LØRN Masterclass M0010
Dataangrep mot stater og bedrifter
I dette Masterclass-kurset med #LØRN snakker Silvija med Hans Christian Pretorius om Dataangrep mot stater og bedrifter

Hans Christian Pretorius

Partner

KPMG

"Man er ikke klar over hvor avhengig vi er av de digitale plattformer som ligger i hele samfunnet"

Dette er LØRN Masterclass

Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Vis

Leksjon 1 - Introduksjon (36min)

3-delingen av ansvaret, Hva Ransonware er, Hva sikkerhetshull er, Gode tips for å unngå å bli hacket, Crime service - de gode hackerne

Leksjon 2 - Eksempler (32min)

CERT, Kritisk infrastruktur i kraftsektoren, Utfordringen rundt digital støtte i helsesektoren, Balansen mellom konfidensialitet og tilgjengelighet, Hacking av kroppene våre, Tiltak som organisasjoner må etablere for å unngå risiko

Leksjon 3 - Verktøy (32min)

Identitestyveri, Hvordan har kontroll over brukerne sine, AI som sikrer identiteten vår, Sikker digital ID, Hvordan skape tillitsbaserte tjenester, Tillit som konkurransefordel, IKT grunnprinsipper

Leksjon 4 - Verksted (15min)

Viktigheten av å løfte sikkerhets diskusjonen, Viktigheten av å sette policyer, URL-styring, Verdivurdering, Sårbarhetsdeteksjon for SMB-markedet, Deteksjonsevne, Restore for ransomware, Viktigheten av AD

Ferdig med alle leksjonene?

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Tema: Cybersikkerhet og etterlevelse
Organisasjon: KPMG
Perspektiv: Storbedrift
Dato: 3, desember 2021
Språk: NO
Sted:OSLO
Vert: Silvija Seres

2000+ lyttinger

Litteratur:

Olav Lysne – The Huawei and Snowden questions

Del denne Masterclass

Dette lærer du om i denne Masterclass

• 3-delingen av ansvaret, Hva Ransonware er, Hva sikkerhetshull er, Gode tips for å unngå å bli hacket, Crime service - de gode hackerne
• CERT, Kritisk infrastruktur i kraftsektoren, Utfordringen rundt digital støtte i helsesektoren, Balansen mellom konfidensialitet og tilgjengelighet, Hacking av kroppene våre, Tiltak som organisasjoner må etablere for å unngå risiko
• Identitestyveri, Hvordan har kontroll over brukerne sine, AI som sikrer identiteten vår, Sikker digital ID, Hvordan skape tillitsbaserte tjenester, Tillit som konkurransefordel, IKT grunnprinsipper
• Viktigheten av å løfte sikkerhets diskusjonen, Viktigheten av å sette policyer, URL-styring, Verdivurdering, Sårbarhetsdeteksjon for SMB-markedet, Deteksjonsevne, Restore for ransomware, Viktigheten av AD

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Leksjon 1 - ID:M0010a

Leksjon 1 - ID:M0010a

Leksjon 1 - ID:M0010a

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen til en LØRN MASTERS om Cybersecurity. Jeg er Silvija Seres og gjesten min i dag eller verten min idag, er Hans Christian Pretorius som er partner i KPMG. Velkommen Hans-Christian.

 

Hans Christian Pretorius: Jo, tusen takk.

 

Silvija: Jeg skal si bare to setninger om selve kurset som vi er i ferd med å lage nå og så setter vi i gang samtalen. Tankene er er at du skal gi oss en to timers, firedelt, forelesning-serie som utgjør et slags mikro, nano kurs om temaet Cybersecurity. Vi fokuserer samtalen på Cybersecurity innenfor kritisk infrastruktur og lager innhold som burde være litt for absolutt alle, og man trenger ikke teknisk bakgrunn for å forstå dette her. Man trenger bare å forstå hvor viktig og vesentlig det er å håndtere spørsmålene rundt Cybersecurity i fremtidens arbeidsliv. Samtalen er uformell. Du er eksperten og jeg er studenten. Første del er grunnleggende konsepter. Andre del er tre gode eksempler. Tredje del er verktøykasse og teknologiske muligheter og fjerde del er et lite verksted hvor vi prøver å rydde opp i Cybersecurity til LØRN. Høres det greit ut Hans-Christian?

 

Hans Christian: Det høres ut som en god plan og greier. Veldig bra.

 

Silvija: Men da setter vi i gang samtalen og det begynner alltid egentlig med at vi ber deg introdusere deg. Så hvem er Hans-Christian og hvorfor bryr han seg om seg om Cybersecurity?

 

Hans Christian: Jo. Jeg heter Hans Christian Pretorius. Takk for at jeg få komme, det må jeg får lov til å begynne med. Nei, jeg har jobbet med Cybersecurity i veldig veldig mange år. Jeg har jobbet med IT siden jeg var nyutdanna fra Bergen på 90-tallet. Og det var faktisk for meg, så var det 9/11 som var det utløsende. Jeg hadde jobbet med IT programmering i mange år og vært det i ulike selskaper. Så traff 9/11 og så tenkte jeg at “nei nå skal jeg prøve å gjøre noe mer”. “Nå skal bidra større enn å sitte å skrive koder”, som jeg gjorde da. Så da gikk jeg til etterretningstjenesten og begynte å jobbe der. Og etter det så har det vært etterretningstjenesten. Det har vært politiet. Det har vært en tur i utlandet. Jeg var var ut mange år i Nasjonal sikkerhetsmyndighet hvor jeg på en måte ledet nasjonale, hele IKT delen der da. Før jeg da gikk til KPMG. Så jeg hoppet litt fra sånn privat offentlig egentlig, gjennom karrieren. Da med det store valget å si at nå hadde jeg lyst til å jobbe med sikkerhet” da innenfor IKT området. Traff da på tidlig 2000 tallet.

 

Silvija: Så tyve års erfaring innenfor Cybersecurity og på en måte den digitale siden av sikkerhet er din driver. Vil du si veldig kort, den utviklingen du har sett på de tyve år du har hatt en sånn “first row seat”til utviklingen. Hvis man skulle oppsummert det litt kort hva. Hva ville du sagt?

 

Hans Christian: Nei det har jo vært en utrolig reise at jeg startet jo i et lite selskap som da produserte løsninger for nett i dag som Internett websider og det er jo liksom der jeg startet. Og da var ikke sikkerhet et tema engang. Så det tenkte vi veldig på. Vi lagde løsningene. Vi var opptatt av brukervennlighet og alle som jobbet mye med jus-bilde og at brukeren skulle finne fram og det var veldig de store temaene da. Når internett kom. Sikkerhet, at noen kunne bryte seg inn, det at data kunne komme på avveie også videre. Det var veldig veldig lite tema, så det har vært en reise. Det var en gang hvor der jeg jobbet ble angrepet av det som kalles et ddos angrep. Som er at en masse PC’er rundt i verden løper de nettsiden din samtidig som da tar ned tar ned nettsiden. Det ble drevet, den gangen av DNB og Post. Det ble en sak som havnet i retten faktisk. Det var litt interessant for da ble vi. Da var dommeren husker jeg ganske tydelig. Dette var unge gutter i Norge som aldri hadde fått til dette her. Da husker jeg at dommeren stilte spørsmålet: “Er det virkelig sånn at 3 stykk 17 åringer i Norge kan ta ned dette?”. Da man blir litt svar skyldig. “Nei, det skal de jo egentlig ikke kunne”. Og det det er veldig mange år siden og det har vært en reise siden da. Men det er klart dette er blitt noe helt annet nå enn det var den gangen.

 

Silvija: Ja, det er utrolig interessant også hvor dette går videre med sånne ting som det nye kryptografien, alt fra blockchain til quantum computing. Jeg tror at vi har bare sett begynnelsen på den eksponensielle utviklingen på Cybersecurity. Og jeg tror at en av de viktigste tingene vi må formidlet i samfunnet, det er hvor viktig det er at vi tar Cybersecurity på alvor. For vi lever nå i en tid hvor den mest kritiske infrastrukturen kan skrus ned av tre gutter på 17 år fra Norge eller fra utlandet. Hvis ikke sånne som dere klarer å gjøre jobben deres. Kanskje så har vi andre oss ha en rolle i denne reisen?

 

Hans Christian: Ja, det er noe av poenget da. Det er jo det man har, og jeg tror… For det første er man ikke klar over lenger hvor avhengig man er av det. Den digitale plattformen som nå ligger liksom i hele samfunnet. I de fleste hjem så sitter man å vurderer: “Jeg trenger jo ikke dekoder, Trenger jeg å betale for TV dekoderen min nå lenger?”. Når man har en Apple boks som jeg bruker. Telefonlinje er jo nå IP-baserte. I den grad man har en fasttelefon eller mobilnettet er IP-basert. Ja, alt i samfunnet er nå digitalisert og bygger stort sett på den samme infrastrukturen og krav til oppetid, blant alt fra selskaper og kritisk infrastruktur og helt til Ola Nordmann. Vi forventer faktisk at dette er tilgjengelig for oss fire og tyve syv. Det er veldig mange tjenester som brått ikke er der lenger når dette blir borte. Så ja.

 

Silvija: Du, før vi går inn i liksom tematikken rundt grunnleggende konsepter. Utover Cybersecurity, så må jeg bare spørre deg, når du ikke holder på med datasikkerhet. Har du noen eksentriske hobbyer eller ett eller annet som som definerer deg med på andre siden?

 

Hans Christian: Eksentrisk er vel ikke et stort ord i for seg, men jeg har heller aldri vært den som har et stort rom med PC’er og sånn. Når jeg er ferdig på jobben så forlater jeg PC’en. Jeg er litt opptatt av det. Jeg prøver å forlate mobilen, men tar når den ringer. Men jeg skal leve i det digitale. Så for meg så dreier det seg om å komme seg ut. Om det er på fjorden på sommeren, på fjellet på vinteren. Det er ski det er bortoverski og det er nedoverski. På sommeren er jeg litt både over vann og under vann. Så, dere med å være ute. Da er vel egentlig det jeg prøver å få til mest mulig når jeg har fritid.

 

Silvija: Litt sånn malapropos, men det etter de poengene jeg prøver å lære barna mine. Jeg tror at livene våre kommer til å være så ekstremt digitaliserte, både på jobb og hjemme, at det å lære seg å bruke natur som på en måte nesten en medisin. Og et veldig balanserende verktøy, det tror jeg vil være utrolig viktig for oss alle sammen fremover. Men du, når vi da snakker om Cybersecurity. Jeg husker fra min tid på Universitet i Oslo, Institutt for informatikk. Det var et ganske fascinerende kurs. Vi snakket om Cybersecurity først og fremst i nettverks-kurset og jeg husker det som et slags dyrepark nesten. Det var snakk om virus, og orm og trojanske hester. Det var utrolig kule navn på det som skjer. Men i bunn og grunn, hva dreier det seg om?

 

Hans Christian: Nei. Man kan kalle det orm og virus dog sånn. Men nå prøver vi å viser med frem som en, og å kalle det for skadevare. For det er jo det det er. Det er en liten programmerer. Rett og slett som er programmert til å gjøre et eller annet som du ikke ønsker. Det er ikke så mange år siden det var virus som var den store problematikken eller skadevare på PC’er og så videre. Det problemet om det ikke er løst så er det jo i den vestlige verden hvor PC er stort sett er oppgradert liksom. Det er en del av en lisens pakke og så videre så er jo det blitt et mye mindre problem. Det vi derimot ser der et problem er jo sikkerhetshull som oppdages i patche regimet. Alle disse store selskapene, som Microsoft, de finner jo hull og feil i løsningene sine. Første tirsdag hver måned kommer de å sier “Nå må dere tette disse hullene som vi nå har funnet”. Så dette er jo en sånn evig evig runddans. Og så er man jo bekymret. Det er ikke så lenge siden det var et virus som sånn sett var skummelt. Men det er et mindre problem nå.

 

Silvija: Du, jeg har lyst til at vi skal snakke mer om eksempler senere, men det skal da være litt større eksempler. Jeg har lyst til å gi litt hverdags eksempler til folk. Så et sånt virus, som de fleste klarer å forholde seg til, det er at en sånn programsnutt som du beskriver. Det kommer seg inn i din PC eller for så vidt Mac eller telefon. Eller et annet dataverktøy du her. Og hva gjør den? Den den låser filer eller den stjeler filer eller hva? Hvorfor er det noe problem at det kommer en uønsket datasnutt inn i PC’en din?

 

Hans Christian: Ja. Det som det er mest av da. Og som er det største problemet akkurat nå. Vi har hatt en veldig økning av det som heter Ransomware. Det er en liten programsnutt som stort sett brukerne der ute får tilsendt via en e-post. Det starter med at man blir lurt. Det starter med at man får en e-post som enten har et vedlegg som man har lyst til å åpne, fordi at det virker spennende. Eller en link til noe som virker spennende. Og så klikker man på den. Og det at du da velger å klikke på den gjør at, basert på den forutsetning at denne lille programvaren får installert seg på maskinen din, så tar den å ser alle filer og alt du har av bilder og så videre. Filene dine som da ligger på PC’en blir da kryptert. De blir gjort uleselige av dette lille viruset. Og så får du beskjed om at “skal du åpne opp få tilbake alle filene dine må du betale penger til den og den adressen”. “Så skal vi sende deg en ny fil som låser dem opp igjen”.

