Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer. 

Silvija Seres: Hei og velkommen til en LØRN-serie med BI om compliance. Vi i LØRN skal i samtaler med Miloš Novović fra BI og flere gjester diskuterer de viktigste driverne for compliance og GDPR. Velkommen også til dere to Miloš Novović og Frode Skaarnes. 

Frode Skaarnes: Takk, takk.

Miloš Novović: Takk. 

Silvija: Dette her er en veldig hyggelig serie for meg, fordi for det første kan jeg drodle litt med Miloš kulturelt tilbake til det gamle hjemlandet. Også har vi vår egen Frode Skaarnes fra LØRN. Så skal jeg veldig kort be dere introdusere dere for de som kanskje hører på bare denne episoden første gang. Sånn at kanskje de som heller ikke går på BI kan føle at de kjenner littegrann til de til de vi snakker med, ekspertene våre. *Snakker Montenegrinsk*. Neida Frode, vi bare tuller med deg. 

Frode: Ja, nå kjente jeg presset. 

Silvija: Jeg tenkte at Miloš og jeg tar dette her på montenegrinsk og ser hvordan det går videre. 

Miloš: Jeg synes det er veldig vanskelig å bytte mellom språk. Det tar litt tid å bytte. 

Silvija: Miloš, du skal ha lov til å ta det på norsk. Hvem er du?

Miloš: Jeg heter Miloš Novović, jobber som førsteamanuensis, som er et ord på Norsk som egentlig veldig vanskelig å finne noe tilsvarende på engelsk. Associate professor of law. Høres mye mer fancy ut. Jobber med juss og teknologi, også jobber vi med internasjonal kontraktsrett. 

Silvija: Også veldig anvendt på det digitale, og det synes jeg er utrolig spennende. Utrolig mye ny juss, men også ny jussforståelse fra ledelsessiden som er kjempeviktig. Jeg har vært i et politisk parti som jeg faktisk ikke hører til selv, men som gjør et utrolig spennende arbeid på AI innen politikk. Det du opplever er at hverken ledere eller politikere forstår hva politikken og hva er ledelsen i det digitale er. Der snakket vi om å AI, men det er vanvittig mye ny ledelse, ny politikk og ny juss. Så det er den juss siden av ledelse og digitalisering som vi tar en deep dive i, også i denne samtalen. Der er det kjempegøy å ha deg med Miloš.

Miloš: Absolut, tusen takk for invitasjonen. AI er definitivt noe som man kan snakke mye om. Vi kan bruke mange dager eller år for å snakke om AI. Når det gjelder utdanning så har vi også hatt veldig mange diskusjoner om hvordan man skal lage oppgaver, sensurerer oppgaver og den type ting. Så fra helt grunnleggende juss opp til, sånn som du sier boardrooms. Det er bare spennende å snakke om det. 

Silvija: Veldig bra, og Frode si to ord om deg selv. Ikke på montenegrinsk. 

Frode: Ja, du får den på norsk.

Silvija: Du kan ta det på en av de andre 5 språk du snakker, men la oss ta det på Norsk. 

Frode: Ja, vi kan ta en duolingo-runde der istedenfor compliance. 

Silvija: Frode og jeg konkurrerer på duolingo- bare så du vet det Miloš. 

Frode: Ja, vi kan også legge til at vi er ganske gode. Vi er i det øvre sjiktet på det vi driver med, så det kan være en fun-fact. Jeg kommer fra forsvaret. Jobbet der i mange år før jeg hadde en runde innom utenrikssektoren, etterretningstjenesten, nasjonal sikkerhetsmyndighet- Så jeg er et produkt av dette med risiko og sikkerhet. Jeg er veldig glad i det og synes det er veldig gøy å snakke om og ikke minst fint å lære bort, fordi det er nyttig å ha begrepene på plass og kunnskap på plast for å gjøre ting så fornuftig som mulig i forhold til hva du skal beskytte. 

Silvija: Veldig bra. Dere to, nå skal vi starte den faglige delen av samtalen vår. Denne samtalen har overskrift, risikoreduserende tiltak. Da tenker jeg å spørre Miloš, hva er det viktigste vi skal snakke om her? Er det organisatoriske tiltak, er det tekniske tiltak, er det sortering, finnes det forskjellige? 

