LØRN Masterclass M0013
Datasikkerhet og regulering
I dette Masterclass-kurset med #LØRN møter Silvija, Olav Lysne som er professor i informatikk og direktør for Simula met. Vi lærer om Datasikkerhet og regulering

Olav Lysne

Direktør

Simula metropolitan center

"Når vi snakker om digitale infrastruktur, er dette noe veldig få folk tenker på, men det er dette som faktisk har blitt grunnmuren i samfunnet vårt"

Dette er LØRN Masterclass

Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Vis

Leksjon 1 - Introduksjon (43min)

Lysne utvalgene, Digital sårbarhet og digital robusthet, Huawei og 5G debatten, Nasjonal digital autonomi, Kritisk infrastruktur, Verdien av personvern og skaden personvern kan ha, Demokratisk regulert data

Leksjon 2 - Eksempler (39min)

Solarwinds hack, Hva en bakdør er, 5G og Huaweii, CryptoAG, Hva er blockchain og kryptovaluta, Digitalt grenseforsvar, Nasjonal infrastruktur og utenlandske leverandører

Leksjon 3 - Verktøy (22min)

Hva innebærer i en digital allmenndannelse, Hvordan få oversikt over de digitale verdikjedene, Opplæring av skoleverket, Viktigheten av den grunnleggende tverrfagligheten, Direktoratet for samfunnssikkerhet og beredskap, Rapporten til samfunnssikkerhet og beredskap, Å arve sårbarheter gjennom digitale verdikjeder, Sårbarhet hos underleverandører, Transparens i kontrakter for sikkerhet for brukeren

Leksjon 4 - Verksted (10min)

3 delingen, Den grunnleggende hygiene, Å ta en verdivurdering – Hva kan skje med dette på “avveie”?, Poenget med verdivurdering, Det å løfte opp verdivurdering som en nødvendighet, DSB sitt rammeverk

Ferdig med alle leksjonene?

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Tema: Cybersikkerhet og etterlevelse
Organisasjon: Simula metropolitan center
Perspektiv: Forskning
Dato: 7, januar 2022
Språk: NO
Sted:OSLO
Vert: Silvija Seres

2000+ lyttinger

Litteratur:

Huawei and Snowden Questions - Olav Lysne

Del denne Masterclass

Dette lærer du om i denne Masterclass

• Lysne utvalgene, Digital sårbarhet og digital robusthet, Huawei og 5G debatten, Nasjonal digital autonomi, Kritisk infrastruktur, Verdien av personvern og skaden personvern kan ha, Demokratisk regulert data
• Solarwinds hack, Hva en bakdør er, 5G og Huaweii, CryptoAG, Hva er blockchain og kryptovaluta, Digitalt grenseforsvar, Nasjonal infrastruktur og utenlandske leverandører
• Hva innebærer i en digital allmenndannelse, Hvordan få oversikt over de digitale verdikjedene, Opplæring av skoleverket, Viktigheten av den grunnleggende tverrfagligheten, Direktoratet for samfunnssikkerhet og beredskap, Rapporten til samfunnssikkerhet og beredskap, Å arve sårbarheter gjennom digitale verdikjeder, Sårbarhet hos underleverandører, Transparens i kontrakter for sikkerhet for brukeren
• 3 delingen, Den grunnleggende hygiene, Å ta en verdivurdering – Hva kan skje med dette på “avveie”?, Poenget med verdivurdering, Det å løfte opp verdivurdering som en nødvendighet, DSB sitt rammeverk

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Leksjon 1 - ID:M0013a

Leksjon 1 - ID:M0013a

Leksjon 1 - ID:M0013a

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen til LØRN Fundamentals. Jeg er Silvija Seres og gjesten min i dette kurset på fire leksjoner, over to timer, er Olav Lysne fra Simula Metropolitan – som nå er en del av Oslo Met- eller Metropolitan University. Du får hjelpe meg Olav. Jeg tenker på deg som lederen av de mest fantastiske utvalg, og personen jeg har mest respekt for når det gjelder tanker rundt cybersecurity og forskningsbasert reguleringsutvikling. Og så leder du en avdeling ved navn Simula? Du får hjelpe oss med å forstå hvordan verden henger sammen.

 

Olav Lysne: Ja og nei. Ja, hvem jeg er? Jeg er Olav Lysne som sagt, og jeg er professor i informatikk. Jeg har vært det i mange år på Universitet i Oslo. Nå er det jo Oslo Met. Dagjobben min er å lede et selskap som heter Simula Met, som er delvis eid av Simula og delvis eid av Oslo Met, som er et datterselskap i Simula-konsernet, og som har en eierandel i det. Vi er 60 mennesker omtrent, som driver og jobber med, ja, kunstig intelligens og definitivt mye, mye sikkerhet og sårbarhet innen cybersikkerhet.

 

Silvija: Si litt om Simula også. For dere består av en gjeng med kjempeflinke folk med doktorgrad og folk på vei til doktorgrad. Dere er et institutt, ikke et universitet, eller? Hvordan fungerer det?

 

Olav: Ja, det er godt spurt. Vi er et aksjeselskap hvor alle aksjene er eid av staten ved Kunnskapsdepartementet. Vi ble egentlig opprettet som et resultat av at man bygget flyplass på Gardermoen, for da ble det nye lokaler på Fornebu ledig. Der skulle man bygge et stort, nytt et. Der ønsket de et Silicon Valley og staten mente at nå må vi opprette en forskningsinstitusjon som skal være av verdi. Det skulle være helt i kjernen av dette, og det ble Simula. Det skjedde i 2001. Da var vi ti professorer fra Universitet i Oslo som flyttet ut for å lage Simula. Deretter har vi jobbet her i mange år. Nå har vi en avdeling i Bergen, en del i Oslo sammen med Oslo Met. Vi har da et moderskip, om man vil, som akkurat da flyttes fra Fornebu og inn til sentrum. Så vi er i en, skal vi si, størrelsesorden på to hundre forskere. Alt i alt. Vi har studenter og forskere.

 

Silvija: Utrolig flinke forskere og et veldig internasjonalt miljø med ekstremt gode internasjonale relasjoner på egentlig verdens toppnivå. Det er noe av det jeg synes er så fascinerende med Simula. Jeg må spørre deg også, egentlig av personlig egeninteresse. Si to ord om hvorfor det heter Simula. Hva i all verden er Simula?

 

Olav: Aha. Ja, det kan jeg godt si. Da vi skulle lage Simula… Dette var ikke min idé, det var Aslak Tveito som er sjefen på Simula. Det var hans idé opprinnelig. Så skulle dette senteret få et navn, da. Da ble det mange ting som lå på bordet og da ble det Simula. Det ble vel navnet Simula fordi det er navnet på det som jeg vil mene er Norges største forskningssuksess innen IT. Det er det aller første objektorienterte programmeringsspråket i verden. For de av dere som aldri har programmert, så vil jeg være litt vanskelig å forstå. Dette er ganske vanskelige ting, fordi det er å skrive noe som en datamaskin kan forstå. Det ligger fryktelig langt unna hva som er lett for mennesker å forstå. Og det å finne akkurat det gode balansepunktet som gjør at mennesker kan skrive program og forstå dem. Men også at datamaskinen klarer å utføre det. Det er ganske vanskelig. Der var det et begrep som to nordmenn fant ut av, som heter objekter. Det er det første programmeringsspråket som hadde objekter i seg. Det var Simula. Laget av to nordmenn ved navn Kristen Nygaard og Ole-Johan Dahl. Det er det største bidraget innen IT som Norge har gitt. Derfor tok vi navnet Simula.

 

Silvija: Ole-Johan Dahl og Kristen Nygaard fikk Turing-prisen for dette her. Det er noe vi burde feire mer. Det er Nobelprisen på vårt felt. Det er veldig vanskelig når det kommer til programmering, og hvor lett tilgjengelig det er for folk flest, så det ble en slags skille bare med Simula og det som kom etter Simula; med C++ og Java og alle bibliotekene som alltid er inkludert med kunstig intelligens basert på det.

 

Olav: Det er helt riktig og det er vanskelig å tallfeste verdien av det bidraget da det kom på 60-tallet. Det der er så lenge siden, men det har vært helt enormt. Det begrepsapparatet som de bygget opp da, det er i bruk i nesten alt vi nå ser av av utstyr rundt oss.

 

Silvija: Hvordan ble du interessert i Cyber Security. Holdt du på med det helt fra starten av?

 

Olav: Nei, jeg gjorde ikke det. Jeg startet som en en teoretiker egentlig, som drev med matematiske egenskaper. Ja, hva var veien dit, mon tro? På et tidspunkt så skjedde jo det at IT-verden ble dominert av en en del veldig store selskaper. Og da visste jeg hvordan jeg drev med robusthet. Altså hvordan man får kommunikasjonsnettverk til å fungere når enkle komponenter slutter å virke. Vi hadde laget en mekanisme som var veldig god, men vi skjønte at veien til å få den inn i industrier var å overbevise noen gigantiske amerikanske selskaper. Det lyktes vi på en måte godt med. Men det gikk opp for meg da, at veien til etterforskningen faktisk hadde liten effekt på utstyr slik hverdagen begynte å se ut, rundt 2005-2006

Den veien var fryktelig lang og da begynte vi å tenke på hjemme. Hva er det som er viktig for Norge? Var dette det som virkelig er viktig for Norge og kommer til å bli viktig framover? Da fremstår det for meg som ganske opplagt at at vi er i ferd med å flytte hele samfunnet over på en digital infrastruktur. Og det var en utvikling som var i gang den gang, og som bare ville akselerere, gjettet jeg på. Og det viste seg ble riktig. Og det jeg var på en vei inn i, var at «ok, skal man gjøre noe som er viktig for Norge, så er dette kanskje noe av det viktigste du kan gjøre nå». Vi må jobbe med samarbeid for sikkerhet og med robusthet i digitale infrastrukturer. Så det var min vei inn i dette.

 

Silvija: Når alt blir digitalt som nå, må det digitale være like robust som det fysiske. Og det er veldig vanskelig. Før vi begynner å snakke litt om begreper rundt digital robusthet og Cyber Security, så har jeg også lyst til å spørre deg om to utvalg som du har ledet relativt nylig. Det er Lysne 1- og Lysne 2-utvalget. Kan ikke du si når de fant sted, og forenklet: Hva var oppdraget?

 

Olav: Jo. I 2014, 15 og vel så vidt inn i 2016, ledet jeg det som ble hetende Lysne 1-utvalget. Da det ble satt ned, så var jo hensikten at vi skulle utrede Norges digitale sårbarhet. Da fikk jeg med meg en stor gruppe med svært flinke mennesker som prøvde å forstå «hvor» og «hvordan» og «på hvilken måte er det Norge nå er sårbart digitalt?». Så foreslo vi en del virkemidler for alle samfunnssektorer for hvordan de best kunne håndtere de sårbarhetene. Det var vel Lysne 1. Og den kom vel ikke ut før i 2016, så vidt jeg husker. Et av de forslagene vi da hadde i Lysne 1, var at dersom norsk etterretningstjeneste skulle få lov til å lytte på kabler på grensen mellom Norge og utlandet, så måtte det utredes fordi det hadde sterke personvernmessige konsekvenser. Da ble jeg bedt om å lede det som ble Lysne 2-utvalget. Hvor vi prøvde å finne ut av om «er det egentlig greit at Etterretningstjenesten får lov til å hente data ut av fiberkabelen?». Det ble Lysne 2. Og det ledet fram til det kapittelet i den nye etterretningsloven som dreier seg om hvordan Etterretningstjenesten skal få lov til å hente ut data fra slike fiberkabler.

 

Silvija: Hvis jeg skal forenkle veldig det du snakker om når jeg tenker på Lysne 1. Utvalg som «digital sårbarhet», «digital nasjonal sårbarhet» og kanskje også «digital nasjonal autonomi». Mens Lysne 2-utvalget tenker jeg har konsekvenser for regulering av datadeling og databruk både i offentlig og privat sektor. Dette her blir også helt sentralt i vår politikk fremover. Hvis vi vil ha effektive digitale aktører i samfunnet vårt, så må de ha tilgang til data. Hvordan skal vi sikre at tilgangen er demokratisk kontrollert? Utrolig viktige temaer begge to, for Norges fremtid.

