2000+ lyttinger
Del denne Masterclass
Dette lærer du om i denne Masterclass
LØRN AS, c/o MESH,
Tordenskioldsgate 2
0160 Oslo, Norway
Bibliotek
Om LØRN
© 2024 LØRN AS
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei og velkommen til en LØRN masterclass om Cyber Security. Jeg heter Frode Skaarnes og gjest min i dag er Andreas Hegna. Og Andreas er daglig leder i CISO Service AS. Velkommen til oss, Andreas!
Andreas Hegna: Tusen takk.
Frode: Før vi starter med selve mikro kurset som vi lager, så skal jeg si litt om det. Hva er det vi skal bruke de neste to timene på? Det er et firedelt forelesningsserie som utgjør et mikro kurs i Cyber Security. Og vi har kalt kurset Cyber Security for små og mellomstore bedrifter. Men innholdet er egentlig for alle og man trenger ikke å ha en teknologisk bakgrunn for å forstå dette. Man trenger å være litt nysgjerrig på cyber security her og ikke minst at man tenker at dette er noe jeg har lyst å gjøre noe med så jeg reduserer risikoen for meg. Samtalen vi skal ha Andreas skal være uformell. Du er rektor og jeg er student. Og delingen av disse fire elementene er at første delen skal vi snakke litt om grunnleggende konsepter, det fenomenet som heter cyber security. Hva er dette for noe. Hvorfor er det viktig og hvorfor er det viktig for alle, men spesielt da SMBer. Også er det andre delen hvor vi skal snakke om noen gode eksempler. Og det er for at folk skal forstå hvordan dette kan treffe, hvem det kan treffe også videre. Tredje delen er verktøykassen. Det finnes en haug av muligheter der ute. Og for å finne ut av hva som er best practice eller en god måte å gripe det på så skal vi prate litt om det. Før vi avslutter med det som kanskje er det aller viktigste for alle og det er å ta å dra oss gjennom en liten workshop hvor vi skal rydde opp i cyber securityen til LØRN. Vi er jo en liten bedrift og vi har helt sikker masse å lære. Høres det fornuftig ut Andreas?
Andreas: Det høres ut som en god plan.
Frode: Bra. Før vi starter så er det sånn at vi må jo bli litt mer kjent med deg. Så kan ikke du si noen ord om deg og hvorfor i all verdens dager begynte du å brenne for cyber security?
Andreas: Det kan gjøre. Takk for at dere har meg her. Dette er noe jeg har holdt på med siden jeg var så ung at jeg klarte å holde i en pc. En gammel 486 pc. Så det første møtet mitt med cybersikkerhet var at pcen jeg hadde ble infisert med et virus den gangen. Og etter at jeg fikk ryddet opp i dette og kom meg gjennom all stresset så tenkte jeg hvordan i all verden klarte de å få pcen til å oppføre seg som den ikke var ment som? På det tidspunktet hadde jeg ikke kompetansen eller teknisk kunnskap til å forstå. Så den interessen hang med meg ganske lenge før jeg begynte på universitetet og begynte å jobbe med dette.
Frode: Så det du sier er at du var egentlig et offer som tenkte at dette skal jeg jammen finne ut av. Også ble hobbyen det. Og deretter ble hobbyen jobb. Det må jo være det perfekte?
Andreas: Jeg koser meg på jobb for å si det sånn. Det er spennende. Det er aldri en kjedelig dag.
Frode: Så bra. Kan du si litt om hvor har du vært i cyber sikkerhets verden i virksomheter rundt deg? Hvordan har reisen vært frem til at du ble din egen sjef i CISO Services?
Andreas: Jeg kan jeg begynne på en måte på studiet. Jeg gikk fem år i trondheim på NTNU på en linje som heter kommunikasjonsteknologi. Som er på en måte telecom og sikkerhet og netetverk. Så etter det har jeg jobbet 12 år i bransjen, så jeg har jobbet i det fleste roller innenfor sikkerhet. Jeg var en god del år penetrasjonstester og etisk hacker. Jeg jobbet med å finne sårbarheter og avvik. Jobbet som konsulent i mange år. Gjorde godt over 100 oppdrag. Også jobbet jeg i et finansforetak som heter Storebrand. Jobbet med web sikkerhet og prosesser. Sjekket underleverandører. De siste årene har jeg jobbet som CISO i Vipps. Med paraplyen Vipps og BankID Aksept. Så jeg har jobbet mye med governance og hendelseshåndtering. Før jeg startet for meg selv og ønsket å komme nærmere SMB markedet og de utfordringene de så. Rundt 12 år har jeg holdt på med dette og det er fortsatt like gøy.
Frode: Det er bra. Det vil si at du har vært litt inne hos de store aktørene? Bilde sånn som det ser ut i Norge er vel at vi har ca. 630 000 pluss virksomheter som defineres som små og mellomstore bedrifter. Og vi må jo tenke oss at akkurat nå mens vi to sitter her og prater om det så er det hvert fall en og kanskje flere som blir kartlagt og forsøkt hacket også videre. Og da er jo spørsmålet – den erfaringen som du har med fra disse voldsomme og veldig store aktørene og som er veldig profesjonelle. Hvordan ser det bildet ut i forhold til bildet knyttet til alle disse små og mellomstore bedriftene som du jobber for å hjelpe nå?
Andreas: Veldig mye av verdiskapingen i Norge skjer jo på SMB markedet. Og de fleste nå er på en måte eksponert. De ligger tilgjengelig på internett alle sammen. Så erfaringsmessig er eksemplene jeg kommer til å dra bare fra hele erfaring spekteret mitt helt tilbake fra hacking tiden. Men de fleste der er tilgjengelig på internett, så blir de forsøkt skannet. Det er ikke nødvendigvis satt av målrettet mot den enkelte SMB, men man ser gjerne etter en feil også prøver man å se etter alle SMBene som er i Norge. Hvem har denne feilen? Og er det sånn at du ikke har satt opp ting riktig så kan det fort være at du er uheldig den dagen.
Frode: Når du sist skannet hva vil det si sånn i praksis? Hva er det egentlig som skjer?
Andreas: Når en pc er satt på internett og kan nås, enten du kan putte nettsiden i nettleser eller du kan logge på hjemmekontorløsningen din, så kan du nå det fra det åpne internett og da er det noen som har laget automatiske roboter som driver å sjekker om det er noen der. Har disse feil? Er disse satt opp riktig? Har de et svakt passord. Kan jeg prøve å komme inn på det. Det går automatisk. Det er samme skritt som sjekkes av hele spekteret på norske virksomheter. Det er ikke nødvendigvis at de har satt seg sånn kjempegodt inn i akkurat din virksomhet, men de ser bare om du har gjort en feil som noen andre har gjort før.
Frode: Men hvem er disse aktørene? Jeg husker i gamle dager så var det stort fokus – jeg kommer jo fra offentlig sektor og har jobbet i forsvaret, etterretningstjenesten og nasjonal sikkerhetsmyndighet. Så vi hadde jo en veldig drive på disse statlige aktørene. Og da er spørsmålet om er det vi de ser? Organiserte kriminelle? Er det bare folk som gjør dette? Hvordan ser dette aktør kartet ut nå?
Andreas: Det er mye mer nyansert nå. Det er mye bedre nå enn det var tidligere. Tidligere så var det veldig lett å kategorisere de som kanskje hacktivister, noen som kanskje hacker for å få frem et poeng. At det var statlige aktører og økonomiske. Men nå har vi helt på den ene gode siden av spekteret hvor du har folk som vil deg vel, som leter etter feil for å rapportere og si ifra fordi de ønsker å bidra positivt. De typisk white hat hacker som melder ifra i håp om å få et takk eller en t-skjorte. Også har du de som gjør det mer fordi de er motivert av penger. Kanskje de ønsker å få noe cash ut av dette så de kan leve ut av det. Også har du også over på spekteret hvor du har organiserte kriminelle som lever av dette. Det er måten de skaffer inntekt på. Det er å finne feil i systemet, låse det ned, kreve løsepenger. Så det er helt opp til spekteret hvor du har nasjonalstater som har helt andre agendaer. Så du treffer egentlig hele spekteret, da.
