Hei og velkommen til LØRN - 1500 lærings historier fra de beste fremtids tenkerne og skaperne. På LØRN.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.

Frode Skaarnes: Hei og velkommen til LØRN Og denne podkasten som vi lager sammen med Colombi. Jeg heter Frode Skaarnes, og i dag har jeg besøk av Ragnhild Sageng, også kalt Bridget, som jobber som ethical hacker i Orange CyberDefense. Og Stian Estil, Head Of Products in Business Models i Visma. Og i dag skal vi snakke om det jeg synes er mest moro, nemlig sikkerhet. Før vi starter må du fortelle litt Bridget hva er en ethical hacker? Og hva i alle verdens dager Orange Cyber Defence? 

Ragnhild Sageng: Ja, en ethical hacker, eller etisk hacker er da en som får betalt for å prøve å bryte seg inn i systemer. Ganske interessant jobb. Vi gjør det ofte for å teste systemene sånn at angripere ikke får kommet seg inn ved at vi prøver å avdekke hull, da. I Orange cyber defence er det en liten del av det vi driver med. Det er flere ting der, men det er spesialisert på sikkerhet og driver da med IAM, skisikkerhet, GRC, Compliance greier og da offensive security som jeg jobber med.

Frode: Stian? Visma?

Stian Estil: Visma, Europas største leverandør av forretningsløsninger kaller man det gjerne, da. Visma Software som det kommer fra så leverer vi jo det i Norge. Regnskap, logistikk, lønnssystemer og alt som hører med.  

Frode: Så dere får det til å gå rundt i virksomheter?

Stian: Vi får det til å gå rundt, og det meste av det vi gjør er lovpålagt.

Frode: Bra. Det er et godt utgangspunkt. Penger er vi alle glad i, og vi er glad vi har ryddighet rundt dette. Og så merker vi jo det at der hvor det er penger, så er det også en eller annen trussel som kan utgjøre en risiko for oss. Så hvis vi starter med Visma systemene Columbi faktisk tilbyr sine kunder. Hvis vi skulle tenke trusler mot dette, Vi har jo for eksempel sky tjenester som er et fenomen som alle kjenner til. Hvor skal vi liksom starte og tenker rundt dette?

Stian: Nei, det er jo nok å ta av. Så det er kundene gjerne da som er opptatt - eller vi er opptatt av trussel selvfølgelig, også er vi opptatt av å identifisere risikoene og selvfølgelig sørge for at vi tar de ned mest mulig, da. Og fra et kunde perspektiv så er det mye klart kunder kan bekymre seg for. Du kan gjerne skille kunden inn i to kategorier. De som har greie på sikkerhet og som har egne ansatte som jobber med temaet. Og de er jo krevende å tilfredsstille. De stiller mange gode spørsmål. Også har du de fleste som leser om det i avisen og har et vist forhold til det, men det er litt diffust, da. Og hva er det de da skal bekymre seg for som er den største trusselen. Og den aller største trusselen er mennesker. Det vil si det er det svakeste leddet i leveransekjeden. Både hos kunden og hos Visma og våre samarbeidspartnere, egentlig. 

Frode: Og da kan vi si at du, Ragnhild. Du lever jo egentlig av å utnytte sårbarheten hos mennesker. Så hvordan i alle verdens dager kan dette være den svake lenken i et kall det skytjeneste perspektiv, for eksempel?

Ragnhild: Ja, jeg er veldig på den med at vi kaller det for det svakeste leddet. Men vi kan også få til å være det sterkeste når det kommer til mennesker. Så er det slik at det finnes blant annet mennesker som jobber innad i selskaper som kanskje ikke vil selskapet godt eller ønsker å ut informasjon, og som bruker de tilgangene de får tildelt der eller bruker andre mennesker for å få tilgang. Eller da noe så enkelt som det at et menneske som jobber, men noen kritiske systemer har fått en e-post og trykker på en link og plutselig har gitt fra seg sine logg inn via den.