Miloš: Ja, det er veldig vanskelig å si hva det er som er viktigst. Jeg starter alltid med å si at det ikke finnes noen konkrete krav som man stiller der. Det eneste er at man skal implementere tekniske og organisatoriske tiltak som på en måte minimerer og reduserer den risikoen som man har identifisert. Det høres kjempe komplisert og abstrakt ut, men det er egentlig veldig enkelt. Vi snakket mye om det med Rie Alexandra Vale, da vi snakket om GDPR. Vi så at nesten alt hun reagerer på her er bare common sense. At man skal tenke litt, men hvis det hadde vært mine opplysninger, hva hadde jeg gjort da? Jeg tenker det er viktig å se på hvordan det pleier å fungere i en organisasjon, også fra den organisatoriske siden. Vet jeg hvem jeg skal rapportere til? Har vi  noen rutiner på plass som sikrer at vi ikke tar pc-en hjemme med oss. Finnes det noe opplæring?. Hva slags prosesser har vi? Og når det gjelder tekniske tiltak, så kan det være alt fra det å få en pop-up når man skal sende en e-post hvor det står, vi ser at det er 200 mottakere her, er du helt sikker på at du skal sende det. Så alt jeg prøver å si er at dette her er en helhetsvurdering. Man må tenke litt etter at vi har sett og prøvd å identifisere hva slags risiko det finnes. Så prøv å tenke litt kreativt. Si at vi har veldig mange som feilsender e-post hos oss, så fra den organisatoriske siden kan vi ha noen møter og snakke med folk. Så på den tekniske siden, så kan vi sånne type ting at man ikke har autocomplete. 

Silvija: Jeg har lyst til å oppsummere det veldig enkelt så det blir litt legospråk. Det ene er at dette med å ha tiltak etter hvert er påkrevd. Både styret sjekkes for det og ledelsen holdes ansvarlig for det, så det har blitt en hygienefaktor. Og om det er GDPR eller om det er cyber security eller om det etter hvert er bærekraftsrapportering, du er nødt til å gjøre det. Det er ikke valgfag lenger. Kundene dine krever det, partnerne dine krever det, regulatorene og myndighetene krever det. Det andre jeg har lyst til å si, er at du skal være real. Det er som du sier. Det høres innmari komplisert ut, men du kan tenke som hvem som ville hacket seg inn eller en som ville prøvd å gjøre noe feil med HR dataene dine. Så må du tenke, hva er det viktigste du har og hva er også en slags proaktiv og pragmatisk holdning til det. Dere har brukt et veldig vanskelig ord som heter proporsjonalitet. At du tenker det som er viktig og håndterer det som er viktig på en stor måte og det som ikke er så viktig, det kan du kanskje la ligge tilslutt da. Så jeg tenker dette med at det ikke er valgfag og at du må være proaktiv på en veldig sånn fornuftig måte at det er en fornuftig tilgang til dette her. Hva tenker du, Frode? 

Frode: Jeg synes jo dere begge er skikkelig på det som er kjernen av dette. Det som jeg har opplevd er at de tekniske tiltakene er veldig binært, enten så har du det, eller så har du det ikke. Mens disse organisatoriske tiltakene, der skal du jo forholde deg til mennesker. Vi mennesker er en gjeng som liker å utfordre noen, og noen er veldig regelstyrt, så de er lette å få dette til å svinges. Jeg tenker at når vi skal organisere disse tiltakene, om vi kommuniserer det muntlig eller skriftlig, så tror jeg det du sier, Silvija, det er at de tiltakene man har bestemt seg for å implementere må oppleves som som logiske. De må være fornuftige, også kanskje det aller viktigste må være proporsjonalitet i forhold til hvor inngripende de er i hverdagen. Jo mer komplekse de er, jo mer påvirker og hemmer de arbeidet, jo større er sannsynligheten for at noen bare finner en vei rundt istedenfor og tenker, det går sikkert bra. 