Frode: Men jeg kan også forstå at man vil hacke Vipps og forsåvidt Storebrand også, men hvorfor i all verdens dager vil man hacke disse små bedriftene? Hva slags verdier er det man har og hva slags tap eller det som man en liten eller mellomstor virksomhet faktisk kan utsettes for?
Andreas: Jeg vil si det er todelt. Det ene er at ofte så har SMB virksomhetene veldig mye innovativ teknologi. Det er mye verdiskapning i SMB sektoren i Norge. Kanskje du har et nytt design på en båt eller du har en smart løsning for oppdrett av fisk for eksempel eller du har god logistikkløsning på transport. Det er mye verdi som skapes av norske virksomheter. Det er det ene. Folk tenker at det er ikke så farlig det jeg har, men det er fort verdi for noen. Og det andre er at man bare er rent uheldig. At du er en i mengden og tilfeldigvis hadde ikke du oppdatert det systemet som noen hadde funnet en feil i. Også blir du tatt med i dragsuget av noe større som egentlig ikke var målrettet mot deg, men målrettet mot noe større. Også hadde du tilfeldigvis samme programvaren. Så litt uflaks kan du også si er inne i bildet.
Frode: Ja, det er vel livet generelt. Det vil alltid være en faktor. Det jeg lurer på nå er at du sa i stad at alle er på internett. og det vil jo si at man er en del av noens leverandørkjede. Man er en del av en kjede. Hvordan har det bildet blitt annerledes de siste årene i forhold til hvordan det var før. Hvordan påvirker det ditt ansvar som virksomhet for å ha orden i sysakene?
Andreas: Tidligere så var trenden at man gikk direkte på virksomheten man var ute etter. Så var deet en til en. Man fant en virksomhet og ønsket å gå inn der. Det som ser ut til å være trenden de siste årene er i stedet for å gå en etter en som er lite effektivt så går man mot sentrale ledd som kanskje selger til mange. Så hvis du klarer å ta en underleverandør så har du potensielt veldig mange offer som du kan gå inn mot. Så hvis du kan distribuere løse virus angrep via en leverandør. Så kan du på en måte nå mange flere ofre enn du ville gjort hvis du hadde gått bare en til en. Og det legger større ansvar på virksomheten fordi for å sikre din egen infrastruktur og IT system og det du hadde kontroll på selv, men nå er det mye mer å følge opp underleverandørene sine og passe på hey, gjør dere de tingene dere må for å tette de hullene? Men dels så viktig er får du beskjed? Får du beskjed hvis det går noe galt? Er leverandøren åpen og ærlig på hva som skjer og hvordan en håndterer ting? Så det er kommunikasjonen mellom leverandøren din er mye viktigere nå enn det var før.
Frode: Ja, for det du egentlig beskriver da er at du kan tape det du snakket om innledningsvis. Altså intellektuell eiendom, det du har funnet opp eller det du skaper verdimessig for virksomheten din. Eller du kan gjennom ulike kryptovirus utsettes for utpressing og rene økonomiske tap. Også kan du påføre det samme til de som er en del av din næringskjede. Og da må man kunne si at du får et omdømmetap i tillegg. Du får en liten sånn gul-lapp på deg som sier at det var du som hadde svakheten. Hvordan kan sånt påvirke virksomheter hvis man blir den som er det svake leddet?
Andreas: Det spørs veldig på hvordan en håndterer det, tror jeg da. Fordi veldig mange av de store sikkerhetsselskapene har også hatt dataangrep og hatt datainnbrudd. Men de lever fortsatt i beste velgående. Og ofte kan de også ha mer tillit i etterkant av en hendelse. Så min oppfordring er ja, man skal gjøre det man trenger for å sikre seg. Men det er også å være åpen og ærlig med kundene dine om hva som har skjedd og hvordan det har blitt håndtert. Hva gjør dere nå? Det kan være vel så mye tillitsskapende øvelse. Så jeg vil si at det å ha en breach er ikke nødvneidgvis krise. Det er ille, men du har muligheten til å gjenopprette den tilliten hos brukerne dine så brukerne faktisk blir igjen og kanskje øker businessen også.
Frode: Så bra. Hvis vi da koker det ned til det som ofte blir kjernen i disse små og mellomstore bedriftene så er det også en kompetanse som må være tilstede for å gjøre disse tingene. Det må være finansiell kraft til å få det til. Og kompetansen til å forstå trussel. Kompetansen til å tenke seg til eller etablere gode tiltak. Er den tilstede i de fleste virksomheter? Ta sånn som LØRN da. Vi har jo ikke en egen sikkerhets person. Eller delt ansvar mellom ulike funksjoner. Vi har åpenbart begrensede ressurser fordi vi har kjernevirksomheten som vi bruker mest kraft på. Så hvordan skal man tenke på dette i forhold til de store aktørene som har egne systemer som ivaretar dette? Hva er den lure inngangen tankemessig for å klargjøre virksomheten på å bli sikker nok?
Andreas: Jeg tror ikke det er noe enkelt svar på det. Men du treffer på en måte kjernen i utfordringen. Man vet jo at man må passe på dette også er det veldig vanskelig å vite hvor man skal starte. Hva er det som er godt nok? Hva gjør andre? Også er det ikke sånn at man har like store ressurser som de andre. Man har ikke muligheten til å ansette et helt team. Så hadde jeg vært en SMB i dag, så ville jeg startet med daglig leder og at sikkerhet er daglig leder sitt ansvar. Og hvis man har interne sikkerhetsfolk eller interne IT-folk som har en passion for dette, bruke de. Så er det å gå mot leverandørene sine og si at du, jeg trenger hjelp til dette. Kan dere passe på at jeg kommer opp på et sånt basisnivå. Så har du masse bra materialer fra blant annet NSM. Du har masse offentlige standarder som det går å lene seg på. Du trenger ikke å ha fag ekspertisen internt, men det å gjøre gode bestillinger til enten driftsleverandøren din eller intern gitte ressurser. Så jeg ville kanskje begynt med at daglig leder er den som sitter med ansvaret også må de da gjøre gode bestillinger enten til sine egne folk eller til leverandørene de bruker.
Frode: Så det vil si at kompetansekravet dreier seg ikke nødvendigvis om å forstå cyber sikkerhet, men å forstå hvordan du skal bestille det du trenger for å opprettholde det sikkerhetsnivået som du har definert at du skal ha i din virksomhet. Og det vil si – er det juridisk kompetanse? Merkantil kompetanse? Er det andre typer kompetanse som slår inn da for å sørge for at du får de riktige tjenestene ut i andre enden?
Andreas: Mye er bestillerkompetanse, men før du vet at du skal bestille så må du vite litt hva du står ovenfor. Så en generell bevissthet over sånn som vi snakket om tidligere om hvilke trusselaktører er det der ute? Hvem er det som typisk vil prøve seg. Og skape en viss forståelse for det så man kan balansere det opp mot det bedriften lever av. Sikkerhet er på en måte en støttefunksjon. Litt som forsikring når du har hus. Det kan brenne, og du håper du ikke gjør det. Men det er fint å være litt forberedt. Og sikkerhet er litt på samme måte. Forberede deg litt, men det er ikke det som primært styrer hverdagen din. Så så lenge du har en viss bevissthet om det og klarer å vite hva du skal kjøpe og hva du skal bestille så er det en kjempegod start.
Frode: SÅ bra. Hvis du går inn på trussel biten og hvis vi bare dveler litt ved det. Du sier det finnes rapporter og ting man kan sette seg inn i fra nasjonal sikkerhetsmyndighet, PST, etterretningstjenesten. Men kan ikke de oppleves som litt høytsvevende og litt for lite konkrete til at det er lett for en helt vanlig – altså du er jo en uvanlig CEO på en måte, fordi du er din egen sikkerhet person i tillegg. Men for de som bygger gitarer og det er det de kan. Og evnen til å forstå trusselen, kan du si litt om hvordan skal du få tilstrekkelig god nok kompetanse til å forstå den verden som er rundt deg på en måte som gjør at du faktisk er i stand til å fatte gode valg knyttet til dette?
