2000+ lyttinger
Del denne Masterclass
Dette lærer du om i denne Masterclass
Bibliotek
Om LØRN
© 2024 LØRN AS
“
Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei og velkommen til en LØRN masterclass om cybersecurity. Jeg heter Frode Skaarnes og gjesten min i dag er Roar Thon, som er fagdirektør i nasjonal sikkerhetsmyndighet. Velkommen Roar.
Roar Thon: Takk skal du ha Frode.
Frode: Før vi kjører i gang, så skal jeg ta og si litt om konseptet. Vi skal lage et lite mikrokurs, en liten serie av 4 korte podcaster på 30 minutter. Vi har kalt serien i dag eller episoden i dag for cybersecurity for dummies. Og det er ikke fordi vi tenker at publikum ikke er så smarte, men vi skal virkelig legge det ned på det nivået som gjør at det fungerer for alle, og at man ikke trenger å være den teknologen som man ofte må være på disse cyber security eventene. Første halvtimen, så skal vi snakke litt om konseptet cybersecurity, hva er dette fenomenet, og hvorfor er det viktig? Så skal vi gå over på runde 2, den andre 30 minutter og der skal vi snakke litt om noen gode eksempler på hva dette er. Så går vi over på det som gjør at vi kan se hva vi kan gjøre med det. For i tredje episode så tar vi en runde innom verktøy. Det kan være ulike måter å gjøre det på, best practise, eller det kan være en standard. Det kan være hva som helst egentlig, men vi skal snakke litt rundt det. Også til slutt, så skal du få lov til å gi noen gode råd hva vi i LØRN kan gjøre for å gripe fatt dette fenomenet cybersecurity. Så da er egentlig spørsmålet, høres det bra ut Roar?
Roar: Det høres veldig bra ut.
Frode: Bra. Du er jo en av nestorene i sikkerhets miljøet, så det vi er nødt til å høre er hvorfor i alle verdens dager brenner hjertet til roar for sikkerhet?
Roar: Det har det vel nesten alltid gjort på en eller annen måte. Jeg har en yrkesbakgrunn, tjenestebakgrunn fra politiet og forsvar. Har vært i NSM siden 2003 og kom dit som ellers i livet ved litt sånn tilfeldigheter egentlig, men når jeg ser tilbake på min egen karriere, så ligger det lite grann der i å bidra til å hjelpe andre mennesker. I et sikkerhetsperspektiv. Så veien har blitt litt til underveis, også er det noe med det å få lov til å ha drømmejobben. Det har jeg egentlig alltid kunne si at jeg har hatt, uansett hva jeg har drevet med. I det så ligger det et engasjement som gjør at man må brenne for noe, man må stå for noe, og som jeg pleier å si, hvis man ikke står for noe, så faller man for alt.
Frode: Ja, jeg er helt enig. Hvis man ikke brenner for noe, så har man liksom ingen entusiasme i hverdagen. Så det er helt avgjørende, men jeg lurer på. Du har liksom funnet din nisje, så du har holdt mer enn 1000 foredrag? Hvis ikke jeg husker feil da?
Roar: Ja, nå er vi over på 1600, tiden går fort.
Frode: Er det sant? Kan ikke du si litt om, hvem er du, og hvem er det du holder foredrag for? Og hva er målsettingen med det?
Roar: Det startet faktisk for en god del år siden i en nsm med å sørge for at nsm egentlig ble litt mer kjent som organisasjon, og selvsagt også spre sikkerhets budskapet. Også har det gradvis tatt av, for å si det sånn. I takt med at vi har tatt i bruk stadig mer teknologi, at sikkerhet er blitt kommet høyere og høyere opp på lista over det vi bør bekymre oss over å være opptatt av i dag. Jeg snakker i dag til alt ifra politikere, ledelse, toppledere, ledere, ansatte, folk flest. Nesten alle som vil høre på. Fordi alle har et behov for å faktisk få litt kompetanse og kunnskap på dette her.
Også er det selvsagt enkelte områder vi i NSM er litt mer interessert i å snakke til. Fordi det er viktig i et samfunnssikkerhetsperspektiv, men til syvende og sist så er det alle nivåer av samfunnet. Og alle har behov for sikkerhet også.
Frode: Men da lurer jeg på, du har jo da litt bredde i måten du har fått lov til å snakke med ulike miljøer på. Og da er egentlig spørsmålet, hvordan ser det ut? Er du imponert over kunnskapsnivået, eller føler du at det er veldig varierende? Er det behov for det vi gjør nå?
Roar: Absolutt. Jeg lar meg ikke overraske lenger over spørsmålene. Det er jo kanskje en floskel når man sier at det finnes ikke dumme spørsmål, men noen ganger så legger man litt merke til allikevel hvordan spørsmålet blir stilt som gjør at man hvert fall gjør seg noen refleksjoner om at dette røper mangel på kunnskap og forståelse og-eller situasjonsforståelse man er i. Når det kommer litt for banale spørsmål fra mennesker som i realiteten er på et ganske høyt beslutningsnivå i samfunnet da.
Frode: Jeg har jo også hatt en glede av å jobbe i NSM sammen med deg, og jeg husker blant annet da vi var ute og ga råd, så kunne man få kommentarer som; “Men du må forklare det litt enkelt, for jeg er en analog leder”, gjelder det fortsatt?
Roar: De klassiske for meg er, mann 60 pluss, som med litt stolthet i stemmen, sier at man er analog leder, også har man en sekretær. Det har vel også hørt det fortsatt kalles, som tar seg av eposter og alle disse digitale tingene. Det er kanskje ikke det beste utgangspunktet for å være en toppleder i en virksomhet som uansett hva vi holder på med må forholde seg til blant annet cybersikkerhet da.
Frode: Ok, hvis vi skal gå inn på fenomenet sikkerhet, og i dette tilfellet cybersikkerhet, kan vi si at det er naturlig å starte med trusselen. Hva er det vi står overfor? Både som enkeltpersoner, som virksomheter og som stat da.
Roar: Ja, vi står overfor en rekke nivåer av, vi bruker ofte ordet aktører. Som er alt i fra nasjonalstater til godt organiserte organisasjoner som man kan definere som kriminell organisasjoner, hacker organisasjon, interesseorganisasjoner for den saks skyld, terrorgrupper som bruker dataverktøy til å finansiere sin aktivitet. Eller rett og slett få fram sine poenger, begå skade, eller den type ting. Helt ned til virksomheter, bedrifter, som bedriver industrispionasje til fordel for seg selv og mot sine konkurrenter, til politiske interesser, helt ned til enkeltindividet. Som har en eller annen form for kompetanse som de bruker til å rett og slett tjene penger, få tak i informasjon, få fram sine poenger, meninger, aktivt forsøke å skade noen andres interesser. Jeg tror at det er viktig fordi at jeg endte til syvende og sist ned på enkeltpersoner, og denne bransjen vi tilhører den har vært litt for flink til tider med å presentere trusselen som en enkeltperson med et eller annet bilde med en eller annen hettegenser i et mørkt rom som sitter og hakker deg. Det er liksom Hollywood versjonen av denne hackeren da. Og det er et litt dårlig utgangspunkt når du skal forklare toppledere at det de står overfor er profesjonelle organisasjoner som er like godt skudd som deres egen organisasjon. Fordi det er det vi til syvende og sist snakker om. Personer med betydelig kompetanse, gjennomføringsevne, vilje til å nettopp begå en rekke forskjellige handlinger. Så trusselbildet som sådan er noe vi alle må forholde oss til. Og jeg tror også det er viktig da å ta med seg inn. Noe som jeg prøver alltid å få fram er at vi er alle sammen et digitalt mål. Vi er det som samfunn, vi er det som virksomheter, vi er det som enkeltpersoner, fordi vi har en annen form for digital tilstedeværelse. Fordi veldig mye av det som skjer som vi kaller for hacking, dataangrep, cyberangrep det er helt tilfeldig det. Begått av en rekke av disse aktørene. Fordi det bare vise seg å være teknologisk mulig den dagen. At du og jeg klikket på en lenke som satte i gang det digitale angrepet, men de som sendte oss den lenken via en epost har ikke anelse om de har havnet hos Frode eller Roar, hvilken organisasjon vi jobber til, hvor vi befinner oss og hvor mye penger vi har på konto, eller hva slags informasjon vi sitter på. De forfølger det faktum at de har kommet seg inn, så det er så viktig å forstå at veldig mye av dette er tilfeldig, også er det selvsagt en annen side av det, hvor det er målretta. Hvor det plutselig handler om hvem du er, hvor du jobber, hva slags virksomhet du er, hva du driver. Der er det altså forskjell på om du da heter Kongsberg jobber i Aerospace og driver vi forsvarsbransjen, eller om du heter Florine Blomster og selger blomster, men begge har behov for sikkerhet. Og det er altså ganske grunnleggende å forstå, og jeg opplever enda dessverre at folk snakker litt sånn analogt om dette her. Som at det nærmest er en slags sånn røverbande som jobber seg oppover Gudbrandsdalen og før de når Trondheim, så tar de skart til venstre, så nå må de på Vestlandet begynne å passe litt ekstra på. Vi snakker ikke lenger om fysisk geografisk tilstedeværelse rundt dette her. Dette treffer oss alle. Du må forholde deg til til dette her om du driver i transportbransjen med 20 ansatte og holder til på Andenes, eller om du holder til på Vestlandet, alle er et mål for dette her.
Frode: Men da lurer jeg på. LØRN vi er en såkalt liten bedrift, en av de 630.000 smb’ene som er i Norge. Og mange av oss har begrenset kompetanse på vurdere for eksempel trussel, og hvis vi setter oss ned og leser rapportene til PST og E og og risikorapporten til NSM, så kan det være litt sånn vanskelig å forstå, hva gjelder for oss? Og ikke minst, hvordan skal vi få få dratt dette ned på et nivå som gir mening for oss da. Det blir liksom litt sånn flytende hvis ikke du har kompetanse til å tolke det bildet du har rundt deg da, så hvordan har det blitt for virksomheter, er det er det håp allikevel, kan man få hjelp?
Roar: Ja, altså, jeg mener absolutt at det er håp og det med å få hjelp kan vi sikkert snakke littegrann om senere, hvem man kan få hjelp av, men jeg tror det er viktig i det perspektivet å forstå at de rapportene vi snakker om her, de tar utgangspunkt i stat til stat perspektiv. Man snakker om Russland og Kina, og da kan det være litt vanskelig hvis du sitter der med 15 ansatte å forstå at du skulle være en del av dette her. Det er det mange virksomheter i den størrelsen, som faktisk kan være avhengig av hvem de har som kunder og hva de leverer og hva de driver med, men jeg tror det er viktigere å ta det litt sånn forenklet ned og si at, du bør starte et sted, og det er til syvende og sist, at du er i stand til å beskytte verdiene dine, informasjonen din, systemet ditt mot en eller annen misfornøyd kunde i Moss som ønsker å skade deg digitalt. Det er den målrett delen, eller den litt mer tilfeldige delen er at det finnes mange krefter der ute som er villige til å gå langt for å forsøke å tjene penger og som bryr seg døyten om realiteten hvem du er, og der ligger det så mange grunnleggende tiltak som virksomheter kan gjøre og gjøre bedre. Fordi vi i
NSM, vi har lenge hevdet at hvis man gjør noen av disse enkle tingene, så stanser det mellom 80 til 90% av alle kjente angrep. Det som er så leit med akkurat det, som vi har sagt en stund. Det er at vi greier fortsatt ikke helt å gjøre de tingene. Vi har medisinen på en måte, men vi greier allikevel ikke å ta den helt hverken som samfunnet, som virksomheter og som enkeltperson.
Frode: Det er jo et paradoks.
Roar: Absolutt.
Frode: Men ok, vi har en trussel, og den kan være målrettet, eller den kan være tilfeldig, men vi er alle mål på et eller annet vis. Da er jeg interessert i å dra det videre. Vi har jo noen verdier, og det blir ofte en sånn abstrakt øvelse for mange. Når du skal kartlegge verdiene dine, også skal du identifisere sårbarheter ved disse verdiene. Kan du ikke bare si litt rundt, hvordan kan man gripe alt dette litt praktisk, og hvorfor er det viktig å forstå disse?