Miloš: Jeg kommer med et eksempel der. Da jeg jobbet i et selskap, i en ganske kort periode så hadde de såpass mange strenge IT- regler at man ikke kunne bruke noen som helst nettside. Og det var nesten umulig  å gjøre jobben min eller å faktisk jobbe. Så endte det opp med at jeg bare startet å ta med min egen pc på jobb. Da er det nesten helt meningsløst, ikke sant? Man kunne heller ikke velge egen PIN kode på nøkkelkortene på BI, så jeg måtte ha en post-it på baksiden for å huske koden. Så det kan være litt problematisk. 

Silvija: Jeg har lyst til å gi deg to like eksempler. Jeg jobbet i en organisasjon hvor vi måtte ha gradert kommunikasjon. Vi var fra mange forskjellige steder, så vi fikk utdelt egne Macer med en så komplisert adgangsprosedyre, så man skulle ikke gjøre noe annet på de macene enn akkurat den jobben, og det er en deltidsjobb for mange av oss. Det ble så vanskelig å komme seg inn at til slutt, så valgte man heller å kommunisere på mobiltelefon med en signalløsning eller noe. Så har jeg snakket med sikkerhetsansvarlig i et veldig stort IT selskap i Norge som jobber med å levere løsninger til veldig mange bedrifter. Jeg synes han var så gammeldags Miloš. For han sa akkurat det du sier. At våre ansatte må bruke vår type pc, med vår type rigg, med våre typer lisenser, med vår type tilganger. Og ingenting annet skal du gjøre for da har du ikke kontroll på sikkerhet, men så tenker jeg. La oss si et lite gründerselskap som LØRN hvor alle bruker akkurat den maskinen de har lyst til å jobbe på. Noen har macer og noen har pcer og noen har- jeg vet ikke hva. Du laster opp det du må laste opp for å få jobben gjort. Mesteparten av jobben gjøres i skyen og det du egentlig baserer deg på er sikkerhetsløsningene fra de store IT aktørene som Google, Microsoft og Amazon. Jeg tenker at et sted imellom disse to verdener må det finnes en løsning for både SMBer og for store bedrifter som klarer å ha litt mer kontroll på sikkerhet, men ikke kontrollerer det så mye at folk begynner å ignorere det. Hva tenker du Frode? 

Frode: Nei, jeg tror det er nøkkelen. Kultur i en virksomhet, reflekterer også sikkerhetskulturen. Hvis man da har en kultur hvor ting er veldig tilrettelagt, det føles veldig logisk det man gjør, så er det også lettere å få folk til å følge de reglene man har bestemt seg for at skal følges. Jeg tror på fleksibilitet. Jeg tror at jo mindre du er, jo større er sannsynligheten for at du kanskje finner dette ikke i en server i kjelleren, men kanskje i en skybasert løsning istedenfor hvor noen kan hjelpe deg til å gjøre gode valg og kanskje din kompetanse er en bestiller og juridisk kompetanse enn en sikkerhetskompetanse som sådan. Så tror jeg også at man da kan finne flere løsninger som vil oppleves som mer logisk enn hvis man er veldig streng. For jeg tror at jo strengere, jo bedre, det har jeg ikke noe tro på. Det gjelder også innenfor sikkerhetsloven. Jeg tror folk må føle at det er noe fornuftig i det man gjør.