 

Olav: Helt enig.

 

Silvija: Da har jeg lyst til å spørre deg: Hva er digital sårbarhet versus digital robusthet? Hvorfor snakker vi om temaet?

 

Olav: Digital sårbarhet, det andre handler om om er «Hvilke hull er det i forsvaret vårt?». «På ulike måter kan kan vi egentlig rammes?». Enten fordi noen vil oss vondt eller fordi det er noe som kan gå galt om vi gjør at ting slutter å virke. Det er sårbarhet. Robusthet handle enkelt om den andre siden av mynten, som er bak. «Hvordan sikre vi oss?», «Hva kan vi gjøre for å sikre oss mot de tingene som kan hende oss?». Enten sikre oss mot noen som vil oss vondt eller sikre oss mot at, ja, konsekvensene av et tre faller over. I mange år så var vi jo mest redd for det siste, altså uhell. Det var veldig kjent at når stormen Dagmar var så husker dere at mobilnettene sluttet å virke. Det var ingen som ville oss vondt da, men det er naturkreftene som virker på naturlig måte og som er en type trussel. Så er en annen type trussel, som er sånn at det er noen som vil oss vondt og det kjenner vi kanskje igjen fra angrepet på Stortinget som vi har hørt om i senere tid? Det var Norsk Hydro også som fikk et Cyberangrep mot seg som har kostet dem ufattelig mye penger. Da ar vi på et annet sted en intelligent motstand. At det er noen som ønsker å gjøre noe mot oss.

 

Silvija: Kan vi stoppe litt? Jeg har lyst liksom å gi folk noen eksempler og vi kommer tilbake til eksempler senere. På et litt annet plan. Jeg har lyst til å, veldig kort, gå gjennom angrep på Stortinget. Angrep på… Jeg tror det var Østre Toten kommune og angrepet på Hydro?. Hvorfor er det så farlig om noen hacker seg inn på noen av de stedene. Og hva betyr de? Får de tak i noe jeg poster? Stopper de noen systemer? Hva betyr det egentlig?

 

Olav: Ja, nei. Dette er godt spurt. Fordi dette bilde kan være veldig forskjellig ikke sant. Hvis vi tar Stortinget først, så er var det sånn at der fortsatte systemet å virke og stortingsrepresentantene kun sende e-post til hverandre. Det som skjedde var at det sannsynligvis var noen som klarte å få tak i alle e-postene som enkelte representanter har sendt. Det er jo informasjonslekkasje, som noen våger å finne ut som de egentlig ikke skulle funnet. Dette var før valget. Så er det noen som sikkert sitter å lurer på om «Er det noen stortingsrepresentanter som har noe personlig informasjon i den e-posten som de aller helst ikke vil at skal nå offentligheten?». Kan noen presse enkelte stortingsrepresentanter på måte som de helst ikke burde blitt presset på? Hvis noen husker dette så var det jo slik da Trump ble president. Motstander hans var Hillary Clinton. Saken var jo at det plutselig viste det seg at det ble offentliggjort en helt masse e-poster som Hillary Clinton faktisk hadde sendt. Det ble en del av det amerikanske valget. Man vet ikke om det avgjorde valget, men det påvirket nok en del. Også var det det som skjedde med Hydro. Alle kom på jobb og så virket ikke maskinen deres. Da var det noe som het et løsepenger-virus. Da var det noen som hadde brutt seg inn i systemet deres og klarte å kryptere noen filer slik at systemene ikke virket sånn som de ville. Da var det ikke spnn at man var redd for at informasjon var på avveie, men det var noen som hadde sagt at «nå fungerer ikke selskapet deres lenger og hvis dere vil at det skal begynne å fungere på nytt igjen så må dere sende oss en hel masse penger».

 

Silvija: Hvorfor var selskapet avhengig av disse filene for å kunne fungere?

 

Olav: Ja, det kan jo være på veldig mange måter. Men det kan være slike ting sånn som at at de har enkelte kontrakter, kundelister, leveranseavtaler og produksjonsdata som de ikke får tak i lenger. Det man kan frykte er slike ting som at de systemene som styrer smelting av aluminium ikke virker lengre. Jeg tror ikke det var tilfelle her, men det er definitivt en illustrasjon på noe man kan frykte.

 

Silvija: Det jeg gjør er å forsøke å å bygge et bildet, ikke sant. At når selskapene blir mer og mer digitale og deres produksjon styres gjennom digitale, både data og algoritmer så er det å låse en del av dette systemet egentlig helt lammende for selskapet.

 

Olav: Det vil det være og det tror jeg veldig mange kan sette seg inn i. I alle fall alle de som har har en jobb som som i all hovedsak består av PC og en pult. Hvis du kommer på jobben en dag og PC’en din virker ikke og PC’en til naboen din virker heller ikke. Det er ingen i hele selskapet som har en som funker og PC’en til sjefen din er også død. Hvis det er ikke noe av IT-systemet som overhodet fungerer lenger så tror jeg at det er lett å sette seg inn i at «jamen da blir hele selskapet lammet». Det vil nok gjelde de aller fleste selskaper i Norge at dersom dette skjer «ja så blir de faktisk lammet». Og det å komme i gang igjen er svært tungt. Dette var det da Norsk Hydro opplevde og lærte på en veldig smertefull måte.

 

Silvija: Vi trenger ikke bruke tid på kommune-angrepet, men jeg tror det var Vestre Toten. Der opplevde de noe som ligner på den Hydro saken. Hvis jeg ikke tar helt feil. Det var også en del systemer som bare ble låst og da var det ganske interessant hvor kort tid som gikk fra da det skjedde til folk ikke kunne få kanskje tilgang til NAV pengene sine og til veldig mange av kommune-hjemmetjenester begynte å slite med koordineringen sin osv.

 

Olav: Det er helt riktig. Et skritt videre fra at det rammer en etat eller et selskap er jo det at det rammet samfunnet. Man kan jo se for seg hva som ville skjedd hvis noe slikt skulle ramme NAV. Du kan se for deg hva som ville skjedd hvis noe sånt skulle ramme en bank-ID for eksempel. At ingen får flyttet penger lenger. Det er vanskelig å få betalt på butikken. Vi tenker gjerne at sikkerheten skal være knyttet til et etat eller et selskap, men du skal ikke så veldig mange skritt videre før du skjønner kan dette kan ramme samfunnet. Det kan ramme samfunnet på veldig smertefulle måter og det gjør også at det er dette som er en av grunnene at dette er blitt nå et «sikkerhetsspørsmål» knyttet til hvert enkelt selskap. Dette er nå blitt et et «samfunnsproblem» som vi nødt å håndtere på samfunnsnivå.

 

Silvija: Også på juridisk og politisk nivå. Ikke sant? Fordi det er ikke lenger noe som være vi nerder skal ta oss av, men vi må få med oss jurister og vi må få med oss politikere på den reisen.

 

Olav: Vi må få med oss jurister på den reisen. Vi håper å få med oss politikere på den reisen og vi må få med oss eller befolkningen på den reisen. Fordi noe av det vi kan bekymre oss for her hva gjelder hele befolkningen, det er at vi har en befolkning som vet veldig godt hvordan de skal sikre seg mot sårbarheter i trafikken, sikre seg mot at de blir ranet og sikret seg mot at hus deres brenner ned. Men veldig veldig mange, kanskje aller de fleste er helt fremmedgjort når det knyttes spørsmål til «Hvordan sikrer jeg meg digitalt for at ingen får kontroll over PCskjermen?». «Hvordan sikrer jeg meg at ingen får passord til Facebook-kontoen min?». Den fremmedgjøringen må gjøre noe med. Da er vi inn i et veldig stort spørsmål og vi snakke om skoleverk og «hva skal være digital allmenndannende?» og disse tingene. Men jeg tror at over de neste tiårene så må vi snakke ganske mye om det også.

 

Silvija: Det er to hovedspor som jeg har lyst at vi skal utforske nå i denne introduksjonskurs delen av kurset. Det ene er infrastruktur problematikk og nasjonal versus internasjonal eierskap og kontroll. Hva betyr det? Det andre er denne balansen mellom personvern og personalisering. Ikke minst hvordan staten skal tilby like spennende personaliserte tjenester innenfor velferd, helse osv. som vi etter hvert får tilbud om for eksempel fra andre siden av jorda. Veldig sånn LEGO-messig-språk som jeg liker å falle tilbake på her. Jeg tror, Olav, at enten så må vi ha en digitalt smart stat eller så blir det Silicon Valley som bestemmer vår digitale fremtid. Hvordan lager vi denne digitalt smarte staten vår? Hvis vi tar infrastruktur først da?

 

Olav: Ja, infrastruktur er jo gjerne noe vi ikke tenker så mye på. Det bare er jo er der virker, når du tar på vannkran og vann renner og du slår på lampa og strømmen kommer. Den på en måte bare er der. Det som vi kanskje ikke tenker så mye på er at akkurat det samme gjelder f.eks. mobiltelefonene våre nå vi tenke og det er veldig fort gjort å tenke at når jeg ringer deg Silvija så bare tar jeg telefonen min og telefonen min snakker direkte med telefonen din. Men det er ikke sånn det er. Det som skjer er at når jeg tar telefonen min og ringer så ringer den til en basestasjon som er antakelig såpass nær at du kan se den. Og så er det en lang infrastruktur av fiberkabler og sånt som bringer den samtalen til telefonen din. Og så skjønner man at den infrastrukturen er det noe som har bygget, eier og driver. Og så er det da sånn at den den typen infrastruktur den ligger nå i bunn av absolutt alt der. Det er den som brukes til alt andre ting også. Den brukes til å styre stier i kraftnettet. Den brukes til å sørge på at du har vann i kranen din. Slik at når vi nå snakker om digitale infrastrukturer er det noe som veldig få tenke på. Men som faktisk er blitt nå grunnmuren i nesten hele det samfunnet som vi er helt avhengige av at fungerer. Både du og jeg. Og noe som kanskje jeg har vært veldig opptatte for å sørge for er at det på en måte blir synlig. Synlig er kanskje litt vanskelig å få til for det er snakk om ganske usynlige ting det der, men at de kommer inn i bevisstheten til folk, at vi har gjort oss avhengige av noe sånt som som vi nesten ikke ser. Dette er noe som de aller fleste av oss har fremmedgjort, igjen bruker jeg det ordet. Men vi har en «fremmedgjort» opplevelse av dens eksistens av og til.

 

Silvija: Vi har hørt littegrann rundt Huawei versus Telenor i infrastruktur master osv. Det er ganske mange lag i denne infrastrukturen og det er ikke vanlig at ett land nødvendigvis lager alle lagene selv. Hvordan påvirker dette sikkerhet?

 

Olav: Vel, det er nesten ingen land som lager alle lagene selv. Vi skulle naturligvis ønsket oss at at man som som et lite land kunne laget alt selv og har full kontroll på alt selv. Slik som vi gjerne føler at vi har strømnettet vårt, for eksempel. Digitalt sett går ikke det an. Det er veldig spesielt og det er ingen land som kan det nesten. Kanskje USA kunne fått det til, Kina kanskje. Antageligvis de to landene men ikke så veldig mange fler. Grunnen til at det er at det er så veldig mange expertise områder som man må ha for at man skal klare å få det til. Da dukker opp en diskusjon som du vel hintet littegrann til? Hvilke land skal vi tillatt å få lov til å ha utstyr i infrastrukturen vår da? Skal vi tillate at Kina har det? Skal vi tillate USA har det? Da dukker en del spørsmål og en diskusjon som mange vil huske. Dette med Huawei og 5G diskusjonen. For her handler jo akkurat om dette. Da vi skulle bygge et nye mobilnett i Norge og en ny teknikk som skaffer oss 5G. Skulle vi da tørre å kjøpe utstyr fra et kinesisk selskap til å gjøre det? Det var en stor diskusjon.

 

Silvija: Jeg husker ikke hvilken del av disse mastene eller om det var noen kobling stasjoner eller hva det var. Men dilemmaet er om det er noe fysisk eller software-messig som gjør at dataene flyter gjennom? Hvordan kan man være sikker på hvem som har tilgang til de dataene hvis det er kinesisk eid infrastruktur selskap? Kan kinesisk stat ha sin egen regulering rundt dataflyten? Akkurat samme problemstillingen oppstår, som du nevner, også kanskje med datasenteret som kontrolleres av amerikanske selskap, for eksempel.

