Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer. 

Silvija Seres: Hei og velkommen til en LØRN-serie med BI om compliance. Vi i LØRN skal i samtaler med Miloš Novović fra BI og flere gjester diskutere de viktigste driverne for compliance og GDPR. Velkommen også til dere, Frode Skaarnes og Miloš Novović.

Frode Skaarnes: Tusen takk. 

Miloš Novović: Takk så mye. 

Silvija: Jeg vil bare gjøre lytteren oppmerksom at jeg sier etternavnet ditt helt riktig, håper jeg jeg, Miloš?

Miloš: Jo, det er helt riktig.

Silvija: Også må jeg si at dette her er en veldig koselig samtale, en ekstra koselig samtale for meg, for som eksperten på sikkerhet har vi med oss vår egen Frodes Skaarnes, en av partnerne i LØRN. Velkommen. 

Frode: Takk igjen. 

Silvija: Da skal vi starte veldig kort med å be dere introdusere dere. Miloš, du må finne på noe nytt å si om deg selv i hver av disse samtalene. 

Miloš: Ja, jeg kan ikke komme med noe nytt, bortsett fra å si at jeg jobber med juss og teknologi- that’s it. 

Silvija: Hva er favorittbandet fra gamlelandet?

Miloš: Nei, det kan jeg nesten ikke svare på. 

Silvija: Jeg er forsatt på Azra, og jeg tenker fortsatt på Jugoslavia.

Miloš: Nei, det er veldig vanskelig å si, å velge noe. 

Silvija: Hvorfor ble du interessert i koblingen, Juss og teknologi? 

Miloš: Ja, det er rett og slett fordi jeg liker veldig klassisk juss. Jeg tenkte det var veldig spennende og interessant å se på hvordan vi kan nærme oss reglene på disse nye teknologiene som vi får. Som for eksempel AI. Hva kommer jeg til å gjøre når det gjelder kontraktsrett. Så har jeg alltid vært veldig interessert i teknologi, også liker jeg sånn veldig tradisjonell juss, og da er vi veldig spennende å finne ut litt mer om det. 

Silvija: Jeg synes det er et utrolig spennende poeng du har der, for jeg er lytter til en utrolig god bok nå som heter architect as intelligence, hvor en som heter Martin Ford snakker med noen av de beste innenfor AI i verden. Han spør Ray Kurzweil fra Google, om dette med arbeidslivet, arbeidsmarkedet fremover også selv en av de beste i verden sier at ja, men vi vet ikke hva er fremtidens jobber blir, vi bare vet at 2/3 av alle jobber kommer til å morphe i noe nytt. Og hva betyr dette her da for utdanning, men også tilsvarende i juss. Vi vet ikke hva de nye problemene blir, men vi vet at det blir masse nye problemer. Så hvordan tilrettelegger vi for regulering av noe som er så åpent og ukjent? Og her er det behov for kjempemange sånne som deg Miloš. 

Miloš: Ja, altså, det er egentlig veldig mange problemer som man ikke tenker på med en gang, men jeg har lest mye om dette spørsmålet, kan to AI-systemer inngå en kontrakt. Så det er helt grunnleggende Juss, altså tilbud og aksept. Men hvordan skal vi tenke rundt det? 

Silvija: Hvem tar ansvaret, ikke sant? 

Miloš: Ja, ikke sant. 

Silvija: Og ikke minst, en som heter Nick Bostrom snakker veldig mye om fremtidens menneskerettigheter. På hvilket tidspunkt tenker du at et AI-system har bevissthet og dermed egentlig fortjener rettigheter. Fordi vi mener det om en del dyr, så på hvilket tidspunkt begynner disse systemene og ha menneskerettigheter eller rettigheter? Mind-blowing egentlig det feltet du holder på i og utrolig store muligheter for alle studentene dine, så jeg håper de retter seg litt opp i ryggen nå, men nå skal vi over til noe med strengere, og det er sikkerhet, og der har vi vår egen sikkerhetsekspert i praksis. Og det er Frode. Si to ord om deg selv, det du får lov til å si. 

Frode: Ja, det blir en annerledes historie enn Miloš sin. Jeg kommer fra forsvaret. Jeg var offiser i mange år, dro deretter en tur ut i utenrikstjenesten, også dro jeg en tur til etterretningstjenesten før jeg havnet i nasjonal sikkerhetsmyndighet. Så jeg har på en måte litt sånn religiøst perspektiv på dette med sikkerhet. Særlig når du er på utenriksstasjoner. Alle er på jakt etter å få tak i hemmelighetene dine. Om det er for handling, standpunkt eller hva det er for noe. Så du blir veldig sånn på vakt og veldig påskrudd i at du har noe som noen vil ha. Og når jeg dro til etterretningstjenesten, hvor du gjør dette mot andre, og det er jo god erfaring. Jeg har blitt gjort det mot selv før jeg fikk lov til å være med å bygge gode og robuste nasjonale systemer i nasjonal sikkerhetsmyndighet, både for samfunnet, men også for de viktigste virksomhetene vi har. Så jeg har et litt deilig 360 graders perspektiv på sikkerhet og risiko som vi skal snakke mye om nå. Viktig å få med, en funfact jeg er Brann tilhenger, for jeg er født i Bergen, og det er jeg veldig stolt av. 

Silvija: Veldig bra. Det er ganske mange andre funfacts jeg ville tatt med her. Det jeg har lært om deg på kahoot, blant annet at du har kysset med en kamel, men det kan vi spare til neste samtale. 

Frode: Ja, det var etter en nøye risikovurdering faktisk. 

Silvija: Dere, vi skal snakke om sikkerhet i et compliance kurs på BI, og dette her er altså folk som hverken er offiserer i forsvaret, eller superinteresserte jurister. Dette her er ledere, dagens og fremtidens ledere, men som skal bli litt flinkere til å tenke godt om både sikkerhet og risiko som en del av compliance. Der har jeg lyst til å innlede littegrann med mitt styreperspektiv. Jeg sitter i en del styrer, og vi vet at vi må drive med compliance. Det er blitt nesten den største delen av styrearbeidet nå, i hvert fall i finansinstitusjon. Og der ser vi på risikomatriser, og vi hører på rapporter fra både internrevisjon og eksternrevisjon også videre, men alle tenker på det som litt sånn, «bare la oss bli ferdig med det så vi kan tenke på business». Mens det egentlig viser seg at det er dette som er businessen fremover. Dette her er ikke bare hygienefaktor. Dette her er ryddigheten vår i forhold til alle de legale kravene som kommer nå. Det er styrets ansvar, og det er toppledelsens ansvar, og det er hele organisasjonens ansvar. Så vi skal ha to samtaler nå først om sikkerhet også etterpå om regulering også til slutt snakker vi om sertifisering som en del av denne trekanten, men hvis hvis vi starter med sikkerhet nå. Miloš, kanskje jeg kan kaste den ballen til deg, hvorfor skal nye og gamle ledere fokusere på sikkerhet. Hvorfor er det et viktig tema og hvorfor snakker alle om sikkerhet for tiden, kanskje uten å elske det. 

Miloš: Ja, jeg tror det er flere gode grunner til det. Vi snakket mye om gdpr sist gang, og jeg tror det samme gjelder her. At hos gdpr er ting lovpålagt, og der er det regler som alle rett og slett må følge, men vi snakket også om hvor viktig det her er med tanke på kunder eller personer som er opplysninger man behandler. Fordi det er veldig viktig å tenke på hvordan man fremstår. Også er det viktig når man samarbeider med tredjeparter selvsagt. Når dette er sagt, må vi snakke om sikkerhet, fordi det er egentlig så mye som skjer. Det er et felt som utvikler seg hele tiden, men det er også et felt som er spennende for oss som sitter og leser om det, men kanskje ikke like spennende for de som sitter og jobber med det. Vi ser at det er veldig mange sånne sikkerhetsinsidenter hvor det har vært brudd på sikkerhet, og som skjer veldig ofte, både når det er store organisasjoner som Facebook og Twitter, men som også gjelder offentlige organisasjoner. Da trenger man ganske mye mer oppmerksomhet, fordi dette er noe som påvirker alle oss. Så jeg tror at det er en del av dette svaret der. 

Silvija: Og en NSM har akkurat kommet med sin nye risikovurdering eller sikkerhetsrapport for Norge. Det er veldig tydelig at vi må begynne å tenke litt mindre optimistisk og naivt, og at alle, både offentlig sektor og privat sektor, store og små, infrastruktur og ikke infrastruktur må skjønne at vi er gått ut av den dype freden som de sier der. Og til en tid, hvor man må anta, at man er under angrep kontinuerlig. Hvordan håndterer man dette her så man har kontinuitet og effektivitet i businessen, tror jeg er et sentralt spørsmål for absolutt alle som driver med business eller offentlig forvaltning. Hva tenker du, Frode? 

Frode: Nei jeg. Jeg tror jo at det har vært en veldig sånn dyster utvikling. Man opplever at det er en sånn dagligdags greie. At sånne store sikkerhetshendelser, det var det langt imellom i gamle dager, da vi var unge, mens nå er det et kontinuerlig press. Du kan jo bare se på antall nettsider som hver dag oppstår i den hensikt at noen skal oppsøke de for at de skal bli hacket. Så det er en form for crime as a service. Det har blitt en svær greie på nettet, både hos organiserte kriminelle, men også hos statlige aktører. Så er det jo sånn at dette smelter sammen på et tidspunkt. Og hvis du da legger til, før så kunne vi tenke litt mer på oss selv. Nå har vi lange verdikjeder hvor det kanskje ikke er du som ble hacket en gang? Det var en av dine leverandører som ble hacket, og du ble bare utnyttet gjennom det. Så man har fått fokus på dette her, fordi at det har blitt komplekst. Det er dagligdags og konsekvensene er enorme. Tap av omdømme, tap av penger, tap av forretningshemmeligheter. Så er det jo litt skremmende, nå som AI har fått den posisjonen som ble hatt hos vanlige folk, det kommer vi sikkert litt tilbake til. Fordi man utsettes jo i et volum for angrep som man aldri har sett før. 

Silvija: Men Frode, er det bare digitale trusler, ransomware, hackere og Cyber security som er greia eller er sikkerhet et større begrep?

Frode: Nei, jeg tror at alle angrepsvektorer kan brukes, og jeg tror at sosial manipulering har fått en ny renessanse. Jo mer man herder nettverk og hvor vanskelig det er å hacke, jo større er sannsynligheten for at man prøver å få en innsider på plass, enten en bevisst en, eller en ubevisst en. Jeg tror at alt fra veldig godt organiserte kriminelle til ulike stater med ulike agendaer vil bruke hele spekteret. Man tenker jo ikke at man skal gjennomføre en cyber operasjon. De tenker, nå skal jeg nå det målet. Jeg skal ha de pengene eller jeg skal ha den informasjonen, også bruker de, de virkemidlene de har. Og jeg tror nok at innside biten er undervurdert, og jeg tror at den sannsynligvis vil gå hånd i hånd med digitale angrep fremover, rett og slett fordi at det gir en dynamikk som gjør at du kommer lettere til uten å bli avslørt. 

Silvija: Jeg tenker at dette med sosial manipulering og sosial cybersecurity også er et tema som er veldig spennende. Fordi vi får jo så mange angrep hver dag og mesteparten, 99% er vi egentlig ubevisste på til og med nsm, eller de andre rapporterer bare på en brøkdel av det de fanger opp, og de håndterer bare brøkdel også, men jeg bare ser det på min egen mailboks. Det kommer kontrakter fra docusign til signering også videre, og jeg venter på kontrakter som jeg skal signere, ikke sant, men det er noe merkelig. Jeg ser ikke helt avsenderen, det står bare noreply også videre. Så AI har gjort det så lett for folk å hacke til, så det ser veldig virkelig ut, og du vet ikke lenger om det er ekte. Jeg åpner nesten ingen lenker nå hvis ikke jeg er helt sikker på at det er det jeg venter på i mailboksen min. Det å bli angrepet via personlige svikt via nettet vårt, det er det vanlige nå. 

Miloš: Dette er egentlig ikke noe som er nytt, ikke sant? Jeg husker ikke helt hva det kaltes, men det er selvsagt fishing, men jeg tror det var veldig mange andre typer teknikker også for internett. Så de kunne bare ringe og si, jeg kommer med en pakke. Det er litt viktig å huske at ja, vi kommer til å finne en måte å håndtere dette her. Det er mye som skjer på dette området, men samtidig så er det ikke noe nytt at vi har sikkerhetsutfordringer. Jeg beklager at jeg tar mye tid, men mens jeg fortsatt husker det. Det om interne og eksterne aktører, så jeg 100% sikker på at hoveddelen av sikkerhetsbrudd under gdpr er rett og slett på grunn av mange interne opplæringer. Rutiner eller prosedyrer. At noen glemmer å låse PC’en eller at noen rett og slett får tilgang til å endre opplysninger som de ikke har tilgang til. Så det vil ikke være en sånn intensjon at man skal prøve å hacke seg inn. Jeg tror, at de aller fleste, eller det som jeg ser etter gdpr er sikkerhetsbrudd eller brudd på sikkerhetsprinsippet. Det skjer fordi man ikke har god sikkerhetskultur. 

Silvija: Jeg tror det er et kjempeviktig poeng. Jeg tror veldig mange- når de tenker på cybersecurity tenker at det får it avdelingen ta seg av, og det er for komplisert for meg å henge med, men jeg tror dette her med å ha noen sånne type 10 bud som er enkle å forholde seg til som er prinsipielle og som gjør at folk forstår hvordan disse angrepene egentlig kommer i gang og hvordan de lever i systemene våre, det er nesten alles jobb nå å lære seg. Jeg er helt enig med deg Miloš, vi har alltid vært utsatt for angrep og sikkerhetsbrudd, men jeg tror at tiden har blitt så mye råere fordi det er så stor skala på det nå. Også har det blitt en egen business hvor man kan bestille seg angrep. Og selvfølgelig, jo mer verdifulle saker man sitter på informasjonsmessig eller på andre måter, jo mer skal man være forsiktig, men jeg har lyst til å spørre deg, Frode, finnes ved noen sånne ti bud, noen enkle leveregler når det gjelder god sikkerhet. 

Frode: Ja, det er mange, man har både 10 bud og 4 bud og det er mange bud man kan bruke. Før jeg går inn på noen konkrete, så er jeg er helt enig i det dere sier. Det som er blitt annerledes de siste det siste året eller de siste årene det er evnen vi har til spoofing, for eksempel. Til å se ut som noen andre enn vi er. Jeg kan ringe og utgi meg for å være Silvija, og at det er faktisk din stemme de hører i andre enden. Det har gjort at man har tatt direktørsvindel og sånne typer svindler til et nytt nivå og litt som du sier, dette kan du kjøpe på det mørke nettet som crime as a service produkter. Så det er ikke sånn at man må være skikkelig flink, de fleste kan gjøre det, så lenge de vet hvordan de bestiller varene. Og det er en litt sånn skremmende sak, for da blir volumet så stort, og det er så mange aktører som gjør det i forhold til hva man kanskje står for.

Silvija: Altså bare et sånt privat eller personlig eksempel fra min side. Det har skjedd ved to anledninger at diverse honorarer som skulle gå til meg personlig ble utbetalt til en annen bankkonto. Og det er fordi regnskapsavdelingen har fått en e-post som så veldig ut som det var fra Silvija, om et nytt bankkontonummer. De skal være ganske oppmerksomme på å faktisk sjekke med meg da, er dette virkelig fra deg, Silvija, og sørge for, at de er sikre på at det svaret de får, faktisk er fra meg. Hvem sitt problem, er dette her til slutt, og hvordan rydder man opp i det, og går man til politiet med det, eller økokrim? Jeg tror det er en ganske ny verden vi lever i, og det er noe med at ressurser som skal kjempe med dette her er kanskje mindre enn ressurser som vinner på det. 

Frode: Ja, man skal ikke se bort fra det? Skal jeg gi noen gode tips da?

Silvija: Ja, litt sånn tidsmessig, så har du fem minutter på å gi oss dine fire favoritt eksempler, gjerne fra Norge innenfor litt forskjellig type sikkerhetsbrudd. Hva blir det? 

Frode: Nei, vi har liksom tre perspektiver på det. Konfidensialitet, altså noen stjeler noe fra deg, integritet at de manipulerer litt, sånn som du var utsatt for, og tilgjengelighet hvor du ikke får tilgang til tingene dine. Så det jeg kunne tenke meg er egentlig å starte med det du var utsatt for, integritet. Det er egentlig favoritten min. Det er det jeg synes er mest skremmende, og jeg synes det er ubehagelig å vite at noen faktisk kan gjøre dette her relativt sett enkelt. På samme måte som Silvija Seres da så var det sånn at Norfund, som er en stor utenlandsk aktør til bærekraftprosjekter i u-land og de omsetter for 5 milliarder. Det er masse penger som går ut og inn. Hele verden til bistandsprosjekt. Noen hacket systemet deres og fant ut hvilke prosjekter som lå i løypa til å bli godkjent og utbetalt, og blant annet et prosjekt i Kambodsja. Og da går de inn. Det er dette som er det fascinerende. Gjennom da å monitorere og følge det over tid, så finner man ut når det skal utbetales, så endrer man på betalingsdetaljene. Navnet er det samme, men pengene, de blir ikke overført til Kambodsja, de går til Mexico til en fyr der som da får 100 millioner, som man selvfølgelig ikke skulle hatt. Også kommer det som er kanskje det vanskelige å akseptere i et sånt kontrollperspektiv. Det tok 1,5 måned fra utbetalingen var skjedd til man skjønte at man var lurt, og det viser hvor nøyaktig det var gjort, hvordan de hadde god kontroll på de systemene som var og, dette kunne helt sikkert skjedd på andre måter også. Så prøvde de en parallell operasjon, men det er klarte de ikke å få igjennom, men det at man på en veldig profesjonell aktør kan gjøre dette, det viser hvor lett det er å gjøre det hos privatpersoner som deg, eller i andre virksomheter. For vi må huske at finansinstitusjonen, de har jo litt mer fokus på å bli lurt enn de fleste andre, så de er litt bedre rustet mange av de, men selv der, så er det mulig. 

Silvija: Kan jeg bare spørre deg Frode, hva skjer da? Kan man få de pengene tilbake? 

Frode: For staten, som dette er, når de blir utsatt for dette, så må de dekke det selv. Så antar jeg at man i banker og andre steder har enkelte rettigheter knyttet til dette. Hvis du kan vise at du ikke har opptredt på en måte som gjør at du har skapt situasjonen selv, men dette kan helt sikkert Miloš bedre enn det det jeg kan. 

Silvija: Men, ikke sant, når har du skapt situasjonen selv? Det er derfor vi snakker om dette her til studenter. Det er så lett da å tro at man har sendt riktig e-post og at man har gitt riktig informasjon. De forstår prosessen så godt etter hvert. 

Frode: Jeg holdt et foredrag for en bank, som egentlig er i samme situasjon, og det man må spørre seg, kunne dette skjedd hos oss? Og hvis svaret er ja, så må de gjøre noe med kontrollrutinene. Når noe endres, noen ber om at det endres på en fort måte, altså alle disse tingene gjør at du blir presset på tid. Det gjør at du må ha rutiner for å ha is i magen for å få det på plass, men det er lettere på powerpoint enn i praksis, fordi mennesker har en iboende stressatferd når de blir trykket på de riktige knappene i et sosialt manipuleringsperspektiv, så vi er liksom skapt for å være offer, og vi vil så gjerne løse oppgavene våre, og da kommer vi i disse situasjonene. 

Silvija: Bra du snakket også om konfidensialitet, altså at noen få se informasjon om oss som vi ikke ønsker at de skal se. 

Frode: Ja, det kan være personopplysninger eller i et GDPR perspektiv så kan det være masse informasjon om oss som vi ønsker skal være hemmelig, men det kan også være mer alvorlige ting. Stortinget har jo blitt hacket to ganger. Siste gangen i vår 2021, hvor man går inn fra et perspektiv hvor man skal hente ut informasjon og hvor man vet i etterkant at det ble hentet ut informasjon. Så vet man at det var russerne første gangen, også har man noen hypoteser rundt hvem dette var andre gangen. Det som er det skremmende, det er, at der hvor vi tar våre viktigste beslutninger, når ikke de systemene er trygge, så kan man miste tillit til beslutninger. Hvis man i tillegg da klarer å manipulere, altså i et integritets perspektiv, så er det jo en dobbel problemstilling i dette her. Det er både stjålet og manipulert. Det er et angrep på demokratiet, og det var det jo mange som også hevdet under det andre angrepet på Stortinget. At dette er jo et direkte angrep på demokratiet. Dette skjer med det vi opplever hver måned. Det var en Microsoft Exchange oppdatering. Man fant en sårbarhet, den ble oppdatert 2-3 dager etter, men allikevel så var åpningen lenge nok til at man fikk utnyttet, og det viste jo bare hvordan de ligger på, monitorerer, søker etter sårbarheter, også går de igjen når de har muligheten til det. 