Silvija: Jeg har lyst til å gi dere tre typer forslag som tiltak, også lurer jeg på om dere kan kommentere litt på det. Det første dreier seg om multifaktorautentisering. Vi er så heldige at vi lever i et land hvor alle voksne med bankkonto også har bankid. Det gjør at du kan verifisere deg, både med to-faktor-autentisering og tre-faktor-autentisering. Og etter hvert kommer biometri inn hvor mange av oss har telefoner som kan kjenne igjen ansikter, fingeravtrykk også videre. Jeg har kommet dit personlig, at jeg ikke vil ha noe med banker eller eller noe som helst som har med min betaling eller intim informasjon å gjøre som ikke bruker multifaktor autentisering. Det er ikke noe vi må be HP å få våre ansatte til å gjøre, men kanskje være litt insisterende. Det det andre jeg har lyst til å legge på bordet, det er opplæring, og gjerne også litt sånn brutal opplæring gjennom pentesting. Prøve å få folk til å hacke seg inn og se hvor mange av dine ansatte som faktisk gir passordene sine når det ser ut som det kommer et dokument i Docusign til signering. Jeg får 3-4 sånne e-poster om dagen. Så har de blitt så flinke med kunstig intelligens også at de vet omtrent når jeg forventer tilsvarende dokument, så det blir utrolig vanskelig etter hvert. Så hvordan skal du liksom være god på dette med å ikke tro på alt det du ser i mailboksen din. Det tredje er assume bridge. Altså anta at du er under angrep og kanskje også hacket hele tiden. Jeg vet ikke om du vil starte Frode, bare kommentere på dette med multifaktor. Det høres innmari vanskelig ut, men hva er det? 

Frode: Nei, det er egentlig ikke så vanskelig. Det er så enkelt som at du kan skrive inn et passord som er det du vanligvis gjør, men i tillegg så får du kanskje en tekstmelding til ditt telefonnummer, som sier at du må skrive inn denne sekssifrede koden. Og da er det en kobling som gjør at det vil være mye vanskeligere for en trusselaktør å kunne gjøre dette uten at man må ha hacket mange deler av livet ditt. Også er det de som er litt mer avanserte hvor du må ha ulike kodebrikker også videre. Så i den enkleste forstanden så er dette her ikke så vanskelig, og det er mer enn bare en rytme i det du gjør. Jeg tror at for de fleste som er glad i sine egne data og er glad i kundene sine, så bør du også være glad i kundenes data. Sånn sett så er ikke dette veldig inngripende hvis man velger metoder eller løsninger som er litt skreddersydde og tilrettelagt for at det skal være effektivt også.

Silvija: Veldig bra. Miloš, er det noe interessant ledelse eller juss rundt dette her eller er det just do it liksom? 

Miloš: Det er masse juss om alt. Her tenker jeg igjen på GDPR. Så tenker jeg at her er det ikke eksterne trusler som blir det som skjer oftest, men egentlig helt motsatt. Det blir som regel interne problemer. Her er det ikke bare to-faktorer-autentisering som er relevant, men også rollestyring. Så hvis man har sharepoint for eksempel, at man vet hvem som skal få tilgang til hva. Hvis Frode får tilgang til noe som han egentlig ikke burde få tilgang til- jeg vet ikke Frode om det er noe du ikke skal ha lov til å se? 

Frode: Det er masse jeg ikke får lov til å se. 

Silvija: Det som jeg tenker er at kultur er kjempeviktig her. Du må bare anta at folk forventer at du etter hvert har kontroll i forhold til datatrygghet hos deg, ikke misbruke data. Tilsvarende med cybersecurity, at ikke dine administrative verktøy plutselig blir hacket slik at noen kan se alle ansattes lønninger eller alle kundenes privat informasjon. 

Miloš: Ja, både ja og nei. Jeg tenker at det er så mange organisasjoner som ikke har noe oversikt over at vi feks lagrer HR opplysninger her, men det er ikke noe behov for at IT avdelingen skal få tilgang til det. Dessverre, så er dette noe som rettslig sett faller inn i den kategorien av avvik, så data breach under GDPR. Og det er derfor jeg tenker at vi må starte å rydde litt. I tillegg til det med to-faktorer-autorisering eller hva som helst. Så må vi også tenke litt på hvordan vi strukturerer dataene våre. Hvordan lagrer vi dem med tanke på sånne interne ting? 