Andreas: Begynne enkelt vil jeg si. Tenke at dette er en prosess og ikke en liste man skal igjennom. Tenke at man tar litt og litt små iterative prosesser. At man begynner et sted. For eksempel feil oppsett av tjenester er en av de store driverne for hvorfor ting går galt. Man har ikke satt opp ting ferdig. Man har ikke skrudd og tunet inn på sikkerhetsnivået. Eller at man har svak pålogging for eksempel. Veldig korte passord. Det er en del sånne små hygiene ting som man enkelt og greit kan følge sjekkliste for. Og begynne med det og tenke at det er en start. Også prøve å lære hva vi får innsikt av når vi skrur på disse tingene. Er det ganske stille og er det ingen som prøver seg eller? Eller har vi mer trykk enn det vi tror. Også tenke at okey, da tar vi en ny vurdering i neste runde. Så kan vi legge på litt mer. Disse standardene er kjempebra, de er veldig komplette. Men det er vanskelig å begynne der vil jeg påstå. For det er så stort. Det er så mange ting du må ta stilling til. Og av og til er det bare fint å stikke fingeren i jorda og bare si vet du hva – passord, phishing holde til oppdatert, det er en veldig god start. Også følge litt med på hvilken effekt har det når jeg gjør det. Hva sier loggene mine eller hva sier systemene mine. Får jeg plutselig noen alarmer eller sier leverandøren min noe om at hei, her var det mye trygt du. Også ta en ny vurdering etter det.
Frode: Det er veldig, veldig spennende. For å se disse tingene så må du ha en form for kunnskap til å se det. Og er du da on premises må du kanskje finne ut av det selv. Du har en server i kjelleren. Men hvis du har kjøpt deg en skytjeneste så kan jo dette være en del av leveransen du får knyttet til det du ønsker å passe på. Kan du si litt om for små og mellomstore bedrifter, forskjellen på å ha serveren i kjelleren og det å kjøpe seg en skytjeneste? Hva det krever av kompetanse for å lykkes med de to ulike alternativene?
Andreas: Jeg kan begynne med skytjenester da. Hadde jeg vært SMB i dag og ikke hadde noe legacy eller infrastruktur så hadde jeg nesten vurdert å starte med sky. For det får så mye innebygd verktøy som du enkelt får tilgang til ved å bare øke lisensnivået. Så terskelen for å komme i gang er mye lavere. Man får nytte av at man er en del av et større økosystem. Hvor man da får nytte av at nabo virksomheter blir angrepet på en måte. Da får du også den no have til deg selv. Så det er enkelt for leverandører og komme inn og hjelpe til fordi det er samme teknologi. Det er en kjapp vei i gang, også får du veldig gode tips i forhold til hva som er god praksis. Jeg anbefaler at du skrur på dette og da får du en ekstra poengsum. Det er veldig håndfast og veldig konkret. Det å gå on-prime har så klart noen fordeler også, men du sitter med mye av det ansvaret selv. Du må kanskje bestille fra leverandøren din eller de som drifter dette. Sånn hei, jeg ønsker å få innsyn i X, Y, Z. Du får mer kontroll og du har mer mulighet til å spesialbestille det som akkurat passer deg. Men det krever ofte at du har mer kompetanse internt for å følge det opp.
Frode: Veldig bra. Når man snakker om skyen så er det jo noen store tunge leverandører. Hvordan kan du stole på dem? Så har det jo vært noen GDPR utfordringer med noen av leverandørene fordi man fikk Schrems 2 dommen, og man har noen sånne pågående saker som gjør at man må fortsatt ha ganske god kunnskap for å velge riktige leverandører og de riktige pakkene. Og ikke minst at man har kontroll på det som går på ikke bare sikkerhetspersprktivet, men også det som går på personverns perspektivet i en norsk forstand, men også i et EU perspektiv. Opp i mot GDPR reglementet som er. Og er det sånn at disse ofte ses uløselig knyttet sammen eller oppdager du når du snakker med dine kunder og kontakter der ute at dette er to helt separate spor man forholder seg til i et sånt vurderingsperspektiv opp i mot sikkerhet?
Andreas: Det glir litt inn i hverandre fordi sikkerhet er en naturlig del av personvern. For å sikre godt personvern så må du ha god sikkerhet i bunnen. Men bare for å ta personvern vinklingen først. Det jeg opplever og har opplevd egentlig hele karrieren min er at det de fleste sliter mer er hva har vi? Den ene oversikten på hvilke systemer bruker vi – hvilke data samler de inn og hvor ligger det er en kjempegod start. Bare ha en oppdtert liste over det for personverns skyld, men også for sikkerhet. Det er superviktig. For når du først har oversikten og ser at ja, her ligger det ganske viktige data. Så kan man begynne å tenke hvor skal vi prioritere tiltakene. Det er også veldig nyttig på personvern siden å vite at du må egentlig vite. Hvilke data ligger hvor. Og det å velge riktig skyleverandør som tar hensyn til både personvern og Schrems 2 og alt dette, da hadde jeg kontaktet en god personvern advokat for å få litt bistand der. Men for å velge ut en god leverandør enten man er i skyen eller ikke. Noe man kan se etter og som er enkelt å se etter er sertifiseringer. Så for en SMB som skal velge seg ut en leverandør så se etter om de har et stempel som sier Shock 2 rapport eller ISI-2121. Disse stemplene er noen gode kvalitetstegn. Og at de forteller hvordan de gjør prosessen med personvern og hvordan de gjøre prosessen med sikkerhet. Det er enkelt å si at vi har X, Y og Z. Men det hjelper deg der og da og det er den prosessen med at vi gjør dette jevnlig og vi har gode rapporteringsrutiner. Det er sånne grønt flagg å ha en leverandør som tenker på dette. Det kan være on-prime og det kan være en stor sky leverandør. Så litt egen kontroll, og se etter stempel på leverandørene dine.
Frode: I neste samtale så skal vi snakke om noen eksempler, og da kommer vi forholdsvis inn på noen av disse fenomenene også. Du nevnte det i sta, du nevnte phishing. Vi har jo spare phishing, vi har vannhull og vi har rønne. en liten dyrehage med ormer og trojanske hester. Det er jo et vell av begreper som vi skal innom. Inntil da er det noe du tenker du kan oppsummere fenomenet cybersikkerhet med før vi tar en liten pause og går i gang med den for mange mest spennende delen. Nemlig eksemplene og det som har skjedd der ute. Hva tenker du Andreas?
Andreas: Jeg tenker kort oppsummert de siste ti årene på dette fagområdet her så blir vel det at det er noe alle må forholde seg til uansett hva du driver med. Men alle trenger ikke være fagseksperter på det. Det finnes veldig mange gode folk og selskaper å lene seg på. Men det er som sikkerhet hjemme og sikkerhet på huset ditt. Hva hvis det brenner? Har du ordnet innboforsikring? Har bilen din forsikring? Det er noe man må forholde seg til. Også kan man gå til noen som kan hjelpe deg med å fjerne den bekymringen.
Frode: Så oppsummert – har du ikke kompetanse, søk hjelp. Og ta sikkerhet på alvor. Tusen takk for denne første intro samtalen. Vi fortsetter med eksempler om et lite øyeblikk. Takk for oss.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei og velkommen tilbake til andre forelesning i vår LØRN masterclass om Cyber Security for små og mellomstore bedrifter med Andreas. I første samtalen så snakket vi litt om de grunnleggende perspektivene knyttet til cybersikkerhet. Og vi skal ta det litt videre nå, og da skal vi snakke om ulike eksempler for å forstå hva er dette? Og aller først Andreas, så lurer jeg på – det er jo alltid sånn at når man skal beskytte noe, så har man ulike motivasjoner til hvorfor man gjør det. Noen mennesker og virksomheter er jo veldig sånn risiko fokusert. Man har gjort en vurdering, og så handler man deretter. Mens andre er kanskje mer sånn, compliance og regelstyrte. Og tenker at det aller viktigste jeg gjør er å kunne checke i boksen på at jeg har gjort det som kreves enten som et myndighetskrav eller et eller annet standardisert system som gjør at man krever at man gjør ulike tiltak. Så hvis du kan si litt om ditt forhold til hvordan du opplever disse ulike motivasjonene og hva betyr det for hvordan man griper fenomenet cybersikkerhet.