 

Silvija: Ja. Dette får jeg i mailboksen min, selv om jeg har “Junk-Gmail”- filteret og så videre, nesten på daglig basis. En e-post som ser ut som om det kanskje er fra LØRN sin finans avdeling. Hadde vi hatt en sånn finans avdeling. Den sier at jeg nå må sjekke denne utskriften fra et eller annet verktøy, som vi faktisk bruker. Eller så klikker du på noe som ser ut som en PDF. Selv folk som meg som har hørt om det før og vet at man burde vite bedre. Vi glemmer av og til å sjekke mail adressen. Dette kommer fra og av og til ser mailadressen ganske bra maskert ut også. For folk flest da som tenker at “der var det en link jeg ikke burde ha klikket på”. Hva med et 30 sekunders råd for “hva gjør man” for å ikke falle neste gang?

 

Hans Christian: Litt sånn smågodt tips som du nevnte, er å se på avsenderen. Hvis du er på PC’en din eller Apple, Mac’en din, la så musepekeren gli over avsenderadressen. Så hender det at de har lagt inn “en sånn liten sånn en” at den avsender av det som du ser først, det er ikke den ekte. Det er en som laget versjon musepekeren. Over uten å klikke så får du hele adressen. Og hvis noen later som de kommer fra Microsoft eller noe annet, så ser du av denne adressen at det kan jo umulig komme fra de. Dette er noe annet. Det er jo det ene trikset også. Og så er det enkleste: Ikke ikke. Hvis du tror det er ikke ekte og den ikke er viktig for deg så bare kast den. Ikke gå på det. Et lite annet triks. Hvis du lurer veldig og tror at det er viktig og er veldig i tvil så er det mye tryggere å åpne den på mobilen enn på PC’en. Og det er litt for det at den lille programsnutten virker ikke på alle plattformer da.

 

Silvija: Ransomware kan da beskrives som en slags kidnapping av filene dine. Så må du betale en løsning sum for å få dem ut. Men av og til kan det også være andre ting den gjør. Det jeg frykter aller mest er at den driver og sender mail fra mailboksen min, på en måte som utnytter kontaktlisten eller. Og igjen, det beste rådet er da å ikke klikke?

 

Hans Christian: Ja det er jo det. Det er jo det å ikke klikk her som som blir rådet. Prøv å vær kritisk. Prøv å se på avsenderen. Det er det brukeren kan gjøre. Det er mye et firma og IT avdelingen i firma kan gjøre for at brukeren ikke skal bli lurt. Ja, du kan jo legge inn for stempel og fortelle en PC at den får ikke lov til å kjøre filer som kommer fra e-post for eksempel. Så dette kan jo sperres også automatisk sånn at du tar ned muligheten for at hvis den klikker, at det skjer noe galt da.

 

Silvija: Ja, ok. Så det var virus. Jeg har også hørt at virus kan nok komme inn også på veldig mange andre måter enn å klikke. Jeg har hørt om en case nylig hvor det var en bank som ble hekta ved at noen bestilte en sånn elektronisk sigarettlader. Det var en USB greie som du bruker for å lade din elektroniske sigarett. Via et kinesisk side. Det kom en Malware i det du ladet. Så jeg tror at vi lever i en verden hvor du må bare anta at du blir forsøkt hekket hver dag og det er en slags immunitet du bør bygge?

 

Hans Christian: Ja. Det er det som et litt utfordrende med internett. Internett er jo en helt åpen infrastruktur som hele verden kan nå. Så det gjør jo det at den lille brannmuren eller den beskyttelsen du har hjemme hos deg selv for eksempel. Det er jo nå snart syv milliarder maskiner der ute som kan nå deg. Og av såpass mange mennesker så er det en del kriminelle som helt opplagt vil prøve og lure og utnytte. Dette er da for å tjene penger. Det er ikke tvil om kompetansen til de kriminelle der ute har økt betydelig de siste årene. Og veldig mer automatisert. Det kjører store skannere hele tiden som leter etter sårbarheter i alle maskiner som er koblet på internett, som de kan utnytte. Så ja, man må anta at noen kommer til å prøve å lure.

 

Silvija: Før vi går inn i litt mere sånne formelle definisjoner. Jeg har lyst å gå tilbake til disse dyra. Jeg tror folk husker bilder veldig mye lettere enn definisjoner. Så vi snakket om virus, som er en slags skadelig programsnutt som du aktiverer og nedlastede i maskinen din som endrer litt programmeringen i maskinen din. Hva er en orm?

 

Hans Christian: En orm har tilleggsegenskaper til å spre seg selv.

 

Silvija: Den vokser og vokser og vokser.

 

Hans Christian: Ja det er vel bilde på det. Det er derfor begrepet orm. .. Hvis en orm har fått et fotfeste et sted da kommer den inn på en PC. Så har det vært ormer som da prøver å sende seg selv videre. Kanskje gjennom e-post, kanskje facebooksiden din, sånn at andre klikker på den og så blir de infisert. Og så bruker man det kontaktnettet på Facebook, ja. Så det er den spredningsevnen som ligger i ormebegrepet da.

 

Silvija: Og problemet med dette er at det er uendelig med regnekraft og uendelig med data plass. Så når de fyller opp så får ikke andre nyttige ting kjørt?

 

Hans Christian: Ja. Den har jo en langsom skadefunksjon i seg. Det er nok ikke like stort problem at han spiser opp prosesseringskraft. Utfordringen er at den er en kombinasjon av et virus som gjør et eller annet og har evne til å spre seg selv. Det er helt sikkert noe vi kommer til å se eksempler på ransomware hvor halvparten av koden er ransomware og den andre halvparten av koden utnytter en sårbarhet og spre seg selv.

 

Silvija: [00:18:22] Så har jeg lyst å spørre deg om disse hestene, også trojanske hester. For hvis jeg har forstått bakgrunnen for den siste store angrepet vi vet om i Norge, hvor blant annet Hydro ble angrepet. Så er det sånn at av og til kommer disse angrepene inn og sitter stille ganske lenge og venter på riktig tidspunkt til å angripe. Har det noe med trojanere å gjøre? Eller, hvordan skal folk huske det?

 

Hans Christian: Nei, trojaner begrepet kom for lenge siden. Det kommer jo av denne gamle myten og historien om at en trojansk hest. Hvor man enkelt gjemte seg inne i hesten og kom sånn sett innenfor muren. Det er et godt bilde det. Det er egentlig et bilde på en en e-post også. Et vedlegg som ser du som en PDF, men har noe annet i seg. Det kunne også egentlig vært i den kategorien av trojansk hest. Så, ja. Men det Hydro opplevde, og en del andre, det er jo målrettede angrep, hvor det sitter en eller fler der ute å kommer inn og sitter stille en stund. Fordi de har fått et fotfeste og kan liksom kommunisere inn til bedriften for så å gå videre på ved en senere anledning. Så det er et litt annet konsept, men i og for seg er jo Trojansk hest begrepet som passer. De sitter jo der inne og venter på å komme ut av hesten.

 

Silvija: Og dette her trenger ikke lenger folk doktorgrad i programmering for å kunne lage? Etter hvert så finnes det også websider med ganske mye tilgjengelig. Blant annet så jeg at det finnes nesten en slags periodisk tabell på hvor mye penger du kan få for sånne “Zero days attack” og så videre. Kan du fortelle littegrann om hele det der markedet der ute?

 

Hans Christian: Ja, det er blitt et omfattende marked hvor noen som er gode til å programmere lager denne skadevaren eller viruset. Og legger det ut for salg og sier “vi har lagd et virus – her kan dere kjøpe av oss og dere kan bruke det mot dem dere vil”. Vi ser jo også at man at kriminelle selger “Crime as a service”, hvor du kan gå på nettstedet og så kan du bestille. “Jeg ønsker at dere skal prøve å komme dere inn i “Bedrift A” i Norge på vegne av meg. Og hvis dere får til det vil jeg at det skal koste så mye og låst opp igjen. Og så tar de som gjør det. De tar en en kutt av den fortjenesten og så får de en del av det. Så da tar du rett og slett å bestiller de kriminelle handlinger. Det kan du også gjøre på ddos, som er det at du får da kontroll på veldig mange tusen PC’er der ute som har en liten virus i seg. Som da angripere nettside for å prøve å ta den ned. Så dette ser vi mer av. Det er jo også en hypotese knyttet til Hydro saken men også en del av de andre store sakene hvor man kanskje tror at det var noen kriminelle som først fikk et fotfeste med en brukerkonto. Og så solgte de den. Og så var det noen andre som tok det videre og fikk den brukerkontoen til å bli en administrator konto. Og så solgte de faktisk den jobben. Og så var den tredje aktøren som brukte administrator kontoen til å slippe skadevare. Man sier at det kanskje var flere inne i en sånn verdikjede og man kjøpte tjenester av hverandre.

 

Silvija: Det er egentlig en undergrunns verdikjede som baserer seg kanskje også på relasjoner på denne her “Dark Web”, som vi også kanskje skal bare nevne med to ord. Det er der og florerer og brukes til både ulovlige og egentlig veldig farlige tjenester. Potensielt.

 

Hans Christian: Ja, og det er jo mye penger. Det er jo ikke veldig mange måneder siden britiske og amerikanske myndigheter gikk sammen ut og internasjonalt etterlyste et sett med russiske hackere. De kan du se på YouTube og flashet sportsbilene sine pengene sine. De har opplagt stort tilfang av penger og på en måte flasher det da. Og så blir de internasjonalt ettersøkt. Så det er vel det som tyder på at de driver med dette. De er kriminelle og det er betydelig penge i dette markedet.

 

Silvija: Ja. Her kommer vi egentlig kanskje til litt sånne roller i forhold til Cybersecurity fremover. Fordi for å kunne stå imot dette så trengs det både penger og ganske mye kunnskap. Samtidig har vi absolutt alle sårbare som individer som bedrifter og som samfunn. Der snakker du om en slags tredeling av ansvaret her. Jeg tror at vi som individer må alle sammen egentlig forstå at vi er sårbare og vi må kunne litt. Det er den eneste immuniteten vi kan få. Men fortell littegrann om hvordan kan vi rigge oss på en mer effektiv måte fremover?

 

Hans Christian: Ja det er noen nøkkel ting i det. Jeg tror vi må begynne å tenke annerledes faktisk når det gjelder IT i stort. Fordi at kravet til kompetanse og løsning er blitt så veldig endret. Jeg husker min første jobb på 90-tallet. Jeg jobbet i et shippingfirma med 40 ansatte og jeg var den eneste IT ressursen der. Jeg durte rundt med en kaffekopp i hånda og skrudde på servere satt opp klienter fikk eposter til å virke. Men jeg gjorde jo alt og det fungerte det gangen. Sånn er ikke verden lenger. Kompleksiteten er så stor. Kompetanseforventningene av å klare å bygge ting sikkert, er helt annerledes. Man må på en måte rigge seg på en annen måte. Vi er der at vi i større grad må stole på de store leverandørene, stole på at de tar et ansvar. Og så har det jo også vært sånn at av en eller annen grunnen så har IT vært veldig sånn hjemmesnekret. Du har en komponenten der og en komponenter her. Og så skal du sette sammen dette her, basert på egen kompetanse. Også skal dette bli sikkert, og det meste foregår i kjelleren. Det er jo lenge siden vi slutta å bygge biler selv. Litt sånn flåsete sagt. Airbagen kommer som en del av bilen. Det gjør alle andre sikkerhetsmekanismer også. På samme måte som du kjøper en bil med en funksjonalitet og et sett med sikkerhets konsepter. Så må vi også i mye større grad tror jeg gjøre det sånn. Det er sånn markedet går. Gå over til tjenestekjøp. Man må i mye større grad hvile på kompetanse og teknologikompetanse og løsninger hos leverandører enn det du bygge selv. Også åpner det for et hav med andre utfordringer, igjen.

 

Silvija: Jeg snakker med ganske mange SMB’er og små bedrifter. Ikke sant? Og vi er et eksempel i LØRN. Vi kommer tilbake til det senere, vi har ikke en egen IT avdeling, men det vi bruker som sikkerhetsmekanisme er egentlig at det meste skjer i skyen. Vi satser på at de store Sky leverandører håndterer dette her godt nok. Og så må vi sørge for at vi ikke gjør altfor mye dumt lokalt på maskinen våre. Men det som jeg har et inntrykk av er at de store bedriftene i hvert fall, og i økende grad SMB, går i retning av “Managing Security Services”. Men kan du si to ord om “hva er det for noe”?