Silvija: Jeg tror det som er viktig, og det her snakker jeg litt fra personlig erfaring sammen med Frode i vårt lille selskap LØRN. Vi fant ut etter hvert at vi er nødt til å jobbe med en sånn felles skyløsning. Ellers bodde veldig viktige dokumenter i mailboksene og på PCen til folk, også skiftes roller. Du har ingen strukturkapital, hvis ikke du har en sånn felles fil løsning. Også er det sånn at hvis du lager innmari kompliserte filstrukturer og tilgangsrettighetsstyring, så forsvinner du i den suppa også. Så det vi endte opp med er et sånt veldig enkelt trafikklyssystem. Hvor du har noen dokumenter og foldere som er røde, og der har du HR informasjon, der har du kontrakter, der har du lisensinformasjon. Der er det bare en veldig liten gruppe som har tilganger. Så har du det som er gult, som er veldig viktig intern informasjon, men du må være liksom litt oppmerksom på hvordan det håndteres, og det er fortsatt veldig viktig at ikke dette på noe vis slipper ut. Så har du grønne områder hvor du kan slippe inn eksterne partnere som du må du dytte ut igjen. Du må fortsatt ha kontroll, men det er mye mer åpent. Der er det veldig viktig å dytte folk ut og inn. Det er ikke sånn engang inn, alltid inn, for det er det som skjer i veldig mange organisasjoner. Så har vi oppdaget at det å ha disiplin ved å gi folk tilgang når de begynner i en jobb, det har de fleste, men det å være flinke til å fjerne folk når folk slutter, det er noe som tar litt tid. Alt fra liksom telefoner til datatilganger og lisenser. Så jeg tror det å ha disiplin og det å ha prosess bringer meg til det punktet mitt rundt multifaktorautentisering. Jeg tror det viktigste her er å si at det er det som er trygt. Og vi forventer at alle skaffer seg den appen eller den type telefon. Hvis ikke du har det, så kan du ikke bruke våre systemer. For jeg tror at over tid så vil kundene også være takknemlige for dette her. Og ansatte aksepterer at compliance og sikkerhet er en del av vår grunnleggende kultur, og som sagt ikke noe vi tar lett. Jeg tror det kroppsspråket er kjempeviktig. Frode, jeg snakket så mye, men kan du si to ord om pentesting? For jeg synes det er sjokkerende å se hva slags resultater man får når man først prøver seg. Si littegrann om dette med assume bridge, er jeg paranoid?

Frode: For å starte med det siste først, så er det sånn at ifølge Telenor så opprettes det så mye som 170.000 nettsider hver dag i den hensikt å lure deg til å enten gi informasjon til de så de kan hacke deg eller andre, eller i hvert fall at de skal kunne utnytte dette i en eller annen form for kriminell eller statlig handling som ikke er ment til å fremme din virksomhet. Så jeg tror at folk bare må forstå at alle er under angrep, til og med privatpersoner. Vi mottar svindelforsøk i ulike former hver eneste dag. Hos virksomheter bruker man mer tid på å kartlegge dem før man gjør det, så det blir litt mer sofistikert, så det er noe vi må lære oss å leve med. Også er det sånn at det kan gå fint så lenge du har gjort de tiltakene du mener er fornuftig i forhold til hva du skal beskytte. Da kan du gå tilbake til ditt andre spørsmål med pentesting. Pentesting er en måte å teste organisatoriske tiltak på og tekniske tiltak, for en del av de tingene som man tester i pentesting bør egentlig stoppes i ulike teknologiske løsninger. Spoofing for eksempel når man skal endre avsender sånn at det ser ut som din sjef eller noen andre så er det blitt så gode verktøy for å gjøre dette at det er veldig vanskelig for mennesker å kjenne igjen dette her, men teknisk sett. Fra den tiden jeg var i nsm, når vi gjennomførte pentester, så er det sånn at 1/3 av de vi sender eposter til åpner eposten. 1/3 av de igjen kan for eksempel trykke på vedlegg hvor man aktiverer for eksempel makroer også videre, og da på et vis også kan risikere at man gir fra seg administratorpassord også videre. Så ser vi at vi mennesker er nysgjerrige og er det liksom sånn at om det har blitt feilsendt en epost om lønnsdetaljer rundt det kommende lønnsoppgjøret fra HR også videre, så er det større sannsynlighet for at flere ser på dette her og skal inn på excel arket og få det siste, for så å slette det og late som at de aldri har sett det. Så vi er litt halvnysgjerrige og litt sånn halvkriminelle i natur. Så lenge det liksom er litt den der sosialpornografisk vinklingen på det, så ser man det at sikkerhetskulturen er veldig viktig for å sørge for at dette ikke skjer. Statistisk så har jeg aldri hørt om noen som har mislykkes i et penttestforsøk. Altså jeg har aldri opplevd at noen ikke har fått tak i passord som de har vært på jakt etter gjennom å gjøre dette, i alt fra små til store virksomheter. Så det er en veldig fin mekanisme for å få folk til å lukke opp øynene. Du kan si at det er de andre tiltakene du lager som en konsekvens av det som er det som vil sørge for at du blir mer robust. 