 

Olav: Det er helt riktig. Og igjen så er det slik at her er vi nok i en situasjon som veldig få er klar over. Bare med denne podkasten som vi spiller inn, nå sitter vi deltagere antageligvis noen få kilometer fra hverandre. Men det all grunn til å tro at den denne samtalen her, på veien mellom deg og meg, også går innom ganske mange land. Den befinner ikke korteste vei. Det er noe vi kaller en digital verdikjede som gjør at dette er innom fryktelig mange steder. Da dukker opp en del spørsmål. Hvem er det som er i posisjon til å lytte på det vi nå sier? Hvem er det som er på posisjon dersom de ønsker det å ødelegge dette opptaket? Ja, det vil være ganske mange. Vet vi hvem det er? Nei, vi vet ikke så veldig mye om hvem det. Jeg skulle gjerne vært i den situasjonen hvor jeg kunne forklare alle nøyaktig hvordan alle disse tingene henger sammen, men nå mot slutten av 2021 er det slik at «vi vet ikke så mye om hvordan dette akkurat henger sammen». Vi har bygget oss opp en infrastruktur som vi egentlig har ganske liten oversikt over. Der står vi altså, md en infrastruktur som vi fryktelig gjerne skulle visst mye mer av fordi vi er veldig veldig mange avhengige av den. Den kunnskapen vi har er ikke helt der den burde der.

 

Silvija: Nei, og det kommer vi tilbake til. «Hvorfor dette er viktig for nasjonal digital autonomi?». Om et øyeblikk. Men jeg har lyst til å komme inn med to kommentarer, med litt farge på det vi snakker om nå. Det ene er at folk flest kjenner egentlig ikke til historikken og derfor heller ikke til opprinnelsesmotivasjonen for noe av den viktigste infrastrukturen som vi alle sammen lever livene våre med og på hver dag. Det er internett. Og det begynte som et forsvarsprosjekt I USA med mål om å skape en veldig robust infrastruktur som skulle gjøre at hvis man blåste opp noen deler av nettverket så kunne informasjon fortsatt finne en vei. Som dråper av vann som bare finner en vei frem. Dette er på måter verdens første fullskala eksperiment i anarki.

 

Olav: Ja, det er helt riktig. Det er en ganske morsom måte du beskriver det på. Det var akkurat det det var. Da dette begynte, i noen tiår tilbake, så var jo dette egentlig et militært akademiske eksperiment mellom noen forskningsinstitusjoner. Da var det jo allerede de store teleselskaper. Norge hadde det som da senere ble Telenor, men som da het Televerket. Så ble det Telecom i England som vi hadde eid i en tid i USA. De prøvde på noe helt annet. De prøvde litt på sin egen måte, de gjerne det gjør slik at de må ha full kontroll over alt og «vi må bygge dette strukturert fra bunnen av opp». Det viste seg at disse forsvars og akademiske institusjonene holdt på med på siden hadde en voldsom, skal vi si, nærmest som biologisk sprengkraft. Det ble så lett å koble seg på. Det var så lett å få det til å virke som at det bare overtok hele domenet og dyttet disse initiativene som teleselskapene hadde til side. Da var vi det du sier nå, dette er bygget ut av anarkier hvor alle initiativer blir satt til side og så har teleselskapene kommet tilbake naturligvis og forlatt sine initiativer. De eier jo nå store deler av dette her. Det har gjort at vi har havnet i en situasjon hvor vi har noe som er ganske robust og det vil alltid virke, men vi har litt dårlig oversikt over hvordan det henger sammen. Hvordan data flytende går, ikke sant? Jeg vet faktisk ikke hvilke land denne samtalen vi har nå går innom. Det er litt arvet fra denne tiden. Det gjør nok at over de neste ti årene så vil dette strammes inn. Vi vet ikke helt vet hvor data flytende går. Det er litt vanskelig å vite og å leve med.

 

Silvija: Én ting er at det kanskje ikke er så farlig hvor disse bits fra våre samtale lander, for det er ganske nøytral, positiv og lærerike samtaler. Det er ikke noe statshemmeligheter. Det jeg har lyst til å be deg kommentere på er det med 5G og «Internet of Things» og nett som kommer til å etter hvert overføre data om min pacemaker kanskje. Eller om hvordan jeg bruker hjemmet mitt eller hvordan barna mine gjør det akkurat nå med sine biologiske indikatorer. Det skjer noe veldig spennende med hvordan de bruker nettet, ikke sant? Disse digitale tvillinger og hvor mer og mer av disse dataene som går på internett er virkelig kritiske. Det er finansielle data, det er helsedata, det er sikkerhetsdata. I utgangspunktet så kan man lære ganske mye om dynamikken i et samfunn bare ved å spore lokasjonsdata til som man kunne hentet ut av infrastrukturen.

 

Olav: Det er helt riktig. Vi lever i en veldig spennende tid nå, ikke sant, du nevnte «internett of things». Skal vi gjette på om melkekartongen du har kommer til å ha ha internettilkobling om ti år? Skal vi gjette på det?Jeg vet ikke. Jeg ser ikke bort fra det.

 

Silvija: Det har den helt sikkert.

 

Olav: Ikke sant? Kanskje kan jeg være i bilen og sjekke om jeg ha noe melk igjen? Hvor mye er det i den kartongen? Det vil være naturlig. Det skjer ting, og du berører noe av det her. Det vil være fantastiske muligheter til å bygge et effektivt samfunn. Til å bygge et samfunn som kan forutse sykdom, til å kunne bygge personalisert behandling hvis du blir syk. Det er fantastiske muligheter og så er det en sånn skyggeside der også. Som det også er grunn til å være oppmerksom på. Vi er nok akkurat nå, vil jeg si, mens vi snakker, på vei inn i en tid hvor det er både teknisk og økonomisk mulig å overvåke absolutt alle borgere i et samfunn. 24 timer i døgnet, 7 dager i uken, hele året. Det var aldri mulig før. Det var økonomisk altfor dyrt og teknisk neppe mulig å gjøre det. Nå er det akkurat blitt økonomisk mulig og teknisk mulig. Og fra nå av kommer det alltid til å være sånn. Vi er akkurat i det skulle. Det skjer nå, i vår tid, og hvordan vi håndterer det skille som samfunn blir ganske viktig. Det har noen fantastisk opp sider og så har det noen skyggesider og vi må være klar over begge deler. Vi må finne gode balanser der.

 

Silvija: Tilbake til konseptet med nasjonale autonomi på infrastruktur og data. Den digitale autonomien vår. Veldig enkelt forklart, Olav, forstå jeg det riktig at det betyr egentlig at vi skal ikke skal tillate at noen land eller noen institusjoner eller noen individer fra Kina, USA, Russland eller Israel eller mange andre steder, for så vidt, skal kunne ta over kontroll over det som er nasjonalt kritisk for oss?

 

Olav: Ja, ideelt sett så er det det vi mener. Altså autonomi betyr å selvstyre i en viss forstand, som når vi sier nasjonal digitale, betyr at Norge bør ha kontroll over Norges egen digitale infrastruktur. Nå har vi kommet dit at at full kontroll over nasjonens infrastruktur er nok vanskelig å ha i en moderne verden. Vi er nødt til å kjøpe utstyr fra utlandet for i det hele har klare å bygge noe som er moderne. Det går ikke an å eie et så lite land som Norge og å lage alt selv. Det er en side av saken og en annen side av saken er at alle de valgene vi tar som individer hver enkelt av oss deler sliper ofte bort et lite lag av autonomien hver gang. ikke sant? Jeg har begynt å bruke ApplePay, ja? Hva betyr det? Jo det betyr at betalingsinfrastrukturen i Norge, ved mitt valg, blir slitt. Den mister vi bittelitt autonomi fordi jeg nå har valgt å bruke en amerikansk leverandør til det. Det er to ting her. Det er vanskelig å bygge en norsk infrastruktur i Norge som vi har full kontroll på. Det er teknisk ekstremt vanskelig og jeg tror kanskje ikke det er mulig. Den andre siden er alle disse tenestene som vi gjør oss avhengig av alle sammen. Facebook er et eksempel alle vil forstå. Det er alle disse sosiale medier og meldingstjenester. Og så nevnte jeg jeg betaling her i sted. Ja, det er veldig lett å begynne å bruke de tjenestene i utlandet, fra en leverandør i utlandet. Det som da skjer er at jeg plutselig mister er norsk betalingssikkerhet. Det kan være noe vi mister, ikke fordi Norge bestemte det selv i et departement og noen politikere, men som en sum med alle de valgene som du gjør. Som gjør vi gjør fordi det er veldig praktisk for hver enkelt av oss. Og hvert slikt valg sliter littegrann på autonomien. Disse tingene må vi i det minste være klar over slik at vi kan ta gode beslutninger knyttet til dem.

 

Silvija: Vi kommer til å gå cirka ti minutter på overtid på denne første samtalen. For jeg må innom personvern. Og så må jeg komme inn med én kommentar til, på det vi nå snakket om. Du brukte ApplePay som et eksempel, men Alipay er Alibaba sine motsatte fortegn og samme tjeneste. Ikke sant? Utrolig vellykkede og utrolig gode tjenester. Begge to er veldig populære med sikkert et milliard-individ marked. Jeg er i styret til noe som heter P27, hvor det er noen av nordiske bankene som ønsker å lage da en infrastruktur for betalinger. Dette fungerer veldig bra for Norden. Norden er antagelig det mest positivt regulerte ,det mest avanserte digitalt finansielle markedet i verden. Det ser vi både med Vipps og BankID, men også Altinn. Det er et fantastisk økosystem her. Men det som er interessant er at mens regulatørene regulerer veldig konservativt det den aktøren som de regulerer skal levere. Vinner ApplePay og Alipay markedsandeler. Og dette er aktører som du ikke kan regulere fra lille Norden.

 

Olav: Ikke sant og kanskje også vinner de nettopp fordi de ikke er regulert. Og det er dét dette er. Dette er et dilemma. Som jo ikke er helt ukjent på annen andre områder også. Skatt, for eksempel, hvis vi har en tung selskapsskatt i Norge for å oppnå ett eller annet så vil selskaper flytte ut av landet. Ikke sant? Det samme vil ville også gjelde på dette området. Vi setter strengt regulerer norske betalings leverandører slik at de utenlandske tjenestene blir bedre. Ja, så vil det få den konsekvensen at at veldig mange av oss velger en annen og så sliter det ned på det nasjonale knyttet akkurat til betalingstjenesten. Dette er vanskelig.

 

Silvija: Dette kommer tilbake til det offentlige sin rolle i den digitale fremtiden vår. For hvis det blir litt for mye sånn som Riksrevisjonen når de gjør sine tilsyn, så blir det veldig mye kontroll. Man sjekker det mot gjeldende regulering. Det er veldig lite kritikk fra deres side på alt det man ikke”

Leksjon 2 - ID:M0013b

Leksjon 2 - ID:M0013b

Leksjon 2 - ID:M0013b

 

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen tilbake til leksjon. 2 i kurset om Cybersikkerhet med Olav Lysne. Olav, nå skal vi snakke i eksempler. Bygge bilder i hodene på folk sånn at de skal huske. Da skal vi snakke om tre ting overordnet. Det første er 5G og Solar Wind. Det andre er Crypto Ag, kryptovaluta og blockchain overordnet. Det tredje er litt sånn digital forsvarspolitikk og et digital grenseforsvar.

 

Olav Lysne: Ja.

 

Silvija: Det siste syns jeg er et utrolig spennende dilemma fordi vi på en måte forventer at våre sikkerhetsaktører skal gjøre jobben sin best i verden, så godt som overhodet mulig. Og samtidig så er vi veldig nølende med å la dem gjøre den jobben, relatert til tilgang til data da. Men hvis vi tar dette her i orden hva var SolarWind hack? Og hvorfor er det spennende?