Roar: Altså, for det første er det viktig å forstå hva du har av verdier i form av dette. Dette med trussel og hvem er det som kan være interessert i dem. Som jeg sa i stad, det er forskjell på om du driver i forsvarsindustrien eller om du driver en blomsterbutikk, men du har allikevel verdier. Altså jeg kan her og nå si at jeg har erfaring fra blomsterindustrien gjennom familiære ting og selv blomsterbutikken som jeg kjenner til, ble forsøkt hacket av en sjalu eksmann som lurte på hvem som hadde sendt hans ekskone blomster. Ikke sant, men det er det nivået man da ligger på. Og ikke bekymre seg så mye overfor russisk etterretning eller andre aktører da, men det å forstå de verdiene, hva man har der er ganske essensielt for å finne de tiltakene og de ressursene man bør bruke for å beskytte dem, men jeg tror det enkleste eksemplet eller måten å tenke verdier på, det er rett og slett å spørre seg, hva skjer hvis ikke jeg er i stand til å levere mine tjenester hvis produksjonen min ikke er i stand til å gå i morgen. Så får du egentlig ganske fort et klarere bilde på hva er det vi faktisk er avhengig av for å ha leveransene våre? Til å selge til kundene våre, til å produsere til kundene våre. Dette må du sette ned i ulike former, også må du ideelt sett også være i stand til å se på, hvem er det du er avhengig av for at dine leveranser skal fungere? Og hvem er det du leverer til? Så det er liksom ikke bare deg selv, men det handler littegrann om hvem du selv bruker og hvem som er avhengig av deg igjen.
Frode: Ja, Olav Lysne har jo vært veldig sånn tydelig på disse lange og uoversiktlige verdikjedene, og man ser jo nå at virksomheter, de kan liksom bare ha en liten andel av det de driver med, som er virkelig sensitivt, men allikevel så er man veldig sårbar over det hele. Det er jo 3 begreper knyttet til dette her hvor noen har vært mer dominerende enn andre. Konfidensialitet var jo liksom det ultimate du måtte beskytte deg mot i gamle dager, da vi var unge. Mens nå kan man jo kanskje si at tilgjengelighet eller kanskje integritet er like viktig? Kan du si litt om skifte på dette her. Og hvordan sammenhengen mellom disse her og hvorfor er det viktig å forstå dette?
Roar: Ja, som du sier er det 3 begreper. Den kuleste forkortelsen på det er jo på engelsk for det er CIA. Confidentiality, integrity and availability. Konfidensialitet har vi, som du sier en ekstrem tradisjonell måte å ha fokus på. Rett og slett å hindre uvedkommende å se, lese eller høre ting de ikke skal se lese, lese eller høre. Det er forståelig at det var sånn fordi du og jeg fra gamle dager vi satt med graderte papirer i analog form som var enklere å både telle opp og ha kontroll over og sørge for nettopp at de som ikke skulle lese det kunne lese det. Det gjelder mange andre steder på den måten, men så har vi tatt i bruk masse teknologi som hjelper oss til fantastiske ting. Så har vi ikke helt fulgt med opp i hodene våre, menneskelig sett til å forstå at verden har endret seg. Fordi jeg bruker et veldig personlig eksempel og har brukt i noen år nå og ser i hvert fall i foredrags form når jeg greier å ha øyekontakt med de jeg snakker til at det går faktisk ganske sterkt inn på den når jeg bruker det eksempelet jeg skal bruke for deg nå. For min del, i 2016 havner jeg som pasient på ahus. Det er kritisk for meg, det står om livet mitt. Så har jeg ettertid, for det gikk jo bra, stilt spørsmålet, hva er det viktigste for meg i den situasjonen vi finner meg når vi kommer til cybersikkerhet? Skal jeg være mest bekymret for at noen har hacket seg inn i sykehus systemer og lese pasientjournalen min, som altså det klassiske konfidensialitets perspektivet. Skal jeg være mest bekymret over at noen av hacket seg inn i sykehus systemer og endret på mine verdier, blodtyper, allergier som kompliserer behandlingen av meg når jeg først er i den situasjonen som er integritet, altså informasjonen, lønnssystemet. Eller skal jeg være mer bekymret over at noen har overtatt all kommando og kontroll over alle sykehussystemer, verktøy og informasjonsplattformer som skulle vært brukt til å redde livet mitt den dagen. Og jeg går for det siste 10 av 10 ganger som det aller verste som kunne skje meg dersom det faller bort. Jeg har sagt før, jeg hadde latt flere 1000 mennesker lese pasientjournalen den dagen i bytte mot at alt annet fungerte optimalt. Så sier jeg ikke nå at konfidensialitet ikke er viktig, fordi hvis ikke kunder og pasienter stoler på at vi passer på informasjonen på en god nok måte så går det på tilliten, og tillit er ganske avhengig å ha for å fungere. Vi er et tillitsbasert samfunn, så det er vi avhengig av, men det er så viktig å forstå at bortfall av den type tjenester vi snakker om nå, altså tilgjengelighet om det er strøm, vann, helse, samferdsel er sannsynligvis den raskeste veien til tap av menneskeliv i dag i det norske samfunn. Og konsekvensene for en helt vanlig bedrift ved bortfall av disse tingene er kritisk. Altså jeg sier det igjen, hva gjør du hvis du ikke er i stand til å levere de tjenestene du har sagt at du skal levere til kundene, og det bortfallet varer i 14 dager. Hvor står du da etter det etter det?
Frode: Nei bra det gikk bra da.
Roar: Ja, det er bra det gikk bra, men det igjen. Nå har jeg snakket til toppleder innenfor helsesektoren og ser at de blir litt sånn matte i øynene fordi poenget mitt er jo til syvende og sist at. Ja, det er viktig med å passe på pasientjournalene og konfidensialitets stedene i det, men man må faktisk ta innover seg at man har kjøpt inn tonnevis med teknologi som redder menneskeliv hver eneste dag, men som samtidig kan nås fra hele verden av krefter som ikke som noe godt. Det må man ta innover seg. Man er nødt til å greie å se dette mer helhetlig. Kanskje har man greid det tidligere, å forstå konsekvensene som kanskje er helt annerledes enn før. Fordi det medfører jo ikke direkte livsfare for meg om noen har lest pasientjournalen min som ikke skulle det. Jeg kan ha et ubehag ved det også videre, men alvorlighetsgraden i de er kanskje ikke like alvorlig som hvis strømmen skulle gå på det samme sykehuset. Altså de har jo backup rutiner for det selvsagt, men igjen.
Frode: Men kan vi holde litt på den tråden? Fordi før så var det jo sånn at man hadde kall det intranett. Det var for eksempel styringssystemer, de gikk i egne kanaler og nå er alt koblet til internett som du sier. Om det er pacemakeren din eller om det er styringssystemer for vindmøller, eller hva det måtte være? Hva innebærer egentlig I og T for oss med tanke på hva vi som mennesker må tenke på oppi dette her. Fordi vi er jo i en veldig annen situasjon nå enn det vi var tidligere.
Roar: Ja altså man kan bli litt overveldet av det hele, tror jeg, fordi alt dette her har jo som regel en positiv effekt på livene våre, og det er grunnen til at du og jeg kjøper robotstøvsugeren og alle disse tenkelige duppedittene og selvsagt også alvorligere ting enn det som hjelper samfunnet til å til å fungere. Så det er så mange positive sider ved det, men samtidig så er vi ikke like flinke nok til å forstå at vi samtidig introduserer en rekke nye sårbarheter. For disse produktene kommer med teknologiske svakheter, sårbarheter, hull som kan utnyttes og de vi står overfor er til tider eksperter i nettopp å finne disse hullene og utnytte det da. Så det vi også samtidig ser i et større perspektiv er jo, at virksomheter, som egentlig jobber veldig bra på sikkerhetssiden litt sånn tradisjonelt, allikevel blir offer for noe fordi det er noen av disse tingene man allikevel har glippet litt på og ikke tenkt på. Også er det det som blir veien inn, også er det du og jeg snakker om nå. Det er samtidig en kjempeutfordring fordi jeg tar meg gang på gang i å høre på andre og høre meg selv snakke om en del av disse settingene. Hvor vi nesten alltid tar utgangspunkt i store organisasjoner. Altså det er veldig interessant å høre konsern x snakke om hvordan de har jobbet med sikkerhet, men det er så vanskelig å overføre det ned til en helt vanlig norsk bedrift med 30 ansatte, fordi det de store konsernene snakker om, har de hatt 6 heltidsansatte på og brukt millioner av kroner for å få til. Så hvordan overfører vi det ned til små og mellomstore bedrifter for at det faktisk skal få effekt? Og når vi snakker om truslene i tillegg, så skjønner jeg veldig godt hvis man nærmest gir litt opp, rett og slett. Det føles så overveldende da. Det er hvertfall noe som jeg tar meg selv i å tenke gang på gang.
Frode: Når vi snakker om cybersikkerhet, så er det jo mange ting som påvirker dette her, og man har noen ulike begreper, man har personellsikkerhet, fysisk sikkerhet, digital sikkerhet, organisatoriske svakheter, administrative sårbarheter. Det er jo mange ting som påvirker, men det jeg lurer på er. Hvis vi tar menneskene da som mennesker. Sosial manipulering som fenomen, vi blir jo et verktøy for mange til å hjelpe disse trusselaktørene inn i systemene, fordi at vi kanskje er som du sier, ikke helt trygge på hva vi skal eller ikke skal gjøre. Vi kommer litt mer tilbake til det etterpå, men dette er jo sårbarheter som er identifisert i store virksomheter som er i små virksomheter, men som har blitt litt annerledes nå som vi plutselig sitter mye på hjemmekontor. Vi har fått en dynamikk i alle virksomheter, og du kan på en måte si at alle er distribuerte. Det vil jo si at menneskene ikke fulgt opp nødvendigvis, sånn som de ble før. Hvordan har det påvirket pandemiens påvirkning på cybersikkerhet og hva tenker du rundt det?
Roar: For det første, så har sikkerhetsfolk en tendens til å være litt for lite risikovillig. Og det var ikke mangel på bekymringer når vi stengte ned Norge i mars, 20. Hvis vi ser i ettertid, så gikk det stort sett bra, og vi skal være ekstremt glad for at vi faktisk hadde både teknologi og evne og vilje til å gjøre det vi gjorde. For, jeg tror situasjonen for næringslivet, hadde vært betydelig styggere enn det det viste seg å bli, selv om vi selvsagt kunne vært dette foruten. Det betyr ikke at risikoene ikke var der. At ikke risikoene har vært utnyttet av trusselaktørene, men det som skjer med oss mennesker i den settingen. Det er jo at vi vi havner fjernere fra kolleger arbeidsplassen. Det er vanskeligere å spørre en kollega til råd som denne eposten som kom nå har, hva tror du om denne? Men det er noe grunnleggende der uansett om vi sitter hjemme eller på jobb og gjør dette her. Jeg tror det er viktig å forstå at vi har plassert de ansatte i førstelinjes forsvar både frivillig og ufrivillig, ved at vi bruker e post. Epost er fortsatt angrepsvåpen nummer én med vedlegg, lenker eller tekstinnhold som ber oss om å gjøre et eller annet vi ideelt sett ikke skal. Det er så mange måter å snakke om disse epost greiene på, som også til tider blir litt håpløst, når standard advarselen har vært, åpne aldri epost og vedlegg og lenker fra folk du ikke kjenner. Det er jo et håpløst råd, fordi du og jeg Frode vi har. Vi har kjent hverandre i mange år, og la oss si at hvert fall jeg stoler på deg 100%. Det er ikke sikkert det er det samme motsatt, men det er menneskelig tillit. Kan du og jeg bruke den menneskelige tilliten til å vurdere at det som ser ut som er en epost fra meg til deg, faktisk er fra meg til deg. Nei, vi kan ikke det. Det er digital tillit og det blir en helt annen setting, og det er der vi går oss fast litt i sånne analoge menneskelige vurderingskriterier som ikke passer inn i det systemet vi da er. For vi skal være skeptisk overfor all epost, også skal vi ikke være så overrasket og sjokkert over at ansatte kommer til å klikke og åpne vedlegg fra epost, fordi det er faktisk jobben deres å klikke og åpne vedlegg fra epost. Så det ligger en risiko der som må løses ved at man både må gi mennesker, kunnskap, motivasjon og en situasjonsforståelse til å bidra og kanskje få ned det antallet på sånne klikk som kunne ha vært forhindret, men man må også løse det teknologisk som ideelt sett hadde gjort at du og jeg nesten kan klikke på hva som helst også er vi allikevel sikre, fordi teknologien bakenfor beskytter oss, men vi kommer ikke bort ifra at et menneskelig fokus på dette her er viktig når det gjelder både kunnskap og opplæring, og ikke minst motivasjon og en forståelse for hvorfor det faktisk er viktig for virksomheten og for de ansatte som blir veien inn?