 

Hans Christian: Ja det er jo en tilleggstjeneste hvor du får hjelp til å primært drive deteksjon, også det å drive deteksjon i infrastrukturen din. Det betyr at du må rett og slett samle inn data på PC’ene dine, på serverne inne fra nettverket ditt, for å oppdage hvis noe unormalt skjer. Det er målsetningen. Du må klare å få et varsel hvis det er et virus, eller en orm da, som begynner å bevege seg rundt i mellom PC’ene din og serverne dine. Du må få et varsel hvis noen prøver å komme seg inn som ikke er legitime brukere. Du må rett og slett ha et varslingssystem som piper når det skjer noe unormalt. Og så er det et veldig spennende. Dette er en stor diskusjon. Dette er et veldig spennende marked i utvikling fordi at for å klare å oppdage ting så må du ha store datamengder. Og i dette sikres markedet nå. Så ser du hvordan alle de store aktørene prøver å bli navet for å få det store datatilfanget. Og det er ikke tvil om at for eksempel Microsoft med sin Archer, løsning som da samler inn data fra alle sine kunder. Tygger på disse dataene. Og basert på det sier ifra hvis noe er galt. Det ligger veldig langt framme, med de andre store. Fordi at de har så utrolig tilfang på data.

 

Silvija: Og dette kombineres da med kunstig intelligens som finner mønstre, men også lærer, kanskje, noen nye mønstre?

 

Hans Christian: Ja, for det er ikke så lenge siden. Vi jobbet med å oppdage ting. Vi beskrev det vi visste. Og så fikk vi en alarm i si. Det skjedde. Eksempelvis vi visste at en annen trussel aktør kom fra den serveren. Ja, da vil vi få et varsel. Disse kom i trafikk fra den serveren. Vi visste hvordan et virus var lagd. Så da beskrev vi det og så fikk vi et varsel hvis det viruset dukket opp. Det går ikke lenger. Vi kan ikke beskrive det. Fordi at det som kommer i morgen det vet vi ikke hva er. Da må vi snu på det. Da må vi beskrive det vi vet, og det er egentlig vår egen normaltilstand. Den har vi et forhold til. Så basert på da disse datamengdene så må vi ha et varsel hvis det skjer noe annet enn det forventede. Og da er vi på AI og da er vi på den type anomali-deteksjon, som det heter.

 

Silvija: Kan kunne bare hjelpe oss å forstå littegrann av disse avvikene? Jeg vet for eksempel hva normal nettverksaktivitet innenfor alle datamaskiner inn på bedriften burde være. Hvis vi har samlet de dataene gjennom en sikkerhetsleverandør, for eksempel, og så er det plutselig noe ekstremt raskt eller store volumer som kommer ut fra en bestemt maskin. Er det en type anomali?

 

Hans Christian: Det er type anomali. Type anomali er jo når Microsoft kjører et operativsystem og du starter Word og du starter e-posten dine sånn. Så starter det masse små prosesser hele tiden. Når du liksom trykker på start bør så starter x antall små prosesser. Skal du starte regnearket ditt så starter det små prosesser. Et virus vil også starte en prosess eller to. Når det installerer seg eller går. Det jo da anomali. Så hvis du sitter å overvåker maskinen din og den da sier “åja nå startet brukeren regnearket sitt” og Word. Det er fint. Det har de gjort hver dag. Men hvis det da en dag dukker opp to prosesser som startes opp på denne maskinen som man ikke har sett før. Da går det en alarm. Så det er det å lete etter det unormale.

 

Silvija: Men det er å lete etter nåla i høystakken?

 

Hans Christian: Ja. Men du kan ikke beskrive nåla. Kun beskrive høystakken.

 

Silvija: Riktig. Da er det greit med mye data…

 

Hans Christian: Ja. Derfor trengs det veldig mye data.

 

Silvija: Ja, du. Vi nærmer oss slutten av denne første konseptuelle samtalen. Vi har snakket om at Cybersecurity er et veldig bredt begrep. Det dreier seg om skadelige programmer som da går inn i våre datamaskiner eller våre nettverk og starter prosesser som kan da ødelegge for oss eller for våre arbeidsgivere kjent. Og det er en ekstrem utvikling. Kan du bare si to ord på de cyberangrepene som var ganske nære oss i de siste to årene? Slik at folk husker eksempler. Du nevnte så vidt Hydro. Vi har nevnt Østre Toten og Stortinget. bare i to setninger, hva skjedde?

 

Hans Christian: Ja, Østre Toten. Det var skadevare. Det var ransomware, som vi har snakket om, som de ble utsatt for. Det var kanskje en “a ha” hvor man fikk sett konsekvensene av når en norsk kommune får filene sine låst på den måtte Østre Toten fikk. De opplevde jo på aldershjemmet at denne alarm-snoren, ved siden av sengen til pasientene ikke funket. De kunne ikke dra i det når de trenger hjelp. De sluttet å virke, noe som gjør at det måtte liksom settes en liten bjelle ved siden av senga og øke bemanningen. Slik at noen hørte når noen trengte bistand. Nav-kontoret kunne ikke utbetale støtte for de hadde ingen systemer. Så i den grad de som hadde rett på støtte, de måtte gjøre to ting. Enten møte opp på kontoret fysisk, hvis de hadde en kopi av vedtaket, som de viste at de hadde en rettighet. Eller så måtte de søke på nytt på papir. Konsekvensen av hva som rett og slett sluttet å virke i en vanlig norsk kommune, når IT systemer var nede. Det var vel den store øyeåpneren i det tilfelle. Med Stortinget så var det et mål og det har man de gått ut i media i og for seg og sagt det var et målrettet angrep fra andre statlige aktører også. De pekte jo på Russland den ene gangen. Dette var to angrep. Og så pekte de på Kina den andre gangen, som var et målrettet angrep for å komme inn på Stortinget og stjele informasjon. Rett og slett.

 

Silvija: Av og til gjør man det bare for å vise at man kan. At man da får tak i epostene til stortingsrepresentanter. Motivet er ikke sikkert. Av og til er det bare det kan skje, er det som er det store poenget?

 

Hans Christian: Ja, og så kan man se på alle tjeneste i Norge. Altså etterretningstjenesten PST, Nsm, de har jo i alle år pekt på og sagt at det er en stor vedvarende trussel at statlig etterretning, selvfølgelig, gå mot Norge. Det er det andre myndigheters etterretning er opptatte av. Det er jo norsk politikkutforming, våre posisjoner, nordområdet. Vårt forhold til NATO. Alt som dreier seg om norsk utenrikspolitikk og sikkerhetspolitikk, er jo selvfølgelig sentral informasjon som en annen etterretning ønsker å få tak i.

 

Silvija: Veldig bra. Også snakket vi egentlig om at vi nå har et individuelt ansvar for å lære noe mer. Og så må ledere sørge for at organisatorisk systemisk og individuelt det ansvaret virkelig blir utnyttet. Da dreier det seg om å forstå bildet, men kanskje også lære littegrann?

 

Hans Christian: Ja det er det. Jeg har jo snakket for veldig mange styre og toppledere opp gjennom årene. Det er klart at per i dag så har de som sitter på den type verv i Norge…De er ofte, ja, eldre enn meg. De gikk jo på skolen og tok en utdannelse den gangen. Hvert fall ikke internett. Det å sitte i en topp lederrolle i dag og lene deg litt tilbake og si at “jeg er en analogt leder”, “jeg skjønner ikke helt hva som skjer i det digitale”. Det går ikke. Man må forstå. Man må bruke den tiden som skal til for å skjønne. For det er ingen virksomheter i Norge i dag, privat til offentlig, som ikke har betydelige avhengigheter til det digitale. Man må forstå risiko fordi at det er alltid en risiko knyttet til å bruke en digital løsning. Og man må forstå hvor mye risiko man tar og ha en diskusjon rundt risikoaksept.

 

Silvija: Men jeg tror du at det finnes noen kanaler hvor folk kan lære dette her på en måte som ikke er så avskrekkende som å måtte ta en mastergrad i det. Hvordan skal vi lære i bredde?

 

Hans Christian: Jeg synes det faktisk er litt vanskelig å finne de litt sånn gode. Jeg tror det vi gjør det. Det vi gjør her nå og har den type dialog rundt tema tror jeg er en veldig g”

Leksjon 2 - ID:M0010b

Leksjon 2 - ID:M0010b

Leksjon 2 - ID:M0010b

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen tilbake til andre forelesning i vår LØRN Fundamentals eller LØRN MASTERS, som vi het før, og Cybersecurity med Hans Christian Pretorius. Hans Christian, vi snakket om litt sånn grunnleggende introduksjon til Cybersecurity i vår første samtale. Et av de avsluttende eksemplene som du kom med var Østre Toten kommune-angrepet som skjedde for cirka et år siden. Våren 2021?

 

Hans Christian Pretorius: Ja, det tror jeg det var.

 

Silvija: Det er ikke så lenge siden i hvert fall. Og det vi så da er at når kommunens IT-avdeling blir skadet så får man plutselig ganske brutale konsekvenser for befolkningen som man ikke hadde helt sett for seg. Sånne ting som at aldershjemmene ikke fungerer som de skal eller at NAV-tjenestene ikke kan bli utlevert som de skal. Dette tror jeg er noe som vi bør snakke mye mer om. Fordi når veldig mye av vår kritisk infrastruktur blir digitalisert så er hele samfunnet mye mer sårbart digitalt enn det det var før. Samtidig så kan vi ikke la være å digitalisere. Vi skal snakke om hvordan dette påvirker helse, hvordan det påvirker kraftsektoren og for så vidt hvordan det påvirker finanssektor og sikkerhetssektoren. Men før vi går til de eksemplene så har jeg lyst å gå littegrann tilbake til: Hvordan vi fikser dette her samfunnsmessig? Jeg husker deg på sjefskurset, jeg var skikkelig forvirret mellom NSM og PST og diverse andre tjenester her. Og så kommer disse her CERT greiene på toppen. Kan ikke du fortelle littegrann hva en CERT er og hvordan hjelper det samfunnet vårt?

 

Hans Christian: Jo. CERT er jo da et et senter, et response senter som skal på en måte håndtere digitale hendelse eller digitale angrep. Hvis vi går en del år tilbake, ble norsk olje og gassektor utsatt for et målrettet angrep. Det ble sendt veldig mange e-poster til veldig mange aktører som jobbet innenfor norsk olje og gass. Denne e posten inneholdt skadevare og man prøvde å få et fotfeste gjennom at man klikket på den. Da satt man på toppen, i det nasjonale, som da var blant annet var NSM. De sa “Nå må vi varsle alle aktører i kraftsektoren om at det ikke skal åpne e-poster etter dette”. “Nå er vi under angrep”. Da ble det jo veldig tydelig at den oversikten hadde man jo ikke. Det fantes ikke noe oversikt over hvilke aktører er det i denne sektoren i Norge i dag og “hvordan kan du nå de?”. Det var starten på en diskusjon om at hver hver sektor i Norge bør ha en sektor-CERT, en respons funksjon. Som gjør at hvis for eksempel da et en sektor blir angrepet så er det noen som har en komplett oversikt med “hvem er sektoren?”. Hvordan kan de nå ut, sånn at man får sendt ut varsler og kommunisert tilbake. Da bygde man denne infrastrukturen. Hver sektor skulle etablere sin egen CERT-funksjon. Slik at man skal kunne rapportere videre opp til det nasjonale nivået som er NSM, som sitter på toppen av denne pyramiden. Så har det blitt litt ulikt siden den gang, det har vokst litt ulikt. Kraft-CERT er på plass innenfor kraftsektoren og Finans har en CERT på plass litt ulike initiativer. De har litt ulike eier modeller og litt ulike grad av tjenester de tilbyr slik det er blitt i dag. Men intensjonen var at man så veldig behovet for at noen hadde en oversikt over sektoren og kunne hjelpe til å varsle og å ta imot informasjon om hvordan verden ser ut, tilbake.

 

Silvija: Og kanskje også en slags sentral kunnskapsdeling funksjon på tvers av eller innenfor sektorene?

 

Hans Christian: Det også. Da har du en arena hvor man kan møtes og diskutere problemstillinger og å dele med noen som jobber veldig aktivt. Kraft-CERT er blitt en veldig sånn aktivt og det ser vi i finans også. Jeg må passe på å ta med de, så ingen blir såret her. Men i hvert fall NITO jobber veldig aktivt med akkurat det. Det blir et community med de som jobber med den type utfordringer hvor de kan dele kunnskap dele varsler og diskutere problemstillinger.

 

Silvija Seres: Hvis vil gå tilbake dette med kraftsektoren. Hvorfor er det en kritisk infrastruktur?

