#0605: Helhetlig IT-sikkerhet - LØRN.TECH

Tema: CYBERSEC

#0605: Helhetlig IT-sikkerhet

Expørt: Maria Bartnes

Førsteamanuensis II ved NTNU og forskningssjef i

fra SINTEF Digital

Med lørner Silvija Seres

Hvordan er cyber security, og cyber safety to forskjellige ting, men like fult like viktige ting? Og hvordan kan disse kombineres mer? I denne episoden av #LØRN snakker Silvija med forskningssjef i SINTEF Digital og Førsteamanuensis II ved NTNU, Maria Bartnes, om risikoene som oppstår når vi effektiviserer gjennom å åpne opp systemene våre gjennom å koble de opp mot nettet så vi får raskere tilgang på de. For det vi da gjør, er å også åpne opp for at også andre tilgang på disse.

Noen kjappe med ekspørt Maria Bartnes

Navn?
Maria Bartnes 

Tittel og selskap?
Forskningssjef i SINTEF Digital. Leder avdelingen Software Engineering, Safety and Security (ikke et veldig publikumsvennlig navn, men veldig dekkende for hva vi kan).
Førsteamanuensis II ved NTNU, Institutt for informasjonssikkerhet og kommunikasjonsteknologi 

Utdanning og hobby?
Siv.ing fra NTNU, fra det som da het telematikk og i dag heter kommunikasjonsteknologi, med fordypning i informasjonssikkerhet, 2002.
PhD fra Institutt for informasjonssikkerhet og kommunikasjonsteknologi, 2015. Skrev om håndtering av IT-sikkerhetshendelser knyttet til smartgrids/kraftbransjen. 

SoMe tagger og linker?
https://www.linkedin.com/in/maria-bartnes-7744272
@mariabartnes på twitter 

Hvem er du, og hvordan ble du interessert i innovasjon/teknologi?
Utdannet siv.ing fra NTNU, skrev master om informasjonssikkerhet, skjønte at sikkerhet var moro da jeg tok 4.kl ved Uni of California Santa Barbara, og fikk jobb i SINTEF med å etablere et kompetansesenter for informasjonssikkerhet, det som i dag er NorSIS. Alltid vært interessert i realfag, særlig matte, så jeg måtte studere noe i den retningen. At det ble data var kanskje litt tilfeldig, og det som likevel fristet mest da jeg skulle søke på studier. 

Hva er det viktigste dere gjør på jobben?
Vi er forskere, driver med anvendt forskning, dvs løser problemer som ingen har løst før, i tett samarbeid med de som har problemene – industri, næringsliv, offentlig sektor. Visjonen teknologi for et bedre samfunn er veldig motiverende og gir en viktig retning for oss i våre prosjekter. Skal ikke lage teknologiske løsninger bare fordi vi kan, de skal gi verdi. Min avdeling jobber med programvareutvikling og sikkerhet, både industriell sikkerhet og informasjonssikkerhet. Helt sentrale fagområder i dag, i en verden som skal digitaliseres sikkert. 

Hva fokuserer du på innen innovasjon/teknologi?
Mitt fagfelt er informasjonssikkerhet, men som forskningssjef jobber jeg ikke direkte på prosjekter, men med ledelse og strategi, tilrettelegge best mulig så forskerne hos meg kan få en god arbeidshverdag med de kuleste og morsomste prosjektene å jobbe med. Samtidig veileder jeg masterstudenter innen informasjonssikkerhet, noe som er veldig meningsfullt. Det faglige jeg har mest lyst til å snakke om i denne podkasten er behovet vi ser for å kombinere security og safety der vi har industrielle kontrollsystemer, f.eks i oljebransjen, kraftbransjen, vann og avløp. 

Hvorfor er det spennende?
Det har vært to ulike verdener – industrielle kontrollsystemer og “vanlige” IT-systemer, designet for helt ulike formål, med ulike sikkerhetsmål, det er to ulike fagtradisjoner, ulike folk som jobber med de systemene, som har hver sin terminologi og hver sine tradisjoner. Med utviklingen mot fjernstyring av plattformer og flytting av kontrollrom til land, og bruk av vanlige IT-systemer framfor proprietære løsninger i kontrollsystemene, treffer et helt nytt trusselbilde denne bransjen. Trusler som tidligere bare var relevante for administrative systemer er plutselig høyaktuelle for det operative på plattformen. Og det krever endringer i organisasjonen, i arbeidsprosesser, tankesett, kultur, holdninger, kunnskap, samarbeid, hvordan man øver beredskap.. hele arbeidet rundt operativt og sikkerhet. 