Frode: Hvis vi avrunder med å snakke litt om utviklingen. Jeg har en sånn følelse av at de siste 10 årene har hatt en sånn voldsom vekst i ulike typer angrep mot oss og er litt sånn usikker på er det reelt eller er det media? Har vi blitt mer bevisste, ser vi mer nå enn vi så før? Er det verre nå enn før eller er det bedre?
Roar: Nei, jeg vil nok si at det er verre. Også er det lett å gå i den fella fordi det vi sjelden snakker om er jo alle de tusenvis av forsøkene på å trenge seg inn hos virksomheter digitalt, altså gjennomføre et dataangrep som rett og slett blir stanset av gode sikkerhetstiltak. Av både menneskelige prosessuelle og teknologiske tiltak. Det snakker vi sjeldent om. Det som får fokus er jo når angriperen lykkes, og det er forståelig at den fokusen får, men samfunnet vårt hadde ikke fungert i dag uten de tiltakene som allerede er på plass. Så det er gjort veldig mye bra som fungerer, men vi kan gjøre det bedre, for vi ønsker jo selvsagt ikke å bli utsatt for disse tingene, men dette er jo blitt stor industri. Det er enorme verdier som man greier å stjele og overføre til seg selv gjennom denne type aktiviteter, og det er jo en motivasjonsfaktor for kjeltringer i stor grad og en av de store driverne der går jo littegrann på det vi nevnte i stad med konfidensialitet og tilgjengelighet. Nettopp at dette med digital utpressing, kryptering av bedriftens systemer som gjør at ingenting fungerer. Har plutselig gjort, at vi ikke har stjelt informasjonen lenger som sådan, men vi har kryptert den og ingenting av det du driver med fungerer. Hvor mye penger har du lyst på for det? Det har snudd opp ned ganske mye, og det er jo noe som har skjedd de siste 5 6 årene i større grad, og vi kommer nok til å se advart av det også fremover. I tillegg til at virksomheter har blitt flinkere til å sikre seg mot det, så har man også begynt å skru på skruen ytterligere fra de som driver med dette. At nå kopierer man også informasjonen før man krypterer den, også bruker man det som et pressmiddel og sier at hvis du ikke vil betale for å få at vi avkrypterer informasjonen din, ja, så må du i hvert fall betale for at ikke vi skal kopiere og legge ut informasjonen din som er av sensitiv art med kundene dine og alt mulig.
Frode: Dette er jo egentlig en fin avslutning på introen, fordi det viser jo mangfoldet i hva du står overfor og hvordan både virksomheter og enkeltpersoner må ta stilling til ganske kompliserte valg, når hendelsen er ute. Og vi skal snakke mer om hendelseshåndtering også etter hvert, men takk for samtalen så langt. Jeg føler at vi har fått et bilde av, hva er dette og i neste del, så skal vi snakke litt om noen gode eksempler på hvordan dette faktisk kan fremstå for deg som virksomhet. Så takk så langt.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
“
“
Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei igjen og velkommen til vår andre forelesning i denne LØRN masterclass om cybersecurity for dummies og gjesten vår er fortsatt Roar Thon. Vi skal snakke litt om eksempler. Da er det jo sånn at avisene er fulle av dette. Så nå er jeg spent på, hvor har du tenkt å ta oss nå Roar?
Roar Thon: Nei, vi snakket jo litt i første første del om at dette til tider er litt vanskelig, kanskje for mange å ta innover seg å sammenligne seg med store virksomheter. For de får jo virkelig overskrifter, ikke sant? Når Stortinget blir utsatt for datainnbrudd, når Norsk Hydro blir utsatt for en alvorlig hendelse, når en Norsk kommune i realiteten slutter å fungere digitalt og beskrive selv at de er tilbake på syttitallet av hva de er i stand til å levere tjenester til sine innbyggere, så får det utrolig oppmerksomhet. Så kan det være vanskelig å sette det i sin egen setting ned til sin virksomhet i en helt vanlig klassisk Norsk bedrift med litt mindre størrelse som sådan. Men, jeg tenkte jeg skulle bruke et eksempel, og jeg nevner ikke navn her, men en bedrift med cirka 20 ansatte markedsledende i Europa på sitt produkt, men for å lage sitt produkt var de avhengige av en komponent som de måtte kjøpe fra en fabrikk i Tyskland. Tyskerne fakturerer det norske selskapet via epost og de kriminelle kjeltringene, hackeren om man vil, tar seg inn i e postserveren til det norske selskapet, fanger opp fakturaen når den kommer fra Tyskland endrer på kontonummeret som fakturaen skal innbetales til og sender den videre til norske bedriften. Den norske bedriften har faktisk rutiner og fanger opp at kontonummeret her er jo endra, men de spør stiller spørsmålet via epost til det de tror er tyskerne. “Har dere byttet kontonummer?” Det er kjeltringene som svarer, og de sier selvsagt “ja, det har vi”, også betaler man i en tremåneders periode reelle faktura basert på reele leveranser opp til en størrelse sum på 735.000 norske kroner, og skjønner ikke at noe er galt for det tyske selskapet ringer på telefonen og sier at vet du hva dere får ikke bestilt noe mer for oss for dere betaler ikke regningene deres. Altså dette jeg beskriver nå er toppen av isfjellet og bare en metode av hva norske virksomheter rammes av. Det som jeg synes er litt sånn interessant med akkurat dette, er at eksemplene, selv om jeg ikke går i detalj fordi at her tar man seg inn på e postserver også her ligger det mye digital teknologi og utnyttelse av det. Det er at ofte så er det en kombinasjon, nettopp av denne teknologien, men det handler også om kontrollrutiner og prosesser. Sånn sett også menneskelig aktpågivenhet i forhold til at dette kan skje. Så løsningen her er ikke noe enkelt. Den er sammensatt, men den beskriver allikevel godt hva man kan utsettes for. Og 735.000 kroner som en helt vanlig Norsk bedrift. Det kan i verste fall være kroken på døra. I beste fall så er det betydelig tapt verdiskapning, tapte skatteinntekter, altså avhengig gjennom hvilke øyne man ser dette her da. Og som jeg sier, det er at det er toppen av isfjellet.
Frode: Den saken du beskriver minner jo veldig om den Norfund saken også, hvor det ble overført penger. Og dette er jo da en stor aktør med sannsynligvis sett veldig profesjonelt rigg rundt seg og som egentlig er utsatt for det samme. Noen hacker de endrer på innhold og videresender og stjeler i det tilfellet veldig mye penger. Da er egentlig spørsmålet, når det skjer både med store og små, og i det Norfund tilfellet, så akkurat som du skriver, man var overvåket over tid. I hvilken grad har man mulighet til å detektere sånn at man er utsatt for noe sånt?
Roar: Det er avhengig selvsagt av hvilke metoder som brukes, men i det eksempelet jeg nevnte nå, så var firmaet som er utsatt for dette litt irritert på sin egen driftsleverandør som de mente ikke hadde tilbudt de gode nok løsninger som kunne ha fulgt noen litt mer på hva som skjedde på deres egne systemer, men så er vi tilbake igjen på at noe av dette her ikke handler om teknologi heller. Fordi det vi beskriver nå er jo ikke klassifisert på det, men vi har en advart av denne typen som er såkalt co svindel. Hvor e posten kommer som ser ut som det er fra øverste sjef som sier til en nøkkelperson i virksomheten at vi må gjøre en rask overføring, sånn og sånn og det haster, og det er hemmelig og jeg er på fjellet og får ikke gjort det selv. Kan du hjelpe? Det er situasjoner og settinger vi ikke løser opp ved å kjøpe mer teknologi som står og blinker i hjørnet. For vi løser de situasjonene ved å ha gode kontrollrutiner i virksomheten. Hvor det kanskje ikke bare er en person som kan utbetale 100 millioner kroner i en fei, men at det er flere som må involveres og så videre, at det blir litt mer komplekst. Fordi vi må se dette her litt mer helhetlig. Fordi når jeg har snakket om direktørsvindel til helt vanlig norske bedrifter, så har det vært morsomt å snakke til ledere i virksomheter med 40 ansatte hvor økonomisjefen i en sånn setting sier til meg at: “Du vi får også sånne epostsvindler, men da snur jeg meg bare til sjefen, som sitter en meter bortenfor meg på åpent kontorlandskap og spør, hva f er det du holder på med nå?” Altså det er så korte avstander mellom personen at det er enklere å avsløre det, enn det er i større, kompliserte organisasjoner som knapt nok har sett sjefen sin fysisk.
Frode: Når vi er inne på på svindel som er en av de typene kriminalitet som har økt mye de siste årene. Hvordan er villigheten fra virksomheter til å betale bitcoins, eller hva det måtte være for å komme seg ut av svindelforsøk, hvor man for eksempel låser ned ved hjelp av krypto og hva anbefaler du og NSM knyttet til dette?
Roar: Altså vi er veldig klare på at vi ikke anbefaler å betale noe som helst. Det er mange ulike argumentasjoner for det. Den største argumentasjonen er jo at man er med på å gi penger til kriminelle som ytterligere stimulerende, til at dette tjener de penger på, så de kommer til å fortsette overfor andre. Så er det alltid noen som også sier at det er ingen garanti for at du får koden som gjør at du får systemet ditt tilbake. Erfaringsmessig, så gjør du faktisk det. Fordi det er en veldig dårlig forretningsmodell fra kjeltringen å ikke gi deg koden. Fordi da sprer ryktet seg om at du betaler også er det ingen som får koden heller og da er det ingen som kommer til å betale, men det er en undersøkelse for et par år tilbake. Som jeg må si, skremte meg littegrann. Hvor jeg tror det var cirka 35% av norske virksomhetseiere som sier at de var villig til å betale seg ut av en sånn kryptovirus situasjon? Istedenfor å investere i sikkerhetstiltak. Det som skremmer meg ved det, er ikke at jeg er overrasket at folk er villig til å betale hvis de pusher story situasjonen, men det som skremmer meg, er at man ensidig tenker på kryptovirus som den eneste som kan ramme de sånn at du ikke investerer i sikkerhetstiltak. For det er så mye annet som kan ramme deg også. Så du er nødt til å faktisk gjøre noe for å forbedre sikkerheten din. For det er ikke sikkert, at det er løsepengevirus som treffer deg når det først skjer noe. Så det er den skremmende delen. Så har vi i hvert fall konsulentselskaper og andre som tydelig offentlig har sagt at de til tider har slitt med å få tak i bitcoins for å hjelpe kunder. Også er det jo en annen setting i dette her som jeg prøver hele tiden å i hvertfall tenke og sette meg inn i situasjonen til de virksomhetene som blir rammet av dette her. Fordi det ofte er noen som ringer direkte til meg og forteller om at, nå står vi her, ingenting fungerer. Vi har ikke backup, vi har i realiteten ikke tenkt på at dette kunne ramme oss. Hva gjør vi nå? Jeg skjønner jo at lysten og viljen til å betale da er ganske høy, fordi det står til syvende og sist om at du ikke engang har kundelisten din, for å si det på den måten. Da er du ute å kjøre altså. Så det er veldig vanskelig å moralisere i altfor stor grad, men ideelt sett skulle man selvsagt ønsket at flere virksomheter var forberedt på at dette kunne ramme dem, og hadde rutiner som gjorde at, dersom det skjer har man gode backup rutiner som gjør at man kan komme seg opp og gå igjen innen rimelig kort tid, da.
Frode: Og dette går jo på på forebyggende sikkerhet. Det går på å ha et hendelseshåndtering system, et sannsynligsett beredskapssystem i et sånt lengre perspektiv også. Det har jo vært mange eksempler. Stortinget, Østre Toten. Jeg er litt forundret over at det skjer, også er jeg veldig imponert over Østre Toten saken, åpenheten rundt det. Slik at man kan lære av det. Jeg vet ikke om du kan si litt rundt det. Altså både Østre Toten og Visma har vi jo hørt fortelle om hendelser i et perspektiv hvor andre skal få lov til å lære av dette her. Hvor viktig er dette?