Andreas Hegna: Ja. I alle de årene jeg jobbet med sikkerhet så var det første spørsmålet jeg pleide å stille – hvorfor er du opptatt av sikkerheten akkurat nå? Hvorfor gjør du dette her? Og da får du veldig mange forskjellige svar. Så som en SMB ville jeg stilt meg spørsmålet hvorfor er jeg opptatt av sikkerhet? Som du sier, er dette et risiko fokus? Er man redd for å bli hacket og derfor gjør man noen tiltak og man tar tak i det? Eller er det det at du tenker at vi har et lovkrav vi må følge og det er det viktigste. Vi må bare passe på at vi checker boksen, men det er jo egentlig ikke det som er viktig for oss. Også kan du ha helt den andre spekteret hvor det er et salg fokus da.Hvor du som en SMB virksomhet må forholde deg til dette fordi kundene dine som er kanskje ganske store krever at du klarer å besvare alle disse spørsmålene. Så er det sånn at hva du gjør på et av disse områdene er ikke nødvendigvis bare isolert til det. Du kan dra verdi ut av det i flere sammenhenger. Så gjør du noe for risiko sammenheng så kan du dra nytte av det i salgs sammenheng også. Så det ville vært det første spørsmålet jeg ville stilt som en SMB. Hvorfor gjør vi dette? Og klarer vi å dra mer verdi ut av det?
Frode: Hvis vi tar utgangspunkt i den RISC fokuset da. Den tiltaler jo meg veldig i utgangspunktet. Men når man har gjort en vurdering på trusselen og når man starter å planlegge hvilke tiltak man skal sette i verk. Kan du beskrive for oss hvordan foregår en tradisjonell cyber operasjon mot en virksomhet? Hvordan er disse stegene som man skal beskytte seg mot? Kan du dra oss raskt gjennom et tenkt angrep på en virksomhet?
Andreas: Jeg vil si at majoriteten av angrep som lykkes og som gjerne treffer SMB går i tre-fire kategorier. Dette er tall som er hentet fra Horizon sin data breach rapport. Noen av de tingene som går igjen der er veldig enkle angrep egentlig. Man gjetter passordet til en intern bruker. Så hvordan dette foregår er at gjerne så bruker folk det samme passordet på privat kontorer som de gjør på jobb. Man har gjenbruk av passord. Også er blir det enten et system hacket ut på internett også lekkes det passordet også ser de at hey, denne personen jobber i dette selskapet vi også prøver. Eller at man bare har plukket et svakt passord. Gjerne “virksomhetsnavn123!”. Også prøver man å logge seg på. Og det første skrittet der. Og når man kommer inn så er det å prøve å lage seg en ny konto internt, prøve å få tilgang til systemer uten å gjøre IT sjefen obs på at det er noen der. Så det gjelder å være OBS på om du får noen mail fra systemet ditt om at hey, var dette deg? Du er nettopp logget på fra et nytt sted. Eller at loggen din sier at du er logget på fra et land som du ikke er i akkurat nå. Det er typisk første delen av skrittet før de får et fotfeste og prøver å ta andre delen av angrepet. Så kan man prøve å enten låste ned systemet eller prøve å hoppe inn i mail mellom daglig leder og økonomiavdelingen og prøve å få dem til å overføre penger. Det er på en måte andre delen av det. Så fotfeste også har du kapitaliseringen. Eller så har du phising aspektet at noen prøver å sende deg en e-post. Prøver å lure deg til å gi fra deg passordet. Det er fortsatt passordet de er ute etter for å prøve å logge seg på samme måten. Eller prøve å hoppe bukk over hele påloggingsløsningen for å prøve å finne en feil i et system du har for å på den måten komme på innsiden. Men utfallet er ofte det samme. Man prøver enten å låse det eller prøver å late som man er noen interne for å prøve å få overført penger.
Frode: Passord har jo vært en gjenganger så lenge jeg har trykket på en datamaskin. Og sårbare passord – alle vet jo det skulle man tro. At man ikke må ha samme passord på alle plasser. Man vet at det bør være ganske langt. Man vet at det bø inneholde noen ulike elementer som gjør at det er sterkt. Hvorfor lærer vi ikke? Hvorfor er passord fortsatt 20-30 år etter et svakt punkt? Det er jo rart, er det ikke?
Andreas: Jo, det er det. Men samtidig så forstår jeg brukerne vledig godt fordi du skal bare gjøre jobben din gjennom hverdagen også har du kanskje til forskjellige systemer som skal logge seg på. Og det å huske ti forskjellige passord er tungt. Også er det kanskje ikke så enkelt å logge seg på disse systemene. Også sikkerhets miljøet har sovet litt i tiden. Vi har gitt alt for mye av ansvar over på sluttbruker. Du skal huske passord, du skal huske lengde og ditt og datt. Og du skal vite hvorfor disse nyeste angrepene fungerer. Jobben til sikkerheten bør egentlig være å gjøre jobben så lett som mulig for brukeren. Den enkleste måten å følge regelen til virksomheten på bør være den sikreste. Så et rent praktisk eksempel, hvis man som en SMB ber de ansatte å huske separate passord på kontoer og husk at de er lange. Så hadde jeg stilt meg spørsmålet om kan vi automatisere dette? Kan de få en passord manger? Et lite arkiv som gjør at de automatisk fyller inn passordene. Kan vi ha Single sign i løsningen vår om det gjør jobben lettere for de? Kan vi sette på multifaktor pålogging? Enten en SMS kode eller helst sånn Authenticator App. Kan vi gi det til brukerne? Da trenger vi kanskje ikke det 40-tegns passord og bytte det hver måned. At de heller gjør det på den reaktive biten, så lenge brukerne bare bruker et sentralt system så får vi heller god beskjed når det er noe unormalt som skjer. Så tror jeg det vil gjøre livet veldig mye enklere for den ansatte. Men også for sjefene og IT-avdelingen, for det er lettere å følge opp. Så sikkerhet bør ha mer fokus på forenkling mener jeg enn kanskje opplæring.
Frode: Det er veldig, veldig interessant. Mange er jo veldig skeptiske til passord, nøkkelringer eller hva vi skal kalle det, også. Du har beskrevet oppsiden, men hva er nedsiden med å ha sånne løsninger?
Andreas: Du putt jo alle eggene i en kurv, og får du tilgang da til denne sentrale hemmelige hvelvet ditt, så får du tilgang til alt. Så risikoen er ikke spredt på alle tjeneste du har. De ligger et sted også er den gjerne litt høyere. Og det må man nesten bare leve med tenker jeg. Men det er da du legger på alarmering og at du får beskjed når det er noe unormalt. Så overvåkingen vil da være korrigerende tiltak her da. Det er det du legger på for å dra den risken ned. Helt enkelt eksempel – hva hvis du som en administrator på systemene dine får beskjed når en annen administrator logger seg på? Det kan være så enkelt som det at man har en felles forståelse av at nå ting som er veldig sensitivt skjer så gir man beskjed til en litt bredere gjeng som kan kontrollere om dette er riktig.
Frode: Jeg husker også at NSM gjorde en endring i sine anbefalinger for 3-4 år siden. Og det var i stedet for å ikke ha vanskelige og lange passord, skriv de ned på en fysisk lapp og legg de et sted som du har kontroll. Er det noe du ville anbefale?
Andreas: Jeg støtter den veldig mye. Det er sikrere å ha det i en lapp i en låst skuff på kontoret eller hjemme enn å ha et svakt og kort passord. For internett er veldig stort. Det er mye lettere å ha kontroll på kontoret ditt og låse døren der når du går. Så hvis jeg hadde hatt valgete så hadde jeg heller skrevet det ned og det har jeg gjort selv også. Og de mest sensitive lappene er på en papirlapp godt låst ned. Så hadde jeg heller tatt det igjen på det jeg nevnte i sted. Heller ha en beskjed på at nå logget det på en administrator og nå logget du deg på denne kontoen også kan du heller gjøre – oi det var ikke meg, nå må jeg gjøre noe kontra at det bare forsvinner i de mailene.