Frode: Så du har liksom både de med litt uredelige hensikter sånn i bunnen av til de som er litt naive. Eller du har ikke gode nok tekniske systemer til å identifisere sårbarheter som da blir en et vis en innsider uten å ville være det i utgangspunktet.

Ragnhild: Det er mange å ta av.

Frode: Det jeg lurer litt på. Jeg antar at både Visma, Columbi og alle de får spørsmål fra kundene sine. Hva er det jeg skal være redd for? Og hva kan du si, liksom? Hva er vel gode spørsmål og hva er spørsmål du liker å få når du sitter på jobben?

Stian: Spesielt på grunn av GDPR, så er man kanskje mer bekymret er mitt inntrykk for at persondata skal komme på avveie enn at data på generell basis skal komme på avveie. Særlig med regnskapsdata. Hvor farlig er det? Det havner jo i Brønnøysund etter hvert også kan vi alle lese de. Men persondata har jo en del konsekvenser. Det har konsekvenser i form av at bedriften kan straffes for det. Også kan de ha uheldige konsekvenser for de menneskene som de dataene handler om, da. Det blir mye spørsmål om det, og da er det for eksempel hvilke tiltak er det vi gjør for å sikre at persondata ikke kommer på avveie? Det er de mest opptatt av. For eksempel er det jo helt vanlige kunder som spør om vi krypterer. Det har de hørt om. Så om vi krypterer dataene på vei til datasenteret og om vi krypterer dataene når de får hvile i datasenteret for eksempel. Det er ikke uvanlige spørsmål å få. Det er det ikke.

Frode: Når det gjelder - dette er jo veldig detaljerte spørsmål. Man har jo kanskje spørsmål som sier litt mer om systemene dere forvalter. Kan du si litt om hva ville du stilt en leverandør spørsmål om? 

Stian: Jeg ville stilt spørsmålet har du et kvalitetssystem basert på noen anerkjente industristandarder som går på det med sikkerhet. For eksempel ISO2121 som Visma bruker i forhold til leveranser av våre skytjenester. Også er det et vanlig spørsmål  med okey, du har det ja, det er bra. Hvordan vet vi at dere faktisk etterlever det kvalitetssystemet? Og da finnes det jo uavhengige revisjonsrapporter. Det som så fint heter ISAE3402 på fagspråket. Og noen kunder spør om det, mens andre sier at vi har en sånn ISO sertifisering også har vi leid inn et eksternt selskap som har lagd en 50 siders rapport som de gjør hvert år og gått oss skikkelig i sømmene. Vi er veldig åpne på hva vi er gode på og våre feil og mangler. Du kan lese om alt det i denne lille boken som vi utgir hvert år. Og det er mange fornøyd med. De synes de har gjort en god jobb selv når de har sett gjennom det. 

Frode: Som trussel perspektiv - dere har jo vært veldig åpne, åpne om saker som har truffet dere også. Kan du si litt om hvorfor dere har valgt en sånn profil? 

Stian: Det ene er at vi har det vi kaller en full Disclosure policy på engelsk. Det betyr at vi vi skal være åpne og transparente. Vi skal vise at vi også kan ha sårbarheter, gjøre feil. Og så vil vi jo gjerne dele den erfaringen med andre norske bedrifter så de kan lære av de feilene vi har gjort da, og ikke minst hvordan de kan bli enda bedre da til å stoppe ondsinnede hackere.

Frode: Ragnhild, Hvis du skulle inn i et sånt system gjennom - eller komme deg inn til data lagret på et datasenter. Hvordan ville du tenkt da?