Roar: Du, det er så viktig. Nettopp fordi at det ikke er alle som går og tror at dette kan skje dem. De har ikke prioritert ressurser til å gjøre noe med det heller, så den kunnskapsformidlingen som har skjedd fra Østre Toten. Man kan mene så mye om deres prioriteringer som førte til at dette skjedde også videre, men de skal ha så mye applaus for måten de har stått fram på, og hvor tøffe de har vært, både fra politisk ledelse til administrativ ledelse til å nesten enhver tenkelig situasjon har sagt ja til å forklare alt ifra personlig følelser og opplevelser rundt den hendelsen som jeg som jeg synes forsterker budskapet enda mer. På at dette er det ingen som under andre for å si det sånn og ikke kom i den situasjonen selv. Så det er så mye læring å ta derfra, og de skal så til de grader ha applaus. De som fortsatt tror og lever i den settingen, at hvis jeg som virksomhet utsettes for dette her, så er det flaut å være rammet, så vi forsøker å holde kjeft om dette her og ønsker ikke få oppmerksomhetens lys. De bommer veldig, for min erfaring av dette her er at, i det du tar dette seriøst, formidler dette her, bidrar til å dele informasjon om hendelsen, så kommer du betydelig bedre ut av det enn å i realiteten nekte at det i det hele tatt har skjedd. Vi har dessverre erfaringer fra virksomheter som på sjette dagen påstår at de driver med planlagt vedlikehold, og ingenting fungerer. Og på syvende dagen må krype til korset og erkjenne at de har blitt tatt ned av et ja cryptovirus. Troverdigheten din skades betydelig av den type oppførsel enn fra dag en, og si at, vet du hva dette er situasjonen. Vi står i det, vi prøver å gjøre vårt aller beste. Dele informasjonen, samarbeider med myndigheter og andre samarbeidspartnere for å fikse dette fortest mulig.
Frode: Når vi snakker om eksempler, så er det jo sånn at man kan ha eksempler på virksomheter som vi har berørt nå, men vi kan også ha eksempler på metoder. Og det er jo en liten jungel av begreper der ute, så kunne vi tatt en rask tur innom fishing og spearfishing, vannhull i dyreverden kanskje på ormer og trojanske hester også videre. Det er jo det er mye å velge og vrake i, men kan du beskrive de du mener er viktigst å forstå og hva det er for noe? Og hvordan det treffer deg?
Roar: Ja for det første så er spørsmålet hvor vi starter. For hvis vi starter på den menneskelige delen, så er vi jo da inne på at man må lure en bruker eller noen med tilgang til å gjøre et eller annet som setter i gang en eller annen form for teknologisk utnyttelse. Da starter du veldig ofte med sosial manipulasjon og fishing. Den klassiske der er jo at du jeg får en epost som ber oss om å gjøre et eller annet som enten tar oss til et nettsted. Og da er vi inne på begrepet du nevner med en gang, et vannhull. Fordi det nettstedet vil tas til, der ligger det allerede ting som er klart å kjøre når vi møter websiden for å si det sånn. Derfra står alt og faller på det. Hvor gode sikkerhetstiltak har vi? Hvor oppdaterte er våre systemer opp imot hvor avanserte er den koden som forsøker å nå trenge seg gjennom våre forsvarsmekanismer? Du kan godt si at noen ganger vinner angriperen, noen ganger vinner forsvareren, men du ønsker ideelt sett ikke fått testet ut dette her så ofte. Rent statistisk, så det er veldig greit å unngå det, men det er vanskelig å unngå det i utgangspunktet. Den andre delen av fishing saken er jo rett og slett å få meg til å åpne et vedlegg, en klassisk pdf, som igjen innehar en form for kode som kjører og igjen havner opp i den settingen at, hva er installert som forsvarstiltak og hvordan er systemet ditt skrudd sammen og hvordan avansert er den som nå forsøker seg? Så kan man lese om skadevare, malware, virus, trojanske hester. Det er så mange begreper der, men jeg tror det er viktig å nesten forstå og samlebegrepet, og det er til syvende og sist at det er en datakode som forsøker å gjøre noe som er negativt som du ikke ønsker. Det blir litt sånn uinteressant, hvert fall for en leder av en virksomhet, om du er rammet av en trojansk hest, eller om det er en annen del. Når hendelsen er der, da har du helt andre ting åbekymre deg for. Fordi et av de viktigste mottiltakene mot dette her er å sørge for at systemene er så godt skrudd sammen som mulig, og ikke minst så oppdaterte som mulig. Fordi det dukker stadig opp nye muligheter. Vi leser om huller og sårbarheter. Vi skal ikke la oss overraske over at, når folk har laget programmer, så er det mennesker som har laget programmer. Det er mennesker sentralt i enhver tenkelig ting her. Det er mennesker som finner opp teknologien, implementerer den, kjøperen, brukeren, misbrukeren. Og i teknologien vi omgjør oss med så har vi altså dessverre ulike hull og sårbarheter som utnyttes av igjen, mennesker som er kreative og som finner på fine løsninger på hvordan de skal gjøre dette her. Det er fantasien som setter grensene i hvert fall for dem, på hvor langt de er villig til å gå. Så nevnte du et annet begrep. Spearfishing, da snakker vi mer om målrettede ting. Altså da er ikke eposten sendt ut nødvendigvis til 4000 mennesker, men sendt ut kanskje bare til deg. Vi har eksempler på det vi nærmest kan si er en grooming av enkeltpersoner, hvor man da etablerer kontakt. Blir kjent via sosiale medier med en falsk identitet. Man finner et felles interessepunkt. For eksempel hvis du er interessert i seilbåter, så er det det man utnytter. Man har dialog om seilbåter over tid. Så, hvis det er meg som skal lure deg, så sender jeg deg plutselig en video som sier at sjekk ut denne videoen her, også får du ikke spilt av den på din vanlige avspiller, så jeg kan tilby deg en avspiller som du må spille av på, også er vi i gang. Fortsatt ikke garanti for at det lykkes, men spørsmålet er igjen da, hvor gode er våre forsvarsmekanismer og hvor godt oppdatert er vi og hva er det de kommer med? Så kan vi lese skrekkhistoriene da om såkalte ekstremt avanserte skadevare, nulldagssårbarheter også videre. Jeg tror det også er viktig å forstå at mange av disse eksisterer, og vi må anta at det er en del av disse som eksisterer hvor de som har kontroll over dem, ikke ønsker å bruke i enhver tenkelig situasjon. Så det er ikke alt du leser om i nyhetene som kommer til å komme vår vei. Fordi dette har vært en sårbarhet som en annen stat har brukt i et sånt statsperspektiv for å drive spionasje mot helt spesielle mål og verdien av det de da utnytter, den er så høy at de ikke villige til å misbruke den til hvem som helst med faren for at de blir oppdaget. Når man snakker om det at man skal få brukeren til å gjøre ting. Så dukket jo i fjor sommer opp nyheten om en skadevare som rett og slett tok over en mobiltelefon, Pegasus. Israelsk utviklet programvare særdeles avansert og ble solgt i realiteten kun til andre lands myndigheter i bekjempelse mot terror og kriminalitet. Også viser det seg at en del land som vi kanskje ikke liker å sammenligne oss med, har kjøpt denne programvaren, også bruker de den til å spionere mot politisk opposisjon, journalister også videre, men samtidig så må man da forstå at dette er så avansert, og man må betale så mye for å bruke det at du og jeg som Ola og Kari nordmann, vi er ikke i målgruppen for det. Hvis man plutselig er en spesiell person med da en interesse for den kategorien, så skal man være obs på at dette også da er fullt mulig å få til. Så må man da ha sikkerhetstiltak som ivaretar det, og som gjør at for veldig mange på det nivået kanskje er smart å ikke ha med seg mobiltelefonen i alle tenkelige rom og samtaler og den type ting. Så da må man ha gode, analoge, klassiske tiltak for å motstå det. Det var mange forskjellige ting.
Frode: Ja. Jeg savnet bare spoofing.
Roar: Klassisk der er jo kort og godt sms spoofing. Spoofing i seg selv, kan man jo si at er å forfalske en avsenderadresse på epost som ser at det er meg som sender deg en epost, men det er ikke det. Det samme har vi i Norge vært utsatt for veldig mange runder nå. Med at folk blir oppringt eller får tekstmeldinger fra det som ser ut til å være politiets nummer eller andre ting når man sjekker dette på 1881 og andre oppdragssteder. Så er problemet at folk forstår ikke hvor enkelt det dessverre er å forfalske og spoofe dette her. Så man tar for god fisk, at det faktisk er den offentlige etaten med høy troverdighet, og som man har tillit til som faktisk sender deg denne meldingen. Også gjør man dessverre neste skritt, som er å gi fra seg informasjon eller betale et eller annet også videre.
Frode: Ja fordi, sånn som jeg har forstått det, så kan du egentlig kjøpe på dark weben som du også må si noen ord om etterpå. Enten kan du kjøpe crime service, altså at noen gjør det for deg, eller du kan kjøpe oppskriftsboken på hvordan du gjør det selv, men dette er jo en egen liten næringskjede. Så hvordan fungerer dette? Hva er dette dark web og i hvilken grad påvirker det oss i det vi snakker om nå?
Roar: Det mørke nettet, dark web, hvordan skal man forklare det? Det er viktig å hvert fall forklare at det ikke er eget internett som bare ligger på siden av alt annet. Det er en del av internett, men det er en ikke så fullt søkbar del av internett fra for eksempel Google. For å dykke ned i det så må du ha en del spesielle tjenester, og der eksisterer det rett og slett mange forskjellige ting. Det er mange bakgrunner for at dark web eksisterer. Som ikke bare er av negativ art, for eksempel er det mange som har måttet beskytte kommunikasjonen sin og andre ting vi gjør på en god måte, men der eksisterer det til syvende og sist betydelig kjøp og salg muligheter anonymt, mellom kjøper og selger av hva du måtte ville og ønske her i verden. I det så ligger det også at veldig mye av dette her er definert som straffbare ting, ulovlige ting. Som du sier, det er jo da blitt sånn at veldig mange av disse tingene vi nå snakker om kan kjøpes som enkelttjenester eller fullt og helt tjenester utviklet av mennesker med betydelig teknologisk kompetanse som er i stand til å for eksempel lage skadevare som utnytter en spesiell sårbarhet, men de selv har kanskje ikke interessen av å utnytte den i en kriminell forstand. De har bare skrevet koden, men de vet allikevel bevisst verdien sin. Sånn at de legger ut den koden for salg, sannsynligvis ganske vel vitende om hvordan den kan brukes. Også er det andre som kjøper den, også bruker de den igjen til å begå handlingene da som hverken du eller jeg ønsker å bli utsatt for. Så dette er et så grått og vanskelig område. Fordi når du og jeg snakket litt om trusselaktører, nasjonalstater og hackergrupper også videre. Det er så mye kjøp og bruk av tjenester mellom hverandre, at det er sånn veldig enkelt å si at det er de som har gjort dette her. Det er særdeles vanskelig å kreve betydelige ressurser, fordi man er så flink, nettopp til å få andre til å gjøre ting for seg for å ikke bli tatt selv med buksene nede. Man bruker andres utviklede skadevare, fordi den klassisk sett er lagd i det landet, som kan umiddelbart se ut som at det er et annet land som har gjort det, mens det kanskje er noen andre som likevel står bak. Dn enkleste måten å forklare dette her på er at hvis vi sitter i Norge og ønsker å tukle med Sverige, så er det veldig fint hvis vi greier å få det til å se som det er Danmark som gjør det. Også legger man ut noen brødsmuler for å få det til sett som er Danmark som gjør det. Selvsagt ønsker ikke vi å tukle med Sverige, så det er det dårlig eksempel, men ja, du skjønner tegninga.
Frode: Nei, jeg er usikker jeg nå. Nei da, men vi skal avrunde litt på eksempler snart, men det er umulig å ikke touche innom passord. Vi har vært på dark webben nå, der kan du finne passord dumper på mange hundretusen eller millioner passord som er lastet ned. Dette å stjele passord, dette å knekke passord. Kan du ikke si litt om det, for det er jo en av de rådene man ofte får. Du må ha gode passord. Hva er liksom dynamikken her?