 

Olav: Jo, men la meg ta en liten omvei inn i Solar Wind. Fordi da tror jeg først det forklarer littegrann om hvordan de som driver et stor IT-tjeneste og hvordan de jobber. De har jo gjerne en mange maskiner og så har de mange brukere. Og så er det noe som heter brannmur som skal sikre at ingen klarer å bryte seg inn. Også har de mange som skal og kunne logge seg inn og så må de få alt sammen til å virke sammen. Og det er håndverk, ikke sant? Akkurat som en som en en mekaniker er et håndverk, du må bare få det til å virke. Også bruker man gjerne et verktøy når du holder på med håndverk på den måten. Det er liksom sånn at hvis du er bilmekaniker eller snekker så har du en hammer og tang kanskje? Og så er det sånn at når du drifter en IT-infrastruktur så er det verktøy som hjelper deg å gjøre det. Så trenger jeg ikke å nødvendigvis forklare hva de verktøyene erm men alle skjønner at de må ha verktøy. SolarWinds er et selskap som lager slike verktøy som de som drifter store IT-radiostasjoner bruker. SolarWinds var ikke var en hvilken som helst verktøymaker. De lager altså verktøy som er i bruk absolutt over hele verden av veldig veldig veldig mange. Og det som skjedde det var at alle som brukte de verktøyene deres de opplevde noe som vi alle andre gjerne også får beskjd om ved jevne mellomrom. Du får beskjed på mobiltelefonen din at det er kommet en sikkerhetsoppdatering. “Vennligst oppdater verktøyet ditt”. Det kom på SolarWinds sine verktøy. Det ingen visste var at det SolarWinds verktøyet man da lastet ned. Det inneholdt en “bakdør”.Sslik at bare ved å installere med sikkerhetsoppdateringen din gjorde du at IT-installasjoner over hele verden fikk en bakdør inn i helt sentrale ting. Inn i systemet for å håndtere brukere inne i systemet, for brannmurer av sine sikkerhetssystemer. Det er anslått at dette gjaldt tjue tusen installasjoner verden over. Blant dem var Pentagon og blant dem var det amerikanske utenriksdepartementet. Blant dem, vet vi nå, at det var nen selskaper i kraftbransjen i Norge for eksempel. Så det var SolarWinds. Det var et angrep som skjedde gjennom verdikjeden som man gjerne sier. Det var en underleverandør av en underleverandør som rett og slett ikke hadde kontroll på sin egen sikkerhet og som da gjorde at man fikk sikkerhetshull inn i titusenvis av selskaper. En type som det er ekstremt vanskelig å beskytte seg mot. Nemlig det at det viser seg at sikkerhetshullet, at angriperne kommer ikke fra utsiden men fra et av de selskapene du faktisk anser å være på ditt eget lag. Nemlig din egen underleverandør.

 

Silvija: Men dette var da en underleverandør av SolarWinds som ble hacket fra utsiden?

 

Olav: Vi vet ikke alle detaljene rundt dette, men det ser sånn ut nå, at det var en underleverandør av soloen som ble hacket fra utsiden. Det gjorde at de som satt i SolarWinds og laget sine verktøy, de laget verktøy med hull i dem uten at de var klar over det. Det er grunn til å tro at ingeniørene i SolarWinds, som laget dette verktøyet med bakdør i, de var ikke klar over at det i det hele tatt forgikk. Fordi deres egne verktøy var blitt hacket. Dette begynner å bli litt teknisk, men jeg forsøker å lage et inntrykk av at dette er veldig vanskelig å beskytte seg mot.

 

Silvija: Kan du forklare konseptet av en bakdør? Hvordan fungerer det?

 

Olav: Ja det kan jeg gjøre. Når du setter deg foran PC’en din, Silvija, så setter deg ned og tenker at nå skriver du “Silvija” og passordet ditt. Og så tenker du at “ja, jeg er det eneste som er logget inn her og jeg er eneste som kan bruke maskinen”. “Det går fint”. Hvis det finnes en bakdør, la oss si at jeg er en ordentlig “bad guy” og jeg er ikke god å ha med å gjøre. Jeg har faktisk laget en bakdør som jeg har til din maskin. Da er det sånn at jeg også kan logge meg inn på din maskin og få den til gjøre ting som jeg bestemmer. Og det skjer da uten at du er klar over det.

 

Silvija: For du kan overvåke filene mine og du kan se på skjermen min? Du kan se når jeg er inne i banken eller?

 

Olav: Alt dette vil jeg da potensielt kunne gjøre. Men så er det sikkerhetsmekanismer som gjør det vanskelig for meg å få sett alle tingene du snakker om nå. Men hvis jeg er veldig god så ville han kunne fått det til.

 

Silvija: Og dette kunne skjedd hvis, for eksempel, jeg trykker på en link? På noe som ser ut som et brev fra lønningskontoret mitt, men som egentlig er en PDF eller en hacket jpeg? En liten snuttet kode som bare plasserer seg etter hvor den har funnet et hull i maskinen min?

 

Olav: Det er derfor vi får disse beskjed om at vi “nå må du være veldig nøye slik at de ikke klikker på en link som du ikke er helt sikker på om er trygg”. Det er på grunn til akkurat det du snakker om nå, at hvis du har klikket og noen finner en bakdør kan du være veldig uheldig. Det kan det føre til at det er noen som plutselig får en bakdør inne i maskinen.

 

Silvija: Jeg lyst å spørre deg også, om et eksempel jeg ha hørt nylig. Jeg hørte på en ved et veldig morsomt foredrag som var egentlig mer enn performance. Du vet en sånn “White head hacker” på en scene som hacket seg inn på folks mobiltelefoner og bankkort mens han var på scenen. Men han fortalte om et eksempel nylig hvor det være et innbrudd i en stor bank og de klarte ikke å finne ut av det. Det viste seg til slutt at det var en ansatt som plugget inn gjennom en sånn USB port i sin PC. En elektronisk sigarett lader som han kjøpte på en eller annet kinesisk website. Det var Wish eller sånt tror jeg? Og at dette her kan komme egentlig fra absolutt alt du plugger på på noe vis?

 

Olav: I utgangspunkt så kan det nok det. Nå skal man være litt forsiktig med å skremme vettet av folk naturligvis. Men hvis vi sier at en bakdør har kommet seg inn på PC en din så er det to veldig klassiske metoder du beskriver der. Du har klikket på en link du ikke burde ha klikket på eller at det puttes en USB plugg inn i maskinen din som du ikke burde puttet inn. Så det det er det to veldig klassiske måter disse tingene kan komme inn på. Og så vil det være sånn at de som har laget PC en din de vil og har gjort hva de kan for å hindre at det går galt. Hvis du likevell skulle havnet her. Men det er akkurat som en safe, akkurat som det inngangsdør. Du kan gjøre så sikkert du bare vil, men hundre prosent sikkert er det ingenting som er. Heller ikke i denne verdenen her.

 

Silvija: Nei, særlig ikke når det er blitt så kompleks kodeløsninger på alt i livene våre. Og så tilbake til SolarWinds. Hvis dette skjer på min PC så er det kanskje ikke så veldig farlig, men hvis dette skjer på en PC eller en server i et energiselskap. Hva kan konsekvensene være da?

 

Olav: Det er noe jeg håper ikke skal skje. Og der jobber man nok hardt også, på statlig nivå, for at det ikke skal skje akkurat det der. Det vi er redd for da vil nok naturligvis være, hvis det er en strøm produsent for eksempel, da må man sørge for at ingenting blir ødelagt i systemet, at pumper ikke blir ødelagt og at at turbiner ikke blir ødelagt. At det ikke bare slutter å fungere. For man kan utføre sabotasje på den måten, ved at f.eks. Kraftverk ødelegges. Samme med kraftnett. Det har litt det samme ved seg, at man kanskje kan frykte at noe sånt ødelegges da. Det man er redd for da er at den typen ting skal forstyrre strømforsyningen i Norge, rett og slett. Og det samme gjelder forsåvidt også vannforsyning til store byer osv. Vi er redd for at noen kommer inn i de systemene og får tilgang til noe og får gjort noe vi virkelig ikke ønsker at de skal gjøre.

 

Silvija: To systemer vi ikke har nevnt nå er helse systemer og finans systemer. Kan det være noe skummelt hvis noe av dette kommer inn der?

 

Olav: Ja så til de grader. helsesystemer. Vi forstår jo at hvis noen klarer å komme seg inn på Pacemakeren din så vil du like det veldig veldig dårlig. Og kanskje mer sannsynlig, at det kommer noen inn i logistikk systemene i et sykehus slik at man ikke har kontroll. At de klarer å kontrollere pasientlister, ventelister og den typen ting. Alle disse tingene som du hører om i Stortinget, som du hører om i Norsk Hydro saken. Ja. Man skal ikke ha så veldig mye fantasi for man skjønner at det vil ha alvorlige konsekvenser dersom det rammer et sykehus, eller en Bank. Det vil jeg også si noe om. Finansvesenet og bankvesenet er i en litt heldig situasjon, fordi de allerede i Cybertrusslenes barndom ble de utfordret. Noen skjønte jo veldig fort at når også bankene ble veldig fort digitaliserte. I tillegg var jo det økonomiske motivet å gjøre noe mot dem, det var der med en gang. På en måte oppfatter jeg de, litt sånn uvitenskapelig da, men at de kanskje er den mest modne sektoren vi har. De har vært utfordret siden dag én og har arbeidet seriøst siden dag én. Fordi det har vært økonomisk tap, direkte økonomisk tap, knyttet til de og det oppsto hele tiden. Dermed, litt uvitenskapelig, oppfatter jeg det som en av de mest modne sektorene vi har knyttet til akkurat dette med særlig sikkerhet.

 

Silvija: Hva har det med 5G og utstyrsleverandører å gjøre?

 

Olav: Ja, da er vi nok litt over på nasjonal infrastruktur og utstyrsleverandører. Vi nevnte vel litte grann i den første delen at det er vanskelig å ha full nasjonale autonomi. Vi kan ikke bygge alt utstyret vårt selv. Jeg tar også en liten omvei her. Fordi, det å kjøpe ting fra noen ikke stole på det. Er vi vant til. Det gjør vi jo hele tiden og det skjer der vi kjøper ting fra folk du ikke kjenner. Du behøver ikke like han som står i grønnsaksdisken men du kjøper grønnsakene hans for det. Grunnen til at du gjør det er at du stoler på deg selv. Det stoler at du selv klarer å se det du har kjøpt. Du ser at “jamen, dette er i orden”. Du ser at salaten er helt fin. “Den bruktbilen her har jo både jeg og faren min undersøkt, så det er helt i orden”. Elektronikk er annerledes og den måten det annerledes på det er at du kan ikke undersøke helt til bunns hva de gjør lenger. Det forandrer spillereglene. Plutselig er det sånn at du ikke kan stole helt på din egen undersøkelse. Når du kjøper de må du nesten stole på at de som lager det ikke har gjort noe gærnt og da dukker spørsmålet opp. “Men 5G da? Skal vi la et kinesisk selskap som har en sånn uklar forbindelse til den kinesiske stat og kommunistpartiet få lov til å lage det utstyret som skal innen mobilnettene våre?”. Og dét spørsmålet er det mange som har besvart med “Nei det skal man det kanskje ikke”. Og spesielt i Vest-Europa og USA er dette blitt en veldig stor debatt. Veldig mange land har har lagt hindringer i veien for at Huawei skal få lov til å levere utstyr til det 5G’nettet og den kritiske infrastruktur overhodet. Og så må man naturligvis ile til og si at “jeg har aldri blitt tatt for å gjøre noe galt i dette bildet overhodet”. Og alt dette her er knyttet til sånne spekulasjonen om hva kinesiske.. Nemlig det handler om kontroll. Men det er en tung realitet i bånn her og det er at “jeg får ikke kontrollert elektronikken min”. Også føler vi oss avhengig av å kunne stole på de vi kjøper fra.

 

Silvija: Dette blir enda mere komplisert når vi putter inn mer og mer. En ting er hvordan elektronikken er satt sammen og hvordan kan man sertifisere dens funksjonalitet. Og så har vi etter hvert problematikk rundt kontroll på data som genereres eller flyter igjennom. Kontroll på algoritmene som etter hvert styres av kunstig intelligens. Som også er en sort boks.