Frode: Du nevnte i stad at av og til så hacker man ulike aktører og tilgjengeliggjør passord til brukerne av ulike systemer på internett. La oss si en form for passord dump. Dette ligger jo for mange litt sånn kinky til. Dette er vel det man kaller for dark web der ute. Kan du si litt om hva er det og hvor lett er det å få tilgang til disse passordene som du snakker om som kan ligge der i millioner av eksemplarer? Og hvordan funker dette i et crime as a service perspektiv?
Andreas: Du har den godartede varianten av dette her. Hvor det er noen ildsjeler som har valgt å legge disse passord dumpene i et søkbart register på internett sånn at du kan se om ditt eget passord er lekket. Men virksomheter kan også få beskjed om passordet til sine bedriftskontoer dukker opp et sted på det mørke nettet. Og det mørke nettet er jo egentlig bare det du ikke kan treffe med Google. Ting som ligger i lukkede forumer med passordbeskyttelse eller egne forum på det mørke nettet eller det som kan nås gjennom disse Thor browserne. Men hadde det vært en virksomhet på den preventive siden så hadde jeg prøvd å signere meg opp på tjenester som “Have I been pwned” for å få beskjed hvis det er noe. Men hvis du skulle være så uheldig at det ikke ligger der og ikke er solgt så er det folk som selger disse basene for penger. Livnærer seg egentlig av det. Også er det de som kjøper en liste med brukernavn og passord også prøver de å logge inn på disse tjenestene. Så det er vanskelig. Det finnes legitimeres som gjør at du kan få tilgang på mye av den samme informasjonen uten å måtte gå på det mørke nettet.
Frode: Et veldig viktig tema å ha kontroll på passord. Vi har noen andre fenomener også. Du nevnte direktør svindler i sted. Og du sa man på et vis intersetter en kommunikasjon for å få til noe. Kan du beskrive eller gi oss et godt eksempel på hvordan foregår en direktørsvindel? Og hva er det stedet hvor du kan gjøre noe aktivt for å unngå at det skal skje med dere eller deg?
Andreas: Så jeg vil tenke den typiske direktørsvindelen begynner egentlig med å prøve å logge på direktørens e-post. Man bruker enten man prøver å finne ut hvilket passord denne direktøren sikkert har, ser i passord databaser for å se om passordet ligger der. Også logger man seg inn på e-postkontoen til direktøren. Hvert falls om en av scenarioene. Også venter man og se om de oppdager at noen har logget seg på. Så sitter de å venter på e-posten. Enten videresender de all e-posten ut så de får en kopi av alt som skjer internt i virksomheten, også sitter de å venter på mulighet for oi, nå er det mye som skjer i virksomheten. Det er et stort salg som skal gjøres. Stor aktivitet. Så venter de på rette øyeblikket og så hopper de inn i den e-post dialogen. Og sier nei, nei. Det var ikke dit pengene skulle. Det var hit. Og siden de er logget inn som direktøren som om de hadde logget på en ny telefon, så er det vanskelig for motparten å se forskjellen. Det vil jeg si er et typisk eksempel på CEO svindel. Man logger seg inn som om man er direktøren, også ser man ikke at oi. Det var ikke meg som logger på den enheten også får man ikke kastet de ut.
Frode: Og det vil si, du kan ha tilgang til en ansatts konto. Du kan ha fått administratorrettigheter. Du kan få de rettighetene som skal til for å se ut som direktøren. Også er du i spill. Og hvis jeg skjønner deg riktig så kan du så lenge du ikke gjør noe som trigger alarmer, så kan du pusle rundt inne i dette systemet til det Captain Jack Sparrow tile kalt the opportunity moment også kjører du på. Det høres jo helt vanvittig ut at det skal skje. At man kan oppleve det. Men skjer dette ofte? Og skjer det hyppigere? Er det virkelig en form for et fenomen som man opplever i den vestlige verden regelmessig? Eller er det mer unntaksvis?
Andreas: Nei, jeg vil si at det oppstår mye oftere enn man håper på og tror. Man tenker at i lille Norge, ja det skjer ikke oss. Men jeg vil påstå at det skjer mye mer enn man tror. Og i Norge har vi mørketallsundersøkelse som er med å kaste lys over mye av de tingene man ikke tør å snakke høyt om. Så jeg tror det at hvis flere hadde turt å si at dette skjedde med oss, så tror jeg flere også hadde turt å stå frem så vi fikk sett størrelsen av problemet. Så er det også litt at man føler man har feilet litt. Det er offeret som har skylden her for at ting har skjedd. Men man skal aldri skylde på offeret i den sammenhengen her. Så det er litt psykologisk greie der og. Skal man tørre å innrømme at dette har skjedd. Også når du hører på hvordan de kommer seg inn så er ikke hacking nødvendigvis superavansert. Du har de veldig avanserte eksemplene, men jeg vil påstå at majoriteten av angrep er egentlig superenkle. Det handler om at du har et svakt passord, du har ikke satt på multifaktor pålogging. Du har ikke patchet et system. Det er disse tingene vi egentlig alle er kjent med.
Frode: Hvis du går tilbake. Du nevnte uttrykke phishing i stad også. Phishing og spare phishing er jo sånne kampanje løsninger, også kan du adde på spoofing for å få en spear phishing til å se enda bedre ut. For de som ikke har noe forhold til disse uttrykkene, hvordan kan du beskrive disse fenomenene? Hva er dette for noe?
Andreas: Phishing vil være – du kan tenke deg at du er politi ute i gaten. Også er det noen som tar på seg politikostymetm og går rundt å later som de er politi og prøver å få folk til å gjøre som de sier. Folk har gjort det til uminnelige tider. Prøver å late som de er noen de ikke er. Phishing er på en måte den teknologiske varianten av det samme. Du tar på deg de samme klærne og du tar kanskje på deg samme uniform, også prøver du å bruke trusler eller sjarm eller en type overbevisning for å få folk til å gjøre noe som de egentlig ikke skal eller ikke bør. For å få de til å stole på deg. Så phishing vil kanskje bruke merkevaren til selskapet i en e-post. At denne e-posten kommer fra Posten. Du har en pakke som venter. Men du har ikke bestilt noen pakke, men det ser jo legitim ut. Det er jo samme farge. Så du stoler jo på Posten selvfølgelig så da klikker du på den lenken. Også ser du at Posten trenger kredittkortet mitt? Ja, det visste jeg ikke. SÅ stilles spørsmålet er dette noe de normalt trenger fra meg? Trenger de passordet mitt eller trenger de kredittkortet mitt? Det er god gammel lureri.
Frode: Så dette er sosial manipulering. En form for kunst i å lure folk til å gjøre noe de åpenbart ikke har lyst å gjøre, men som de ikke forstår at de gjør før det er for sent. Det jeg lurer på da er hva er spoofing for noe? Hva gjør at det er vanskelig å vite hvor ting kommer fra?
Andreas: E-post er litt sånn som med brevpost. Brevet kommer jo frem til postkassen din. Samme som at e-posten kommer frem til e-postkassen din, men det er vanskelig å vite hvem det er som er avsender. Er det de de sier de er? Og det vi ser ofte på e-post er det @ciscoservices.no som sender dette eller er det @cisco.advisory.io. Er det på en måte et domene vi stoler på? En nettside vi stoler på? Det angripere da kan gjøre er å prøve å spoofe e-posten så det ser ut som at de faktisk kommer fra det selskapet. Og det kan gjøres hvis selskapene ikke har satt opp e-post serverne sine ferdig. Det er tiltak man kan gjøre som gjør at man stempler alt som går ut i fra selskapets e-post med et lite flagg som gjør at din innboks ser at dette kommer både fra et selskap jeg stoler på – fra en server jeg stoler på, fra en leverandør jeg stoler på. Da kommer det i innboksen. Mens alt annet havner i spam mappen. Så det er noe avsender virksomheten egentlig må ta ansvar for å sette opp. Og det er ikke hokus pokus. Det tar et par timer. De fleste underleverandører klarer å sette opp det som kalles SP fractions demark. Det er gode eksempler på det. Ellers er det en standard som heter BIMI. Som går at hvis du får en e-post fra Google for eksempel eller fra en større virksomhet, så ser du i g-mailen at det står et lite logo i den runde knappen. Og det er noe man kan legge til som et visuelt que på at joda, dette er selskapet man stoler på. Og dette er ting man setter opp en gang også ruller det og går. Så det er noe egentlig alle burde sette opp hvis de er på nettet og er avhengig av at folk stoler på hvem de er. Så ville jeg spurt leverandøren om å sette opp det.