Roar: Det viktige med det, for å starte med det, det er faktisk en av de tingene du og jeg som helt vanlig individer kan gjøre noe med selv og kan gjøre bedre. For å forstå hvorfor det er viktig, så handler det om at du og jeg bruker veldig mange passord rundt omkring. Erfaringsvis, så viser det at vi altfor ofte bruker de samme passordene på altfor mange ting også. Så når du jeg legger igjen det samme passordet på en butikk vi handler sko i hvert annet år, og vi bruker det samme passordet på jobben eller til andre tjenester som er betydelig viktigere for oss. For eksempel bank-ID som en veldig viktig identitets greie for oss i vårt moderne samfunn. Så er det et problem, fordi det er ikke sikkert at sikkerheten knyttet til vårt passord hos den skobutikken er den aller beste, og når virksomheter da mister kontrollen over det, kanskje også handlinger begått av hackergrupper som faktisk er ute etter å stjele passord, fordi det ligger penger i det også. Å selge en passorddump, som man kaller det. Med 500.000 brukere og selge det ut på markedet. Der ligger det penger, også er det andre som tar ut de passordene og misbruker det til andre ting igjen, men det er stadig en foredling av produktet hvor folk kan tjene penger på ulike måter. Som du sier, det ligger da tonnevis med passord og brukernavn der ute. Noen av de er gratis og tilgjengelig for deg og meg, og du vil og andre er til salgs fordi det er av nyere karakter og mer oppdatert som sådan. Jeg har offentlig, flere ganger sagt at jeg er så lei av å lese om stortingsrepresentanter, som har fått hacket Facebook kontoen sin, fordi den kontoen er ikke hacket, det er noen som har logget seg inn, punktum, ferdig snakket. Fordi brukernavn og passord er det samme brukernavn og passord som er brukt på 18-20 forskjellige steder, og det er kommet ut i friluft. Det ligger i en sånn passord database. Det er bare å logge seg inn, også har man heller ikke gjort det som er enda viktigere for oss, og det er å slå på det vi kaller tofaktorautentisering, multifaktorautentisering. Det du og jeg kjenner igjen fra det vi må gjennom når vi bruker bank-ID på mobil. Da er vi tilbake igjen på noen av disse egentlig forholdsvis enkle tingene for å selv som vi ikke greier helt å gjøre. Så er det noen forklaringsmåter på hvorfor det blir sånn. Så er det noen forklaringsmåter på hvorfor det blir sånn. Fordi det klassiske med passord er at passordene skulle være lange, komplekse, også skal vi huske dem så vi må for all del ikke skrive ned eller oppgi det på noe som helst måte. Det fungerte bra for femogtjue år siden, og du jeg kanskje kun hadde behov for ett eller to. I dag har vi behov for mellom 40 og 50, og det er ikke menneskelig mulig å gå rundt og huske lange, komplekse passord som skal være unike. Altså et passord per tjeneste og huske dem i hodet. Dermed så tar vi fort snarveier også ender vi opp med å bruke ett eller to.
Frode: Min vurdering er å heller ha mange og ulike passord og skrive ned, og heller måtte ta fram en lapp nå jeg da skal handle på denne skobutikken, som jeg gjør en gang i hvert skuddår.
Roar: Det er så bra du sier det Frode, fordi jeg tror det snart er 4 eller 5 år siden vi NSM gikk ut nettopp med det som et råd, og møtte faktisk en del motstand på det. Hvor vi da kort og godt sier at, hvis du lager deg en skriftlig passordliste med penn og papir, altså en analog liste, ikke på excel, da er vi litt ute og kjøre også, men din egne analoge liste med alle dine unike passord og brukersteder. Sjansen for at noen bryter seg inn hjemme hos deg for å lete etter det arket er så minimal kontra risikoen du tar ved å ha det samme passordet på alle typer tjenester. Grunnen til at vi sa penn og papir var også fordi det finnes andre løsninger. Såkalt passord manager og passord databanker også videre, men vi har kommet til den erkjennelsen, at det å få for eksempel min oppegående mor på 70 år til å installere den selv helt riktig, krever dessverre litt for mye brukerkompetanse. Slik at det å bare skulle si at rådet er en passord manager, er ikke enkelt for alle. Så dermed endte vi opp med penn og papir som et hovedråd. Det står faktisk enda, også håper vi da at det kommer opp bedre løsninger etter hvert med geometri og at teknologien kan hjelpe oss til andre måter å identifisere oss på, men enn så lenge er vi avhengige av disse passordene, og vi er ganske sårbare dersom vi ikke gjør det på riktig måte. Når i realiteten noen bare kan logge seg inn som oss.
Frode: Ja, for det vil vi ikke.
Roar: Absolutt ikke.
Frode: Da tenker jeg, at det er jo en fabelaktig avslutning på eksempler. Så nå skal vi ta en liten pause før vi starter på en av de tingene som er aller viktigst, nemlig hvilke verktøy har vi på å organisere sikkerheten vår på en trygg, god og ikke minst en måte som er akseptert hos alle som skal være en del av den virksomheten. Så takk så langt.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
“
“
Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei igjen og velkommen tilbake til tredje samtale i LØRN masterclass om cybersecurity for dummies med Roar Thon, som er fagdirektør i nasjonal sikkerhetsmyndighet. I den første samtalen, så snakket vi om det grunnleggende konseptet, fenomenet cybersecurity og i samtale nummer to så var vi innpå ulike eksempler både i praksis, altså mot virksomheter, men også eksempler på ulike fenomener man kan stå overfor. Nå skal vi gå gjennom verktøykassa, som vi liker å kalle som kan være best practise, eller det kan være ulike standarder eller ulike måter å gjøre ting på, for å få det forebyggende sikkerhetsarbeidet inne i et spor, som gjør at man har en risikobasert, og ikke minst fornuftig tilnærming ut ifra de verdiene man forvalter. Så Roar, velkommen tilbake.
Roar Thon: Takk skal du ha.
Frode: Roar, hvor bør man starte og hva har man å velge i denne verktøykassa?
Roar: Jeg tror i hvert fall det er viktig det vi allerede har snakket om. For repetere, vi snakker om teknologi, vi snakker om mennesker, og vi snakker om prosesser. Der ligger det ulike verktøy og verktøy muligheter som sådan. Hvis vi starter med teknologien, så vil jo i hvert fall jeg slå et slag for at de aller fleste virksomheter har noe å hente på og lese nsm’s grunnprinsipper for IKT sikkerhet. Der er det veldig mye å hente. Det er en del lavthengende frukter der som man kan se på. For det første er jo grunnprinsippene gratis, så det er jo en positiv greie i seg. Og det er ikke alle tiltakene der som nødvendigvis koster mye penger eller at de må investeres i. Altså i ny, annen programvare av den type ting, men samtidig kan det også være kompetanse krevende. Du må ha noe teknologikompetanse for å for å kunne gjøre noe av dette her. Også finnes det selvsagt en rekke standarder som du sikkert kan mer om enn meg Frode, i forhold til også å se på hvordan man kan styrke den rent, altså den teknologiske sikkerheten, men til det så trenger man kompetanse. Og det er et problem i seg selv, fordi det er en mangelvare på den rette kompetansen til å gjøre de riktige tingene. Så kan man jo orientere seg ved å lese alt ifra våre rapporter og alt mulig sånn, men du kommer ikke bort ifra at du og jeg blir ikke sikrere ved å lese rapporter. Vi må jo gjøre noe, og da må vi altså ta i bruk disse verktøyene, stille om på denne innstillingen, om det er windows eller hva det måtte være. Den menneskelige delen av det er jo egentlig en sånn greie, fordi igjen, det er som mennesker vi leser rapporten, det er som mennesker vi enten forstår rapporten, ikke forstår rapporten, og det er som mennesker vi ender opp med å prioritere dette her eller ikke. Det er veldig lett å gå i den fellen, tenker jeg, når vi snakker om nå må vi gjøre noe. Vi har snakket om at ansatte blir veien inn via epost, vedlegg og lenker. Vi har dårlige passordrutiner som også handler om oss mennesker. Det er veldig lett å gå i den fellen. “Ja, men da må vi gjøre noe med det. Vi må gjøre noe med det, umiddelbart, så nå kaster vi masse ressurser i det”. Jeg vil be folk om å ta det litt mer med ro. Finne ut hvor det er du egentlig får størst effekt? Og da må du faktisk vite litt hvor problemet ditt allerede er? Altså, hvor gode er denne virksomheten på å håndtere passord, hvor oppmerksomme er våre ansatte på at de kan bli svindlet og lurt via epost? For hvis det er sånn nogenlunde bra, så er det ikke sikkert at det er der jeg ville brukt opp alle ressursene mine for å forsterke det ytterligere. For det kan være andre steder du trenger å forsterke deg, og det haster mer. Så en systematisk tilnærming til dette her og nærmest være i stand til å finne ut, hvor du står. For hvis du ikke vet hvor du er, hvordan skal du da finne veien til å nå et sted du ønsker å være om et halvt år? Så sånn som baseline for å si det sånn på sikkerhet er det ganske viktig å ha et forhold til hos seg selv.
Frode: En utfordring for mange av oss små og mellomstore bedrifter er at vi har kanskje ikke en egen IT avdeling. Vi har i hvert fall ikke en egen sikkerhetsenhet hos oss, og vi skal gjøre en del valg. Litt som du sa, så vi kan velge mellom standarder. Du kan lese deg opp på en iso standard enn Norsk standard, eller vi kan gå inn og se på nsm’s eller bruk av 3 faktormodeller. Hvor du har en verdi av sårbarhet trussel. Du skal vurdere litt sannsynlighet i dette her. Du skal vurdere litt konsekvenser, og det blir plutselig ganske komplekse vurderinger. Så skal du tenke, skal vi gå for en server i kjelleren eller skal vi gå for sky? Og da tenker jeg brorparten av virksomheten i Norge, det er ikke Telenor eller Equinor størrelse, de er ganske små. De er små og mellomstore bedrifter. Jeg kunne ikke vært mer enig i det du sier, man må finne ut hvor står du, hvor er vi og hvor ønsker vi å være? Men for å identifisere dette, hvordan kan man finne ut, hvem man kan stole på i et perspektiv hvor du skal få hjelp til å gjøre disse tingene, for du mangler kompetansen selv.
Roar: Ja, der finnes det noen ordninger, og den ordningen jeg tenker på nå. Den er litt mer sånn når hendelser har oppstått, men det finnes veldig mange kompetente miljøer og selskaper der ute som tilbyr hjelp til å nettopp finne den der grunnlinjen. Hvor god er du? Det er mange måter å gjøre det på. Du kan gjennomføre en mer systematisk analyse av virksomheten din, og du kan stress-teste deg ved å utsette deg selv for det vi kaller på fagspråket- penetrasjonstesting.
Frode: Det hørtes brutalt ut.
Roar: Det høres veldig brutalt ut. Noen får i oppdrag å hacke deg rett og slett, og gjennom det finne ut hvor du er mest sårbar. Det kan vi snakke litt mer om, men i det man inviterer sånne inn, så er man jo fort den faresonen da. Hvis man skal være litt paranoid, at man inviterer nå i verste fall ulven inn til saueflokken. Ikke sant? Fordi man lar utenforstående få tilgang på sårbarheter også videre, så det er veldig greit å ha et tillitsforhold til de som man gir den type oppdrag. Men det finnes også nok av selskaper der ute som er dønn seriøse til å gjøre dette her og det tror jeg man veldig greit kan finne litt av ved å søke litt og få høre seg littegrann rundt. Så er det en egen ordning som jeg tenkte litt på, som handler mer om hendelser, men igjen i nsm, så har vi lagd en kvalitetsordning, hvor virksomheter som ønsker å få det kvalitetsstempelet til å drive såkalt hendelseshåndtering, går inn og hjelper virksomheter når de er rammet. Så kan de da være en del av denne ordningen. Så har vi en liste som vi kan legge fram, og den har vært til stor hjelp for sånne som oss også, fordi det jeg stadig ble utsatt for, det er jo velmenende spørsmål, hvem er det du ville ha brukt da Roar? Og i det jeg sier et konkret selskap, så er jeg med på å lage en sånn markedsvridning som blir veldig feil, fordi det blir sett som at det er en nsm som mener at det er kun dette ene selskapet. Det finnes mange. Så vi må passe oss for å ikke gå i den fella. Derfor har vi lagd blant annet en sånn liste, men jeg tror man litt sånn enkelt vil kunne forhøre seg og finne ut av dette her, også er du inne på noe som er veldig sentralt. Du sier i kjelleren eller i skyen. I flere år har vi lenge sagt at, for de aller fleste norske virksomheter, og da tenker vi litt på de små og mellomstore, så vil det være betydelig bedre sikkerhetsmessig av å gå i skyen enn det er å tro at man skal kunne kjøre alt selv i kjelleren. Fordi de erfaringsmessig ikke vil ha kompetanse og ressurser til å gjøre og følge opp det på en god nok sikkerhetsmessig måte. Det vil altså si, at du lener deg og stoler på noen som kan dette mer profesjonelt og som jobber med dette profesjonelt hver eneste dag og de igjen, denne driftsleverandøren din som kan være liten eller stor. Hvis de har ting på stell, så har de også enten et eget miljø som kun jobber med sikkerhet eller de lener seg igjen på et annet selskap som jobber med sikkerhet for dem for å passe på dere og deres kunder. Det er litt sånn som ellers i livet. Det er greit å vite hvem man går til sengs med her altså. Jeg er ikke sikker på om jeg hadde hoppet på IT og vafler AS på hjørnet for å si sånn med én ansatt til å gjøre alt dette her der?