 

Olav: Ja det det er helt riktig. Det man er redd for i 5G saken og Huawei-saken er jo et antall ting. og hva. Akkurat som når vi snakket om Stortinget og da vi snakket om Hydro. Forskjellen var at i Stortinget var det noe som tok tak i ting de ikke skulle ha tak i, mens ii 5G at vi er redd for at de avlytter deler av kommunikasjonen i Norge. I Hydro saken var situasjonen slik at de hadde fått utstyr til å slutte å virke. “Ja, i en internasjonal tilspisset krigssituasjon så er vi litt redd for at noen har muligheten å slå av mobilnettet vårt”. Det vil ikke vært bra i dag om vi mistet nasjonal autonomi over det. Nå er jeg teknolog, så jeg kan ikke jeg snakke si noe om sannsynligheten for at noen faktisk vil gjøre disse tingene. Det aner jeg ikke. Men sånn sett kan man besvare spørsmålet. Ville det vært mulig dersom de ønsker det? Og svar på det er nok “ja det er det”. Det avstedkommer en del ting man da må tenke over. Men jeg må rett til å si at jeg vet ikke så mye om Kina og politikk til at jeg kan si noe om sannsynlighet for at de vil benytte seg av om det. Det kan jeg ikke.

 

Silvija: Der har jeg lyst til å være kommentere igjen, som en amatør i feltet. To ting. Det ene er at vi har eksempler på at det skjer og det blir gjort og det er veldig uklart om det er individer eller stater eller organisasjoner imellom eller noe som gjør dette her for kommersielle eller politiske årsaker. Det blir et veldig komplisert trusselbilde også. Utrolig morsom bok. Tre bøker. Den ene heter “The world order”. Den har veldig mye sanne forklaring av en del av disse hendelser og en annen med masse gode anekdoter heter “Weapons of math destruction”. Det jeg hører deg si, Olav, er at det er mulig. Og så kan det være mange forskjellige motiver og det vi som land kan gjøre tilbake til robusthet-tankegangen vår er kanskje å tenke immunitet? Våre kropper blir angrepet av virus hele tiden. Og så har vi funnet opp vaksiner og så jobber vi med ting som styrker vår immunitet hele tiden. Kunne man tenkt seg en sånn type nasjonal digital immunitet?

 

Olav:Ja det er interessant at du sier. Dette går jo igjen litt tilbake til det jeg skrev om i det første utvalget. Eller var det ikke bare jeg, det var en ti stykker som som med veldig flinke mennesker som skrev dette sammen. Det nærmest vi kan komme immunitet i det bildet vi nå snakker om. Dette med “Hm, hvem skal vi stole på og hvem skal vi ikke stole på?”. Det er å sørge for at vi har det vi kaller en “kontrollert heterogenitet”. Jeg må nesten si hva det er nå. Når vi bygger nasjonal infrastruktur så må vi bruke mange leverandører, ikke bare en. Så det må bli slik at vi må ha tenkt gjennom de scenariene som er sånn at “Ja, men nå ble verdenssituasjonen sånn at vi kan ikke stole på den leverandøren lenger”. Ja, da må jeg tenke gjennom hva er det som skjer? Har vi fremdeles noen leverandører vi tørre å bruke? Vil det virke hvis alt det utstyret er slått av. Den situasjonen mener jeg at vi burde ha tenke gjennom. Og det er slik vi tenkte og skrev i det første utvalget som jeg var med på. Slik burde vi antakelig tenke. Det har vært en bevegelse i den retning siden, vi har kommet lenger enn det vi var kommet da. Da framsto det som en helt splitter ny og ukjent bekymring, men den er nok ikke splitter nye eller ukjent nå lenger. Nå snakker man om dette over hele verden.

 

Silvija: Ja, og det jeg tenker, Olav, er at kontrollert heterogenitet.. Det du sier egentlig er at vi skal bevisst ha mange leverandører og ikke ha en kritisk avhengighet til en eller annen monopolist da? På den ene siden er dette kjempe spennende, men også veldig vanskelig fordi det er noen store internasjonale monopolister. Som Microsoft, Amazon eller Google. De er helt megaleverandører som er være ekstremt gode på sitt arbeid rundt sikkerhet.

 

Olav: Ja, du har helt rett. Det er så lett å si det jeg sa isted nå. Det er fryktelig vanskelig gjennomføre. En av grunnen til det er akkurat dette du nevner. I hele IT-verden er en sånn “winner takes it all”-bransje. Av de alle de som konkurrerer på det området er det som oftest en som står igjen som vinner og eier hele området. Altså er det veldig få konkurrenter vi snakker om. Når vi sier at vi skal bruke mange leverandører, er det nok ikke så veldig mange å velge i. Vi snakker gjerne om to, noen ganger tre, men allikevel. Poenget står. Hvis det er to eller tre så burde vi kanskje reflektere over hvordan de..

 

Silvija: Balanserer trekanten?

 

Olav: Ja, hvordan de balanserer akkurat det der. Det er nok helt riktig, men så er nok også vanskelig av en grunn ti.l Det er at det forslaget her er ikke helt gratis. Det er ville være veldig mye lettere for et stort selskap og basere seg på én leverandør og ett utstyr enn å prøve å få kjøpet av to leverandører på det utstyret og å få det til å virke sammen. Det er dyrere. Dette koster penger. Det er en av disse tingene som det er veldig lett å si som en støvete akademiker på et kontor på et universitet. Det å gjennomføre det er ikke helt enkelt det. Det er jeg veldig klar over.

 

Silvija: Og så kommer vi over til.. Vi har forresten ikke gått så veldig mye dypere i spørsmål om vestlig versus østlig teknologiindustri? Men de tre vi nevnte, som vi snakker om i denne “balanserte trekanten”. De er alle tre fra Vesten. Det er veldig interessant å se hvordan dette vil utvikle seg fremover. Jeg lurer på dette med blockchain og kryptovaluta. Du nevnte et selskap som heter CryptoAg. Jeg har lyst til å be deg fortelle oss bitte litt om blockchain først. Før vi sier to ord om “hva er kryptovaluta?”. Og så snakker vi om sikkerhets problematikk?

 

Olav lysne: Ja det kan vi godt gjøre det. Nå er jeg litt utenfor det jeg jobber med til daglig når jeg snakker om dette. Men det dette egentlig dreier seg om er… Altså når vi kjøper hus, for eksempel, så bruker vi en megler. En som jeg som kjøper og selgeren kan stole på. De skal sørge for at ingen av oss lurer hverandre, både selger og kjøper, ikke sant. Det blockchain gjør er at, helt banalt sagt, så slipper man megleren. Det er som å gå inn i en bank og så slipper vi banken. Jeg kan betale det ekte der fordi fordi det er inne og skal synlig vern om det går likevel. Jeg kjøper hus og slipper megleren osv. Det er noe som heter distribuert tillit, om man vil. Men det er ingen som klarer å lure hverandre. Hvis jeg har sagt en ting så kan du dokumentere at jeg har sagt det og det kan du få absolutt hele samfunn til å si seg enig i. Man kan si “han sa det fordi det står her i blokkjeden”. Det er det blockchain gjør, også er det blitt brukt til en del ting. Det mest kjente eksemplet er kryptovaluta. Da har man altså et helt valuta system som er helt uavhengig av meglere og mellommenn. Uavhengig av banker og uavhengig av sentralbank. Så er det en global valuta, bitcoin, som vi alle har hørt om. Det er en global valuta som du og jeg kan kan betale med oss i mellom. Ved hjelp av denne blockchain-teknologien som ligger til grunn. På en sånn måte at vi begge må ha at tillit til ved at denne betalingen “den er vi begge enig om” å har foregått at der inne skal vi ikke lure hverandre. Men det er ikke noen mellommann. Det er ingen bank som hjelper oss å sikrer at det blir riktig. Så det er blockchain gir in bånn. Og så brukes det til veldig mye annet rart. Nå er det snakk om en del om digitale kunstverk som man kan kjøpe. Dette utfordrer jo, ja, den måten man før tenkte rundt disse tingene. “Hva er et kunstverk og hva er penger?” I kryptovaluta sammenheng. Dette er artig å følge. Jeg følger diskusjonen rundt dette, for det er veldig mange spørsmål knyttet til akkurat dette her. Hva er penger nå? Hva vil skje med sentralbanker? Ikke godt å si.

 

Silvija: Finansiell politikk. Og igjen, det et spørsmål om kontroll. Jeg har relativt nylig blitt gjort oppmerksom på nytt på den eksplosjonen egentlig som foregår i blockchain innen adopsjon, bruk og verdisetting akkurat nå. Jeg tror at jeg er litt der også som deg. Jeg er teknolog, jeg bryr meg om mine algoritmer. Jeg har mine greier som jeg brenner for og jeg tenker at blockchain… Jeg orker ikke. Men jeg har skjønt nylig at det veldig dumt av meg så jeg skal prøve å sette meg enda mere inn i det. Det er tilstander, tror jeg, rundt blockchain som infrastruktur, som minner om internett i 2000.

 

Olav lysne: Jeg er helt enig med deg. Det er noe veldig veldig interessant det der. Vi var vel litt innom det i sted, at internett vokste helt organisk fordi det var en god idé i bånd.. Det var bare enkeltpersoner som heiv seg på og så ble det bare større og større. Så feiler det initiativet til denne verdens televerket og blir til Telecom. Internett utvidet seg litt sier han på en sånn måte at telekom selskapene har kommet tilbake. I IT og har kontroll over internett. De la ut sine initiativer siden oppturen kom over internett. Bitcoin og krypto valuta har litt det samme. Den synes nå å vokse veldig organisk og uavhengig av alle institusjoner. Ikke sant? Uavhengig av noen besluttende myndighet. Det synes bare å vokse og pengene får større verdi. Ikke klarer å se helt hvor dette går. Det kan tenkes det blir likt, at dette feier initiativer og det tradisjonelle pengevesenet til side. Det er vanskelig å se for seg at nasjonalstatene og nasjonal bankene skal la det forbli sånn. For det er ingen kontroll med pengeverdien. Dette har jo med nasjonal stabilitet å gjøre. Det er vanskelig å se for seg at man nesten kan tillate at det har kommet inn på rommet.

 

Silvija: Ja, det er litt sånn “hvem kontrollerer?”. Vi er egentlig tilbake til dette med både nasjonal autonomi og det grunnleggende spørsmål rundt digital strategi fremover. Crypto AG selskapet. Hvorfor er det interessant?

 

Olav lysne: Jo, det kan jeg si litte grann om. Blockchain handler om kryptologi i bunn. Det er ikke direkte koblet seg til CryptoAg, men det er beslektet. Det kan jeg komme tilbake til. Det krypto er, nå skal jeg ikke gå inn i detaljene rundt krypto. Det er på en måte noen teknologier som er skal si hovedbyggesteneni all datasikkerhet. om man vil. Spesielt vi skal ha noe nå som er hemmelig krypterer du det. Du krypterer en melding også skjønner du ikke hva som står det. Det er på en måte krypto.

 

Silvija Seres Det er veldig kul matematikk bak det som gjør at det blir vanskelig for datamaskiner å finne ut av det.

 

Olav lysne: [00:26:17] Nemlig. Det er veldig mye moro for oss som har er laget på den måten som du og jeg er, Silvija. Det er nå så. CryptoAg, de laget crypto utstyr. De hjalp stater med å holde på herligheten sine. Det var det de gjorde. Det var et selskap med en historie, noen fra sverige også endte de opp i Sveits. Og et i et sveitsisk selskap. Det solgte kryptert utstyr, hemmeligholdelse-teknologi til stater. Mange stater. Og så viste det seg da altså at “jaha CryptAg var eid via stråmenn av CIA og tysk etterretning. Slik at det crypto-utstyret, det hemmelighold-utstyret som de solgte. Deler av det hadde altså da CIA og tysk etterretning bakdører. Slik var da det du trudde var hemmelig, ikke så hemmelig likevel. Ikke for CIA og ikke for tysk etterretning. Dette blir jo da beslektet med noe annet vi har snakket om nå. Kan du stole på de du kjøper utstyr av? Det snakket om vi i sted. Og det andre, i den grad det berører blockchain, “ja hvem er det som har laget teknologien som ligger i bånn for disse tingene?”. Det er noe vi må reflektere mer over. Det kan hende vi har full kontroll, men vi må faktisk tenke gjennom disse tingene her.

 

Silvija: Jeg har så lyst til å dra opp litt rundt Camebridge-analytica. Men da tror jeg vi går over tid, veldig fort. Men der også har vi problematikken med data som vi litt ubevisst lager i diverse personlighetstester eller om det er Facebook kommentarer. Dette kan noen strukturere og etter hvert bruke til, i dette tilfelle politiske motiver.