 

Hans Christian: Ja. Samfunnet er jo helt avhengig av kraft. Alt stopper opp. Vi så jo det. Var det i går, to dager siden? Denne voldsomme kraftige vinden som felte masse trær. Slik at det tok ned masse strømkabler og gjorde at veldig mange basestasjoner til norsk til Nødnett i Norge, sluttet å virke? Det av den enkle grunn at det er en nød basestasjon og i og for seg også en mobilmast stasjon. De har nødstrøm og de har batteri som varer så lenge. Og er ikke strømmen tilbake, slutter de å virke. Som veldig mange basestasjoner forsvant i forbindelse med den store stormen hvor trær røk strømkabler. Da ser du avhengigheten. Det er veldig og helt opplagt at det meste stopper opp uten strøm. Det digitale domenet trenger strøm og vi har den avhengigheten. Strøm må være der for at vi skal ha et internett eller det digitale. Men nå blir jo også kraftforsyningen mer og mer digitalisert. Jo mer grønn energi vi nå belager oss på, som vindkraft solkraft og så videre. De trenger mye mer styring og mye mere sensorikk og digitale løsninger for å optimalisere produksjon for veldig mye av det grønne. Det er nok fortsatt sånn i Norge at vannkraft kan få lov til å leve litt sitt eget liv. Vannet renner nå forbi og turbinene produserer og man kan nok i stor grad klare å produsere strøm ganske uten digital støtte fortsatt. Men med det grønne skiftet også, så vil også den delen av av kraft bli helt avhengig av det digitale for å kunne produsere. Da får du en sånn dobbelt avhengighet. Kraft må være der for at det digitale skal fungere. Men det digitale må faktisk også være på plass for at man skal kunne produsere kraft. Man får en sånn veldig veldig avhengighet til det digitale også nå fremover.

 

Silvija: Jeg har bare lyst å legge til to to aspekter til her, som jeg vil gjerne at du kommentere på. Det ene er at jeg husker når det angrepet… Jeg husker ikke hva… om det var et angrep blant annet på en del shipping organisasjoner. Jeg husker at også sånn vi ser andre selskaper som på Hydro som hver angrepet.Jeg ble litt overrasket over dette. Denne ideen på hvor sårbar produksjon er egentlig. Og så hvis det mangler noen grunnleggende filer, som for eksempel styrer produksjonen digitalt, etter hvert så kan ikke vi fortsette med med helt vanlig fysisk produksjon heller. Dette henger også sammen med en del digitale data, ikke sant, som er derfor veldig veldig viktige å holde på. Et annet eksempler, fra lengre tilbake i tid, hvor jeg tror det var kjøleanlegget som ble hacket i et kjernefysisk energi anlegg. Det viser seg at det også kan skje veldig mye mere farlige ting enn at bare produksjonen stopper.

 

Hans Christian: Ja. Det er jo og det er da man ser denne sårbarheten. Som du sier, en digital feil, som gjør at man ikke kan laste og losse i de store internasjonale havnene i verden for eksempel. Da bråstoppet jo alt veldig fort hvis Rotterdam ikke kan på måte håndtere innkommende utgående last. Det som er litt interessant med denne avhengigheten til digitalisering er jo at i så veldig mange områder så kan man ikke gå tilbake til det manuelle. Jeg hadde en interessant diskusjon med en lege. Innenfor på mat og helse, men han trakk da frem denne problematikken som de hadde. I helsevesen så er man jo mer og mer avhengig av digitale hjelpemidler og løsninger. Ja, og det kan også gjelde på gutterommet, hvis man kommer inn med en trafikkskadde. Da er det mye digitalt som hjelper legen med å håndtere på måte en som er hardt skadd. Men hva gjør man hvis ikke dette virker? Tidligere så hadde man jo manuelle rutiner, kompetanse og prosedyrer for å gjøre det samme uten digital støtte. Men når det ikke blir øvd på, når man ikke jevnlig øver på sånn man gjorde det før, uten det digitale, så er det en kompetanse som blir borte. Det vil også gjelde for de fleste. Det er ikke bare å si at “hvis det digitale forsvinner så kan vi gjøre det manuelt igjen”. For veldig mange områder finnes det ikke alternativ å gå tilbake til.

 

Silvija: Og det blir trolig bare verre, fordi all helse kommer til å være AI drevet fremover. Det tror jeg veldig bestemt, at vi kommer til å være en slags fysisk avspeiling av våre digitale helsedata. Hvis de helsedata det blir borte så kommer det til være utrolig vanskelig å få normale og nødvendige helsetjenester. Samtidig så kan man ikke la vær å optimalisere.

 

Hans Christian: Det er det igjen veldig spennende problemstillinger i deling av data og så videre. Vi touchet jo litt på dette når vi snakket sammen tidligere. Dette med tjenestekjøp. Du kjøper ikke en boks og setter i kjelleren på et sykehus og den tid støtter den digital. Du kjøper en tjeneste fra en leverandør som på en måte tilbyr deg en AI funksjonalitet eller en del. Det gjør at du får den lange verdikjeden. Leverandøren er ikke lenger en boks i kjelleren. Leverandøren sitter et annet sted. Dette blir skybasert også videre.

 

Silvija: Så hvordan kan vi hjelpe IT i helsesektoren å være mer sikker. Har vi noen råd der?

 

Hans Christian: Ja. Jeg tror det. Det mest interessante, og det gjelder vel alle disse samfunnskritiske områdene. Det er at vi må starte å ta innover oss at IT sikkerhet i den moderne verden og dit vi beveger oss, ikke bare er en teknologi utfordring. Fordi at fram til nå så har jo IT sikkerhet vært IT teknikere. Og i hvilken grad han er god til å skru på serverne og sikre serverne som står i kjelleren. Når du går til en skybasert løsninger, er det ingen fysisk boks å skru på lenger. Tjenestene blir levert gjennom avtaler fra et annet sted. Da er kompetanse som jus, innkjøpskompetanse, styring og kontroll, internrevisjon og oppfølging av underleverandører, viktig. Det blir veldig mange andre ting og som må inn i denne verktøykassa for å bygge ting sikkert og reduserer risiko, enn teknologi. Det er helt andre mennesker og betydelig flere mennesker som må rundt bordet når man nå skal tenke digital sikkerhet.

 

Silvija: Ja, kan ikke vi bare snakket i to minutter om avstandstjenester i helse, men for så vidt også andre kritiske samfunnsområder. Med Korona så har vi definitivt lært at telemedisin har kommet for å bli, for eksempel. Jeg tror det er veldig mange som er bekymret for sikkerheten til deres helsedata. Men kanskje vi skal være like bekymret for tilgangen til tjenester? Hva tenker du er de største utfordringene sikkerhetsmessig fremover i helse?

 

Hans Christian: Nei. Det der er en veldig interessant ting du trekker fram. Fordi at man har jo vært veldig opptatt av konfidensialitetsdimensjonen. Det er blitt veldig styrket gjennom GDPR og personvern. Hvor sikker skal mine data være? Det er viktig og det har man jobbet godt med lenge. Men man har nok liksom tatt for lett på det, litt sånn flåsete sagt, tilgjengelighetsdimensjonen. Hvert fall innenfor cybersikkerhetsfagfeltet. Man er veldig opptatt av tilgjengelighet. Jeg har konfidensialitet og man har nesten hatt den holdningen at “jaja, nå var løsningen nede”. Huff ja, da er det sikkert? Da er det ingen som kan stjele de dataene? Det at løsninger er oppe og fungerer og er tilgjengelige blir jo helt kritisk. Da begynner vi å snakke om liv og helse, kanskje i enda større grad enn tilgang på data eller konfidensialitetdimensjonene av det. Dette må jo dette må jo veies, for dette går jo ofte ikke hånd i hånd. Tiltak som sikrer at dataen ikke skal komme på avveie kan redusere eller utfordre tilgjengelighet. Man må se dette i en sammenheng.

 

Silvija: Jeg tror at vi av og til bruker et sånt forsiktighetsprinsipp og personvern som prinsipp. Nesten som en slags skjold mot innovasjon og nødvendig innovasjon. Dette vet jeg er litt sånn bombastisk sagt. Men jeg, av og til, tenker at hvis noen bare viftet littegrann med litt sånn personvern flagget, så føler politikere og mange leder at da må de stoppe alt. Fordi at “Det kan ikke vi tukle med”. Men samtidig så er de ikke klar over at vii da hindrer utvikling av nødvendige tjenester, og de tjenestene vil bli utviklet fra aktører fra andre deler av verden. Som også kan levere helsetjenester eller krafttjenester etter hvert. Det må være en balanse mellom vår innovasjonsevne og vår personvern og sikkerhet forøvrig.

 

Hans Christian: Ja. Dette er en personlig. Der har jeg noen sånne personlige refleksjoner som river seg. Som jeg får stå for helt selv. Men ja, jeg synes jo at pendelen har svingt for mye mot personvern og som vil hemme en del andre ting. Det er flere ting som er viktig er vel det enkle svaret her.

 

Silvija: Jeg er helt enig med deg. Jeg tror at det er ikke det at man er imot personvern, men jeg tror et personvern kommer til å kunne håndteres av teknologi også, på helt nye måter fremover. Rollerbaserte tilganger til data, og så videre, jobber vi ikke fort nok med. Det store problemet er at da går vi glipp av posisjonering gjennom innovasjon, det som andre jobber veldig veldig bevisst mot, med masse masse data. Ja, et siste poeng rundt helsesektoren som jeg lyst å spørre deg om. Jeg hører politisk veldig mye rundt innovasjon i helsesektoren og fremtiden. Det er at demografisk utvikling. Og så vi skal leve alt for lenge, alle sammen, i hvert fall i dette flotte landet vårt. Helseplassene skalerer ikke og heller ikke helseansatte. Vi kommer til å måtte ha en del av helsetjenestene levert i hjemmene våre. Det kan det bli litt sånn nytte i din egen liten gamlehjem plass hjemme, med skikkelig smart verktøy rundt. Dette legger vel også helt nye krav på sikkerhetshåndteringen av disse hjemme-sykeplassene våre?

 

Hans Christian: Ja, det gjør det. Det at man har vært tydelig på at Norge skal løse eldrebølgen på den måten. Tilby digitale plattformer løsninger som du akkurat beskriver, som gjør at du kan overvåkes. Eller hvert fall at det kan være deteksjonskapasitet om helsetilstanden din som rapporteres tilbake. Pluss andre hjelpemidler da. Og og det er klart at da blir sikkerheten en sentral funksjon. Det at hele det norske helsevesen må ha en digital plattform som er sikker og tilrettelagt for at man kan gjennomføre digitalisering. Og da skal jeg utfordre mine kolleger innenfor sikkerhetsområdet. For ofte så opplever jeg at sikkerhet blir en hemsko og ødelegger for digitalisering. Det holder hvertfall igjen. Og litt sånn tøft sagt, til en del kolleger der ute. Det er mye enklere å si “nei” til noe enn å si “ja, dette går”. Hvis vi gjør sånn og sånn og sånn og det er jo dit vi må. Vi må i mye større grad aktivt jobbe med mulighetsrommet enn å si at “dette går ikke”.

 

Silvija: Jeg jeg er helt enig også. Jeg tenker litt på da “The knows, the know, and the unknown unknowns. Og jeg tror det er utrolig mange unknowns i fremtidig bruk av helsetjenester og andre tjenester. Den største tekniske og teknologiske risikoen du tar, det er å ikke ta nok risiko ikke sant. Det å ikke lære det, å ikke utvikle, det å ikke tilpasse tjenestene til de behovene vi her for det, å bare vente å se. Da tror jeg noen andre definerer alt dette her. Jeg kom på et morsomt eksempel av faktisk en norsk forsker. Som har beskrevet hvordan man kan hacke en pacemaker. Så ja, “internet of things” hvor vi bygger inn tipper og diverse andre ting så kan etter hvert kroppene våre hackes også. Nå vet jeg at det eksempelet forutsetter at du kan utrolig mye om chippen og du har snakket med leverandører. Det er liksom ikke informasjon som en syttenåring i Kina lett får tak i. Men når kroppene våre etter hvert også digitaliseres så er det det også en ny sikkerhets sårbarhet.

 

Hans Christian: Jeg kjenner jo Marie Moe godt, som sånn sett har hacket sin egen pacemaker. Hun opplevde jo det så kort. Hun var på tur i London og skulle gå opp en trapp som hun fortalte om, hvor hun brått følte seg ursliten og ikke kom seg opp trappen. For da hadde det blitt en liten bugg i pacemakeren, så pulsen kom ikke opp. Den ble holdt på et lavnivå og det var da hun begynte å se på muligheten. Og så er det en del som du sier, forutsetninger, som skal til for at hun klarte å manipulere sin egen pacemaker. Men hun klarte det jo da, så det er klart at sikkerhet i i komponenter av den typen vil også bli et stort tema. Da er det jo flere dimensjoner der. Som sikkerhet i selve komponenten, om du kan stole på komponenten selv? Den har noe softwaren og litt sånt som finnes i denne lille dingsen. Det er en problemstilling som er veldig stor, og det andre er jo den tjenesten for den. Det kommer til å henge sammen med. Er en tjeneste, en slik kommunikasjonsløsning helt sikkert levert av en annen leverandør, som ikke er i Norge? og fort da også en eller annen skybasert tjeneste. Her er det jo flere dimensjoner man må se på, om er løsbart at man kan havne på en akseptabel risiko. Ja, det mener jeg. Men det krever en en jobb og en kompetanse for å komme dit.

 

Silvija: Kunne man tenke seg en slags sikkerhetsrevisjon av alle sånne kritiske duppeditter for helsa vår?