Ragnhild: Ja, der ville jeg først og fremst begynt å kartlegge firma i seg selv som har disse tjenestene. Jeg ville begynt å se etter ulike svake punkt. Nå skal det sies at veldig mange av de skytjenestene som blir levert ofte er litt perifere. Det er litt langt unna i forhold til hvordan en angriper vil initialt starte når de går mot et firma. Så de vil da gjerne først se på stort sett på menneskene, på den fysiske sikkerheten på nettsiden dems og så videre, og det som ligger åpent ut mot internett. Det de har lagret i skyen, og det ser vi ofte på det som er åpent ut mot internett, og en angriper ville ha begynne å sjekke det og se om de finner noe smutthull der da, som kan gjøre at de kan hente ut data for videre å komme seg inn da.

Frode: Når dere jobber. Dere har jo deres del av verdikjeden, og så er kundene ansvarlig for sin del og Columbi er ansvarlig for sin del. Hvordan risiko vurderer det underveis? Og hvordan prøver dere å kontre sånne som Bridget, men da med - ikke de som har noble hensikter som henne? Men de som har andre hensikter? 

Stian: Det å gjøre en grundig vurdering av de underleverandørene man bruker da. Så kan du si den viktigste som alle kunder også spør om er hvilke datasenter vi bruker. Det er kanskje den enkleste delen også. Vi bruker typisk Microsoft og Amazon, de to kanskje største i verden. Og kunden er ofte kjent med at det er ganske sikkert. Det som kundene ikke har like mye innsikt i er alle underleverandørene vi bruker for å lage softwaren. Og det er en kontinuerlig trussel egentlig. Eller ikke bare egentlig, for det er det. I de underkomponenter fra fra underleverandører vi bruker så vil det være feil og svakheter. Og det er ikke uvanlig. Vi hadde jo en sak i fjor og da står det plutselig på mange sånne sikkerhetssoner rundt om kring i verden. Nå er det en typisk open source komponent som mange bruker i sine IT løsninger, som har en sånn sårbarhet. En kritisk sårbarhet. Og da vil jo kundene våre spørre om dette er noe Visma bruker? Også sier vi ja, det er det faktisk. Og da er er det sånn at vi hadde faktisk et par dager allerede før fanget opp dette gjennom de verktøyene vi bruker for å gjøre såkalt cyber trait intelligence. Vi fanger opp signaler og rendrer sånne sårbarheter fra alle de komponentene vi bruker. Og de vi ikke bruker også. Også analyserer vi det også ser vi hvordan det hele tiden kan være en trussel for den programvaren vi lager. Så det å ligge i forkant hele tiden på å fange opp sånt er utrolig viktig. Og i det tilfellet klarte vi det på en bra måte.  

Frode: Veldig bra. Hvis du skal ta det litt videre. Det er dere. Så har du Colombi, og så har du menneskene som eier små og mellomstore og store virksomheter med ulike kapasiteter og kompetanse til å gjøre disse vurderingene. Hvor kan få folk få hjelp til å gjøre dette på en god måte sånn at man er i forkant? 

Stian: Når du kjøper en skyte eneste fra Visma som eksempel, så er jo mesteparten ansvaret hos Visma for at det leveres sikkerhet. Så har vi noe som heter Visma Trust Center. Og forholdsvis for vanlige folk forteller hvordan vi jobber med personvern og sikkerhet og de tingene. Det å sette seg inn i hva Visma gjør på overordnet nivå er forsåvidt ganske lett tilgjengelig. Jeg pleier å bruke som eksempel når vi vet om alle de truslene som finnes på internett i dag - hvor mange av oss som privatpersoner bryr seg veldig mye om sikkerheten i banken vi bruker. Nettbanken vår. Bekymrer vi oss veldig for det? Nei, vi gjør jo ikke det Vi forventer at det har banken kontroll på, også vet vi at banken i tillegg er tungt kontrollert, da. Og det er litt sånn med veldig mange av Visma sine kunder. De har en klar forventning av at vi har kontroll på det. Noen gjør ingen som helst risikovurdering heller. Noe de forsåvidt burde gjøre. Men hvis de gjør den risikovurderingen så vil de se at Visma bruker veldig mye ressurser. Har gode kvalitetssystemer og gode prosesser på dette. Så dette virker bra. Jeg kan være ganske trygg på at Visma har kontroll på dette. 