 

Olav lysne:] Ja. Dette var jo data som var fra Facebook. Det kom på avveie og det ble brukt til analyser av, skal vi si, i valgkamp i USA. Hvis jeg husker riktig. Det er knyttet til ting vi har snakket om dette også. Store datamengder om mennesker har stor verdi. Og i dette tilfellet har den verdi som vi syns er litt ugrei og det ble brukt på ugreie måter. Ved at det ble et så stort datasett som bare kom en valgkamp til gode og dermed skapte en skjevhet nok ikke var intendert da dette valgsystemet ble laget en gang i tiden. Data er blitt makt nå. Det har blitt økonomi og det er blitt en potensiell makt gjennom det liberale demokratiet, ved at noen da sitter å vet noe som ikke andre vet. Det er ting vi må være klar over. Akkurat nå så jeg litt lyst til å peke på en ting til som er sentralt akkurat nå i Norge. Nå har vi en høring ute. Det er Justisdepartementet Norge som har på høring et forslag om at Politiets sikkerhetstjeneste skal få lov til å samle data fra alle åpne kilder som de måtte ønske seg. Altså Facebook, Twitter og alt som er. Og lagre det i 15 år. Det er et spørsmål som berører en del av disse tingene vi nå har snakket om. Den berører personene. Er dette egentlig helt greit? Har du lov til det? Litt usikkert. Det ville kunne påvirke ting dersom de bruker dette med AI algoritmer. Ja, kanskje. Det vet vi ikke. Vi er en spennende tid nå hvor veldig ting som vil prege vår fremtid nå skal finne sin form i våre dager.

 

Silvija: Men jeg må spørre deg Olav. Dette her er også en litt sånn sensitiv politisk diskusjon kanskje. Det er litt gøy at det har blitt sånn. Hvorfor synes vi at det er bedre at internasjonale selskaper av typen Cambridge analytica, CryptoAg og mange andre, har den oversikten over hver eneste av oss i Norge enn våre egne myndigheter? Er ikke dette da egentlig et spørsmål om vår tillit til demokratisk kontroll over disse nasjonale institusjoner?

 

Olav lysne: Det er veldig veldig godt spørsmål. Fra et overordnet så kan man jo si at.. Altså om noen skal vite veldig veldig veldig mye om livet mitt så er det ikke helt uvesentlig for meg hvem det er. Hvis det er den sveitsiske stat som vet veldig mye om livet mitt er det litt ubehagelig, men de kan ikke gjøre så mye mot meg. Et amerikansk selskap, kanskje litt det samme. Det er mer ubehagelig, men det er fortsatt er grense for hva de kan gjøre mot meg. Den Norske staten vil nok mange si er litt vanskeligere fordi de kan straffeforfølge meg. De kan skattlegge meg. De kan sørge for at hvis jeg vil reise til USA så står det noe i registret om meg slik at jeg ikke kommer inn.De har maktmidler over meg som ingen andre har. Det gjør at man man på en måte er mer forsiktig med disse tingene her. Forsiktigheten kommer av at staten skal vite veldig mye om deg. Det sånn at i Norge er vi nok ikke fullt så redd for det som man er i andre land. I Norge har vi stor tillit til staten. Det er en kjempe fordel vi har som nordmenn. Det er noe som jeg tror vi må benytte oss mer av enn det vi faktisk gjør. Men i andre land så er det ikke sånn. Vi ser jo det også med med vaksine-utrullingen som drives, som nå får veldig forskjellige uttrykk i veldig forskjellige land. Langt på vei handler det om i hvilken grad befolkningen stoler på at det staten sier er sant.

 

Silvija: Jeg tror dette her er et utrolig viktig politisk poeng. Dette er et lite sånn “mal-apropo”, men hadde staten hatt mer effektiv smittesporing og digitale verktøy som nå, og analyseverktøy. Tror jeg kanskje denne Korona-eksplosjonen kunne vært hindret. Det ser vi i Sør-Korea for eksempel. Jeg tror at det som er spesielt med Norge er at vi forventer at denne staten skal gi oss personalisierte, effektive helsetjenester og andre velferdstjenester. Og samtidig er det veldig vanskelig å levere de tjenestene uten at staten har data om oss. Vi forventer også at staten skal gi oss sikkerhetstjenester. Hvis PST skal stoppe et terrorangrep av den typen vi opplevde 22.juli. Det tar vi for gitt. Men vi ber dem samtidig lukke øynene for åpne datakilder mens de gjør jobben sin. Det er vanskelig.

 

Olav lysne: Dette er er veldig veldig vanskelig og det går jo akkurat på disse tingene også. Data, på en side har den en kjempeverdi, på den andre siden har den et stort skadepotensiale. Vi må finne måter å håndtere denne situasjonen på. Det sånn at i Europa har vi fått et lovverk knyttet til GDPR som nå veldig mange burde vite hva er for noe. Det sier noe om hvordan du skal gjøre dette. I lovverket er det veldig mye god tenking som er gjort. De har på en måte to helt sentrale barrierer som jeg tror kanskje vi må kunne diskutere ordentlig og minnes om hvordan vi best håndterer. Det er noen data man ofte sier at rett og slett ikke skal eksistere. Skadepotensialet er større enn nytte potensialet. Den andre barrieren er at “ja det er noe data vi tillater at eksistere, men du får ikke bruke det til det du vil”. Det skal kun brukes til noen få ting. Spesielt den andre barrieren her er veldig viktig. For i den grad vi som et tillit-samfunn klarer å stole på staten når du sier at “jo vi skal ha disse dataene, men vi skal bare bruke den enkle ting”. Ja, da har vi åpnet for et gigantisk nytte potensial. Det å holde på en statsdannelse som vi har stor tillit til og som gjør at vi virkelig stoler på staten vår. Når v sier at “ja, vi skal ha disse dataene men vi vil aldri bruke det til straffeforfølgning” for eksempel. Det vil kunne ha verdi hvis vi kommer dit at vi kan stole på det. Dette en veldig opphetet debatt og det er veldig vanskelig å diskutere disse tingene med innestemme.

 

Silvija: Ja, men vi må både bygge kunnskap og ha en god demokratisk diskusjon her. Jeg tror det farligste vi gjør er å bare si at “dette forstår vi ikke godt nok så d”

Leksjon 3 - ID:M0013c

Leksjon 3 - ID:M0013c

Leksjon 3 - ID:M0013c

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen til vår tredje samtale om cybersikkerhet med Olav Lysne. Tema nå er en slags verktøykasse. Hvordan skal vi.. Hva kan vi gjøre? Hva kan vi ta tak i nå for å bevege ballen på tematikken? Vi har snakket Olav, før vi startet opptaket, du nevnte digital allmendannelse som ditt første forslag. Hva er det og hvorfor er det viktig?

 

Olav Lysne: Ja, når vi snakker om verktøykasse, så er det kanskje den langsomste jeg kunne foreslå også. For det blir på mange måter om en annen befolkning. Men jeg kan si lite grann om hva det dreier seg om og hvorfor jeg mener… For de aller fleste, eller det er veldig veldig mange som nå, i den verden som opplever en slags fremmedgjøring for hele problemstillingen med sitt cyber arbeid. Ikke sant? Man opplever en fremmedgjøring bare knyttet til å bruke digitale verktøy i det hele tatt. Og når vi kommer til digital sikkerhet så er fremmedgjøringen nesten total for veldig mange. Og det som er litt dumt med det er at når du er stilt overfor noe du ikke forstår og er fremmedgjort overfor det.. Altså det er mange som forteller at dette er kjempefarlig. Bare hvis du har hørt disse to første episodene våre, tenker du sikkert “oj, kjempefarlig”. De forstår jo ingenting, det vil mange tenke. Da kan du enten få panikk eller skal du fornekte hele greia eller så kan du hensynke i apati. For du har liksom ikke nok til å danne et egentlig fornuftig handlingsmønster, ikke sant. Der tror jeg vi er ved en kjerne fordi hvis vi om 10 til 15 år skal se oss tilbake og tenke at “oj i 2021, da gjorde vi noe”. “Da gjorde vi noe som var helt sentralt i å komme frem til den gode situasjonen vi er nå i”. Så handler det så om at vi har gjort noe som sørger for at befolkningen ikke lenger er fremmedgjort for dette. Det står om ganske mange ting. En del av det handler om skoleverket. Jeg har tre barn. De er voksne alle sammen. Jeg har lært dem å konstruere vinkler med passer og linjal. Jeg har lært dem forskjellen på totaktsmotorer og firetaktsmotorer. Flotte teknologier begge deler, men fullstendig irrelevant for for dem å kunne inn i fremtiden. Det er ingen som bygger hus med passer og linjal lengre. Det er ingen som liksom trenger å vite forskjell på totaktsmotor og firetaktsmotor. Det er høyst usikkert om de kommer til å ha bensinmotor i framtiden i det hele tatt. Men det de kommer til å trenge er dette. De kommer til å bli satt i situasjoner hvor de må ta beslutninger knyttet til sin egen digitale sikkerhet i sitt eget liv. De kommer kanskje til å sitte i situasjoner hvor de skal ta beslutninger knyttet til landets eller selskapet sitt digitale sikkerhet i et rom hvor det ikke finnes teknologer. Og da er jeg litt opptatt av å komme dit at man må kunne forvente at hele befolkningen, alle har en slags grundig sikring knyttet til en digital allmenn dannelse. Der er vi ikke nå, og da må vi gjør noe med skoleverket. Det er det ene. Det andre er at dette haster nok litt mer enn at vi kan vente på en ny generasjon som har gått gjennom en ny skole som vi endret inntil dette. Du må også gjøre noe med voksenopplæring, tror jeg. For stilt overfor det de farene vi står for her nå så er panikk fornektelse og apati det. Det kan vi for oss ikke leve med. Vi er nødt til å også sørge for at folk har har god handlingsmønstre som de kan ty til når fare truer.

 

Silvija: Og det som også er veldig viktig i det du snakker om, Olav. Jeg tror at vi teknologer har bidratt littegrann til problemet. Jeg tror at vi har vært litt høye på oss selv, ikke sant. Å ha sagt at dette er en veldig komplisert og veldig vanskelig og det er veldig komplisert og veldig vanskelig. Men det skal være en inngang til kunnskap om dette her, som egner seg for brukere og ikke bare for utviklere. Det å sørge for at vi har kloke brukere av teknologi, ikke bare kreative utviklere. Det tror jeg er kjempeviktig.

 

Olav: Jeg helt enig med deg i alt, Silvija. Dette er problem vi som teknologer har skapt alene. Men du verden som vi har bidratt. Det er jeg fantastisk deilig å drive å snakke forklare om noe som noe som de som hører på ikke skjønner. Fordi det føles litt godt når du gjør det, men det har vært ganske ødeleggende. Men det er ikke sånn at det er umulig å forstå. Det er ikke sånn at handlingsmønsteret dine må være noe du ikke forstår hvorfor du må gjøre. Det går an å forklare dette på en måte som som er mulig for folk å forstå. Akkurat som alt mulig annet har som menneskeheten er blitt utsatt for i komplekst samfunn har vist seg mulig å forstå når. Bare har gått litt lang tid. Dette kommer også til å bli sånn, vi må nå sørget for at det blir sånn så fort som overhodet mulig.

 

Silvija: Jeg tror samfunnsvitere, jurister, politikere og økonomer må på på en måte inviteres inn i denne fremtidsdiskusjonen. Det er veldig krevende også. Fordi hvis man snakker med økonomer. Jeg tror det er en del økonomiske modeller som står for fall også med disse eksponentiell vekstmodeller som er veldig vanskelig å modellere. Ut ifra verktøyene vi har med tredje industriell revolusjon. Det er ikke noe lett samkjøring vi snakker om her. Men den der grunnleggende tverrfaglighet er så utrolig viktig.

 

Olav: Ja. Det er jeg helt enig med deg i. Da tror jeg også vi som er teknologer skal gå i oss selv. Vi har nok ikke vært så veldig lette å diskutere med og samarbeide med. Det har vi nok ikke vært. Men så har vi jo håpe at vi blir bedre nå. Og så får vi håpe at når vi nå prøver og banker på dørene, at det at de dørene faktisk blir åpnet.