 

Hans Christian: Olav Lysne har jo skrevet en veldig god bok nå nylig, som jeg ikke husker tittelen på akkurat nå. Men det kan vi jo finne fram. Den tar for seg det, fordi han konkluderer med… Jeg er enig med det arbeidet som er gjort da. Det å for eksempel prøve å analysere den datakoden som ligger på denne brikken. Det går ikke. Det er for mye kode. Det at du sjekker en komponent er ikke det samme som at du da få samme kode ved neste komponent og så videre. Så den klassiske tilnærming i at man skal selv kunne gjennomføre tiltak som gjør at du kan være sikker på at denne pacemakeren eller hva det måtte være er til å stole på er ingen farbar vei. Du må faktisk bygge tilliten til leverandørene i større grad enn det du kan, som å legge på tiltak selv. Så har han noen gode drøftinger på de utfordringene.

 

Silvija: Spennende. Kritisk infrastruktur innenfor kraftsektoren. Jeg var på tech-delen av uka på NTNU for ikke så mange uke siden og de inviterte en skomaker rett og slett, innenfor Cybersecurity. Jeg har glemt navnet men. Det var første gang jeg så det, Hans Christian. Det var rett og slett en performance act, hvor han hacka seg inn i folks kredittkort og telefoner og viste frem videoen. Du kan få tilgang da til disse og se TV kameraene som overvåker kraftverk rundt omkring i verden, visstnok også i Nord-Korea. Og du kan se på real time footage. Jeg vet ikke hvor mye av dette her som ble Pre permittert og bare er show. Men poenget hans var det er at IT infrastrukturen i veldig mange av disse har helt kritiske kraftverk, kritiske både for å produsere strøm, men også kritiske i form av at skjer det noe med dem så er det ganske store internasjonale konsekvenser. Det er alt for sårbart. Hva tenker du?

 

Hans Christian: Ja. Hvis vi tar Norge da, så er nok situasjonen at det er ikke alt for sårbart. Per i dag. Driftskontrollsystemene, som er de som styrer produksjon og distribusjon, har man egentlig akkurat begynt på i Norge nå og koble mot annen IT støtte. Men stort sett så er det er fortsatt sånn at de kan frikobles. De kan leve sitt eget lukkede liv og man kan faktisk gå inn og manuelt både styre distribusjon og produksjon. Så der er vi i dag. Men så er det den verden, den bevegelse vi nå skal inn i hvor denne, som jeg nevnte med sensorikk, til grønn energi må styres på en helt annen måte. Man ser for seg at strømnettet skal få en distribusjons modell som er helt ulik det vi har i dag. Vi tror husstander kanskje vil ha egen solcelle på taket hvor de både bruker egen kraft. De kan kanskje selge kraft inn i et marked. Kanskje står det en Tesla i garasjen som også kan mellomlagre kraft som både kan gå inn i Tesla men, gir seg også ut av Teslaen. Denne type distribuert kraftproduksjon og styring tror man kommer til å se veldig annerledes ut. Det krever en helt annen type styring og sensor og digitalisering i kraftdistribusjonsnettet. Og man får en helt annen produksjonsdynamikk. Og det er den reisen man skal inn i nå som bli spennende hvordan man skal løse det. Og så er det ikke noe vei utenom. Skal vi få til det grønne skiftet og jobbe annerledes og optimalisere kraftproduksjon og distribusjon så er digitalisering en stor del av det for å lykkes. Og da må vi jobbe med “Hvordan skal vi få det sikkert?”.

 

Silvija: Kan du også fortelle littegrann også om det eksempelet hvor det fusion-kraftverket i Iran ble hacket, sånn at folk husker det som et bildet. Hva vet man?

 

Hans Christian: Ja. Det er jo det som er stjerneeksempel på hacking. Dette er veldig mange år siden. Dette var anriking av uran, i Iran. som bekymret USA og Israel. De var redde for at denne uranet kunne brukes inne i kjerne våpenproduksjon. Det de gjorde var at de la en minnepinne på parkeringsplassen utenfor dette kjernekraftverket. De fikk de en ansatt til å bli lurt, til å plukke opp. “Noen mistet minnepinne”. Så lurt. Og vedkommende tok med dette inn i produksjonsanlegget og da faktisk satt inn denne minnepinnen. Dette fortelle noe om hvor fantastisk dette viruset var programmert. Men det hadde da en egen evne til å flytte seg fra minnepinnen inn i denne PC’en videre inn i en inn i styringssystemet. Da i produksjonen av anriking av uran. Det endret hastigheten som disse sentrifugene gikk på, som gjorde at de faktisk ble fysisk ødelagt. De klarte å fysisk ødelegge produksjonsapparatet som anriket uran gjennom den skadevaren. Det er blitt sagt i ettertid at det var israelsk etterretning og amerikansk etterretning som sto bak denne kildekoden. Men det er et stjerneeksempelet på, og har vært det i mange år, på hvordan man kan lykkes med den type målrettede angrep da.

 

Silvija: Hvis man tenker tilbake på Tsjernobyl-forklaringer, som var en menneskelig feil. Som antagelig er den største trusselen i de fleste systemene likevel. Men hvor hvor fort det kan gå galt da? Disse systemene er jo veldig kompleks, fysikk og mekanikk er god. Hvis kjøleanlegget går littegrann galt, hvis tilfanget av en ren kjemikalie går littegrann galt. Det er nok å forstyrre prosessen littegrann uten at det blir oppdaget av mennesker. Og så kan konsekvensene være, som du sier, helt enorme.

 

Hans Christian: Ja. Det interessante er.. Jeg tror at vi vil alltid måtte ha produksjonsanlegg eller deler av en infrastruktur der en IT-løsning som ikke henger sammen med internett. Sånn vil det alltid være. Det vi har mest behov for å beskytte er et lukket system. Det gjør norske myndigheter i dag i. Sikkerhetsloven regulerer det som som er definert som hemmelig i Norge. Hemmelige dokumenter i datasystemer er lukkede systemer som ikke henger sammen med noe annet. Sånn vil du også ha det for den type produksjon. Dette Iran eksemplet da. Det er et eksempel på hvordan de likevel klarte å komme inn gjennom å lure en ansatt ved å bruke en minnepinne, så den sårbarheten vil jo være der.

 

Silvija: Da er vi tilbake til dette her med at ikke bare ledelsen, men alle ansatte må hele tiden videreutdannes og læres opp i denne digitale hygienen. Hva med liksom “ikke klikk”. “Ikke dytt inn ting du ikke vet helt hvor de kommer fra”. “Ikke ikke gjøre noe med datamaskinen din som ikke du ville gjort med din egen kropp”.

 

Hans Christian: Ja og så er det dette. Det er viktig og det skal man fortsette med. Men så har jeg holdt på i så mange år og jeg skal ikke si at jeg har mistet troen på det for det jeg ikke si. Man skal alltid fortsette å lære opp. Det har også mennesker. Men jeg har jo i veldig mange år også vært med å lure mennesker for å se: Kan det i hvilken grad det blir man lurt da. Min erfaring er at man kan alltid lure mennesker. Den menneskelige faktoren vil alltid være der. Et eksempel. Hvis du sender inn et regneark inn i en organisasjon som ser ut som at det kommer fra en avsender i HR avdelingen. Det ser ut som om da HR ha gjort en feil og sendt ut et regneark med lønnen til alle ansatte hvor mange klikker på den og vi se hva alle i butikken tjener. 70-80 prosent av de ansatte velger å åpne det regnearket selv om de få varsler om at denne inneholder makroer. “Er du sikker?” og så videre. De klikker seg gjennom for dette vil de se. Det er det. Dette er ett eksempel på at mennesker lar seg lure. Jeg tror mennesker vil alltid kunne la seg lure. Da er vi tilbake på ansvaret IT avdelingen har, til at hvis noen blir lurt, så skal det ikke nødvendigvis få den store konsekvensen.

 

Silvija: Jeg tror dette med den sosiale siden av hackingen er også utrolig interessant. Vi må lære folk om hvor du vanligvis blir angrepet, om hvordan du skal kjenne det igjen og motstå det. Vi må kanskje måtte akseptere at vi kommer til å bli hacket, og at det at vi bygger inn immunitet i systemet. Som gjør at du klarer å komme deg opp igjen. At du her alle de riktige Becca pene at du klarer å stenge ned ting på riktig måte. Er det noe som man kan bygge opp systematisk?

 

Hans Christian: Ja det kan man og det er veldig viktig. Noen ganger så pleier jeg å bruke min mor som eksempel. Kan min mor lurer? Hun er nå opp i 70.årene. Ja, hun kan jo opplagt lures, veldig ofte og da. Da må du bygge det inn i teknologi og løsning. Da må den PC’en og den mobilen man får utdelt hos arbeidsgiver. Den må ha et sett med funksjonalitet og begrensninger i seg som gjør at dette blir stoppet hvis det skjer. Man må kunne si til IT avdelingen at det som heter “spoofing”, som er akkurat det at en ansatt kan få en e-post hvor man har juksa på avsenderadressen. Ja, det må du kunne stoppe hvis han det kan stoppes sånn at man ikke får lov til å jukse på avsender av dere. Sånt er den reelle avsender som kommer opp den type tiltak og kunnskap om den type tiltak må man forvente at en organisasjon selv får etablert og har kompetanse IT etablere for å redusere risiko. Og da er vi inne på de små SMB markedet også videre. De vil opplagt kunne få disse tjenestene enklere av en Sky leverandør eller noe annet som leveres som hele pakker. Heller enn at du skal drifte en e-post, ekstern server i kjelleren selv. Eller sette opp maskinene selv. Da blir man veldig fort sårbar.

 

Silvija: Vi kommer til å komme tilbake til en annen sektor som jeg lyst å gå litt mer i dybden på. Det er finanssektor og deres infrastruktur som kritisk infrastruktur i samfunnet vårt i dag. Vi gjør det i løpet av den neste samtalen, som kommer til å dreie seg om teknologi og verktøy for å kunne håndtere mye av det vi snakker om nå. Takk for denne samtalen så langt.

 

Du har nå lyttet til en podcast fra LØRN.TECH. En læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å lytte til denne podcasten på vårt online-universitet LØRN University.

 

Leksjon 3 - ID:M0010c

Leksjon 3 - ID:M0010c

Leksjon 3 - ID:M0010c

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen tilbake til tredje samtale i LØRN Fundamentals om Cybersecurity med Hans Christian Pretorius. Vi har snakket i første samtale om de grunnleggende konseptene og så har vi snakket i den andre samtalen om noen eksempler. Innenfor spesielt helse og kraftbransjen. Dette her en kritisk infrastruktur for samfunnet og vi har snakket littegrann om både konsekvenser, men også muligheter for å stoppe det. I denne tredje samtalen skal vi gå gjennom en verktøykasse eller noen modeller som folk kan prøve å lære seg. For å bli litt bedre til å håndtere Cybersecurity i sine domener. Det er to hovedtema. Det ene er identitetstyveri og det andre er lobby deteksjon. Hans Christian, kan ikke du forklare til oss, hva betyr hver av de to tingene?

 

Hans Christian Pretorius: Ja. Det er i all moderne infrastruktur og i IT-løsninger så har man jo alltid jobbet med å vite hvem som logger seg inn. Hvem er det der ute? Hvem er den vedkommende som utgir seg for å være som nå kommer inn i våre systemer og sitter på en annen PC og har logget seg inn. Det er i moderne infrastrukturer. Før så var det engang sånn at du møtte opp på kontoret og PC’en din sto der, og det var den du logget deg på. Nå tilbyr man jo selvfølgelig at man kan nå brukeren sin eller kontoen sin da fra PC’en, men man kan nå det også via kanskje din webløsning på PC’en din, naboen eller et annet sted. Man kan nå det fra mobilen sin og det blir altså helt kritisk for et IT-system og vite at “du er du” når du logger deg inn. Og det er det som er nøkkel i all god sikkerhet er akkurat det mekanismer som gjør at man er helt trygg på at det er Hans Christian som nå er logget inn på dette systemet.

 

Silvija: Så jeg tenker at vi bruker etter hvert, la oss si i e-helse portalen, til å få tak i Korona-sertifikater eller avtale timer med lege eller fått tak i resepter eller noe. Det er veldig veldig viktig at man er den man utgir seg for å være der. Men enda viktigere kanskje når vi går inn i banken vår at ikke noen kan plutselig bruke opp pengene våre, ta opp et lån eller overføre. Dette med sikker digital ID blir kjempeviktig og der har jeg inntrykk at Norge ligger relativt godt an? På grunn av den store penetrasjonen vi her i dette landet med nettopp BankID. Som en slags sikkerhetsløsning. Men kanskje du kan hjelpe meg å forstå littegrann hvordan dette egentlig henger sammen med en sånn sikker digital ID og identitetstyveri?