Frode: Litt sånn som Ragnhild sa i stad, mennesker er jo et potensielt svakt ledd på den måten at man kan utnytte mennesker. Mennesker lar seg manipulere gjennom for eksempel sosial manipuleringsteknikker. Og sånn sett kan man få virus inn i systemene. Hvordan fungerer dette når en av kundene deres får det i seg? Er det sånn at det ligger åpent tilgjengelig for alle eller burde man bli bekymret da? Hvordan fungerer dette i praksis? 

Stian: Det som er er at hvis du flytter til skyen med noe software. For eksempel et økonomisystem. Så betyr ikke det at du ikke har noe lokal IT infrastruktur. Du har fortsatt laptoper og et lokalt nettverk og kanskje eller kanskje ikke en server med noen andre ting. Så hvis du er så uheldig og får et løsepengevirus som vi alle har lest om som da krypterer alle dataene på alle pcene til de ansatte for eksempel. Så vil jo i utgangspunktet de skytjenestene du bruker ikke være berørt av det. Vi vil ikke uten videre bli rammet av det. Så det betyr at du veldig raskt og operativt kan få tak i skytjenestene dine igjen, da. Men de dataene du bare har lagret lokalt har du et problem. Det er ikke sikkert du får de tilbake igjen. 

Frode: Men du som en etisk hacker, hva slags rettigheter er dere på jakt etter når dere kommer dere inn i folks systemer? 

Ragnhild: Gjerne høyest mulig da, som man sier. Men vi starter jo gjerne først hvis vi først får et sånt inngangspunkt på en lokal maskin. I tester også når vi får en tiltrengt test av en vanlig bruker så bruker vi tid på å eskalere de rettighetene opp til gjerne type administrative rettigheter på systemene.  

Frode: Når du har fått det. Hva er det du bruker de til? Og etterpå skal du få lov til å fortelle meg hva gjør dere når dere har en utro tjener eller en utenforstående som har fått rettigheter som kan gjøre andre ting i det systemet man da har logget inn på som en ordinær bruker?

Ragnhild: Ja, som en tester så har vi visse grenser for hva vi skal gjøre. Men en angriper vil jo gjerne tatt å hentet ut data eller kanskje funnet steder hvor de kan legge inn forskjellig spionvare eller lignende for å drive med industri spionasje. Og de ville kanskje også i verste fall slettet data eller tatt dem som gissel på en softisitert måte. Blant annet. 

Frode: Og hva gjør dere da Stian?

Stian: Det er jo sånn at det er rimelig vanntette skott mellom Visma sin infrastruktur og de alle ansatte til daglig der de jobber for å betjene kundene våre. Utvikling, test og produksjonsmiljøer er veldig godt atskilt. Og produksjonsmiljøet er det desidert vanskeligste å komme inn på. Det vil si at hvis du skal hacke Visma, så er det å gå på oss som leverandør som sannsynligvis er det enkleste. Å lure noen av de ansatte med for eksempel phishing og den veien inn. Og hvis du først kommer inn der og det har skjedd, så er det veldig vanskelig å komme videre. Og for eksempel en utro tjener i en utviklingsavdeling på en skytjeneste er krise. Og spørsmålet hva slags risiko reduserende tiltak kan du gjøre i forhold til det. Og da er det en del fag uttrykk og kjente mekanismer man bruker. Du har det du kaller segregation of duties. At det er flere mennesker involvert i prosessen for å få tilgang til produksjonsmiljøet. Det er det som kalles privilegert user management det vil si ingen får tilgang til produksjonsmiljøet uten at det er med en bestemt hensikt, tidsbegrenset og det er logget hvorfor han skal ha det. Hvis du skal ha tilgang så er det veldig komplekse administrator passord med tofaktor-autentisering. Og du får heller aldri lov å gå direkte. Du skal via en bastian som det gjerne kalles. Altså via en mellom maskin så du ikke får direkte tilgang. Det er mange lag av sikkerhet og prosesser som allerede er der for å ta høyde for en utro tjener. Og det er jo sånn som kunder ikke spør om bortsett fra den ene prosenten. Og da spør de om alle disse tingene. De som har peiling har en lang liste med spørsmål om akkurat disse tingene. Og i verste fall sier de beskriv prosessen. Men det er ikke sikkert de orker. 