Frode: Ja, for det er jo litt sånn at i en travel hverdag så er det litt fort gjort å klikke eller åpne e-poster. Det er fort gjort å klikke på lenker så lenge det ser ut som at det er til deg. Og det ser ut som at avsenderen er grei. Men har vi noe tall på hvor mange er det som åpner disse? Du sa du har vært etisk hacker tidligere. Er det noe data som sier noe om at på en e-post hvor vi prøver å lure noen så åpner så mange av de vedlegget og så og så mange aktiverer makroer også videre. Har vi noe data på noe sånt egentlig?
Andreas: Det varierer veldig fra virksomhet til virksomhet. Og det er veldig knyttet til hvilken sikkerhetskultur du har internt. Hvis du har en kultur internt hvor det er helt åpent og hey, vi må passe på å ikke klikke på alt som kommer. Vi må tenke oss om og vi må si ifra hvis vi er bekymret, så vil jeg si at den klikkraten er mye lavere. Hvis man er en virksomhet hvor det er trygt å si at oi, jeg gjorde en feil, så vil jeg påstå at det er færre som vil klikke på ting og flere som vil si i fra. Og hvis det kanskje er mer fryktkultur hvor du er redd for å innrømme feil for å få kjeft, med at du blir hengt ut. Så vil jeg si at folk ikke sier ifra like ofte. Så måten å måle det på er å gjøre egne tester internt. Det kan alltid være fra hva hver femte person klikker hvis det er skikkelig dårlig kultur til kanskje hver 100 klikk. Det er helt avhengig av hvilket eksempel ledelsen har gått frem med. Sånne enkle ikke-tekniske tiltak man kan gjøre som daglig leder er jo å si vi feirer de feilene vi gjør. Vi lærer av de. Og dette er sånn du melder i fra. Så kan det alene ha en veldig god effekt på å senke den terskelen for både å si ifra, men konsekvensen også ved dette her.
Frode: Veldig spennende. Jeg synes det var en såpass fin oppsummering. For sikkerhetskultur er jo kjernen i at vi mennesker skal gjøre gode valg. Det neste vi skal snakke om i neste lille samtale kommer til å dreie seg om teknologi, verktøy, standarder som kan hjelpe oss i å bygge de systemene vi skal i et sånt best-practice perspektiv. Så igjen, takk for samtalen så langt også er vi tilbake om en straks.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei og velkommen tilbake til tredje samtale i denne LØRN Masterclass om cybersikkerhet med Andreas. Vi snakket i den første delen om de grunnleggende konseptene, så i den andre delen så hadde vi en fin runde på ulike eksempler man kan treffe på innen denne tematikken, og nå i denne tredje samtalen, så skal vi snakke litt om hvordan ser verktøykassa kassa ut? Er det noen modeller? Er det noen best practice eller standarder man kan bruke for å håndtere dette på en god måte. Og da er det jo sånn at i dag snakker vi om små og mellomstore bedrifter. Og jeg kan tenke meg de har noen ulike utfordringer knyttet til disse valgene enn store bedrifter. Så skal vi starte der Andreas? Hvordan ser dette landskapet ut for oss som er små og mellomstore?
Andreas Hegna: Ja, nei, jeg vil jo si at med tanke på utfordringer med informasjonssikerheslanskapet er at antall breach går opp og forventningen om at flere og flere skal kunne dette. Så sitter SMB i en liten skvis fordi det er en del store trender som slår inn også slår de litt skjevt ut på SMB. Som gjør det ekstra vanskelig, da. Og generelt sett i sikkerhetsbransjen – det å få tak i fagfolk er ganske vanskelig. Det er vel estimert at det på global basis kommer til å mangle 3,5 millioner jobber innenfor informasjonssikkerhet. Bare i Norge så estimerte vel regjeringen at de kommer til å mange ca. 4100 innen 2030. Jeg tror det er ganske konservativt estimat. Det det gjør er at lønningene går opp. De store Enterprises som er veldig tungt lovregulert henter jo veldig mye av kompetansen inn til seg som gjør at når en SMB da skal håndtere de samme utfordringene så er det kanskje høye lønninger, mangel på ressurser. De er i en skvis med at de vet de trenger det, men det er kanskje ikke folk. Også er det at antall angrep har økt ganske betraktelig de siste årene. Også er det sånn at det ofte er SMB har større sjanse for å ha et vellykket angrep mot seg enn en stor Enterpice som har veldig gode rutiner og rigg for dette. Du er mye mer sårbar vil jeg si som en SMB. Så du har et trusselbilde som er økende og du får ikke tak i folk. Det er en sånn ubehagelig skis å være i. Samtidig så ser du at ansvaret plasseres nærmere og nærmere ledelsen. Så jeg synes datatilsynet har gjort en knallbra jobb de siste årene for å både flagget informasjonssikkerhet og personvern. Men en ting du kan lese ut av rapportene til datatilsynet og når de har varslet gebyr er at de nevner at det er daglig leder som er ansvarlig for informasjonssikkerhet i selskapet. Og det er ofte grunnleggende ting og verktøy som mangler, det kan vi gå gjennom etterpå. Svakt passord, de logger ikke. Disse på en måte enkeltstående tiltakene som er en del av verktøykassen. Så har du fjerde trenden her som er forventningen til de enkelte selskapene er mye større nå enn de var før. Tidligere spurte du ikke om hvordan er sikkerheten hos dere før du kjøpte. Så en SMB kunne selge til ganske store virksomheter. Det kunne gå bredt, skaffe seg stor kundebase. Men så som reguleringene kom inn, sånn som GDPR og gjorde det masse bra, men for SMB ble det en kjempeutfordring for de må forholde seg til samme regulatoriske krav som de kjempestore. Men med ressursene til en liten virksomhet. Og det er en licence eller ticket to play. Du må ha dette på plass. Ellers får du ikke lov å spille. Så ofte er SMB møter lovkrav som de må ta stilling til eller når de skal prøve å selge til store virksomheter så får de spørsmål tilbake – hey, her er denne lange spørsmålslisten med ting å svare på. og svarer dere ikke godt nok så får dere en enda lengre spørsmålsliste. Også ender de opp med å bruke masse tid og penger på å prøve å svare ut. Så mange sliter med å prøve å vise det de har gjort bra. De sliter på showcase til denne investeringen. Så det er hovedrommet og utfordringen for hvert fall SMB vil jeg si da.
Frode: Ja, og da er spørsmålet hvordan skal man gjøre dette hvis du er liten. Skal du velge deg en standard? Skal du liksom tenke at tre faktor modellen vil jeg bruke. Den passer hos oss. Også gjør du det selv eller ISO-2022 serien, nei det tror jeg passer hos oss. Da kjører jeg på der. Eller skal du få noen til å gjøre disse vurderingene for deg eller sammen med deg for å sikre at du ikke bruker mer penger på sikkerhet enn det du burde. Du får sikret de verdiene du har. Så det er egentlig spørsmålet hvordan går du frem når du velger det som er best practice for deg liksom. Du har beskrevet mange fenomener, men sånn hardcore. Hvor ender du i bestiller verden?