 

Hans Christian: Ja, vi ligger både godt an og ikke så godt an. Bank ID og den type idè løsninger er jo tatt fram av banknæringen og er veldig god. Også har det jo lenge vært fra det offentlige sin side vært snakk om å få på plass et digitalt ID kort for oss som innbyggere. Som også kan brukes til digital verifikasjon. Det prosjektet har jo litt sånn røft sagt tatt vinter og vår. Vi er jo fortsatt ikke der hvor vi står der med et digitalt ide kort. Men så vidt jeg vet er det et prosjekt som nå hvertfall nærmer seg en lang sluttfase da. Men det offentlig har jeg å holde på med dette her veldig lenge og har vært et tema også veldig lenge om å få på plass denne digitale identifikatoren som ville vært et kort med en chip som du kunne brukt i tillegg. Men det vi er avhengig av som samfunn er akkurat denne type tjenester. Hvor da bank eller andre institusjoner man stoler på lager denne påloggingstjenesten som verifiserer at “du er du”. Det må jo da gjøres på flere ting. Du må ha et brukernavn, du må ha et passord og i tillegg så må du ha en tredje komponent og det kan være et kort. Det kan være en brikke. Det kan være mobilen din som autentiserer via en kode og så videre. Som gjør at det på en måte er noe du har i tillegg til noe du vet gjør at du da kan logge deg inn og ut. Og motparten kan stole på at “du er du” da.

 

Silvija: Dette kunne vi da brukt de neste tre timene på å diskutere. Jeg er veldig fascinert av hvordan vi får det til når vi er helt avhengig av at brukerne føler seg trygge. For at de i det hele tatt at du skal gidde å bruke tjenestene våre. La oss si, bankene, de er avhengige av det. Ingen av oss gidder å bruke digitale bank, plattformer hvis ikke vi er helt sikre på at dette er trygt. Hvorfor er vi ikke like opptatt av brukernes opplevelser på helse siden er et spennende spørsmål?

 

Hans Christian: Ja. Jeg tror kanskje dette er en forskjell mellom det private og det offentlige. Det finnes noe der. For det er som du sier, dette er en banknæring som digitaliserte tidlig i Norge. Norge har ligget lengst fremme egentlig med digital banking. Og dette er vært en bransje som har vist hele tiden at de lever av tillit. Og skal de få brukerne sine eller kundene sine, fordi de har et kundeperspektiv på denne digitale reisen ligger på at man må kunne stole på at dette er trygt. Og det har ligget veldig veldig langt framme. Det er veldig mange år siden norsk bank og norsk banknæring ble enige om at sikkerhet det konkurrerer vi ikke om. Sikkerhet samarbeider vi om. Vi er alle tjent med at vi har sikre plattformer som samhandler og som har for eksempel felles identifikasjon løsninger. Som da gjør at kundene våre får gode løsninger og de stoler på at det er trygt. I banknæringen har vi fått det til.

 

Silvija: Dette tror jeg har fascinerende konsekvenser både for offentlige tjenester og vår tenkning rundt finansielle data. Fordi på offentlig side så tenker jeg at i ikke bare i kjølvannet men sammen med dette her så har vi fått til sånne ting som Altinn og Brønnøysund. Som så vidt jeg vet har helt unike på verdensbasis, ikke sant? Det gjør at jeg i dag, når jeg får skattemeldingen min, ikke lenger ser om det har vært riktig de siste fem årene. Og det er verdens mest komfortable skatte-selvangivelsesprosess. Transparent også. Men det har også gjort at vi tenker på finansielle data. Nordmenn er helt unike der, at vi tenker at finansielle data, “så bryr jeg meg ikke veldig mye om hvem som ser hva jeg tjener ” også videre. Mens helsedata tenker vi helt annerledes på. Det er fordi at der har man snakket om sikkerhet og effektivitet på en helt annen måte.

 

Hans Christian: Ja det er et interessant perspektiv du trekker frem der. En av de viktigste konkurransefortrinn Norge har som land faktisk i digitalisering er tilliten i det norske samfunnet og tilliten mellom innbyggerne og myndighet. Den er ganske unik. Og det at vi som brukere eller som innbyggere i Norge da for eksempel, når det gjelder skatteseddelen, som du sier får den ferdig utfylt. Myndighetene har vært ute og samlet inn alle våre tall, gir oss en oppstilling. Det ville i veldig mange land blitt oppfattet som et overgrep. At myndighetene overprøver og går og samler inn tall fra ulike inntekter og arbeidsgivere. Fått fullt innsyn i den type ting er ikke så veldig mange land som innbyggerne egentlig ville akseptert. Men nei, det er egentlig et konkurransefortrinn.

 

Silvija: Ja. Jeg er helt enig med det. Det er et konkurransefortrinn. Det er et innovasjonsfortrinn. Jeg kom til Norge for 30 år siden og jeg var forundret over tre ting. Det at alle bruker bilbelte, ingen røyker og alle betaler skatten sin. Grunn til at folk betaler skatten sin er at systemet er transparent og vi stoler på at det fungerer. Jeg tror det å ha velfungerende og brukervennlig systemer er en av de viktigste komponentene i vellykket digitalisering av hvilken som helst tjeneste. Men tilbake til Cybersecurity, ved siden av dette her. En sikker ID. Digital idé er en utrolig viktig del av den type innovasjon. Og der sier du at identitetstyveri er den mørke siden av dette her?

 

Hans Christian: Ja. Nesten uansett hvilke medieoppslag du ser om “vellykkede dataangrep”, hvor noen har klart å komme seg inn og det har vært skadevare eller noe annet. Da har det altså stort sett alltid veien inn vært at man har klart å få tak i en av brukerident og logget seg på og kommet inn som en bruker. På godt over 90 prosent av alle eksemplene vi ser er det veien inn. Og så kan du si det at hadde man hatt den med to nivå autentiseringen, at du har noe ekstra i tillegg til brukernavn og passord så blir det fort veldig mye vanskeligere og så videre. Men det å jobbe aktivt med å ha kontroll på brukerne sine, å være sikker på at de som har en brukerkonto hos deg jobber hos deg. At hvis noen som har sluttet ikke skal ha tilgang lenger så er det stengt. Da er det tekniske mekanismer som sikrer at det er inne en to nivå autentisering. Jo flere ting du kan være trygg på at man kommer inn er opplagt og tillegg til så kan du legge AI inn i potten kan du si at hvis du jobbet i Oslo i dag og de etter klokken fire logger seg på fra Hongkong ni på kvelden. Da er det noe galt og det må stoppes. Det er den type mekanismer som skal sikre at det du faktisk er deg når du kommer inn.

 

Silvija: Hva er konsekvensen av dette her, for både individuelle brukere og bedrifter? Hvordan skrur man på tofaktor identifisering? Er det liksom leverandører av ID som fikser det?

 

Hans Christian: Ja dette kan skrus på for de fleste. Veldig mange kjører jo Microsoft plattform i en eller annen form. Og da kan dette skrus på. Dette er ferdig funksjonalitet som man egentlig nesten trykker på via en knapp. Det skal konfigureres. Noe sier at jo vi legger oss på en 2. Nivå og så får man det velge om det skal være et kode sendt på mobil. Om du skal gi dine ansatte en brikke som er en verifikasjon. Det fins mange to nivå løsninger men dette kan skrus på relativt enkelt teknisk og bør være en absolutt for mange. Og så kan man være smart. Man kan liksom gjøre denne løsningen smartere. Som gjør det at når PC en din er utenfor kontoret “ja da må du bruke denne 2. Nivå funksjonen”. Når man oppdager at PC en er på plassen sin på kontoret plugget inn i nettverkskabel for eksempel, ja da trenger man ikke å spør om to nivå. For da er man trygg på at PC’en er i kontorets nettverk. Så dette kan jo smartes opp veldig for å gjøre det lettest mulig for brukeren. Og det må jo være målsettinga.

 

Silvija: Og konsekvens for helt mot privatbrukere bør kanskje være at når du bli tilbudt tofaktor identifikasjon på forskjellige tjenester så burde du si “ja” og ikke være redd for at dette blir så mye jobb. Fordi nå med koder på mobiltelefon så går dette her ekstremt effektivt.

 

Hans Christian: Ja det virker faktisk veldig godt. Ja, det er der litt mer jobb. Det er litt mer hassle. Men den prisen tenker jeg man skal ta. Det var sånn når du flyttet til Norge. Det var vel en debatt om at det var ubehagelig å ha på sikkerhetsbelte? Og man fikk ikke beveget seg i bilen og det var vondt og vanskelig. Men ja vi er nå alle enig om at det er et fornuftig tiltak og to negative ser er litt i samme kategorien også.

 

Silvija: Det er litt en diskusjon jeg har med barna mine. Forresten svømmer de alle fire. Så sier de: “Mamma, må vi dra på trening idag?”. Så sier jeg: “Tenker du om kvelden om du skal pusse tennene eller ikke pusse tennene?”. Nei, det gjør man ikke, man bare pusser pusse tennene om kvelden og går på trening. Og at man skrur på tofaktorautentisering. Sånn er det bare.

 

Hans Christian: Ja, for sånn er det. Enkelte takker “ja” når de blir tilbudt det. Sammen med en IT avdeling, sette opp løsningen sånn at det er der. For ledelse, vær litt tydelig i kommunikasjonen på at “i vår bedrift så bruker vi dette”.

 

Silvija: Ja. Vi går til deteksjon om et øyeblikk, men før vi gjør det så jeg lyst å spørre deg litt om passord. Jeg ikke sikker om det helt hører under identitetstyveri. Her kommer et i en personlig sukk fra meg, ikke sant. Man skal ikke bare finne på masse passord og de skal ha både store og små bokstaver og tall og diverse spesialtegn oppi seg. Og være av en bestemt lengde. Man må i en del systemer endre dem hver tredje måned. Så har jeg hørt om gode tips om å bruke en sang du liker og bruk noe fra den sangen. Det husker du og så videre. Men problemet er at hvis du må endre det det hver tredje måned så må du finne på noe nytt. Og du må huske når du fant på noe nytt sist. Når det er på tvers av flere systemer, la oss si PC og telefon. Og så er hørt at det finnes noe som heter “Password manager”. Kan du hjelpe oss? Hvordan navigerer vi passord i jungelen på en trygg måte?

 

Hans Christian: For det første så håper jeg og tror jeg at vi blir kvitt passord i fremtiden, for det er et kronglete virkemiddel. Si at når du skal logge deg på pc’en din så hadde du et brukernavn. Det husket du, og så hadde du en autentiseringsløsning da på et annet punkt. I tillegg så hadde du ansiktsgjenkjenning. Og dermed er du pålogget, vel så godt antagelig. Bedre enn passord. Så det er klart teknologien forhåpentligvis vil ta oss dit at vi kan bytte ut passord med en annen type identifikator. Men der er vi ikke da. Det er veldig mye passord der ute. Passord er vanskelig fordi at det som heter Brute Force, som er den data metoden å bruke for å knekke passord. Hvis man har et lett passordet “sommer 1-2-3”. Navna på barna med fødselsdatoen bakerst. Alle disse kombinasjonene vil en Brute Force type algoritme knekke veldig veldig fort. For den det er så opplagt. Man er avhengig så lenge man har passord og gjøre det vanskeligere sånn at ikke automatisk kan knekkes. Så igjen, det å bruke “æ, ø, å” er alltid veldig lurt. Det kan være et problem når du eventuelt er på reise i utlandet å ikke ha med egen maskin, men det er nå veldig få land i verden som har “æ ø å.” Så det er et spesialtegn og det å krydre dem er litt spesialtegn. Bytte O med null, alle disse triksene er smarte. Så er det faktisk å skrive ned passordene dine. Det er litt sånn røft sagt det at du hadde hatt en lapp på kontoret ditt eller hjemme da på hjemmekontoret hvor du hadde skrevet det passordet om det hang på veggen. Sjansen for at den trusselaktører som prøver å bryte seg inn hos deg digitalt er innom leiligheten din og ser på den.Den er veldig veldig veldig veldig lav. Så skrev de opp rett og slett på et enkelt sted. Ha de nedskrevet, det er vel mitt beste råd, faktisk.

 

Silvija: Det er litt morsomt fordi vi har sett så mange filmer hvor noen bryter seg inn i kontoret til hovedskurken og der står det en post-it lapp, ikke sant. Poenget er at de kommer ikke inn gjennom kontoret som regel.

 

Hans Christian: Nei, det er jo det. Det har vært den innsatte som er så idiot hvor man løfter på høykant et tastatur og under der lå denne gule lappen og så videre. Så kan man godt idiot erklære det, men det mener jeg at vi ikke skal faktisk. For som du sier. Kombinasjonen av at noen fysisk har brutt seg inn et sted og gjennomfører et digitalt hackerangrep, det har vi ikke eksempler på i det hele tatt. Men det vi har en masse eksempler på, det er vellykkede digitale innbrudd fra en annen hacker som sitter et helt annet sted i verden. Som klarte å knekke passord fordi at det var så enkelt. Jeg tenker vi skal hvile som risikovurdering dette her så er det mye bedre å lage et vanskelig passord og ha det skrevet ned. Om det sto å henge på en post-it lapp på skjermen din så vil det være bedre enn et dårlig passord.

 

Silvija: Så kan man satse på litt sånn umulig håndskrift også.

 

Hans Christian: Jada. Haha. Det kan man også om du vil.

 

Silvija: Det er mye bra kryptering i det. Du, hva er lobby detection?

 

Hans Christian: Nei, det er jo deteksjonsevne. Evnen til å detektere.

 

Silvija: Hva er lobby her?