Frode: Men dette er jo kjernen egentlig, så det er egentlig kunnskapen om å bestille tjenester hos dere som er mangelfull i et sånt sikkerhetsperspektiv sånn som dere opplever der i Visma. 

Stian: Ja, det vil jeg jo si. Igjen tilbake til GDPR. I personvernloven heter det vel på norsk da. Der står det jo at hvis du velger å behandle persondata som bedriften eier hos en ekstern part. For eksempel en skytjeneste leverandør. Så er bedriften pålagt å gjøre risikovurdering. Det er en interessant greie, men nå har jeg ikke testet det i norsk rettssystem enda. Men la oss si at vi driter oss ut. Og data kommer på avveie gjennom våre skytjenester. Så er jo kunden uansett ansvarlig fordi det er kunden som eier dataene. Og datatilsynet vil gå på kunden som eier dataene. Kanskje på Visma også, men først kunden. Så spør Datatilsynet hvilke risikovurderinger gjorde dere når dere valgte Visma som leverandør? Og da spørs det om det holder å si at Visma er jo kjempestore, de må jo være kjempeflinke. Er det godt nok eller kan de dokumentere at de faktisk har brukt Visma sitt trust center? De har sendt dokumentasjon. Ingen kan sjekke om de har lest den, men de kan vise til et minstemål av risikovurdering. Det er ikke testet i rettssystemet enda, men loven sier at de skal gjøre en vurdering og dokumentere det. 

Frode: Hvis vi da snakker om utro tjenester. Utro tjenere. Vi har snakket om de som kommer seg inn i systemene. Vi snakket kanskje litt om skytjenester i stad. Og når du er i et datasenter, hvis du har en person som jobber i et datasenter som din kilde, din innside person. Hva kommer du til da? Hvordan fungerer dette i forhold til aksess til alle som er der inne? Og nå er det sånn at både TikTok og Microsoft kommer til å dele datasenter rett utenfor Hamar. Hva slags muligheter gir det?

Ragnhild: Nå er det jo slik at de aller fleste datasenteret som er ordentlige aktører, de har jo veldig gode segregering mellom de som er leverandør av tjenester. Men så klart er det slik at du har to tjenester hvor det ene firmaet er et større mål for angripere, så kan det jo være at datasentre også vil være et fysisk mål generelt for trusselaktører. Og det kan være enten for eksempel at de vil prøve å få senteret ned fysisk på en måte. I verste fall noe terror lignende og så videre. Eller at de så klart prøver å komme seg inn for å filtrere data. Men nå er det sånn at de aller fleste ordentlige aktører har veldig gode - også segregation of duties som du nevner igjen. Dem har veldig mye av dette hos seg. Men har du så klart en innside person med veldig gode rettigheter så kan det jo være at dem kan få til noe. Men det er ikke de største hendelsene enda. Og da sier jeg enda, for vi vet aldri når det kommer for å si det sånn. 

Stian: I forhold til utro tjenere i selve datasenteret da, hos datasenter leverandøren, så er kanskje faren for sabotasje større enn faren for tyveri, da. For eksempel dataene er ofte kryptert med krypteringsnøkler bare vi har. Så det er nok større mulighet der. Og der er det også sånn at vi tar våre forholdsregler også der. Blant annet vil vi alltid ha to eller tre datasentre som vi benytter som vi kan altere mellom. For eksempel i Irland bruker vi gjerne rundt Dublin, så bruker vi mye avside sentre. Da har du to datasentre i Dublin regionen som vi kan svitsje mellom ganske kjapt. Og hvis Irland skulle gå ned bruker vi backup lokasjonen som er Stockholm. Så pleier jeg å si at hvis Irland går ned har vi nok et større problem enn at skytjenesten ikke virker. Men det er en annen sak.  

