

Allerede Medlem? Logg inn her: