Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer. 

Silvija Seres: Hei og velkommen til en LØRN-serie med BI om compliance. Vi i LØRN skal i samtaler med Miloš Novović fra BI og flere gjester diskutere de viktigste driverne for compliance og GDPR. Velkommen til dere to. 

Frode Skaarnes: Tusen takk. 

Miloš Novović: Takk.

Silvija: Vi har allerede introdusert dere to herrer i vår forrige samtale, så jeg bare sier at Frode er en av de flinkeste jeg vet om i verden på dette her med praktisk sikkerhet. Særlig på det digitale og fysiske, og Miloš har en utrolig spennende kombinasjon av en jussinteressert og teknologiinteressert. Han er førsteamanuensis på BI og vår egen Frode fra LØRN. Nå skal vi snakke om risikovurderinger, og der har jeg lyst til å skille litt risiko fra sikkerhet, for vi sammenblander det veldig. Jeg skal introdusere det litt fra mitt perspektiv. Jeg er matematiker, og jeg elsker geometri og visuell matte, men en type matte som jeg er sikker på at både jeg og resten av verden burde kunne mye mer om, det er sannsynlighetsteori. For så vidt også statistikk. Der har jeg lært mye om noe som heter sorte svaner fra en som heter Nassim Nicholas Taleb, som jeg anbefaler alle dine studenter Miloš å lese. Fordi det har snakker om, er at det finnes visse hendelser i denne verden rundt oss, som han kaller sorte svaner som har veldig lav sannsynlighet, men ekstremt utfall, altså ting som kan være katastrofale for oss, kan vi ikke bare håpe ikke skjer. For vi mennesker, vi er veldig flinke til å håndtere risiko som er ganske sannsynlig, men som kanskje ikke er så viktig. Vi dør ikke av det, men dette her kan skje, så det fikser vi, så nå har vi skjønt at cyberangrep det er veldig sannsynlig, så nå håndterer vi det, men hvis du ser på direktoratet for samfunnssikkerhet og beredskap, dagen før pandemien brøt ut i Norge, så var det en orientering der og pandemien ble nevnt null ganger. Pandemien er et eksempel på en sort svane. Så det jeg har lyst til å utfordre dere på er, hvordan skal vi tenke på risiko på en måte som er viktig for overlevelsen av business eller deler av offentlig sektor eller av individer eller av landet. Miloš, vil du innlede, også kan du kaste ballen til Frode? Hvordan vil du snakke om risiko? 

Miloš: Jeg kan bare starte med å si at det alltid kommer til å finnes sånne black swan events. Jeg sier det hele tiden når vi snakker om digital compliance. At sånne katastrofale ting kan skje og kommer til å skje. Vi kan ikke forvente noe når man driver med risikovurdering, at man kan kartlegge alle mulige typer risiko. Og man kan prioritere de hypotetiske risikoene når det gjelder alle mulige saker, men jeg tror at det står i servernavnet som risikovurdering, og at hvis man antar at noe er usannsynlig, da betyr det at det i seg selv innebærer at det er lav risiko. Nei, nå sa jeg litt feil, det er litt vanskelig for meg å tenke sånn hvis det er noe som er veldig usannsynlig og vanskelig for meg å forutse. 

Silvija: Kan jeg prøve å hjelpe? For jeg har lest en bok som heter Principles for dealing with a changing world order av en som heter Ray Dalio, og han er den første som har gjort meg litt mer oppmerksom på dette her. Han skriver om krig og fred og sånt. En kjempespennende bok forresten, også veldig anbefalt, men han snakker litt personlig også, og jeg tror han også hadde en liten runde med kreft. Det var en sort svane for ham. Også tok han også en annen risiko tidligere på businessiden. Han driver et av de største private equity fondene i verden, tok en risiko som han trodde ikke skulle skje. Det holdt på å kjøre han konkurs. Etter disse to opplevelsene så har han lært at noe veldig lite sannsynlig kan skje, men kan drepe deg. Det må du håndtere, og ha en plan b for. Så når det gjelder kreft, så kan han ikke forsikre seg mot det, men han kan sørge for at familien hans har en økonomi som gjør at de klarer seg, selv om han dør av kreft. Når det gjelder den andre type finansielle risikoen han tok, så er det mer at han har laget seg finansielle verktøy for å håndtere det. Og hele finansverden dreier seg om å håndtere risiko, finansielle risiko på en veldig klok måte. De som tar de største risiko, de vinner. Men de må lære seg denne her sorte svane og hedging, måten å tenke på. Jeg tror at vi mennesker utsetter oss for det, fordi vi aldri hat tid til. Så det å sørge for at vi har tenkt gjennom de største risikoene, og de kan være store enten på effekt eller på sannsynlighet da. Hva tenker du Frode? 

Frode: Nei, det er en veldig spennende diskusjon dette her, og hva sikkerhet er i forhold til risiko er jo kanskje et sted man kan starte. For det man ønsker å skape seg er jo en sikkerhet som er på det nivået som man har definert er hensiktsmessig for virksomheten eller for deg som person. Og risikoen er jo en form for matematisk måte å se på ulike fenomener som kan gjøre noe med den sikkerheten du ønsker å føle i det daglige, så sikkerhet er noe du skaper deg og risiko er noe du kan håndtere for å gi deg den sikkerheten som du ønsker på det definerte nivået som du har behov for eller trenger for å kunne opprettholde virksomheten din. 

Silvija: Men hvis jeg hører dere riktig, så starter det med en vurdering av hva er det viktigste vi har? Litt sånn som forsvaret sier, for alt vi er og alt vi har. Det viktigste vi har fokuserer vi risikoene rundt.

Frode: Ja, man må gjøre en verdivurdering, og det er en av de tingene jeg opplever at man synes er vanskelig. Det er vanskelig å vite, hva er det viktigste? Hva er det viktigste du har som virksomhet og i LØRN for eksempel? Vi har et bibliotek, det er veldig viktig. Hvis noen tar det med seg eller låser det ned, så har vi ikke kontroll på det som potensielt er vår viktigste forretningshemmelighet og ikke minst det som skaper inntekter. Så jeg tror at det å forstå hva verdien er, det er et premiss for å kunne passe på de. 

Silvija: Det kan være ansattdata, det kan være kundedata og ting du rett og slett ikke har råd til å miste, eller på en måte at de slipper ut da. 

Frode: Ja, du kan si at du har verdivurderinger, kanskje et GDPR perspektiv. Da har du personopplysninger for eksempel, også har du forretningshemmelighetene dine i et businessperspektiv, også har du informasjon om ansatte også et sånt perspektiv hvor de utgjør en viktig funksjon og gdpr. Så det er mange sånne overlappende deler, men det som er viktig er å finne, hva er det viktig å beskytte også ta tak i hvilke sårbarheter er knyttet til akkurat de verdiene, sånn at du kan begynne å se på trusselen mot dette igjen også? 

Silvija: Men kan jeg komme tilbake til Miloš nå, fordi jeg opplever at vi ikke så veldig flinke til å være proporsjonelle i vår risikovurdering. Så av og til fikser vi den risikoen. Vi vet hvordan vi kan fikse, også bruker vi enormt med tid og ressurser på egentlig ganske fille ting. Så er det store hull på andre siden. Så kommer det ny lovgivning, for eksempel nå kommer denne åpenhetsloven og krav til rapportering. Plutselig må du sikre deg mot risikoprofil innen ulovlig arbeidsmetoder og ugreie arbeidsforhold i hele leverandørkjeden. Det er en risiko, de fleste bare dyttet fra seg hittil. 

Miloš: Det er rett og slett dårlig og sånn type rettslige krav. Jeg tror at det som vi må huske er at alle må være forholdsmessige, ikke sant? Så principle of proportionality eller urett når gdpr kom så var det ganske klart at sikkerhet kom til å bli en stor del av det. Det var dessverre veldig mange som tenkte, gdpr er sikkerhetssamtykke. Og det har vi sagt litt om, men når man egentlig ser på det, som står der, så er det klart at man skal gjennomføre en risikovurdering, og at man ikke trenger å implementere mer enn det som egentlig er nødvendig. Så appropriate security measures. Så ser vi at det faktisk ofte oppstår veldig høy risiko for de registrerte. Da må man faktisk gjøre en veldig nøye vurdering som må dokumenteres på en sånn spesiell type måte. Det finnes noen regler der, og noe som er bra, er at alle disse reglene er åpne standarder og forteller at du skal bruke den og den type kryptering, men de gir oss rom til å egentlig finne ut, hva er det som er viktig for oss. Det er som Frode sa, vi kommer aldri til å kunne prioritere alt, men det er viktig å vite hvor snart det er. Så det er bare nesten at jeg tenker at rammeverket som vi har egentlig ganske fleksibel. 

Silvija: Og vi låser hovedhuset vårt bedre enn det vi låser vedskjulet eller, så det er litt det med å være litt forholdsmessig i forhold til risiko tankegang også. Frode, finnes det en metode man kan bruke? Er det en oppskrift man kunne brukt for å ha en sånn god risikohåndteringsprosess? 

Frode: Ja, altså man har jo ulike standarder. Det kan være ISO standarder sånn som ISO 27.001 eller man kan bruke en NSM’s grunnprinsipper. Jeg tror bare for å tegne et bilde, når vi fikk ny sikkerhetslov, så var det sånn at den gamle sikkerhetsloven kunne sjekkliste om du var compliant med regelverket, og det fungerer bare til en viss grad når vi får den endringen i teknologi som vi har også videre. Så det å ha en risikobasert tilnærming hvor du har skalerbare systemer og ikke minst evnen til å se disse endringene. Du sitter jo i mange styrer som du sier, det er lite dynamikk, kanskje i disse vurderingene, og det tror jeg henger sammen med at man leser pst og nsm sine vurderinger og de blir litt langt der borte. Så det å få trusselvurderingene ned på hva det betyr for oss og hva betyr det for meg? Det krever mye mer kunnskap enn å krysse av på et sånt compliance skjema, at nå har vi implementert det og gjort det og det. Det gir også mange muligheter fordi, da kan du også skalere dette her, og du får en mer økonomisk bærekraftig tilnærming til sikkerhet. Du låser akkurat så mye som du trenger, eller du har andre avbøtende tiltak som gjør at du ikke trenger å ha sikkerhet på det nivået til enhver tid, for du tar høyde for topper ved angrep gjennom andre tiltak, men det krever kompetanse, og den er kanskje nyttig å få hjelp til noen ganger, men du må gjøre det selv. Du må gjøre risikovurderingen selv, men det å få en sånn metodisk hjelp, det kan være vanskelig, særlig i starten, for å få dette til å bli en dynamikk tilnærming, ikke en statisk. Nå har vi gjort det, også kikker vi på det igjen til neste år, også kikker vi på det igjen til neste år. For det må være en kontinuerlig prosess akkurat som all annen forretningsutvikling. Det er jo det det er. Det er en del av businessprosessen din for en bærekraftig virksomhet. 

Silvija: Kan jeg legge til to perspektiver fra sånt et styreperspektiv som jeg har sett en del av. Disse risikovurderingene. Det er tre egentlig. Det ene er at jeg synes faktisk den gode gammeldagse risikomatrisen fungerer veldig bra, altså sannsynlighet og effekt, ikke sant? Også plotter man ti. Så finnes det operasjonell risiko, det finnes juridisk risiko, det finnes kanskje finansiell risiko. Sånn at du ser på de forskjellige typer risiko, og på den måten som dere begge to beskriver. Du skal være litt ærlig med deg selv. For mitt punkt nummer to er at de risikoene du er mest redd for, de har du nesten ikke lyst til å se. Jeg var involvert i et spilleselskap, og i et spilleselskap, så er det rikstoto. Så er det selvfølgelig alltid stor mulighet for hvitvasking. Det er gambling, altså det er klart at det er en risiko der. Det å bare si at det er ingen tilfeller av det, det er litt lite overbevisende, synes jeg, men hvis man sier at, vi fant dette kvartalet fem. Eller det er 15 tilfeller vi har rapportert til Økokrim. Det gir meg en mye sterkere følelse av at dette systemet fungerer, og vi håndterer. Så det å være litt ærlig på det som er den reelle risikoen og vise at man håndterer den godt. På en oljeplattform, så kan det være sikkerheten til folka eller miljørisiko, eller der det virkelig monner. Så punkt nummer en, bruk disse gode matriser, men vær ærlig. Punkt nummer to er at det må være folk som digger å tenke risiko. For den som digger å bygge er kanskje ikke den som liker å tenke mest på risiko. Så du trenger noen av disse her motsatte personligheter som er the bad cop organisatorisk, tenker jeg. Det tredje som jeg har lyst til å fremheve, er det dere begge to sa. Jeg tror det er litt vanskelig å tenke på økt polarisering i verden eller at vi ikke har oppnådd klimamålene. Hvordan i all verden oversetter jeg det til mitt lille selskap, ikke sant? Finn de risiko som er relevante for deg på basis av noen av disse store globale risikoer, det tror jeg er litt viktig, og det dynamiske bildet. Det er en av de tingene jeg savner. For vi har liksom plottet nye risiko på bildet, også står de de, møte etter møte etter møte. Mens det vi ønsker å se er hvordan vi håndterer de risikoene? Hvilken bevegelse har vi klart å skape på dette kartet fra det røde til det grønne, ikke sant? 

Miloš: Altså fra min side så har jeg alltid sagt, start with the basics. Det er alltid mange eksempler som man kan ta av der. Det handler om, som vi sa, helt grunnleggende ting. Jeg får ikke lov til å plugge inn et USB-stick. Det kan være en god start. Så man trenger ikke tenke på sånne klimautfordringer hvis man ikke jobber i dette feltet. Ja, alle jobber og er påvirket av det, men start simple også går man mer og mer opp. 