Silvija: Jeg, jeg har lyst til å legge til to ting. Det ene er at dette kan skje selv de som på en måte skjønner cybersikkerhet, littegrann i hvert fall. Jeg bruker WhatsApp relativt lite, men så var det noen som sendte meg en video som måtte åpnes via WhatsApp, så åpnet jeg den, også fikk jeg ganske snart en epost hvor det var noen som ba meg bekrefte WhatsApp eller oppdatere WhatsApp passordet mitt. Det var noe feil med avsenderadressen, så minimalt feil at jeg bare tenkte fort at det er sikkert en mekanisme WhatsApp bruker så det ser greit nok ut. I det jeg da gjorde dette her med passordet mitt, så begynner min egen WhatsApp, hvor jeg heldigvis ikke hadde så mange kontakter å sende tilsvarende e-post til alle jeg har inne i min app. Så du skal se 13 ganger på avsenderadressen på sånne spørsmål, også skal du fortsatt ikke svare på det. Kanskje du skal ta en telefon først til HR-avdelingen. Det jeg også har opplevd er at noen har sendt en epost som så ut som det var sendt av meg til HR- avdeling, hvor jeg satt i styret som ba dem endre bankkontonummeret til et nytt bankkontonummer. Det så veldig troverdig ut rett før utbetalinger, men heldigvis så var det noen fra HR som tok en telefon til meg og spurte, vi må bare sjekke Silvija om dette faktisk er deg. Nei, det er ikke meg, ikke sant. Hadde det ikke vært en veldig våken person på HR, så ville det vært kjørt. Så jeg vil bare si at dette skjer. Det skjer hele tiden. Det skjer med alle, og man skal da anta at man er under angrep. Frode, vi har et sitat som vi pleier å si av og til. At det finnes bare to typer selskaper eller organisasjoner, de som har blitt hacket og de som ikke vet det ennå. 

Frode: Ja, det er riktig det.

Silvija: Så litt sånn avslutningsvis Miloš. Vi har snakket om at det viktigste i risikoreduserende tiltak, det er egentlig opplæring og kultur. Det finnes verktøy. Vi kommer til å snakke litt mer om verktøy i vår neste samtale. Men det å bygge kunnskap og kanskje litt sånn kultur for at compliance, risiko og sikkerhet, det er noe som gjelder oss alle, og alle må være aktive. Det er kanskje det viktigste tiltaket man må gjøre? Er du enig? 

Miloš: Absolutt. Man må vurdere risiko, og det har vi snakket om sist gang. Så må man egentlig tenke og være litt kreativ når man tenker på hva slags risiko tiltak vi kan implementere. Så er det veldig viktig å prøve, og det kan være et viktig poeng, og det skal vi si litt om når vi starter å snakke om kontrollmekanismer. Det er det som er viktig for datatilsynet, for eksempel eller for NSM og andre myndigheter som følger meg på det. Det å vise at man faktisk har gjort noe. Så hvis det går galt, så går det galt, men man må gjøre noe. 

Silvija: Ja, kjempeviktig poeng. Vi kommer tilbake til noen eksempler fra virkeligheten på bedrifter da som har blitt bridget på litt forskjellige måter, men som har oppdaget det og gjort noe med. De går det veldig mye bedre med enn de som fornekter det og prøver å skjule det, også for seg selv. Så dette her med å vise proaktivitet tror jeg er det viktigste av alt. Tusen takk for en god samtale så langt. Vi møtes snart for å snakke om tredjeparter. 

Frode: Ja.

Miloš: Tusen takk. 

Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.