Silvija: Men det du sier er at det holder ikke å oppdatere en gang i uken lenger. Du har disse zero day angrepene som gjør at de viktige institusjonene må være kontinuerlig oppdaterte. 

Frode: Ja, man må oppdatere så fort det foreligger en ny oppdatering. Fordi, de sikkerhetshullene som er, de ønsker å utnytte deg, de vil vite når sårbarheten er der, og da er det bare å skanne om du har oppdatert eller ikke også er du der.

Silvija: Også har jeg bare lyst til å legge til en liten ting, for en av de tingene som vi hører nå fra nsm blant annet, er at disse angrepene ikke alltid er at de skal gjøre noe forferdelig med oss, men at av og til skal de bare svekke tilliten vår til systemet. Jeg sitter og tenker på det bildet av utenriksministeren, hvor hun ble fremstilt som enten maleficent eller en anonymes, jeg husker ikke lenger. Det er nok at du ser det også begynner du å lure, hvem kan du stole på? Og i et land som er så basert på tillit som Norge, så er det faktisk ganske viktig at du vet hvem du kan stole på. 

Frode: Ja, og dette tillitsperspektivet er for oss helt uvurderlig. Det ligger i vår natur å stole på mennesker, stole på systemer og stole på staten. Det er en tillit som vi har som de fleste land kanskje ikke har på samme måte. Skal jeg ta en kort en eller to om tilgjengelighet også? Kan ta et i business og ett i kommuneverden. Alle vet jo at vi har like systemer for å ivareta alle funksjonene som en kommune gjør, og de har sikkert flere titalls, kanskje noen hundretalls fagsystemer. Og hvis noen hacker det og låser ned en hel kommune, sånn at kommunen må starte med penn og papir, da har kommunene et problem. Det går på alt av å utbetale navstøtte til å kunne gi helsetjenester der det skal være, til å få kjøretøy til å virke i forhold til de rutene de skal kjøre. Så når det har blitt skapt en sånn magisk for de som har gjort det, død situasjon i denne kommunen som var østre Toten, fordi alt var avhengig av digital infrastruktur og alt var låst ned. De hadde slettet backuper. De hadde gjort alle de tingene som gjør at du ikke bare restarte det. De fant gode løsninger, og de har vært veldig åpne på hva som skjedde, og jeg tror at, det var veldig viktig at det var de førdte det skjedde med. Det var jo ikke Oslo, Bergen eller Trondheim, så det er overkommelig størrelser, men selv der brukte man mange måneder på å få fagsystemene opp og gå igjen. Det viser bare hvor utrolig sårbare vi har vært. Og i et sånn smart byutviklingsperspektiv hvor alt egentlig er drevet av digitale løsninger, så må man tenke seg at dette bare er starten på noe. Så kan du ta hydro saken. Den er i utgangspunktet i prinsippet lik. De blir hacket, det står en papirlapp i vinduene når folk kommer på jobb, ikke skru på, vi er hacket. Det fikk jo store konsekvenser for businessen. Det for store konsekvenser i tillitsperspektivet med partnere og kunder, og det får store konsekvenser fordi man ikke kan produsere, så man får jo ikke inntekter på det nivået man skal, men aller mest tillits biten. Der tror jeg, de også gjorde det som var lurest. De var veldig åpne på hva som skjedde, hvordan det kunne skje og ikke minst hva de har gjort for å sørge for at dette ikke skal skje igjen. 