Frode: Jeg tror jo at vi er inne på liksom noe av det som blir viktig for mange virksomheter nemlig denne vurderingen knyttet til hvilke løsninger går vi for. Jeg tror du er helt rett. Jeg tror at de store IT- leverandørene som er anerkjente, som Google, Microsoft, Amazon, har ganske gode strukturer for å ivareta sikkerhet. For meg da, så har den tradisjonelle sikkerheten som ivaretar disse 3 fenomenene vi snakket om i stad. De har fått med et nytt perspektiv, kall det gdpr perspektivet og plutselig så er det sånn at en alliert ikke nødvendigvis er en alliert lenger i et sånt sikkerhetsperspektiv. Fordi at EU ikke har for eksempel en avtale med USA knyttet til dette med behandling av personopplysninger. Hvis vi ser dette sammen så er det utrolig vanskelig å ha de riktige typer kompetanse til å gjøre riktige og gode, eller i hvert fall gode vurderinger knyttet til hva slags leverandører vil du velge? Hvordan skal du sørge for at du har alt på stell? Er det noen steder man kan bygge kompetansen knyttet til, hva betyr alle disse valgene for deg? Fordi de blir plutselig store størrelser å forholde seg til for små virksomheter.
Roar: Ja, der er nok ikke jeg kanskje den helt rette til å til å svare på alt det der, fordi jeg også synes at dette med gdpr er komplekst, også finnes det en rekke miljøer man igjen kan ta der. Så er det viktig å presisere at personvern og sikkerhet er for meg går hånd i hanske. Altså sikkerhet er der for å blant annet sikre personvernet, også kan vi si at for mye sikkerhet i en sånn større sammenheng kan også gå ut over personvernet, ikke sant? Så det er balansen her. Så er det jo viktig å ha i bakhodet at det ikke er alle som nødvendigvis forvalter og behandler informasjon som er av den kategorien at det kommer innenfor, altså igjen gdpr. Samtidig så har de aller fleste ansatte med informasjon om sine ansatte, som igjen da gjør at de kanskje havner der. Så det å ha et det å ha et avklart forhold til hvem man har som leverandør da, fordi det du det du er inne på.
Det er at mange av disse store har masse på stell, men det er også det store kritiske spørsmålet, har de en eller flere forretningsmodeller? Er du også samtidig en del av deres datagrunnlag for å tjene penger på en annen måte, i tillegg til at du bruker produktene deres? Der ligger jo en sånn helt grunnleggende bekymring når vi bruker disse tjenestene. Der tror jeg også det kan være viktig å tenke på at det kan være veldig fristende for en liten bedrift og velge løsninger som ser nærmest gratis og billig ut, men som allikevel har en helt annen tilleggskostnad ved at nettopp du ikke lenger er en kunde. Du er blitt en vare fordi du har tatt i bruk dette produktet.
Frode: Ja, dette er jo ikke klassisk cybersikkerhet, men dette er jo virkelig et av de hotte temaene kanskje aller mest i Europa nå. Hvor vi ser at, det å betale med data om deg selv eller data om virksomheten eller dataen virksomhetens ansatte er en forretningsmodell som brer om seg. Da kan jo jeg tenke meg at det er andre faktorer enn ren sikkerhetskompetanse som vil være viktig når du skal gjøre valg som juridisk kompetanse. Kanskje en merkantil kompetanse i forhold til, hva er det egentlig du går inn på? Så tror jeg altså det at, uten å dra den her for langt da så er det jo sånn at selv offentlige aktører byr på vår informasjon. Jeg ser på skolen som sønnen min går på så får han en chromebook, og det er jo på vis en gave til Google på å samle data om barn allerede fra de er bittesmå. Som kall det er et overvåkingsnettverk i et sosialt manipulerings perspektiv som kan utgjøre en betydelig mulighet for de fremover.
Roar: I Danmark nå nylig, så er det en kjempekrangel i gjennom det danske Datatilsynet og flere danske kommuner, nettopp med det valget man har gjort med med å bruke Google produkter. Så det skjer stadig sånne kamper, og jeg tror at mange av de kampene er ekstremt viktige, men samtidig skjønner jeg den følelsen man har på at dette er overveldende å forholde seg til som en virksomhetsleder, som har hatt en gründer idé og startet opp og nå sitter der med 15 ansatte og forsøker å få hjula til å gå. Så da hvordan skal man liksom forholde seg til alt dette her? For noe av det jeg formidler med ute da til ledere, det er at det er altså to spørsmål de skal stille seg helt grunnleggende. Hva skal de være i stand til å gjøre selv og hvem andre kan hjelpe dem? Dette kommer med en kostnad. De aller fleste anser jeg til å ha tatt innover seg at uansett hvilken bransje sektor du er i, så er IT corebusiness. Du er involvert med IT og det er så sentralt for deg uansett hva du holder på med. Men ikke alle har forstått at kostnaden ved å sikre den IT-en er også cost of doing business. Altså du får ikke dette gratis. Du er nødt til å sette av ressurser til å gjøre det også igjen, forstår jeg at ikke alle kommer til å ha millioner av kroner til å sikre dataene sine, fordi igjen, virksomheten skal overleve også på en helt vanlig måte, men det er det sentrale spørsmålet. Hva skal du være i stand til å gjøre selv og hvem andre trenger å hente inn for å hjelpe deg? Og det er hvertfall i et sikkerhetsperspektiv og cyber sikkerhetsperspektiv ganske smart å avklart før hendelsen er der. Fordi hvis du ikke har avklart hvem som skal hjelpe deg når hendelsen er der, da kan jeg i hvert fall si at det blir betydelig dyrere enn å allerede ha en avtale med at noen kommer og hjelper deg?
Frode: Ja, og da er vi tilbake på egentlig det forebyggende perspektivet også. Hvis du skulle ramse opp og kort beskrive hvilke elementer vil forebygging innebære hvis du tar det fra A til Å i en kort gjennomgang.
Roar: Ja. Bare sånn fra toppen av hodet nå, så vil jeg starte med systematisering. Altså at man har rutiner, prosesser som gjør at man ivaretar de daglige rutinene på en sånn måte at det bidrar til at sikkerheten blir bedre. Hvis du sier at man har et helt klart og rutinemessig forhold til for eksempel, når det kommer oppdateringer fra Microsoft, Apple eller hvem det er så blir det faktisk implementert for at man da har bedre, sikrere teknologi. Det er liksom ikke tilfeldighetene som skal slå inn på at man på lille julaften finner ut at før året har gått så skal vi oppdatere alt av oppdateringer som har kommet det siste året. Det er litt for seint for å si det sånn, så det å ha klare rutiner på det og en systematisk tilnærming til teknologien og oppdatering og mye annet her. Hvis jeg skal ta et sånt lide sidetrekk, så jobber vi i NSM med å sende ut en rekke varsler offentlig til ulike sektorer og andre, og av og til så ender det opp i litt større nyhetsoppslag, med at denne sårbarheten er nå ute, den blir utnyttet. Det er viktig å oppdatere eller faktisk da deaktivere denne funksjonen. Det som en virksomhet også må sette seg selv i stand til å fange opp den type varsler rent systematisk og faktisk ha noen som sørger for at det blir gjort noe med, er også viktig. Så der er vi tilbake til systemene og rutinene som sådan. Så hopper jeg over til menneskene. Det å gi ansatte kunnskap, situasjonsforståelse og motivasjon til å forstå hvorfor man skal bidra og gjøre disse tingene er for meg så sentralt. Norsk arbeidsliv og Norsk kultur er basert på det. Vi responderer veldig dårlig på hvis sjefen bare sier at ikke spør, du skal bare gjøre dette her. Det blir det dårlig stemning for å si det sånn. Vi ønsker en slags mer indre motivasjon til å forstå hvorfor vi trenger å gjøre dette her. For å forklare det, så bruker jeg ofte et eksempel. Hvis jeg driver restaurant og den går så det griner, det er fulle hus hver eneste dag, men det eneste konkurransefortrinnet jeg har fra min restaurant kontra mine konkurrenter er, at jeg har verdens mest fantastiske bernesaus og oppskriften på den er hemmelig, det er vår bedriftshemmelighet. Det er det vi vet at vi lever på og av, og den ligger i safen på mitt kontor. Det er kun meg og kjøkkensjefen og en til som vet hva den oppskriften inneholder. For å beskytte den, så sier jeg til alle ansatte, her skal vi ha så god sikkerhet at dere får ikke lov til å fortelle noen ting om det som skjer på denne arbeidsplassen overhode. Uten å egentlig motivere noe særlig mer for det. Det er bare jeg som sier det som bedriftseier. Det kommer aldri til å fungere, fordi folk er folk. De har behov for å prate, de har behov for å dele med familie også videre, og da er det faktisk bedre at jeg sier til mine ansatte at, vet du hva? Det er en ting som er vårt store konkurransefortrinn. Det snakker vi ikke høyt om. Det holder vi hemmelig. Vi beskytter det godt, ellers så må du gjerne snakke om hva som helst som skjer her sånn, men denne greia her trenger vi alle til å bidra til å beskytte. Det er for meg en betydelig bedre tilnærming til at det er en forståelse der. Og det å greie å gjøre det i den konteksten man er i, uansett hvilken bransje man da er i. Om det er i en forsvarsindustri, blomsterbutikk eller matbutikk. Alle har noe de trenger å ha ekstra oppmerksomhet på og forklare hvorfor dette faktisk er viktig. For de aller fleste av oss ansatte vi ønsker å gjøre en god jobb. Vi er stolte av arbeidsplassen vår. Vi er stolte av det vi eventuelt leverer. Det bedriften, virksomheten står for, altså det er så mange ting som motiverer oss. Da motiveres man i realiteten bare av penger også. Så det kan kanskje for dem holde med å si at dette går ut over bonusen vår hvis vi feiler på dette her, men det å finne de punktene som gjør at alle er med og drar det lasset, er så viktig. For vi er så avhengig av den enkeltes faktisk adferd og daglige rutiner rundt sikkerhetsarbeidet.
Frode: Hvis vi hopper bare litt tilbake til det tekniske igjen, det å ha en form skriftlighet rundt, kall det gjerne et sånt cyber risikobilde. Altså at man har en forståelse av, og et system rundt hendelseshåndtering systemet, har man kjøpt det gjennom forsikring, har man etablert det? Hvor viktig er det å ha en form for dokumentasjon på dette her i forhold til etterlevelse av det man har bestemt seg for skal være riktig. Så skal vi snakke litt mer om menneskene etterpå, nen hva tenker du rundt det?
Roar: Der er jeg faktisk litt todelt. Fordi det er en litt sånn pragmatisk del av meg. Som jeg pleier å si, hackerne bryr seg døyten om du har et styringssystem for sikkerhet eller ikke. De gjør sitt uansett. Også er det selvsagt smart å ha det, og grunnen til at jeg er litt sånn todelt på det, for nå skal jeg si litt mer positivt om at det er smart å ha det, men grunnen til at jeg blir todelt på det er allikevel at det er en fare for at man noen ganger tror, at fordi man har skrevet ned dette i dokumenter, så er man blitt sikrere, men det må operasjonaliseres. Altså det må gjøres til det man faktisk gjør i det daglige, hvis ikke så er det bare et dokument. Nærmest hvis man har skrevet dokumentet, fordi da er man complaint i forhold til det man overordnet regel bestemmelse. Der er vi igjen tilbake til at, det var fortsatt bare et dokument. Ja, du møter et eller annet krav, men du har ikke blitt sikrere av den grunn, bare for at du har det. For dette må ledes på. Det må gjøres til det vi gjør i det daglige, men jeg startet jo med å snakke om systematisering, og det er altså helt klart, for å ha en oversikt, for å helt klart kunne vise hva man gjør og fokusere på. Så trenger man den type dokumenter og styringssystemer, for å bruke et sånt begrep.
Frode: Ja og kanskje i et ombordings perspektiv, så vil det være lettere å få folk oppe å gå på sikkerhetskulturen man har definert.
Roar: Helt klart. Hva er det vi forventer av deg? Hva er det du skal gjøre daglig? Det dokumentet erstatter ikke den lille to setningen som kommer under lunsjen eller på avdelingsmøte eller personalmøte, som sier at, husk på at i akkurat disse greiene her, så må vi tenke på dette i dette prosjektet. Nå gjør vi dette, så nå er det noen ting som gjelder her. De daglige dryppene der, de rutinemessige tingene. Det er så alfa omega for meg, kontra om du har den store permen eller ikke.