 

Hans Christian: Veldig få kaller det for det altså, så la oss kalle det for… Dette er strengt tatt detection, detectionsevne. Det er vi snakket om. Det er to ting som må være på plass for å bygge en sikker infrastruktur. Det er den identitets dimensjonen som jeg snakket om, vi må vite hvem som logger seg inn. Så må vi vite hva som skjer. Vi må evne å detektere ting i vår egen infrastruktur, vi må skjønne hva som skjer. De to komponentene er to nøkkelkomponenter som man må være god på for å bygge en sikker digital løsning. Man må klare å få et varsel og man må oppdage når noe skjer infrastrukturen som ikke skal være der.

 

Silvija: Og hvordan bruker vanlige bedrifter eller mennesker dette her? Er det noe vi skal gjøre eller baserer vi oss på at våre leverandører har disse detectionsverktøy?

 

Hans Christian: Dette vil være for en sluttbruker og gjenbruker så man må man stole på at MacOS eller hvem det skal være, måtte gjøre dette for deg. Og det er en del av Microsoft Defender. Pakken er en del av andre. Det er mange leverandører der ute som gjør akkurat det og på en måte kan varsle. Så det er en del av av pakken. Men det er det som er helt sentralt og for en organisasjon så er det noe som er veldig veldig viktig. Vi var innom disse som tilbyr deteksjon. For en stor organisasjon vil de kunne sette ut en tjenesten. Og de vil kunne få beskjed om at “Oj, nå er det noe som skjer i din infrastruktur”. Men det er bare organisasjonen selv som kan sette det inn i kontekst. Og klarer egentlig å verifisere om det er noe galt og visst det er noe galt: Hvor var omfang? konsekvens? og hvilke verdier er berørt? De må også håndtere det på sin side av bordet samtidig som man må kan få hjelp til selve deteksjon.

 

Silvija: Hans Christian, jeg jobber blant annet med et Cybersecurity Selskap som heter Defendable. Som også ligner på et annet Cybersecurity Selskap som heter Mnemonic, som har gjort dette her til en produkt. Hvor du kombinerer det med tjenester hvor du tester bedriftens sikkerhet ved å forsøke å angripe. Det finnes røde og blå team. Kan du fortelle littegrann om den type tjenester?

 

Hans Christian: Ja, de selskapene nevner er jo noen av de selskapene som finnes i det norske markedet. De er opplagte konkurrenter fordi de gjør stort sett det samme. Men de tilbyr et sett med basistjenester. De tilbyr detectionsevne hvor de sier at “du har en infrastruktur. Vi kan gjøre to ting: Vi kan komme med noen sensor under armen sette det inn i din infrastruktur. Det sender data hjem til oss. Vi sitter å passe på 24// og sender deg alarm hvis noe skjer”. Hvis du i tillegg er i skyen så samler skyen egentlig inn dataene for deg og du vil se de. “De dataene kan gå til oss de også. Vi passer på og sier ifra”. Sånn kjøper du den 24/7 skytjeneste som vil varsle hvis noe skjer. Her kan jeg ikke si nok ganger, at det varselet, det er viktig, men du må fortsatt ha betydelige evner på din side. Når varselet kommer for å verifisere oss videre. Men i tillegg tilbyr de ulike ting. De kan tilby sårbarhet skanning, hvor de sitter på sitt kontor og sjekker dine brannmurer og det man kan se fra internett om det er satt opp riktig konfigurert riktig om da sikkerhetshull og om de alle som klarer å komme seg inn. Det kan de gjøre automatisert. Men så kan de prøve å hacke seg inn og de faktisk leker hackere. Da må jo du som kunde be om det: “Kan du vær så snill å gjøre det?”. Det må gjøres for at de kan gjøre det. Hvor de kommer til å prøve å se om de basert på metoder og verktøy klarer å bryte seg inn hos deg. Og det kan de gjøre utenfra. De kan også gjøre en avtale med dere og kanskje til og med sjekke “hva kan en ansatt gjøre hvis de først er inne?”. Da kan de starte med en bruker tilgang og se hva de får til da. Alt etter hva du ønsker. Da leker de hackere og ser hva de får til og kommer tilbake etterpå. Da sier at “vi lekte nå hackere, vi komme inn der, vi gjorde dette”. “Her er tiltakene du må gjøre for at en reell hacker ikke skal få til det samme som oss”.

 

Silvija: Ja. Så har jeg lyst til å spørre deg sånn mot slutten av denne delen. Du sier at du har snakket med en del styrer. Jeg sitter i noen sånne styrer. Mitt inntrykk er at styrene vil egentlig helst bare høre jeg dette bli håndtert og så ikke høre så forferdelig mye mer. Og så kanskje hører de om det engang i år, per år. Og det er jo ikke nok å snakke om Cybersecurity, per år. Det er noen helt utrolig store tall når du hører på hvor mange forsøk på angrep det er i organisasjonen din daglig og så videre. Hvordan kan vi vanlige dødelige, ikke Cybersecurity helter, håndtere Cybersecurity litt mere kontinuerlig?

 

Hans Christian: Er vi nå på vanlig dødelig i styrer eller er vi på alle vanlige dødelige?

 

Silvija: Kanskje begge deler.

 

Hans Christian: For hvis du tar vi vanlige dødelige styrer først? Der tror jeg…Der er min erfaring at kommunikasjonen har en tendens til å krasjlande. Mellom styrets behov for å forstå risiko og hvordan selskapet håndterer risiko og tekniske sårbarheter. Hvor IT avdelingen legger fram en problemstilling at “vi må modernisere og vi må tjenesteutsetting” fordi at vi er sårbare sånn og sånn og sånn uten at det nødvendigvis er oversatt til: “Hva vil det si for forretningssiden?”. Hvilken risiko løper vi som forretning? Hvilke forretningsprosesser kan bli berørt? Det må etableres et mellomlag i alle organisasjoner. Det et styre skal stille krav om, det er at det må utarbeides en type Security Baseline. Det må beskrives hva som er akseptabel. Sikkerhet og dermed også akseptabel risiko. Det må ligge i et styrende dokument. For det styret trenger å vite, det er at vi har en gitt nettjeneste som nå kjører innenfor de rammebetingelsene vi er gitt og vi har en akseptabel risiko per i dag. Og så må de nedenfra faktisk forholde seg til det.

 

Silvija: Min erfaring der vil være at det blir en litt sånn nulltoleranse fort. At styret ber jo opplagt om nulltoleranse uten å forstå både umuligheten og og kostnadene ved det. Så hvordan kan man hjelpe styrene forstå hva som er akseptabel risiko?

 

Hans Christian: Da kan man bruke myndigheten, norske myndigheter. NSM, for eksempel, har jo gitt ut noe som heter “IKT-grunnprinsipper”. Som sier noe om hvordan en…

Silvija: Høres kjedelig ut.

Hans Christian: Ja, det er jo kjedelig sånn sett, men det er veldig nyttig for en IT avdeling. Så det at et styre må peke, og de kan godt peke på et rammeverk. Det kan være det norske, det kan være et internasjonalt bra verk. Da kan de si at “her skal vi ligge”. Vi må være i tråd med denne baselinen. Det er vår forventning. Og så vil det alltid ligge en risiko dimensjonen inn i dette. Det er litt interessant som du sier at styrene ofte ikke vil ha null risiko fordi at folk som sitter i styrer har jobbet ofte i den kommersielle verden hele livet. Man tjener penger ved å ta risiko. De har tatt finansiell risiko, og de har tatt minst om den risiko de har gjort. Oppkjøp knyttet risiko og så videre. Det er jo gjort en masse beslutninger gjennom hele karrieren som har hatt en risiko dimensjon i seg. Men de har valgt at den er akseptabel. Den er håndterbar og du henter faktisk en gevinst eller en effektiviseringsgevinster ut i andre enden med å ta risiko. Det er akkurat det samme. Du lykkes ikke noenting med digitalisering med et null i risiko løp. Du må ha en akseptabel risiko. Det er det samme Mindsettet, men jeg tror det er nytt å tenke digitalt kontra veldig mye annet.

 

Silvija: Jeg tror det er kjempeinteressant diskusjon. Hans Christian. For veldig ofte tror jeg reguleringen blir også litt kunnskapsløs her, fordi det er mer og mer regulering som går for eksempel på styrets ansvar. Som går på ikke bare klok og fremoverlent håndtering av risiko, men de forventer null risiko, ikke sant. Gud forby om du sier at vi “her vi her akseptabel risiko på AML”. Eller noe sånt. Det måtte settes krav som blir… I noen områder må man bestemme seg for null risiko, innen andre områder må man akseptere at risikoen vil aldri være null, men at det skal håndteres effektivt. Og lean, lærende og pågående.

 

Hans Christian: Dette er en veldig interessant, den er veldig på siden, men en det er en spennende diskusjon som du sier. Selvkjørende biler. Hvis det hadde vist seg at per 1 million selvkjørende bil vil den kjøre på et menneske å drepe det. Da vil vi ikke akseptere det, selv om tallene vil vise at hvis vi setter mennesker bak rattet så hadde vi på en måte krasjet mye mer. Eksempelvis men, ja. Dette er en diskusjon.

 

Silvija: Jeg tror det har littegrann med hvilken risiko man tror man kan kontrollere og ikke kontrollere. Og det er der vi trenger mere kunnskap om de nye typer risiko da. Hvor Cybersecurity er en av de aller aller største. Ok. Disse konkrete verktøy for deteksjon. Du sier at man kan kjøpe dem som tjeneste. IT avdelingene kan installere det og vår jobb som leder er å spørre om vi har de riktige verktøyene og mot hvilket nivå de brukes. Er det riktig forstått?

 

Hans Christian: Ja. Har vi en deteksjonstevne i vår infrastruktur, det må man stille spørsmål. Man skal ta noen litt sånn “scenario basert” tilnærming. Man skal si som styret eller som ledelse: “vi er bekymret for Ransomware, det er det mye av om dagen”. Måten Ransomware skjer på er stort sett den samme. Hver gang er det med at en bruker og identitet blir stjålet og man kommer inn. Så det å stille det spørsmålet: har vi en deteksjonsevne til å oppdage det? Det er et betimelig spørsmål. Man kan bruke mye penger og lite penger, men det å knytte det til reelle scenario, til et “dette er vi bekymret for”, “har vi en evne til å oppdage dette?”. Der et godt spørsmål.

 

Silvija: Og bare siste spørsmål i denne delen. Hva med privatpersoner, hva er de viktigste verktøyene for oss? Vi snakket om sikker ID. Vi snakket om tofaktor identifisering. Vi snakker om litt sånn “være klok og ikke dytt ting inn i maskinen din”. Er det det å forstå farene og oppføre seg varsomt? Er det noe mer vi skal skru på?

 

Hans Christian: Nei, ja. Det er jo litt sånn om man sitter på en Mac eller PC som de fleste gjør. Dette er store internasjonale leverandører som tilbyr i utgangspunktet gode sikre plattformer. Det dreier seg om å si “ja” til det plattformen ber om. Si ”ja” til at oppgraderinger skal skje automatisk. Si “ja” til de tjeneste som er inkludert. Så lenge du har en lisens og alt dette er på plass så kommer du faktisk veldig langsomt teknisk med å bare si “ja” til de løsningene som er der og det som systemet selv spør om.

 

Silvija: Kan jeg stille et dumt spørsmål? Når man kjøper PC. La oss si Microsoft merke. Og så blir man tilbudt tilleggs sikkerhetstjenester, Norton eller noe sånt noe. Er det nødvendig?

 

Hans Christian: Nei, det mener jeg ikke er nødvendig. Og så blir sikkert Norton sur på meg for det. Ja, men det har vært en litt sånn holdning som jeg… Det er jo dette jeg står for personlig igjen. Man har ikke helt stolt på Microsoft sin innebygde sikkerhet og man har liksom ofte sagt at man trenger å legge på, la oss si en sånn tredjeparts applikasjoner på toppen. Jeg mener personlig at de innebygde sikkerhetsmekanismene som nå ligger i en Windows plattform er fullgode og dekker det behovene brukere har. Du trenger ikke en sånn tredjeparts applikasjon på toppen.

 

Silvija: Ja, men du skal i hvert fall bruke det som kommer med plattformen? Og det som kommer med telefonen. Du skal du virkelig stole på systemet?

 

Hans Christian: Ja, det skal du.

 

Silvija: Og hvis den spør om å samle data? er det ok og si “ja” til det?

 

Hans Christian: Ja det er det. Jeg synes det. Og så er dette igjen et vanskelig spørsmål hvor mange vil mene mye ulikt. Det er jo et valg man tar. Jeg har vel landet på at jeg vil heller at Microsoft skal ha tilgang på mine logger og kunne holde kriminelle ute enn at kriminelle får tilgang på mine data. Så vil du si at Microsoft vil jo aldri egentlig bry seg om mine data, mine filer eller mine regneark. De vil jo samle inn logger om disse prosessloggene og “hva min operativsystem gjør” og så videre. Jeg har nå tatt det valget at jeg vil heller at de gjør det. Og da hjelper meg med å holde kriminelle ute enn at Microsoft ikke gjør det. Og at jeg liksom er alene i kampen mot de kriminelle.