Frode: Men det vil si at for å komme ordentlig i mål med insider, så må både en inside i selve datahallen, og en i Visma. Og det vil si at man på et vis har en lang reise for å komme inn og få gjort det man ønsker å gjøre. 

Stian: Det er en lang reise det er det.

Frode: Det jeg lurer på også, det har jo alltid vært en kamp mellom det og det onde i å lage gode løsninger som på den ene siden sikrer og på den andre siden bryter igjennom disse sikringene. Kan du si litt om - du beskrev det egentlig i stedet, dere har et utviklingsmiljø som jobber med dette. Kan du beskrive litt hva gjør dere for å bli bedre og gjøre det tryggere og mer effektivt? 

Stian: Ja. Jeg tenker den ene delen av det er at vi har mange som jobber aktivt med sikkerhet som fag. Og Cyber Trait Intelligens dreier seg om å hele tiden finne ut av hvilke trusler finnes. Ikke minst hvilke er det som kommer. Vi har et stort nettverk og bruker mange underleverandører for å fore oss med informasjon. Og det er jo en krig som foregår der ute. Mellom den onde og det gode. Du kan godt se det sånn. Hvor angrep og forsvar hele tiden ikke sant. Det dreier seg veldig mye om teknologi. Det er blant annet veldig mye mer vanlig at du bruker kunstig intelligens også på for å detektere avvik i bruksmønstre. Avvik i datastrømmer for å på den måten følge opp det er folk på vei inn eller kommet inn i systemene våre. Så vi bruker sikkert et femti til hundretalls forskjellige underleverandører som leverer software som hjelper oss til å gjøre forskjellige typer overvåking. Som ikke er direkte kontakt med kundens data, det er viktig, vi er ikke inne der og surrer. Men i systemene rundt for å gjøre analyser og trussel tiltak. 

Frode: Dere da? Hva gjør dere for å kontre dette? For det er jo litt som du sier en evig kamp. Man har crime as a service liksom på det mørke nettet som en underleverandør på kanskje samme måte som dere har underleverandører. Hvordan fungerer dette i praksis Bridget?

Ragnhild: Ja, Orange Cyber Defence er veldig for at man skal bygge et tryggere digitalt samfunn. Det er mandatet. Og når du kommer til det så er det mange forskjellige tjenester som blir levert. Blant annet dette med ISO sertifiseringer som er noe som flere aktører leverer fra den gode siden for å prøve å sørge for at folk har tatt sine forhåndsregler. Når det kommer til min jobb i Offensive Security så fighting fight with fire som man sier på engelsk. Det handler jo at man emulerer og tester og viser. Og vi har jo da også sånn hendelseshåndtering og også cyber threat intelligence som du kaller det, da. Som holder seg oppdatert og prøver å se etter det nyeste av det nye for å se hva er den nye innbrudds metoden metodikken nå. Hvordan ligger det an på nettet. Hva er det folk snakker om. Også prøve å være litt i forkant. Man kan ikke ligge på latsiden når det kommer til IT-sikkerhet. 

Stian: On the edge hele tiden. 

Frode: Ja, og utviklingen går jo veldig rett opp, og det er nye muligheter hele tiden. Det dere gjør er en ting, men kundene, de må jo også henge med i dette. Hva slags råd kan dere gi til de som skal prøv eå forstå trusselen? Prøve å forstå risikoen. Bli en god kunde i forhold til hva du beskrev i sted Stian. Kunne stille gode spørsmål og gjøre gode tiltak. Hvordan kan man gripe an det? 