 

Silvija: Jeg skal si deg noe, litt sånn fra siden. Noe personlig. En av de tingene som jeg har sett er vanskelig. Jeg er gründer nå og jeg er i utgangspunktet fullstendig uforberedt til å være en leder. Ja, jeg har sittet i styrer og jeg kan mene masse om lederskap i teorien. Men det at man kaster en god teknolog, som jeg er, inn i et helt nytt fag. Jeg har en MBA, ikke sant. Jeg har lært meg masse god teori der, men så er praksis noe helt annet. Og det å hjelpe på samme måter som en god leder, en god økonom inn i denne nye teknologi-praksisen. Det er ikke liksom bare å sende dem på et kurs på Singularity University. Det er ett eller annet vi må prøvekjøre sammen her.

 

Olav: Ja, og vi må få dialogen til å gå. Det er klart at nå er vi der. Du er et fantastisk mot-eksempel. Det skulle vært flere som deg, Silvija, men jeg sier veldig ofte så ser vi at..

 

Silvija: Gud forby, tror jeg.

 

Olav: Haha! Nei, men veldig mange beslutninger knyttet til disse tingene tas i rom hvor teknologer ikke er til stede. Det er mange grunner til det ikke er til stede, men jeg tror heller ikke det kom til å forandre seg. De kommer ikke til å være til stede i disse rommene i stort monn. Det er ikke så mange som deg. Det gjør at veien til gode beslutninger da er knyttet ut tilbake til samme samme begrep igjen. En digital omdannelse. Som jeg tror man kunne forvente at alle har. Enten du er økonom, jurist, samfunnsviter eller hva du nå er. Så vet du like mye om digital sikkerhet som du vet om trafikksikkerhet. Vi må komme dit. Veien dit vil være vanskelig, men den vil så definitivt bestå i at vi vil lære hverandres fagfelt bedre å kjenne og at vi får en bedre dialog oss imellom. Jeg er helt enig med deg i at en ukes kurs på University of Singularity, det vil nok ikke forandre så veldig mye i det bilder der.

 

Silvija: Hvor kommer CyberSecurity inn i en digital allmendannelse? Snakker vi om et av undertemaene eller?

 

Olav: Ja.. jeg opplever… Mitt bilde av det er at ideelt sett så… Hvis du har en digital allmendannelse, slik som jeg ser det for meg, så har du en forståelse for hva et programmet. Du har programmert litt til og forstått litt. Det gir en idé om hvordan maskinen er, “Hva er lett og hva er vanskelig å få til å gjøre?”. Og så vil det derfra være sånn at, ut fra det har fått den innsikt i “ja, men hva kan gå galt?”. “Hva kan gå galt på ved hjelp av uhell eller en feil?”. Eller hva kan gå galt fordi at det er noen som vil deg vondt, som faktisk lykkes med det de prøver å få til? At du da skjønner hvilke mekanismer som slår inn. Litt på samme måte som du skjønner hvilke mekanismer som slår inn når det er to tog av kollidert. Når du skjønner hvilke mekanismer som slår inn når sykebilen ikke kommer fram, så er du også i stand til å skjønne hvilke mekanismer er det som har slått inn når mobilnettet ikke virker lengre, eller når du ser at “nå er PC’en min kryptert av noen som den ikke burde være”. Det virker ikke lengre. Vi må fjerne fremmedgjøringen. Det er en slags overskrift her, også tror jeg det også begynner med at vi kutter ut å lære barna våre å konsumere vinker med passer og linjal. I steden så burde vi bruke tiden på å lære dem å programmere.

 

Silvija: Jeg har to kommentarer. Jeg tror det du sa nå om at vi må slutte å snakke om det digitale som “magisk”. Vi må oversette det til noe forståelig. Det er utrolig viktig. Jeg har blitt veldig glad i både “kids & koder” og disse vitensenteret. Jeg var med mine to jenter i Bergen for noen måneder siden. Istedenfor å gå på en mone-utstilling så dro vi til vitensenteret. Det var fantastisk, Olav. Der lekte jeg sammen med dem. Blant annet med Lego Mindstorms, hvor de programmerte en kanin til å gjøre salto eller en marihøne til å skifte farge på lyset sitt. Det skulle ikke mer til enn å liksom å gå fra rosa til lilla, at min åtteåring ble så fornøyd med seg selv at “nå kan jeg programmere mamma” og “det der vil jeg ha til jul”. Hun skjønte at “her gjorde jeg et eller annet med noen i blokker som de kaller for et program”. “Og så gjorde marihøna mi i Lego noe som jeg ba dem om å gjøre”. Bare det å skjønne den koblingen at “jeg gjorde dette og sånn funker det”. Det er den åpenbaringen som jeg tror du etterspør da.

 

Olav: Det er veldig nært den åpenbaringen jeg etterspør. Det å kjenne inne deg at “dette er ikke magi”. “Dette er ikke ” Ringenes Herre eller Harry Potter”. Dette er noe som er laget av mennesker, styrt av mennesker og er grunnleggende. I grunn og bunn er det fysikk. Det er derfor det også lar seg forstå. Det å komme dit hjelper folk mye. Men da skjønner jeg at du også tror på dette. For du overlevde med med din egen datter. Det å ha programmet littegrann, ja, det fjerner en god del mystikk.

 

Silvija: Og du trenger ikke ta et halvt års kurs i Peyton for å kunne gjøre det. Etter hvert så kan du også leke med dette her.

 

Olav: Det mener jeg også.

 

Silvija: Vi skal lage noe sånt for voksne.

 

Olav: Ja, la oss gjøre det.

 

Silvija: Vi noen veldig fine institusjoner i landet. Blant annet “Direktoratet for samfunnssikkerhet og beredskap” som har gjort et stykke arbeid på digitale verdikjeder. Bi begge to mener at dette være veldig flott.

 

Olav: Ja det kan jeg godt si noe om. Det blir litt selvskryt her fordi jeg har vært involvert i arbeidet. Likevel mener jeg det er viktig da. Deretter må jo folket ta “Olav lysne-filteret” på og forstå at her snakker jeg om meg selv. Vi snakket om digitale verdikjeder gjennom dette kurset. Da handler det naturligvis om “hvem er det du kjøper utstyr fra, hvem er det du kjøper tjenester fra og hva kan gå galt hvis de ikke stoler på de?”. Bare som et eksempel kan vi nå si at jeg går inn i en kiosk og kjøper en pakke munnbind. Det gjør man mye om dagen. Jeg betaler med Vipps i kassen. Så er det sånn at alt dette rusler gjennom digital verdikjeden. Det er Vipps som har laget appen, i mitt tilfelle er det Apple som har laget telefonen. Det er telia som har telefonen snakker til på en basestasjon. Og så går dette inn i et regionalt nettverk som Telia ikke eier. Så går de til Telenor sitt kjernenett ut i et nytt regionale nettverk før det kommer til Vipps sin server og skanner dette. Jeg skal ikke ta hele denne historien. Men bare en enkel betaling for denne pakken med munnbind liksom. Det vil fort involvere 15 til 20 forskjellige selskap gjennom en digital verdikjede.

 

Silvija: Da har vi enda ikke snakket om logistikken for å få de munnbindene til Norge fra Kina.

 

Olav: Ikke sant! Og alt dette er usynlig. Visste du det som kunde? Nei, naturligvis ikke. Visse Vipps det, som har laget appen? Da kommer denne ubehagelige følelsen “Nje, de visste nok noe av det, men ikke hele kjeden”. Det å følge hele digital verdikjeden sin bakover. Det er det altså da en problemstilling som dukker opp i samfunnssikkerhet sammenheng, men også for alle selskaper som med vilje leverer digitale tjenester, og som er avhengige av digital tjenester. Fordi du skjønner jo at “Nje, hvis det er noen som ikke har kontroll på egen sikkerhet, arves denne sårbarheten nedover”. Da arver du denne sårbarheten. Hvis dette ikke virker hos noen som eier et regionalt nettverk, ja da slutter betalingen å virke. Den måten du arver sårbarheter gjennom digitale verdikjeder prøver vi å få gjort noe med det. Det var noe av det første vi skrev i “Lysene 1 utvalget”. Når vi skulle se på Norge sine digitale digitale sårbarheter. Dette måtte vi skape et rammeverk for, for å få oversikt over. Vi var litt tidlig her, men det vi gjorde var å lage et dokument som beskriver et slikt rammeverk. Hvordan skal du tenke hvis du ønsker å finne ut hvordan du er utsatt for sårbarheter gjennom en digital verdikjede? Hvis du for eksempel leverer en digital tjeneste og du bruker underleverandører, betyr det bare at du må tenke nøye gjennom “hvordan kan den underleverandøren skade meg?”. Enten bare et uhell eller ved at det litt lenger ned der er noen som vil meg vondt. At den tanken faktisk er tenkt. Det er naturligvis noe veldig vanskelig her, fordi det kan du gjøre i ett skritt. Men du er naturligvis avhengig at underleverandøren din gjør det samme med sine underleverandører igjen. Man kommer nok aldri helt i mål her. Men et sånt rammeverk for hvordan det er lurt å tenke enn om man snakker om sårbarheter gjennom digitale verdikjeder. Akkurat som et slikt rammeverk. Den heter vel “rammeverk for risikovurdering i digitale verdikjeder”. Den er det verdt å kikke i for alle som leverer digitale tjenester eller er avhengig av digitalt. Det vil jeg mene.

 

Silvija: Vi inkluderer linken til rapporten i “infographics” som følger med samtalen. Dette her bringer oss litt tilbake til det vi snakket om med SolarWind osv. Det å forstå da at noe av det der kan man også kanskje styre gjennom kontrakter. Hva slags råd kan vi gi til folk i forhold til kontraktestyring her?

 

Olav: Ja, nå er jeg naturligvis ikke økonom og du vet mye mer om slikt hva jeg gjør når det kommer til forhandlinger. Men som en enhelt sak, har alle disse underleverandørene en kontakt-struktur. Du har en avtale med noen og en annen med andre osv. Da vil det naturligvis være sånn at noen er du hundre prosent avhengig av. Mens andre er det sånn at “hvis de feier kan jeg alltids gå til den andre kontraken”. For eksempel.

 

Silvija: Man kan i hvert fall kreve å se at man har bygget inn en robusthet i den infrastrukturen man gjør seg avhengig av eller den tjenesten man gjør seg avhengig av?

 

Olav: Ja, slik er det. Det folk bør gjøre er å se på kontakten å tenke over “den tjenesten jeg skal levere, hvor avhengig er den av tjenesten jeg kjøper av deg?”. Jeg må tenke over hvilke verdier jeg setter på spill her. Det er det første jeg tenker gjennom. Det andre jeg tenker gjennom er “hvis verdiene er såpass store, at jeg skjønner at det må gå tungt inn i din sikkerhetskultur”. Da ville jeg ha ønsket at kontrakten gir meg en mulighet for “audit. At jeg kan komme inn hos deg og se “”hvordan driver du dette her”. Hvis du igjen har underleverandører vil jeg gjerne vite hvem de er igjen. Hvis du har gjort deg avhengig av underleverandører som er helt sentrale for at du kan levere tjenesten som jeg igjen er helt avhengig av. Da vil jeg gjerne vite hvem de er. Vi trenger en sånn type transparens. Det hadde jeg ønsket å få inn i kontrakten på et eller annet vis. Igjen, jeg er en professor som sitter på et støvete kontor. Det er så lett å si dette, men det er vanskelig å trenge igjennom.

 

Silvija: Det er godt mulig at denne type sikringen eller denne typen teknologiske risiko er noe som også blir regulert inn i kontrakter. Slik at det ville gjort kontraktene litt mer håndterbare når ulykken først treffer inn.