Andreas: Min favoritt butikk her er Powerhouse eller Jernia. I verktøy avdelingen. Elsker å stå i verktøyavdelingen. Der har du alle mulige verktøy som kan løse alle mulige forskjellige utfordringer. Skal du sage, skal du hamre, skal du lime. Det er jo et vell av gode verktøy å ta i bruk. Også er spørsmålet hva skal jeg bruke til den jobben jeg har nå? Også er det overveldende. Du vet ikke helt hvor du skal begynne. Så noe alle virksomheter kan gjøre uavhengig av størrelse, kompetanse og sånt er egentlig å ta noen skrivebordsøvelser på risiko. Du lager noen risikoscenarioer. Og for mange som kanskje ikke har vært borti det, så er det veldig enkelt. Det handler om hva gjør vi hvis. Så før du vet hvilke verktøy du skal ta i bruk, så vil det være noen generelle ting som alle bør gjøre. Men det første jeg ville gjort er å ta fire scenarioer som en SMB. Så setter du deg ned, skriver det ned også drar du over til IT avdelingen og compliance eller hva enn du har. Også sier du at la oss anta at du har en sårbarhet i strukturen vår eller et sted. En veldig vennligsinnet person der ute sier hei, jeg har lyst å si i fra om at her har du et problem. Jeg vil gjerne hjelpe deg å fikse dette. Værsågod her har du informasjon om sårbarheter i et system eller at du har et problem. Hvordan er den prosessen? Hvordan tar du det i mot. Hvordan vet du hvor du skal sende feilen til. Hvor fort fikser du det og alle disse tingene kan du diskutere over skrivebordet, så skriv det ned. Det er det første jeg vill ebgytn med. For da ville jeg begynt å få kontroll på oi, hvordan gjør vi det. Oi, hvor er det systemet. Og hvordan er det egentlig du tetter sånne hull. Da får du veldig mye god feedback, også ville jeg tatt neste scenario som er la oss si en ikke så veldig vennligsinnet person som sier du har et problem. Sier hei, du har en sårbarhet. Og forresten vi har stjålet masse personopplysninger. Hva gjør du da? For det er samme rappoteringsegime, men nå har du også et ekstra problem på hvordan vet du hva de har tatt? Kan du sjekke loggene om hvor de har vært og hvor omfattende har dette problemet vært? Hvordan rapporterer du til myndighetene? Bare de to scenarioene her får veldig mange av hva har du på plass? Så når du først skal velge, så vet du at du har et skrujern hjemme og du vet at du har en drill. Jeg trenger ikke alt det her, men det mangler og og det trenger jeg virkelig. Så legger du til hva skjer hvis du får ransomware? Hvordan håndterer vi det? Skal vi nappe ut pluggen på serveren? eller har vi backup? Hva skjer hvis noen logger inn på e-postkontoen til daglig leder? Hvordan oppdager vi at det har skjedd? Da tror jeg du får opp veldig mye gode spørsmål og oversikt på hva du har. Også kan man gå på neste skritt som blir hvilke verktøy skal vi bruke for å løse dette. Og da kommer tingen som ISI-2121 for styringssystem. Bygger du programvare selv, bygger du en sikker utviklingssyklus. Datatilsynet har en kjempegod veileder på hvordan du bygger innebygd sikkerhet og personvern. Det er kjempebra å bruke hvis du driver med utvikling. Også har du gode melk og brød standarder som NSM bruker i type forsikring og god passord hygiene, multifaktor pålogging. Alle disse tingene dere har hørt om før. For da vet man på en måte hva har vi på plass for å stoppe disse scenarioene også plukker du de du føler er mest relevante fra folk som er eksperter på sine områder. For eksmepel NSM eller datatilsynet eller ISO. Så jeg har ikke helhetlig denne ene tekniske tiltaket. Det har vært veldig greit å gjøre det. Men jeg tror det beste, enkleste og billigste er å begynne med hva gjør vi hvis?
Frode: Det er veldig interessant, for det du egentlig sier er at alle har ulike behov. Alle vil ha ulike løsninger, og det å så finne din løsning. Det krever at du faktisk tar og går litt inn i dybden på de viktigste prosessene, sånn at du sjekker ut hvordan rutinene dine er for å enten identifisere eller løse problemer som dukker opp. I dette så lurer jeg på – altså tre faktor modellen sier jo litt om verdi, trusler, sårbarheter. Jeg husker veldig godt fra min tid i Nasjonal sikkerhetsmyndighet at de fleste de opplevde ikke at de hadde noe særlig av verdi. De hadde sånn idé om at de var helt uinteressante. Kan du si litt rundt hvordan man egentlig som fenomenet verdi, hvordan bør man tenke rundt det? Hva er det man sannsynligvis har som man burde? Hvertfall hensynta i en sånn prosess som dette?
Andreas: Jeg har også opplevd det samme som du nevner. Det er veldig mange som tenker at vi har ikke noe interesse. Og det er veldig rettet mot konfidensialitet, da. Det er ikke så farlig om det vi har blir offentlig. Og det er jo en dimensjon av sikkerhet. Også har vi integritet og tilgjengelighet. Ofte den glemte av de. Så hvis man tenker at vi har ikke noe av verdi, så nei, kanskje man føler man ikke har noe av verdi. Men hva hvis du ikke får logget på systemene dine en dag. Ingenting er tilgjengelig. Vil det være et problem. Kan du operere uten at IT-systemene dine er oppe? Kan du operere hvis ransomware er på systemet ditt eller har ikke det noen ting å si? Så hva hvis noen stjeler noe, og hva hvis noen holder ting nede? Eller hva hvis du ikke kan stole på den dataen du har. Kjøpe kunden 400 enheter eller 4? Hvis du ikke lenger kan stole på det så er det også store operasjonelle impacts da. At du kanskje sender for mye av en vare, eller så må du sende tilbake også er det en kostnad. Så der vil jeg utfordre at man ser det litt større enn bare tyveri, da. Alle har noe av verdi. Eller at IT systemet gir en nyere verdi for at selskapet kan tjene penger. Får du solgt noe hvis nettsiden er nede?
Frode: Og det vil si nå beskriver du et vell av trussel eller trusler man kan bli utsatt for. Og da må jo kunsten på en måte være å finne ut hvilke trusler er det mest sannsynlig at du tror treffer hos deg? For at du skal skalere tiltakene dine, eller er jeg helt på jordet?
Andreas: Nei da. Man må begynne et sted, Og så er ikke sikkert at i det lange løp så er det perfekt å gjøre, men det er bedre å gjøre noe. Så jeg skal prøve å være litt konkret i forhold til eksempler. Så sånn rent tekniske tiltak, tekniske verktøy så ville jeg tenkte at passord er en kjempestor ting. Det å håndtere passord er superviktig. Så gode verktøy der er for eksempel Single Sign On, det å ha en passord manager er kjempegod tiltak for å dra ned risikoen og dra ned sannsynligheten for at alle disse andre scenarioene funker. Så det er en stor teknisk ting. Det andre er å håndtere phishing. Majoriteten av angrepene kommer på mail. Majoritetene av de vellykkede angrepene går også via mail og e-post konto. Og her er det enkelt ting du kan gjøre som du gjør en gang. bestill sikker e-post fra leverandøren din, SPF, DMARC eller verktøy som sier at denne e-posten ser litt phishing ut. Det er gode verktøy du kan kjøpe og sette opp en gang også gir det deg god risikoreduksjon på tid. Også er det som vi alltid sier patching. Det er veldig undervurdert og en kjedelig del av sikkerhet, men når systemet sier hey, det er en oppdatering. Trykk oppdater. Gjør det automatisk. Gjør det enkelt for brukeren. Det er gode verktøy som tekniske ting. Også har du standarder for å hjelpe de på den prosessuelle biten. Da ville jeg sagt at NSM sin standard for grunnprinsipper bør være det første stedet man stopper som en NSB for tekniske gode tiltak. Gjør man programvare utvikling, så er det veilederen til datatilsynet fordi det bygger sikkerhet på personvern. Også er det det å ta stilling til hvordan skal vi tenke på sikkerheten her i en virksomhet. Og for daglig leder vil det være å definere en målsetning til selskapet. Hvilket nivå er okey hos oss. Er det noe vi bare må gjøre fordi noen tvinger oss eller skal vi være best i klassen? Bare sette nivået av forventning er kjempegod start. Også er neste skritt å lage en sikkerhetspolicy. Hvilke områder vil daglig leder vi skal prioritere her. Det kan være passord, phishing, patching, leverandørstyring også videre. Og da har du ISO-2121, du kan bruke SOC type 2 verktøy, NIST har masse rammeverk man kan lene seg på for å lage gode dokumenter. Gode strategidokumenter. Så verktøy for meg er ikke nødvendigvis en standard, men det kan være teknisk verktøy, det kan være dokument som sier noe om hva ledelsen forventer. Eller risikovurdering.