Stian: I forhold til kvalitetssikring av leverandørene. Så har jo ofte leverandørene en del ferdig og leverer til de kundene. Værsågod, her har du en del ting du bør tenke over og svaret på hvordan de har løst det. Det er en måte å tilnærme det på. Så en ting som vi kanskje ikke snakker så mye om er jo leverandørens solidaritet. Det var veldig vanlig å spørre om når man kjøpte økonomisystemer i gamle dager selv om man bare skulle kjøpe en CD og ordne resten selv. Men i skyen er det enda viktigere fordi hva skjer hvis sky leverandøren går konkurs. Selv om kunden vel og merke eier dataene. Så er jeg veldig usikker på hva som skjer faktisk.  

Frode: For de ligger jo flere steder som du sier. Bare i Irland ligger det kanskje tre steder. Litt i Sverige, litt andre steder. 

Stian: Men får du tak i det i det hele tatt når noen da slår av strømmen? For det er ingen som betaler regninga til datasenteret lenger, ikke sånn. Vi hadde en faktisk en case nå fra en en kunde som er et regnskapskontor da. Så var det et annet regnskapskontor som har gått konkurs, og da har de overtatt noen av de kundene, men det er ingen som får tak i dataene. Og det blir fort en juridisk greie også. For hvem har lov til å gi dataene videre til noen andre. Og hvem er det som egentlig eier de?

Frode: Men sånn tiltak messig da? Soliditet er åpenbart viktig. Det å kunne stille gode spørsmål er viktig. Er det noe topp tre råd Bridget du vil gi for å være en trygg bruker av datasenter og skytjenester som et fenomen? For jeg tror de fleste mener at for små og mellomstore bedrifter er det et sikkerhets løft å bruke skytjenester i forhold til å ha ting i kjelleren. Men har du noen gode tips? 

Ragnhild: Ja, nå tok jo du opp veldig, veldig mye godt her Stian. Men jeg må si at en av de tingene som først kom inn i hodet mitt er dette med sikkerhetskultur. Dette med at det er veldig stort sikkerhets løft å ta det opp i skyen, men det hjelper ikke så mye hvis alle de ansatte trykker på alle linker de finner og ender opp med ting som logger ting på PCen din. Så selv om de åpner dokumenter, kan de fortsatt komme på avveie så snart de aksesserer skyen og tar ned noe lokalt eller jobber sånn. Så jeg vil si at dette med sikkerhetskultur og dette med å være litt vigelant og passe på å ha en viss kunnskap om at ting kan faktisk skje. Man kan ikke alltid stole på alt man ser som kommer på e-post eller mennesker som kommer inn på kontoret sitt. Det er bedre å spørre en gang for mye enn en gang for lite rett og slett. 

Stian: Man vil også si at det fortsatt ikke er dumt med flere faktor autentisering eller to-faktor autentisering..

Ragnhild: Det er sant. Det er veldig fint.

Stian: Enkleste middelet man kan ta i bruk. 

Frode: Hvis man har en topp tre. To faktor er viktig. Passord som grunn i den to-faktoren er kanskje viktig. 

Stian: Et langt passord.

Frode: Har man et tredje? Noe tre på topp av hva vi kan anbefale? 

Ragnhild: Jeg synes sikkerhetskultur er veldig viktig.

Frode: Så sikkerhetskultur, lange, gode passord og tofaktorautentisering.

Stian: Hvert fall på kundesiden da. Så kanskje de viktigste tingene kunden kan gjøre selv. 

Frode: Og det er kundene vi må ha i fokus. Så jeg tenker at hvis det går i orden og for min gamle jobbe NSM så var jo passor det vi ble mest overrasket over var så svakt så lenge og hos så mange hver gang vi var på besøk hos de. Takk for en veldig hyggelig prat rundt sikkerhet. Og takk for gode betraktninger. Og takk for kundeperspektivet og kundefokusert. For det er de som til syvende og sist må leve med konsekvensene av dårlig sikkerhet. Takk for oss. 

Takk for at du lærte med LØRN. Husk at du må registrere deg på LORN.tech for å få personaliserte læringsstier, sertifikater og mye mer.