Frode: Ja, jeg kjenner også at jeg er litt rebell på det her.
Roar: Ja, og jeg sier ikke, at vi ikke har behov for det, men det må ikke bli soveputen.
Frode: Nei, jeg synes det er et godt poeng. Så er det menneskene, vi alle tilhører ulike kulturer sånn globalt. Vi tilhører ulike kulturer i Norge, virksomheter av ulike kulturer og dette også lage noe som passer for den enkelte. Det har jeg merket når jeg har vært på mange forskjellige steder, at det er veldig steds og virksomhets avhengig, av hva som er logisk å gjøre og hva som føles ekstremt inngripende, brutalt unødvendig og komplisert. Så det jeg kunne tenke meg bare å avslutte litt rundt før vi går videre på workshopen vår med med LØRN som utgangspunkt. Sikkerhetsloven har laget et nytt begrep, forsvarlig sikkerhetsnivå. Og jeg synes det er utrolig fint, for det kan alle tenke seg til. At man sier, vi legger lista her. Det er liksom hos oss, så er dette her lista, men hvordan kommer du fram til lista? Du er jo mister sikkerhetskultur sånn nasjonalt i Norge. Hvordan motiverer du og gir folk den forståelsen for at det er akkurat der den skal ligge, fordi dette er sårbarhetene, dette er vurderingene vi har gjort knyttet til dette?
Roar: Jeg tror det første jeg ville startet med, er noe vi egentlig kunne ha startet hele samtalen vår med. Det er å snakke om at det er ikke er en eneste virksomhet som er etablert med en hensikt i å være sikker, påstår je. Man har etablert for å gjøre en rekke forskjellige andre ting, og så ønsker man å være så sikker som mulig når man gjør det. Så sikkerhet er ikke det viktigste vi driver med. Det er en viktig erkjennelse i seg selv. Så handler det da om å finne den rette balansen, hvor man har sikkerhetstiltak som nettopp understøtter hvem du er, hva du driver med, hva er truslene og risikoene dine. Det å greie å gjøre det så nærme som mulig deg. Er betydelig bedre enn å bare ta noen andres og skulle innføre det. Jeg pleier å si at, hvis jeg hadde tatt sikkerhetsreglene til forsvaret når de opererte på bakken i Afghanistan og implementert det i en vanlig Norsk bedrift med 20 ansatte, så hadde ikke den bedriften fungert den dagen. Neste dag, så hadde den begynt å fungere fordi da hadde de ansatte bypasset sikkerhetsreglene i ønsket om å få gjort jobben sin og få gjort leveransene sine. For det er ingen forståelse for hvorfor må vi ha det sånn her. Så det å gjøre dette så tett som mulig inntil din egen situasjon er noe av det aller viktigste du kan gjøre. At man faktisk føler et eierskap til dette her. Da er vi igjen tilbake til at man har ikke sikkerhetstiltak bare for å ha dem. Jeg pleier å si at sikkerhetstiltak som ingen greier å følge, det gir som regel bare mye dårligere sikkerhet. Det må være en fornuft der, det må være muligheter og evne til å forklare. Hvorfor gjør vi dette akkurat sånn, akkurat her, og når du og jeg spiller inn dette her nå da, så er vi jo inne i en sånn klassisk periode etter sommerferien, hvor tonnevis med virksomheter har nye ansatte. Det er jo da de er formbare. Det er jo da de sånn sett skal gis både informasjon, kunnskap og gis forventninger til hvordan vi skal vi gjøre det. Og de kommer kanskje med masse kompetanse fra før, altså når du kom fra NSM inn i LØRN så har jo du din kompetanse, men du kommer allikevel til et nytt miljø. Et sted med kanskje et annet trussel og risikobilde, en annen måte å gjøre ting på. Så igjen, selv om du da har kunnskaper fra før, så må du få ny kunnskap, og det må tilpasses den nye situasjonen. Så den omboardingen, den oppfølgingen blant annet av nyansatte, samtidig som man må ivareta de som allerede også, fordi situasjonen endrer seg over tid, den er eksepsjonell viktig altså.
Frode: Jeg tror rett og slett at det er oppsummeringen av verktøy tilgjengelig. Da møtes vi straks til å ta dette inn i LØRN som du nevner, for å se hvordan vi kan gripe dette med sikkerhet med de rammefaktorene som vi faktisk har. Da sees vi.
Roar: Det gjør vi.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
“
“
Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei igjen og velkommen til den fjerde samtalen i vårt lille minikurs i cybersecurity med for dummies. Dette er en såkalt masterclass som har vært delt opp i tre. Vi startet med å kikke litt på konseptet så gikk vi over på noen gode eksempler også har vi akkurat vært igjennom verktøykassen og sett på, hvordan vi kan gjøre ting. Det vi skal gjøre nå, er at vi skal ha et lite verksted, en liten workshop med LØRN som utgangspunkt. For at det skal gi mening så tenker jeg at jeg skal fortelle deg litt om hva LØRN er, også skal jeg utfordre deg på å være vår nye sikkerhetsansvarlig og hvordan du da ville gripe ann dette. Da kan du si, vi er et lite selskap, vi er ca 15 ansatte hvor vi har en andel i Norge og en andel i utlandet, både innenfor og utenfor EU. Vi lager digitale produkter på vår egen plattform og i all hovedsak kan du si at våre produkter er som dette, podcast eller videocast, men vi har også workshops, og vi har ulike key note speeches, altså en form for webinar. I næringskjeden vår så har vi også tekst og vi har ulike elimenter som vi må ta vare på i et sånt digitalt perspektiv. Vi bruker masse forskjellig software. Vi har en haug av underleverandører og leverandører til det vi gjør. Vi bruker som det vi gjør nå, Steam Yard, for å ta opptak. Vi er i Google universet. Vi er i Microsoftuniverset. Vi har et system hvor vi bruker noe som heter speech to text som skaper nye muligheter for bruk av det vi har og en del andre ut og innganger mot verden rundt oss. Det er for eksempel Hubspot, Facebook, Linkedin, Spotify eller Youtube. Så vi er egentlig koblet til alle sammen både her og der og vi er prisgitt de ulike leverandørenes sikkerhetsnivåer rundt oss. Både her og der, og vi er prisgitt kalde de ulike leverandørenes sikkerhetsnivåer rundt oss. Vi har gdpr informasjon på våre egne ansatte, litt som du nevnte i stad, og vikan ha det også på kunder. Vi har litt ulik måte vi ombord kunder på, men vi har det i prosjektene våre. Det jeg vil si er sensitive samtaler med kunder som munner ut i åpne podkaster. Det kan skje sånn som man ofte gjør nå, i et digitalt møterom, en videokonferanse eller et eller annet. Så da må man stole på det rundt oss da. Hos oss er det høy grad av valgfrihet, så jeg bruker mac. Jeg har vært pc fyr hele mitt liv, men når jeg skulle i en startup tenkte jeg. Jeg må ha mac, det ser dårlig ut å fortsette med pc, men noen velger pc og dette gjør også at vi har et mangfold der. I dette så bruker vi også ulike grafiske verktøy. Vi har da en haug av apper som snakker sammen, eller som vi bruker hver for seg, men som er lastet ned på samme sted, og det er egentlig kjernen. Gullet vårt, det er produktet vi lager nå. Vi har cirka femtenhundre podcaster og x antall videocaster, og det skal vi ta vare på. Det og informasjonen om kundene våre og partnerne våre som er grunnlaget for dette. Det er det vi lever av, og det er det som må forvaltes på en måte som gjør at vi har tillit hos de vi jobber sammen med og tillit hos de som jobber for oss. Derfor så prøver vi å vektlegge sikkerheten i dette, men vi er overlatt til manges ulike systeme. Så kan du også si at i et sånt menneskers perspektiv da så er det sånn at vi er faste ansatte. Vi er freelancere. Vi har konsulenter som vi bruker på ulike ting. Så vi har også en en veldig sånn mangslungen tilknytningsform til LØRN og det sier jo litt om hvordan vi tenker tilgangsrettigheter, altså de logiske skillene. Hvem skal få lov til å jobbe med hva? Hvem skal se hva? Hvem skal få lov til å gjøre hva? Det daglige for oss, det jeg da kan se. er at vi har ingen sikkerhetsansvarlig. Jeg er coo, så jeg har en del av det ansvaret, men det er på en måte delegert ut i organisasjonen. Og må følges opp. For her har vi ulike kulturer, ulik bakgrunn og helt sikkert ulik forståelse av hva er viktig, hvor er vi sårbare? Det eneste jeg er ganske trygg på som du kan ta med deg videre at, vi vet alle hva gullet vårt er. Vi kjenner verdiene våre. Det er det ingen som kan tas på, så da er spørsmålet. Hvor ville du begynt, hvis vi skulle se hvordan vi ser ut nå, for å lage en plan. For å lede oss inn i et nivå av sikkerhet som er hensiktsmessig for oss?
Roar Thon: For det siste du nevner der Frode, det er jo det viktigste. Fordi at det du beskriver nå, hvis jeg skulle tatt meg en sånn der tradisjonell NSM hatt, så skremmer du meg. Du skremmer meg jo fanden på flatmark med det du egentlig du beskriver nå. Ikke sant? Fordi her er man all over the place, men så er heldigvis jeg skrudd sammen sånn at jeg er veldig med på at dette må jo fungere. Så nå har du gitt en god beskrivelse av hvem dere er, hvor dere står, også har vi ikke gått i detaljer og det skal vi ikke gjøre heller. Så nå har jeg en sånn overordna forståelse av hvem dere er, hva dere gjør, hva er verdiene deres? En av de første tingene, jeg tror jeg ville gjort, ville vært at dere er ikke så store at det ikke hadde latt seg gjennomføre at jeg faktisk hadde snakket med hver og en, for å høre litt om deres tanker og erfaringer på, ja, dere forstår hva verdiene deres er, hva er det dere lever av? Men hva mener du er truslene mot de? Hva er det verste som kan skje dere? Både hvem er det som kunne tenke seg å tukle med dere. Er det noen som mener at det er noen som kan tenke seg å gjøre det bevisst. Også er jo da den som vi har nevnt før, den mer tilfeldigmessige delen av det. Så hva er det som kan skje eller gå galt? Fordi det vil gi meg en slags baseline om jeg da kan bedømme at virksomheten fullt ut forstår hva de kan utsettes for eller ikke. Gjør man det ikke, så må man gjøre noe med det og sørge for at alle kommer mer opp til date i forhold til at dette her kan faktisk skje, og for å forhindre at det skjer, så er vi nødt til å tenke på noe med ting ytterligere enn det de allerede gjør i dag. Om det å snakke om passordrutiner osv. Fordi det du i tillegg beskriver er jo da et utall av ulike programvareløsninger, plattformer, som individuelt sett representerer en rekke ulike sårbarheter og muligheter for ting som kan skje. Den rent sånn paranoide sikkerhetsfaglige delen av meg tror jeg ville ha foretrukket å spørre da, men kan ikke alle kjøre mac, eller kan ikke alle kjøre windows eller kan ikke alle bare bruke en løsning på dette. Så tror jeg samtidig da, hvis jeg tar på meg den andre hatten og skaper mer forståelse for hva dere faktisk har behov for, for å være kreative, for å levere det dere gjør som en gründerbedrift/ oppstartsbedrift. Så må man sannsynligvis kanskje akseptere den risikoen ved at folk faktisk bruker de verktøyene som de allerede har kunnskap om å bruke på best mulig måte, på en ekstremt positiv kreativ måte da. Så er spørsmålet, hvordan kan man samlet sett sørge for å følge med på at dette ikke blir tuklet med. Få en oversikt over, hva er det i de ulike løsningene dere bruker som kan ende opp å nå helt fram til de ytterste verdiene deres. Er det godt nok sikret, er det godt nok segregert. Altså sluttproduktet som sådan kan alle nås inn til det gjennom dette her eller har vi løsninger som gjør at dette sørges for at det er sikkerhet på en bedre måte? Så nevner du jo utlandet. Du nevner jo allerede at det har sensitiv informasjon, gdpr informasjon. Jeg vil i hvert fall også tatt en runde på, hvem er det vi bruker som da kommer utenfor landegrensene våre, som kanskje utfordrer oss juridisk på andre jurisdiksjonsområder? Hva slags forståelse har de? Hva slags rutiner har de? Er det logikk i at dere har en annen tjeneste helt på den andre siden av jordkloden. Er det økonomisk basert, er det praktisk basert, hva risikoene der ved å ha noe du er så sentralt avhengig av et helt annet sted i verden? Hvordan er den verden? Hvor god strømforsyning har de der? Hva er andre trusler og risiko ved at man har tjenester i det landet? Jeg sier ikke at man ikke skal ha det, men man må ha et bevisst forhold til det og forstå at det kan være helt andre risikoer ved noen av de tingene enn hva vi selv opplever i ganske forholdsvis trygge Norge. Så det andre elementet man faktisk må ta inn i sånne vurderinger, avhengig av hvor man befinner seg i den store vide verden. Hvem har tilgang på informasjonen deres? Hvor lagres den? Hvor behandles egentlig? Når du og jeg sitter og gjør det opptaket nå? Så er det kanskje uproblematisk om det viser seg at løsningen vi bruker lagrer en slags ekstra backup et annet sted. Fordi du jeg sitter og spiller inn et produkt nå som skal ut og publiseres offentlig, ikke sant? Altså, det blir en selvmotsigelse å si at nei dæven, det er en kopi til av dette opptaket. Det er kanskje ikke den største faren, men som du er inne på sjøl. Den samtalen og den dialogen vi har hatt, forut for det, er ikke innhold og informasjon som du eller jeg ønsker å skulle komme ut eller eksistere i en annen form, selv om jeg her og nå da kan presisere at du jeg har ikke snakket om noe som er sikkerhetsgradert sånn at vi kan vi har ikke brutt noen taushetsplikter og den type ting på ikke godkjente plattformer for å si det sånn, men men igjen det bevissthetsforholdet til det. Så det var litt sånn overordna tankegang for meg, også er det å greie å sette seg i deres ståsted og tenke? Hvem er trusselaktørene, og da snakker vi igjen de tilfeldige må man forholde seg til uansett. Men finnes det noen her som målrettet kunne tenke seg å skade og ødelegge for dere? Er det en bransje hvor du har konkurrenter som er så tøffe at de er villig til å gå langt for å liksom tukle med dere. Eller har dere for eksempel kunder i det dere gjør som åpner for at noen kan se på dere med den øynene at dere er veien inn til de kundene? Greie å tenke som en kjeltring er også. en litt sånn greie dette her? Hvor kunne jeg ha tjent penger på dere, for å sånn se hvordan man beskytter seg i forhold til dette.