Silvija: Jeg har snakket med en av lederne i Vestas. For Vestas ble også utsatt for tilsvarende cyberangrep, og det er ganske spennende å høre lederne fortelle om disse krigssituasjoner de har vært gjennom. For det er virkelig krigssituasjon i noen uker før de kan stabilisere businessen. Jeg tror at man ikke forstår hvor enorm effekt dette kan ha på businessen din til du har blitt utsatt for det selv. Og når du hører Vestas, Hydro eller Choice hotels som har hatt total stopp i 2 uker og konsekvenser dette her for kunderelasjoner som du sier, ansatte, partnere også videre, så skjønner du at dette her er noe du kan håpe ikke skjer. Dette her er noe du er nødt til å håndtere på en veldig konstruktiv måte i dine risikovurderinger. Det kommer vi tilbake til om et lite øyeblikk. 

Frode: Ja, det er det. Også er det sånn, at det alltid vil være en risiko. Det kommer vi også tilbake til etterpå. Vi kan ikke eliminere dette, så vi må leve med det også. Det er kanskje en del av den virkeligheten. At man må forstå at vi må ha god beredskap for å håndtere når det skjer, ikke hvis det skjer før det kommer til å skje. 

Silvija: Du, jeg har lyst til å spørre dere, nå har vi egentlig gått litt over tiden, men ett minutt på slutten. Hvis dere kan tenke på et par ting begge to som er enkle, men effektive tiltak, hva ville dere anbefalt folk? Vil du begynne Frode, også kan du konkludere Miloš?

Frode: Ja, det finnes så mye gammelt og nytt i systemverden der ute, så det å oppgradere programvare og maskinvare til de nyeste versjonene, det tror jeg er en veldig god forsikring. For det er sånn at de tetter flere sikkerhetshull, og de er lettere å holde rene i drift. Så har du da sikkerhetsoppdateringene på disse nye versjonene så raskt som mulig. Litt sånn som vi snakket om i stad. De kjenner til at dette er sårbarheter de som prøver å ta det. Også er det, det som går på administratorrettigheter- sluttbrukerrettigheter, minimer rettigheter til de som kan gjøre mer enn det man normalt har behov for oss å gjøre, også det siste. Det finnes masse gode programmer som blokkerer ikke autoriserte programmer. Hvis du gjør disse fire tingene, så er det sånn at man hevder gjennom den empirien man har at du stopper kanskje så mye som 80/90%. Og du stopper hvert fall de som ikke normalt bør klare å hacke deg.

Miloš: Egentlig ikke, altså fra min side så er det selvsagt opplæring, og som kultur som er det aller viktigste. Det samme som med GDPR. At det beste eller det enkleste som man kan gjøre er å snakke med folk, også drive med opplæring for hvorfor sikkerhet er viktig og som helt konkret sier, ok, dere i hr, hvordan skal dere håndtere opplysninger, hvorfor er dette noe som er viktig. Hva er det som kan gå galt? Så det er bare å snakke med folk også prøve å kommunisere på en effektiv måte. Det er nok den enkleste tingen man kan gjøre.

Silvija: Jeg er veldig enig. Jeg har bare lyst til å legge til der. At jeg tror denne opplæringen bør være gjennom også en del eksempler, at ikke det bare blir sånn skremmende propaganda i tillegg vanskelige konsepter. Vi skjønner alle sammen at dette har blitt så komplekst på nettverksnivå og på software nivå, men det å forklare folk hva de kan gjøre og gi dem noen eksempler, sånn at de skjønner hva et sikkerhetsangrep er, så har vi kommet ganske mye lenger enn det vi er i dag mange steder. 

Miloš: Et tips der gjelder fishing kan være når man holder en workshop, er å be deltakere å prøve å love hverandre eller å lage en epost som ser veldig autentisk ut, så blir det veldig fint å se hvor engasjerte alle blir, og da starter de å sjekke over mailene sine fem ganger, som du sa i starten. 

Silvija: Jeg vet vi er over tid, men jeg må bare et eksempel. Det er en gutt som driver et veldig kult cybersecurity selskap i Norge, som blant annet holder kurs for barn. Og han lærer barna å hacke seg inn i kamera på en pc på en time, og det er litt sånn spennende når man kommer hjem og sier til mamma, du mamma, nå må du skru av kameraet ditt for det der kan jeg hacke meg inn på når som helst. Lære masse og ha det litt gøy underveis også. Dere tusen takk for en kjempeinspirerende og lærerik samtale. Vi møtes snart for å snakke litt mer om risiko. 

Frode: Takk. 

Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.