 

Olav: Ja, jeg mener virkelig det. For det første så blir blir det mer håndterbart, i den forstand at det er mye lettere å analysere situasjonen. At du kan forstå “hva er det som har skapt dette?”. Jeg ser at tjenesten min ikke fungerer og jeg ser også at grunnen til det er at tjenesten til underleverandøren min ikke fungerer. Utover det, vet du ikke nødvendigvis noe mer. Men det blir en større tydelighet der. Det andre er at du kan gjøre mer risikovurderinger. Hvis du vet hvem du er gjort avhengige av så kan de gjøre en risikovurdering av “er dette en situasjon du kan leve med eller ikke?”. I SolarWinds ville jo dette vært sentralt. Det viser seg at det er tjue tusen selskaper, verden over, som har gjort hele sin IT-sikkerhet, i hele sin installasjon, avhengig av èn leverandør. Som da altså kunne kompromittere absolutt hele installasjonen. De situasjonene må vi bort fra. Vi må med å komme dit at den type ting ikke kommer som en overraskelse. Nå kom jeg forsåvidt også på en annen hendelse som jeg synes er veldig illustrerende. Norsk internasjonalt luftrom var stengt en times tid, for et drøyt år siden.

 

Silvija: Jeg husker det. Jeg var på Gardemoen og kom meg ikke til Trondheim eller til Bodø. Jeg måtte gjennom Midt-Norge og det var ikke mulig.

 

Olav: Grunnen til det var en gladnyhet i avisen en drøy time etter. “Feilen er funnet”. Det viste seg å være en IT-feil i England. Det er en gladnyhet på sett og vis det. Det da blir det klart at det er en IT-installasjon i England som er sånn at hvis den ikke virker må vi stenge luftstrom i Norge. Var det noen som visste det? Det er jeg litt usikker på. Jeg har gjort noen undersøkelser og kan vel egentlig si at jeg er veldig nær med å kunne konkludere med å si “Nei”. Det er akkurat den typen uvitenhet om “Hvordan har du eksponert deg for sårbarheter andre steder? Det er den typen uvitenhet som vi har prøvd å komme oss rundt med å få oversikt over det digitale verdikjeden. Vi er nok på et litt dårlig sted nå hva gjelder disse tingene. Jeg tror dessverre vi også har en IT-bransje som nok ikke er helt moden til å ta i mot den type krav som dette rammeverket vil kreve. Men, jeg er helt sikker på at i løpet av de neste tiårene så må vi komme dit at denne typen overraskelser ikke dukker opp. Det kan ikke være sånn at vi oppdager ved hendelser, at vi er avhengig av noen som vi ikke ante vi var avhengig av.

 

Silvija: Det aner meg også et uendelig stort marked for analyse og rådgivningstjenester for Cyber Security i selskaper. Dette her må gjøres rett og slett og og det må gjøres ikke bare en gang, men det må bli en årlig hygiene fremover.

 

Olav: Det mener jeg.

 

Silvija: Du, Olav. Jeg tror vi stopper med vår tredje leksjon der. Fordi vi har brukt mye mere tid på de første to i forhold til tilmålte, kommer vi til å kjøre fjerde leksjon om noen minutter som vi gjør på cirka ti minutter.

 

Du har nå lyttet til en podcast fra LØRN.TECH. En læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å lytte til denne podcasten på vårt online-universitet LØRN University.

Leksjon 4 - ID:M0013d

Leksjon 4 - ID:M0013d

Leksjon 4 - ID:M0013d

Velkommen til LØRN.Tech, en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Silvija Seres: Hei og velkommen tilbake til den fjerde leksjonen i LØRN FUNDAMENTALS om Cybersikkerhet med Olav Lysne. Olav, nå ska vi på cirka 10 minutter ha en siste samtale om et lite verksted. Hva gjør jeg nå? Jeg er en leder i et lite selskap. Jeg har nå lært meg litt om noen juridiske dilemmaer rundt cybersikkerhet, personvern, nasjonale avhengigheter og robusthet. Men hva kan jeg gjøre for å skape digital robusthet i mitt eget selskap? Hvor begynner jeg?

 

Olav Lysne: Jeg liker å dele det inn i tre. Hvor det var det aller første, det er på en måte det vi gjerne kaller “brød og smør”. Hva er det? Det er de helt opplagte tingene som du får beskjed om av alle. De du få som alle gir. De Nasjonal sikkerhetsmyndighet gir oss og som enhver rådgiver gir. De er gode. Ikke sant? Sørg for at du har god intern hygiene og sørg for å holde softwarene dine oppdatert. Sørg for at at du bruker tofaktor autentisering dersom du kan det, på disse systemene du har. Sørg for at det finnes noen i selskapet ditt som har kompetanse på sikkerhetssiden av de systemene. Dette er “brød og smør” og de rådene får du av alle. Også er det punkt to. Da vi beveger oss litt inn på ting som folk ofte glemmer. Det er prøve å gjøre en analyse av alle systemer du har og tenker litt gjennom “hvilke verdier er det jeg setter på spill i dette systemet?”. Er det noen persondata i dette systemet som kan komme på avveie? Nja. Er det sånn at hvis dette systemet ikke virker så får jeg ikke levert det jeg skal til kundene mine? “Ja, kanskje”. Gå igjennom systemet dine. Tenk gjennom “hva kan skje her og hvilke konsekvenser er det det kan ha for meg?”. Når du har gått gjennom denne ene øvelsen vil mange bli overrasket over hvor mye de egentlig har satt på spill. Men da vil du ha et grunnlag for å begynne å gjøre en risikovurdering. Det neste jeg ville gjort da, det er å se på “Ok, hva lærte jeg nå?. Her har jeg ett system som jeg nå har insett at er skikkelig viktig, ikke bare for meg, men selskapet eller for samfunnet. Så ville jeg gått inn i systemet mitt og sett på “hvilke underleverandører er det egentlig jeg har gjort meg av avhengig her?”. “Hvem er disse underleverandørene og er de godt skikket?”. Er det sånn at de har interesse av og kunnskap nok til å sikre meg? Da kommer vi inn på siste som vi snakket om, deres rammeverk for risikovurdering av digitale verdikjeder. Så for meg så er dette tredelt. Det er “brød og smør”-tingene som alle vil fortelle deg. Det er dette med å undersøke disse systemene dine. Hvilke verdier hos meg er det egentlig som settes på spill? Det siste er, hvem andre har jeg gjort meg avhengig av?

 

Silvija: Hvis vi går tilbake til “brød og smør”. Der er det noen råd. Man kan også finne noen gode sjekklister på nett også, men det er helt grunnleggende ting slik som å sjekke at man har antivirus på sluttpunktene sine, at folk har noenlunde greie passord så lenge vi bruker passord. Snart kommer biometri eller tofaktor. At man har den grunnleggende hygienen på plass da, når det gjelder Cyber Security?

 

Olav: Ja er det akkurat disse tingene. Litt avhengig av hvem du er og hvor hvor skolert du er så vil jeg trekke inn dette med “er brannmuren min i orden?”. Det er en del ting som er ganske enkelt her fordi der her samme rådene vil du få uansett hvem du spør. Derfor kaller jeg det “brød og smør”. Sørg for at “brød og smør” er i orden. Det er det littegrann fristende å peke på stortinget, som da oppdaget for ikke så altfor lenge siden, at de ikke hadde tofaktor autentisering på e-post serverne sine. Det var ikke i orden der. Noe jeg synes at ikke burde skje. Nå er dette såppas “brød og smør” at dette må vi nesten regne med og legge til grunn at folk har gjort. Og det er derfor jeg bruker det begrepet.

 

Silvija: Tofaktor autentisering betyr rett og slett at du må ha en mobiltelefon for å bekrefte at du er den du er. Eller at det bare er litt mer komplisert enn å bruke et passord som systemet husker.

 

Olav: Ikke sant! Det er naturligvis littegrann derfor det er litt tungt og og vanskelig. Fordi det er mer tungvint. Men det er sikrere og det er altså grunnen til at dette anbefales.

 

Silvija: Og ingen av oss er forundret når vi må bruke det når vi skal gå inn i banken vår, for eksempel.

 

Olav: Nei for det er bruker vi alle sammen på BankID på mobil for eksempel.

 

Silvija: Kan jeg spørre deg noe rundt kryptering av filer? Også har jeg lyst å spørre deg veldig kort om dette med skyen. Fordi et lite selskap som LØRN, vi har egentlig ikke noe servere på noe serverrom lenger. Vi har alt i skyen. Og der er det vel egentlig ganske mye innebygget sikkerhet? Det vi må passe på er at vi har litt sånn adgangskontroll-styring?

 

Olav: Det er helt riktig det der. Det er noe som har vært en debatt over lengre tid. Dette med “hva med skytjenester?”. Og så vil jeg si at for nesten alle mindre bedrifter så vil det å gå flytte IT operasjonene sine ut i skyen gi en bedre sikkerhet enn den de klarer å lage selv hjemme. Grunnen til det er naturligvis at disse store sky-leverandørene er store. De har store muskler, mange ansatte og da god ekspertise. De vil gi deg en god grunnsikring som da gjør det vanskelig å lage selv hvis du er en liten bedrift. Og det du da beskriver at er gjort i LØRN, det høres ut som gode vurderinger. Det vil jeg virkelig mene.

 

Silvija: Og dette med kryptering av filer. Jeg personlig synes det er en uting. Hva tenker du?

 

Olav: Det er veldig avhengig av hva det er og da kommer vi litt inn på dette med punkt 2. Jeg sa i sted “Gjør en vurdering av hvilke verdier er det egentlig det snakk om?”. Hva blir konsekvensene for deg dersom denne filen i systemet kom på avveie. Og så må det gjøres en vurdering. Vil du da krypterer eller vil du ikke kryptere? Det er en risikovurdering. På samme måte som de gjør en risikovurdering knyttet til “skal jeg låse huset mitt eller trenger jeg ikke låse huset mitt?”. Ja, hvis du bor på landet et sted hvor hvor du kjenner alle naboen din er det kanskje ikke det. Men hvis du hvis du bor i en i et utsatt område i Oslo, ja, så låser du det. Det er risikovurderinger. Det er noe jeg ikke har et hardt svar på, men ta tak i to av tre av tingene som jeg har listet opp. Gjør en verdivurdering “hvor alvorlig er det for deg hvis dette kommer på avveie, også kan du konkludere selv basert på det.

 

Silvija: Og jeg synes dette poenget med verdivurdering er utrolig viktig og verdivurdering. Også fra et sånt GDPR perspektiv. HR-listene dine. Hvor det står hva folk har i lønn, analyser eller kundelistene dine. Det er filer du ikke ønsker ut til verden.

 

Olav: Definitivt er det en ting du ikke ønsker ut i verden. Og så vil det være andre ting som du tenker “ja dette spiller da ingen rolle om noen får se”. “Slike dokumenter har vi skrevet alle sammen”. “Dette kan jeg la ligge og flyte på et offentlig kontor”. “Det vil ikke gjøre noen ting”. Hvis det ikke er sånn, gjør man det naturligvis ikke. dette med å løfte opp verdivurdering som noe man rent faktisk må gjøre når man skal vurdere tiltak. Det det tror er helt sentralt.

 

Silvija: Kjempespennende. Da leser vi litt på dette med DSB sitt rammeverk også for å gjøre oss litt bevisste på verdikjedene som vi baserer alle våre tjenester på og særlig da de kritiske tjenestene for eksempel i tilfellet LØRN. Vår plattform hvor vi ønsker 24/7 tilgjengelighet for folk hvis de ønsker å gå inn og til deres egne læringsdata. Ikke sant. Da må vi sørge for at det vi baserer den plattformen på er sikkert nok i forhold til våre behov?

 

Olav: Mhm.

 

Silvija: Olav:. Dette har vært veldig lærerikt. Hvis jeg spør også om vi kan legge til linker til rapportene fra Lysne 1 og Lysne to utvalg til dette kurset?

 

Olav: Det kan dere naturligvis gjerne gjøre. Alt det vi har snakket om nå er offentlig rapporter. For de av dere som er spesielt opptatt av dette med Huawei og 5G og hvordan man undersøker utstyr så er det også en bok som er skrevet om det som også er offentlig tilgjengelig som bare kan lastes ned.

 

Silvija: Da setter vi opp linker til de tre tingene pluss DSBs rammeverk. Og vi sier kjempe tusen takk for en inspirerende og lærerik samtale.

 

Olav: Og hjertelig tusen takk til dere for at jeg har fått lov til å være med på dette. Det har vært gøy.

 

Du har nå lyttet til en podcast fra LØRN.TECH. En læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å lytte til denne podcasten på vårt online-universitet LØRN University.

You must log in to pass this quiz.

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et

Allerede Medlem? Logg inn her

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. 

Allerede Medlem? Logg inn her