 

Silvija: Og det gjelder? På for eksempel på Google sin plattform?

 

Hans Christian: Ja, det gjør det. Det gjelder alle. Det spiller ikke noen rolle, alle de store er relevante sånn sett.

 

Silvija: Du, Hans Christian. Kjempe tusen takk for vår tredje samtale og da møtes vi om litt til å snakke om et lite verksted. For hvis man skulle prøve å hjelpe et lite selskap, for eksempel LØRN, å bli bedre – hvordan kunne man gjort det?

 

Hans Christian: Da gjør vi det.

 

Du har nå lyttet til en podcast fra LØRN.TECH. En læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å lytte til denne podcasten på vårt online-universitet LØRN University.

Leksjon 4 - ID:M0010d

Leksjon 4 - ID:M0010d

Leksjon 4 - ID:M0010d

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen til den fjerde og den siste samtalen i vårt mikro kurs, LØRN Fundamentals om Cybersecurity. Gjesten min er Hans Christian Pretorius fra KPMG, og i denne samtalen skal vi snakke om et eksempel. Vi skal ha et lite verksted på hvordan man kunne hjelpe en liten bedrift av typen LØRN, med å få litt orden på sysakene sine innenfor det digitale rom og Cybersecurity. Hans Christian, jeg vet ikke engang hvor jeg skal begynne, men jeg kan beskrive situasjonen vår littegrann?

 

Hans Christian Pretorius: Det virker som en god start.

 

Silvija: Vi er et selskap med cirka 10 ansatte som lager digitale produkter plattformer og har alt sitt innhold på digitale media. Vår rikdom og arvesølv er cirka ett tusen samtaler som er lærings moduler. Det er litt podcaster, litt video og litt tekst. Litt forskjellig for produksjon. Vi bruker en haug med software, blant annet Stream Yard som vi gjør opptak i nå. Og så er det verktøy for speech to text detection og så videre. Og så bruker vi masse verktøy for å publisere dette her. Det er HubSpot og så bruker vi masse sosiale kanaler. Facebook, LinkedIn, Spotify, Youtube og så videre. Vi er en plattform som syr dette sammen og den plattformen har ganske mye som er GDPR sensitive data av typer gjester, av type studenter, av type finans, og så videre. Og vi har ikke en IT-avdeling, så vi har noen utviklere som bygger ting for oss. Men folk bruker akkurat den maskinen de vil. Noen har Mac, noen av PC. Det vil også si at folk folk bruker de skytjenestene som de vil. Noen bruker Google Office, noen bruker Microsoft 365. Noen bruker noen helt andre greier. Canva, Web basert, grafiske verktøy. både på Hardware og software siden. Som du ser er det en jungel av løsninger. Kanskje skal jeg også legge til at denne tilgangskontroll som du snakket om i forrige del er ikke helt som det skal være. Det er noe som vi jobbe med det, men vi har frilansere. Vi har team som sitter i Norge team, som sitter i utlandet som da har tilgang til business kritiske filer da. Hvor ville du begynt?

 

Hans Christian: Jeg tror jo at det er mange som står i den utfordringen dere også har. Og det vil det også være i tjenestemodellen. Jeg tror at det må være noen ting jeg ville gitt råd om. Dere må definere et sett med Policy. Som er relativt overordnet og som er kritisk. Vi har snakket mye om det gjennom denne samtalen, men siden man sitter på ulike plattformer og logger seg inn fra ulike enheter og mot ulike tjenester så er vi tilbake til identitetsstyring. Så det vil det som er tydelig i forventning og Policy på hvordan det skal brukes. Som jeg har sagt, to nivå skal skrus på hvis det er en mulighet. Det er en nøkkelting som må være på plass. Det er utrolig viktig når man kommer inn fra så mange ulike steder at man har en eller annen Policy og retningslinjer for hvor skal man legge lista for styring av dette her. Så vil jo veldig mye av dette her nå hvil på den enkelte . Da jeg at man fort oppretter egne brukerkontoer. Det tillegger mye ansvar hos den enkelte. Da er det noen andre råd, som er vanskeligere noen ganger å følge. Det er å prøve å ikke ha brukere med alle rettigheter, for da er du så sårbar. Eksempelet her blir jo at hvis du har en bruker som har alle rettigheter på maskinen din, og du blir lurt. Hvis du da klikker på denne linken på e-posten. Da får den skadevaren tilgang til så mye mer. Hvis man klarer å ha en brukerkonto som ikke har administratorrettigheter på PC’en din, det er den daglige brukerkontoen din. Det er den du bruker til vanlig. Når du da har behov for å laste den applikasjon som skal installeres eller du skal gjøre noe ekstra. Ta da jobben med å logge deg inn som administrator og gjør administrator jobben og gå tilbake til en brukerkonto som ikke har dette. Da tar ned noe av angrepsflaten på angrepspunktene dine pc’en, kombinert med en Policy på pålogging. Der vil jeg begynt. For det er noe av det vi ser på som den største utfordringen.

 

Silvija: Kan jeg da spørre deg om.. Burde man burde ha noe form for litt remote styring av maskiner? Er det egentlig gjennomførbart med en så eklektisk maskinpark?

 

Hans Christian: Ja det ville det vært. Men det krever jo en IT-avdeling og det krever et sett med verktøy. Det krever en del. Så for en modell og størrelse som dere er, så er det vanskelig. Det er ikke det første foretaket jeg ville foreslått. Flåtestyring er fullt mulig det, men det krever en del av verktøybruk.

 

Silvija: Det andre som jeg lurer på er at vi har jobbet med et par sånne hosting og IT-tjenesteleverandører som fokuserer på SMB markedet. Men det blir veldig fort sånn at de sier at “nei vi jobber bare med Microsoft-stacken“. Eller “vi jobber bare med og det” og det funker veldig dårlig når man bor både i Google skyen og helt uavhengige løsninger på andre ting igjen. Hvordan kan man løse utfordringer med å ikke bli helt avhengig av en sånn mega leverandør?

 

Hans Christian: Akkurat det tror jeg er en utvikling som kommer. Jeg tror multi cloud løsninger og leverandører som tilbyr tilgang på Multi cloud er det som kommer til å komme. Du vil finne aktører der ute som allerede har det som forretningsmodell, at vi syr sammen en løsning på toppen og du bruker det beste av Google, det beste av Microsoft og andre type tjenester i stakken din. Jeg hadde ikke investert penger i et selskap som sier at “vi tilbyr bare det ene eller andre” fordi kundebehovet endrer seg veldig fort, som du beskriver selv. Man har et behov for å jobbe på flere plattformer.

 

Silvija: Men det som man kan gjøre i påvente av å finne en sånn partner er kanskje å være litt bevisst på stakken sin selv. Og å ha en god oversikt over hvilke hvilke lisenser og hvilke software og plattformer er det vi har? Hva er var navnene på forskjellige Hardware-enheter som jobber for oss. Til og med URL-styring?

 

Hans Christian: Jada, alle disse tingene. Det er ikke tvil om at å legge mest mulig hos en leverandør da tar ned en del kompleksitet. Det tar gjerne ned denne risikoen, men du får en sånn lock in problematikk også. Det må jo hvert selskap selv basert på sitt behov da vurdere “hvor multi could skal vi gå? Og så kan man jo si at kanskje i en ideell verden så kunne man valgt en plattform til å styre klientsiden for eksempel og gått igjennom den før man skulle nå andre. Med det er en arkitektur diskusjonen som man egentlig bør ta. Det er nok en utfordringen for et selskap som dere og veldig mange andre. Det er arkitektur kompetansen som egentlig er sentral når man skal gå inn å bygge miljøer som dere gjør. Med såpass mange tjenester. Er det en ting mange som skulle hatt tilgang til på sin side av bordet i diskusjon med henne med en leverandør park som blir veldig bred. Det er en type arkitekt kompetanse for å kunne diskutere hvordan dette skal spille sammen.

 

Silvija: Jeg tror det er egentlig nettopp det vi har funnet ut i løpet av det siste halvåret. At det må styres med noen med plattform og arkitektur forståelse. Og så er det tilgangsstyring som også må systematiseres i mye mye større grad. Ja, hva gjør vi? Hva tenker du i forhold til sårbarhetsdetection? Er det liksom mere for folk som er større enn oss, eller finnes det noen løsninger der ute som passer for SMB markedet?

 

Hans Christian: Ja, det spørs jo litt. Hva AD, pålogging og funksjonaliteten ligger primært i Asher for eksempel så er jo det et område hvor man bør etablere en detectionsevne eller kjøpe en detectionsevne. Dette kan kjøpes i flere områder, men man bør gjøre en verdivurdering og si at hvor man virkelig har IP’en sin, der må man på en måte kunne ha en annen deteksjonsevne slik at man får et varsel når det skjer noe unormalt. Og “Restore”, i disse ransom tider, helt kritisk. Hvis dere i morgen står der og får kryptert store deler av dataen deres så må dere ha en leverandør som både har sikret at backup og “Restore”-delen ikke nås sånn at den ikke er blitt kryptert og at de relativt raskt kan rulle tilbake. Slik at det dere egentlig tapte kune var type en dags arbeid eller en dags nedetid da.

 

Silvija: Ja, Restore og backup er utrolig viktig særlig når noen bor i Google skyen og noen bor i Dropbox og så videre. Du nevnte AD, Active Directory. Hvordan skal små selskaper forholde seg til den?

 

Hans Christian: AD er den påloggingsserveren som styrer rettigheter. Hvis man som et selskap har en eller annen skyløsning, så vil det finnes en AD funksjonalitet der. Det er det som er knyttet til som styrer egentlig pålogging. Det er det viktigste du har. Det er den viktigste serveren du har. Det er det som er døråpneren til alt og dørlukkeren for alt. Det er den døren trusselaktører kommer til å gå mot AD. For hvis du når det som har tilgang til øverste rettighets nivå på den serveren. Ja, da når du egentlig alt bedriften har jeg.

 

Silvija: Og så finner man en person som kan hjelpe deg å strukturere det der. Lage din bedriftsarkitektur på det digitale. Tilgangsrettigheter analyseres og fordeles riktig. Man overvåker systemet med noen relativt enkle verktøy som man har kanskje innebygget i de viktigste plattformene. Hva gjør vi for å lære opp våre ansatte? For å liksom ikke gjøre de dummeste feilene? Vi får daglig sånne fishing mailer som ser ut som de kommer fra en finansavdeling, som vi ikke her da. Det er ganske lett å kjenne igjen. Men, hva bør vi utdanne våre ansatte i?

 

Hans Christian: Selv om jeg tror vi mennesker alltid vil la seg lure, så skal man heller ikke slutte å bringe kunnskap til sine egne ansatte. Det kan nå gjøres på hundre måter. Det er gjennom type digitale verktøy selvfølgelig, som man kan abonnere på og å få brukerne til å kjøre igjennom. Som et minimum bør man sette det på agendaen, i den grad man har fredagsmøter hvor man har arena og man samler de ansatte. I en liten bolk hvor man egentlig bare snakker om tema. Jeg tror bare verdiene, om at man hadde satt det opp på et fredagsmøter hvor man tar det opp at “vet du hva den uken er har jeg faktisk fått tre e-poster hvor noen prøvde å lure meg”. Samt at man melder at “det skjer her hos oss.” De så sånn ut. “Har dere opplevd noe av det samme?” Jeg tror vi må løfte diskusjonen og gjøre det til et tema vil øke kunnskapsnivå.

 

Silvija: Veldig bra. Er det noe mer som jeg glemte å spørre om, som du gjerne vil minne en sånn type kunde om å tenke på?

 

Hans Christian: Nei. Jeg tror vi har vært innom veldig mye spennende. Dette et stort tema så kunne vi bare fortsatte å prate om egentlig. Men jeg tror vi var innom det viktigste for SMB nivået. Tjenestekjøp, sky og valg av stor leverandør. Det vil for nesten absolutt alle være et tryggere og bedre alternativ enn å prøve å drifte det selv. Det er budskapet. Og i den grad man kommer inn i en kompleksitet og behov som dere har, hvor man da få flere plattform behov. Så er det denne arkitektur forståelse, bestiller kompetansen som må sitte igjen på selskapets side av bordet. Enten om de har noen egne eller om de henter kompetansen fra et annet konsulenthus som bistår noen timer innimellom. Det får man jo velge selv, men det er den kompetansen av å besitte opp imot og at man skal gjøre kjøp og tjenestekjøp. Det er der sikkerheten er betydelig bedre faktisk for de aller fleste. Det er i disse store Sky plattformene.

 

Silvija: Veldig bra. Hans Christian Pretorius fra KPMG. Tusen takk for at du brukte to timer med oss her i LØRN og lært oss masse om Cybersecurity for kritisk infrastruktur. Takk nå.

 

Hans Christian: Tusen takk.

 

Du har nå lyttet til en podcast fra LØRN.TECH. En læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å lytte til denne podcasten på vårt online-universitet LØRN University.

 

You must log in to pass this quiz.

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et

Allerede Medlem? Logg inn her

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. 

Allerede Medlem? Logg inn her