Silvija: Frode, hvis jeg har forstått deg riktig og for så vidt også deg Miloš, så dreier risikovurderinger seg om å tenke på sånne what if scenarier som kan velte oss og sikkerhet dreier seg om å lage planer for å håndtere dem. Også er det en type risiko som jeg har lyst til å spørre dere helt på slutten, og det er teknologi risiko for den tror jeg er helt sentral og begge to har nevnt det. Altså teknologien utvikler seg så ekstremt fort og teknologirisikoen dreier seg om at man binder seg for en teknologi og lager femårsplaner basert på den. Også om 5 år, så er ikke det relevant lenger. Hverken som løsning eller som problem. Så har dere noe forslag på, hvordan organisasjoner og folk håndtere en endringstakt, både i fart og i kompleksitet som skaper denne dynamikk risikoen. Hva gjør man? Hvordan beskytter man seg mot den? 

Frode: Nei, hvis jeg kan få starte. Jeg tror jo at fossefall metoden, den er ute. Jeg tror at du for det første trenger styrer og ledelser som henger med på den digitale utviklingen. For jeg tror at analoge ledere eksisterer ikke lenger, rett og slett fordi at de ikke kan henge med i det du beskriver. Jeg tror det er et premiss for å ha god sikkerhet eller god økonomi å gjennomføre da veldig sånne prosesser som på et vis går kontinuerlig, også må man finne samarbeidspartner som leverer det kontinuerlig. Så man utvikler seg i takt med hele den næringskjeden man er en del av. Det høres jo mye lettere ut enn det kanskje er, men jeg tror at man på et vis må velge en mer smidig eller agil måte å så tenke implementering av systemer på. Sånn at det skjer hele tiden? Så vil det medføre, at man får sårbarheter som må løses underveis, men snarere det enn å få disse veldig gamle, tunge store omskiftninger, noe som preger for eksempel helse nå. Og andre aktører som har utsatt lenge å være med på teknologiutviklingen. 

Silvija: Miloš, hva slags hva tenker du? 

Miloš: Veldig varierende tror jeg. Når det gjelder hva man skal håndtere når det er så mye som skjer, så tenker jeg at alt handler om kommunikasjon. Det som viktig i en stor eller mellomstor organisasjon er å etablere god kommunikasjon. For min del, hvis jeg hadde jobbet med sikkerhet så tenker jeg at det er veldig viktig å avklare at dette her ikke er mitt ansvar. Det som jeg er ansvarlig for er å hjelpe dere med å vurdere den risikoen. Rett og slett snakke med dere. Det er derfor det er veldig viktig at man er involvert i sånne prosesser, som for eksempel hvis vi kjøper et nytt system, at man involverer noen som har bakgrunn, og som forhåpentligvis kan mye om sikkerhet, og at man involverer dem. Fordi da kan de hjelpe både med å velge ja hva slags system som skal bestilles, men så kan de også se hva vi skal følge med på. Og hvis vi bestiller dette systemet her, så må vi faktisk sjekke sånn changelogs og patches, og da er det fortsatt vanskelig, men går hvis man snakker med hverandre. Og igjen tar jeg opp opplæring.

Silvija: Transformasjon og opplæring. Jeg tror vi kommer tilbake til det hele tiden, og det er litt sånn veldig enkel oppskrift, men vanskelig å etterleve alltid. Det er get going og keep learning. Så tror det er veldig viktig at folk ikke prøver å lage et perfekt risikokart og perfekt risikosystem, men det viktigste er som du sier. Start with the basics and keep learning. And get everybody involved på godt Norsk. 

Frode: Ja, for jeg tror det siste elementet der, det er kulturen. For jeg tror lærende kulturer går mer hånd i hånd med kulturer, som tenker konsekvenser av ulike risikoer man står overfor. Så jeg tror det å bygge kultur, det å bygge gode læringssystemer, det henger veldig tett sammen. 

Silvija: Veldig bra. Vi har laget en liten oppskrift, og det er, get going and keep learning and have fun, involve everyone. Så nå er det bare å komme i gang. 

Miloš: Ja, det er en god start. 

Silvija: Ja, også kanskje det siste som dere ser begge to har sagt som jeg har lyst til å avslutte med, det er dette med prosess. Det er ikke sånn at man kommer i mål med liksom perfekt risikohåndtering, perfekt sikkerhet, perfekt sertifisering, det er en prosess, og det er viktig å kose seg med prosessen. Gjøre det til en oppgave og like den prosessen og bruke det som en mulighet til utvikling av organisasjonen og ikke som et ferdig stempel på veggen. Så kose seg med de nye oppgavene er vel egentlig det vi prøver å inspirere til. Tusen takk for en inspirerende samtale begge to. 

Frode: Takk, i like måte. 

Miloš: Tusen takk. 

Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.