Frode: Veldig spennende. Hvis vi starter litt sånn med begynnelsen, alt etter som er koblet sammen. Det jeg har tenkt på da som jeg gjerne skulle hatt hvis jeg hadde kunne velge der ute det var noen, altså en eller annen tjeneste som klarte å se risikoen ved å sammenfatte alle disse systemene. Altså kjøpe en tjeneste. Fordi vi som virksomhet, vi vil ha store utfordringer med å si at, nei når vi gjør sånn og sånn, så er det greit, men når vi kobler på sånn og sånn i tillegg altså blir det ugreit, fordi risikoen øker sånn og sånn og sånn. Jeg tror vi er ganske vanlige i startup verden, og jeg tror også at veldig mange i startup verden gjør som du egentlig sa i stad. Du har et produkt som du har eller en tjeneste som du har laget, og som du har troen på og sikkerheten i det er nok ikke det du har hatt fremst i pannebrasken når du har utviklet det, men det er funksjonaliteten og hva man skal oppnå med den tjenesten eller det produktet. Så det er noe som jeg tenker må være en en tjeneste som man burde utvikle hvis den ikke eksisterer. Jeg vet ikke om du har-
Roar: Nei altså da er vi inne på såpass teknologisk nivå at der skal ikke jeg holde opp med å ha kompetanse, og jeg tror nok det er der vi er inne på at, her trenger man å gå og spørre noen med den kompetansen for å presentere seg selv og sitt problem og spørre, finnes det løsninger ut i markedet som kan hjelpe oss med dette? Kan dere hjelpe oss med dette her til å monitorere, følge med, altså se på helhetsbilde av det sammensurium man har. Som man da egentlig beskriver nå. For du beskriver, selv om virksomheten er liten, så beskriver du en betydelig kompleks utfordring, nettopp ved at man bruker så mange forskjellige ting enn at man har låst seg til en plattform med leveranser som er så velkjente at det garantert kanskje finnes 10 produkter som kan følge med på det i real time. På om det er skjer ting som ikke burde skje også videre.
Frode: Så synes jeg det var spennende, det du sa om å vurdere de ulike leverandørene vi har i utland. Vi har jo selvfølgelig godt for noe som er kall det gdpr riktig. Så dataene våre lagres jo selvfølgelig på en måte som er og med tilgangsstyring som gjør at vi har kontroll på det, men vi har gjort mer på vår ringe forståelse. Gjort vurderinger på hva det vil si, hvilken risiko du løper i et leveranseperspektiv på tryggheten eller leveranse tryggheten i ulike land. Og du vil få en avatar av deg når du er ferdig, og den er tegnet i Chile. Han har ikke tilgang til noen av systemene våre. Det er en veldig sånn begrenset tjeneste, men det er fortsatt en tjeneste som skal henge sammen med de andre tjenestene, og sånn gjør vi med videoproduksjon. Det er jo ikke det sensitive, det sensitive ligger i andre ting, så vi har gjort noen av disse vurderingene, men vi har gjort det selv. Det er det jeg tenker på som en liten bedrift, hvor man har den kunnskapen man har, og kanskje ikke en økonomi til å leie inn et konsulenthus for å gjøre disse vurderingene for deg. Eller et advokatkontor, eller hva det måtte være, så må man er prisgitt at man gjør noen sunne vurderinger i dette her da. Det er jo kanskje det som uroer meg mest da. Har vi tenkt, har vi forstått før vi konkluderte på en tilstrekkelig god måte?
Roar: Ja fordi det du sier om denne avataren, Frode. Jeg har jo da akseptert at dere tar et bilde og sender det, og at denne lages og det har jo ikke jeg noe problem med, men hvis man tenker den motsatte veien når produktet er ferdig da. Så skal da denne bildefilen sendes til dere. Der ligger det sånn sett en risiko at selv en bildefil kan inneholde noe som kan være noe. Og det er ikke sikkert engang at det var dere som var interessante i den sammenhengen, men faktisk det faktum at det er jeg som sitter her. Som også ender opp med filen til slutt, ikke sant? Så kan man utnytte det, og jeg vil si vi er sannsynligvis langt fra at vi skal bekymre oss om det, men det er tankegangen rundt det. Sluttproduktet dere har til slutt, kan det hende at noen har greid å tukle med det, slik at når det kommer fram til kunden deres som skal bruke det internt for eksempel. At det faktisk har en risiko ved seg. Da er vi tilbake igjen i de verdikjedene å se dette helhetlig da. Hvordan dette produseres, at det ikke kompromitteres underveis i en annen setting som gjør at sluttproduktet blir et problem.
Frode: Et godt poeng. Hvis vi skal være litt sånn skjematiske. Sky, ikke sky? For små og mellomstore bedrifter. Hva hadde du gått for?
Roar: Nei, altså jeg er ikke i tvil, det er selvsagt sky, men det er noen ting som er viktig å forstå. Hvis du går i skyen, så er ikke det en sånn fire and forget. Nå trenger vi ikke lenger å tenke på sikkerhet, fordi vi har en profesjonell aktør som nå har tatt oss i skyen, og vi bruker den og denne plattformen også videre. Det klassiske eksempelet for meg da, som jeg har sett det siste året faktisk, være liksom tidsaktuelt. For det går en liten sånn fagdebatt i Norge nå. I hvert fall i enkelte miljøer. Har det noen hensikt å gi ansatte opplæring i å være litt bevisste på å motta epost og stå imot fishing også videre? Fordi, når dette blir godt nok gjort, så kommer vi alle sammen til å bli lurt, ikke sant? Så har det da noen hensikt å drive opplæring i dette her? For for min del, sett med mine øyne. Det er en veldig snever tilnærming til det å skulle drive opplæring av ansatte. Fordi når vi snakker sikkerhetsklarering av ansatte, så kan du ikke bare feste det hvorvidt du greier å gjøre de motstandsdyktige mot epost med vedlegg og lenker. Fordi vi er avhengige av ansatte som følger vanlige sikkerhetsrutiner som handler om alt fra å låse ting til å gå med adgangskort til å faktisk opprettholde taushetsplikten sin. Få på ting som kan være sensitivt eller for den saks skyld i min verden gradert, å være oppmerksom på ting som skjer rundt den hvis man er ute. Altså det er så mange ting som inkluderer sikkerhet. Så du er nødt til å gi ansatte utdanning i sikkerhet i seg selv, for å skape den vissheten. Så du kan ikke bare si at, på grunn av at vi kanskje ikke greier å nå helt til mål med dette, så bør vi ikke prioritere det. Du er nødt til å prioritere dette her allikevel.
Frode: En ting er jo det forebyggende, men det å øve litt i dette her, er det noe du kan si noen ord om også i et sånt, kall det litt beredskap, hendelseshåndteringsperspektiv. Hva gjør vi når og hvordan? Hvordan kan man uten at man knekker ryggen sånn tids- eller ressursmessig ha et fokus på dette?
Roar: Det der er faktisk et veldig vanskelig spørsmål, for jeg er fortsatt ikke helt enig med meg selv bestandig på akkurat der. Fordi det å for eksempel å drive såkalt penetrasjonstesting eller man driver med fishing øvelser mot ansatte. Man forsøker å lure alle ansatte i en virksomhet med en konkret greie, også kan man se et sånn statistisk tall på dette. Så står jeg veldig ved at, hvis dette bare er godt nok langt, så kommer vi alle til å gå på dette her, fordi det er faktisk jobben vår å motta epost, avhengig av hva vi er interessert i å, så kommer vi til å gå på dette her. Faren er jo da at tallene blir så massive på resultatet at man nettopp får den følelsen at dette funker jo ikke uansett, så, hva gjør vi nå, og hvordan formidler man den type resultater? Hvordan følger man de opp når man først har gjort det? Øvelser trenger vi, vi trenger altså bevissthetstrening på forskjellige måter, men jeg har så mye større tro på at virksomheter kan bli flinkere til, hvis de er i stand til det, å ta de reelle hendelsene de allerede vært utsatt for og løfte de fram i lyset og bruke de som eksemplene at Ola og Kari ble ikke lurt denne gangen heller på økonomien når denne e posten kom. Bruk heller det som lærings eksempelet for å bevisstgjøre virksomheten din enn å sende den samme type epost, bare for å se hvor mange som klikker. Det kan funke det og, men det må gjøres på riktig måte. Jeg opplever dessverre altfor ofte enda å være invitert til virksomheter som har hatt alvorlige hendelser, altså det vil si vellykkede angrep mot seg. For å bidra til å skape ytterligere sikkerhetsbevissthet i virksomhetens organisasjon. Snakk om kultur adferd også videre for alle ansatte, men jeg får ikke lov til å fortelle hvorfor jeg er her. Fordi hendelsen som virksomhetene har vært gjennom er ikke kjent i virksomheten. Det er kun de på første rad som sitter der når de har leid meg inn på et annet hotell, hvor ledelsen vet om hvorfor jeg er der, og jeg får ikke lov til å nevne den selv. Så skal jeg bruke masse andre eksempler fra andre virksomheter om hva som kan skje, i stedet for at de selv bruker sine egne allerede eksisterende erfaringer, som gjør at folk blir betydelig mer motiverte for å være med i den kampen, for slåss om arbeidsplassen sin, merkevaren sin, økonomi, ikke sant? Alle disse følelsene vi har overfor vår egen arbeidsgiver og ja situasjonen.
Frode: Så det du egentlig slår et slag for er gode rutiner for å rapportere når det skjer, og ikke minst åpenhet rundt det, hvertfall internt, men gjerne i andre fora også for at flere skal kunne lære av det.
Roar: Ja. Vis fram de positive eksemplene i egen virksomhet, som du allerede har stått i.
Frode: Det har vært utrolig hyggelig og ikke minst veldig lærerikt å ha deg som lærer de siste to timene Roar, så jeg må bare få lov til å si tusen takk. Jeg tror at alle som hører dette her får seg et lite sånn løft på begreper og forståelse av cybersikkerhet, og ikke minst hva de kan gjøre med det. Så vi kommer nok til å invitere deg tilbake, fordi dette er veldig spennende, og du har fortalt det på en god måte. Tusen hjertelig takk for at du var med oss her i LØRN, Roar.
Roar: Takk for at dere inviterte meg.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
“
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et
Allerede Medlem? Logg inn her
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis.
Allerede Medlem? Logg inn her