Hva synes du er de mest interessante kontroverser?
Kontrovers og kontrovers – det er interessant at det er så stor utfordring å se disse to fagområdene samlet. 

Dine egne relevante prosjekter siste året?
PhD-prosjektet mitt, som jeg riktignok avsluttet i 2015, studerte jeg hendelseshåndtering i kraftbransjen, en bransje som møter akkurat de samme utfordringene som olje. Jeg intervjuet folk fra “begge sider” og så blant annet at det var mangel på forståelse for hvordan systemene henger sammen og dermed hvilken type informasjon som bør flyte mellom de som jobber med de ulike systemene, og at de i liten grad øvde på å håndtere hendelser, og at små selskaper var helt prisgitt sine underleverandører, men at de likevel stilte altfor lite krav og øvde heller ikke sammen med leverandøren. 

Som forskningssjef jobber jeg ikke direkte på prosjekter, så det mest direkte jeg er involvert i nå, er veiledning av flere masterstudenter som jobber med disse utfordringene. Noen ser på god praksis for hendelseshåndtering i begge leire i oljebransjen – IT og industrielle IKT-systemer – med mål om å se hva som fungerer bra og rimelig samkjørt, og hvor det er behov for bedre samkjøring og kanskje nye måter å jobbe på. Andre ser på hvordan tredjeparter/underleverandører er involvert i hendelse håndteringsprosessen. Og andre igjen ser på hvordan cloud-teknologier kan brukes på en sikker nok måte inn i industrielle IKT-systemer – hvor det er lettest å si nei, det vil ikke være sikkert nok, men hvor man må jobbe for å få til gode løsninger som er akseptable i driften av kritiske systemer. 

Hva tror du er relevant kunnskap for fremtiden?
Vi trenger folk som har god forståelse for både IT og industrielle IKT-systemer, og som skjønner både safety og security. Vi har mange i dag som kan det ene eller det andre, men det er et kjempe behov for å få folk som skjønner begge deler. Det må vi ha for å greie å utnytte teknologien til det beste og samtidig møte truslene som vi enten kjenner eller ikke ennå kjenner. 

Hva gjør vi unikt godt i Norge av dette?
Vi har 50 års historie med teknologiutvikling for oljebransjen, og en ekstremt sterk tradisjon for disse fagene. Vi har i tillegg en kraftbransje som har en krevende oppgave med å levere strøm i grisgrendte strøk over store avstander med ekstrem oppetid – så begge disse bransjene er vi knallgode i, og vi har stor oppmerksomhet om sikkerhet og gode fagutdanninger, og ikke minst har vi trekløveret universiteter + institutter + næringsliv. Så alt ligger til rette for at vi skal være i front framover. 

Et favoritt fremtidssitat?
Jeg liker visjonen vår svært godt – Teknologi for et bedre samfunn. Og så liker jeg veldig godt det som Digital 21 fremmet så tydelig, at vi skal digitalisere, og vi skal digitalisere sikkert. Og sikkert for disse bransjene betyr at vi må kombinere safety og security. Det ene eller det andre er ikke godt nok alene. 

Dette lørner du:

Anvendt forskning
Nye trusler
IT sikkerhet
Samarbeidskultur

Anbefalt litteratur:

Maria sin doktorgrad 

Det er viktig at sikkerhet ikke bli et hinder, men det er viktig at vi prioriterer det i forkant og at sikkerhet kanskje i større grad kan bestemmer tempo

Maria Bartnes
Share on facebook
Share on twitter
Share on linkedin

Filter by perspective

Filter by subject

Search name, company, subject or keyword

#0702

Å skape engasjement

Ekspørt:

Charlotte Warner

COO

Fra Lindas dekor

#0701

Den smarte hytta

Ekspørt:

Torfinn Solem Schiefloe

Salgssjef

Fra Sikom

#0700

Tid for Homesourcing..?

Ekspørt:

Hågen Lynum

Daglig leder

Fra Prototal

#0699

Radikal og realistisk

Ekspørt:

Andreas Sjalg Unneland

Leder

Fra Sosialistisk Ungdom