Frode: Når det gjelder disse fire spørsmålene som du ønsket at folk kunne stille seg i starten. Hvis du går inn på konsekvens delen. Vi snakket jo litt innledningsvis om at du kan miste verdiene dine. Intellektuell kapital eller noe som du har brukt tid på å utvikle. Du kan tape penger på en direktørsvindel eller på en ransomware for eksempel. Og du kan tape omdømme ditt i forhold til leverandører, fremtidige kunder også videre. Hvordan klarer disse små bedriftene å forstå hva dette betyr for dem og deres virksomhet og i hvilken grad bør dette være viktig i forhold til hvordan man legger lista på sikkerhets rigget som de bestemmer seg for til syvende og sist.
Andreas: Det er et tøft spørsmål. Jeg hadde holdt det enkelt og tenkt hva er det verste som kan skje? Ikke overkompliser prosessen, men hva er det verste som kan skje hvis vi blir utsatt for noe? Så vil fort kjenne den ekle magefølelsen som sier at dette har vi ikke et godt svar på. Og når du får den så er det mer uvante konsekvenser. Du er ikke forberedt. Det er ikke så lett å gjøre tiltak på det. Så det å tenke angrep og sånt, at det har markedsførings konsekvent, du kan miste kunder, du kan miste tillit. Du kan miste systemer. Det er et vanskelig spørsmål du stiller.
Frode: Jeg har også tenkt mye på at du kommer jo fra blant annet finanssektoren som kanskje er den sektoren hvor det å dele kunnskap innenfor det som er gått på sikkerhet, det har vært en naturlig del. jeg har hatt en sånn forestilling om at vi konkurrerer på alt. Bortsett fra sikkerhet. Det deler vi. Så vi bygger systemer hvor vi er gjensidige avhengig av hverandre, men hvor vi også stoler på hverandre i måten vi ivaretar dette på. Det finnes jo ulike organisasjoner for små og mellomstore bedrifter. Det finnes klynger og det finnes mange grupper. Har du noen tanker rundt hvordan sånne det man er en del av som er noe større? Hvordan man kan bygge god sikkerhet sammen? Og kanskje redusere kostander, få opp kompetanse også videre. Er det noe som er i dag eller noe man burde få?
Andreas: Jeg tror du treffer spikeren på hodet når det gjelder den største fordelen Norge har. Og der vil jeg trekke det enda lengre tilbake og si at dugnadskulturen i Norge. For i Norge står Dugnadskulturen veldig sterkt. Det er ikke alt man tar penger for. Det er ikke alle områder man konkurrerer på. Når man har et felles samfunnsproblem så går man sammen og prøver å løse det. Så finanssektoren har gjort det kjempesmart og sier at vi deler veldig åpent. Deler kompetanse. Dette er et felles problem. Og det samme kan gjelde for SMB sektoren. At det er veldig mange både i bransjen og andre steder som deler masse informasjon fordi de ønsker å bidra. Og hvis noen SMBer gjør noe smart på sikkerhet, hvorfor ikke dele det så andre kan dra nytte av det. God sikkerhet er et kvalitetsstempel, men jeg vil ikke si at man bør selge noe fordi sikkerhet hos oss er bedre enn hos dem. For det blir en felles utfordring. Så hvis du tar grep om den dugnadsånden som allerede eksisterer, da. Bare tørre å dytte tåen i vannet og strekke nakken frem. Og si, vet du hva. Vi gjorde en feil. Så vi vil tørre å påstå at de fleste vil bli positivt overrasket over at man vil ikke bli hogd av hode tpå. Man vil få støtte, forståelse og vet du hva – dette er supert at dere deler. Andre kan ta lærdom av det. Og man får egentlig veldig mange positive effekter både brand messig, tillit smessig. At man tør å innrømme feil. Jeg tror at hvis man klarer å bli mer åpne om både det man gjør bra, men spesielt det man ikke gjør bra. Og konsekvensen så tror jeg det er med å løfte hele sektoren. Og bruke bransjeorg asjoner som for eksempel SMB Norge, eller andre fagfora for eksempel. Bruk de og den informasjonen og se om man kan dra nytte av hverandres fagmiljøer. Det er utrolig nyttig. Det tror jeg er en fordel Norge har. Tilliten til hverandre. Det er noe vi virkelig kan bygge videre på.
Frode: Jeg liker det. Jeg liker ordet tillit også i et sånt sikkerhetskultur perspektiv. Det jeg også lurer litt på er jo at jeg var offiser i mange år. Og vi trente mye. Vi trente på kriser, vi trente på beredskapssituasjoner. Vi trente og det var ikke sånn at vi dro på oss uniform og løp ut i skogen. Men vi trente i ulike varianter. Om det var en tabletop eller om det var en stor omfattende digital øvelse eller fysisk øvelse. Er dette noe man kan trekke inn i disse foraene som du snakker om som gjør at man får testet noen av hypotesene. For ofte når man har det på papiret så er det jo sånn på et vis at man stoler på det. Også finner man ikke helt ut om det funket før det smalt. Så har du noen tanker rundt dette? Det som går på kriseberedskap, øvelser og det som følger når det går galt. I en eller annen form.
Andreas: For mange – jeg tenker også innenfor SMB, så er det ulike sektorer med sine utfordringer. Så hvis noen av sektorvise områdene for eksempel retail, transport eller logistikk hadde noen gode eksempel scenarioer på ting som er særskilte SMBs bransje så tror jeg det er kjempenyttig. Også er det bare å sette seg ned å ikke gjøre det for stort. Som en SMB så har man begrensninger, man har ikke nødvendigvis kompetanse eller ressurser, bare ikke over tenkt. Ikke gjør det perfekt. Bare begynn et sted. Sett deg ned rundt lunsjbordet og spander pizza og nå skal vi diskutere hva går galt? Hva gjør vi hvis? Og få noen til å notere litt underveis. Det tror jeg er kjempegod måte utgangspunkt å begynne med. Så ha du mulighet til å kjøre fulle beredskapsøvelser – kjempebra. Da tør jeg å påstå at man er veldig moden i forhold til mange. Men det viktigste er å bare komme i gang. Og hvis du klarer å dele det du gjør på de tingene man kanskje tenker at dette er for enkelt for andre å dra nytte av, så bare prøv. Så får du innputt fra andre. Har du tenkt på? Så blir det å bare gjøre det jevnlig.
Frode: Veldig, veldig bra. Sikkerhetskultur, hvis vi kan berøre det nå på tampen. Det å snakke om å etablere sikkerhetskultur, bygge sikkerhetskultur. Og dette er jo avgjørende viktig sier alle. Men hvordan gjør man det egentlig? Det er jo lettere på powerpoint enn i virkeligheten å gjøre disse tingene. Så har du noen gode råd knyttet til hvordan bygger du den kulturen som du ønsker? Du er CEO i dette tilfelle da, som skal gjennomsyre min virksomhet. Og skape det som man trenger for at hvert fall den menneskelige sårbarheten blir redusert.
Andreas: Ja. Det er noen ting jeg har kommet over som jeg synes har fungert utrolig bra gjennom karrieren min. Og det er veldig håndfast. Hvis du tenker at du sitter i dagligleder stoler og tenker at vi må passe på at vi har en god sikkerhetskultur. Hvor skal du begynne? Jeg ville begynt på allmøte. Det første jeg hadde gjort ville vært å legge til et endepunkt i jevnlige allmøter hvor du har sikkerhet og personvern. Ikke mer enn det. Så snakker du litt om hvordan din forventning som daglig leder er på disse områdene her. Er det viktig for deg eller er det ikke? Hva forventer du at folk skal gjøre med det? Også hadde jeg begynt å få en kultur hvor det er trygt å feile. Det er trygt å gjøre feil. Og det blir faktisk feiret. At når du gjør noen ting så er det for å lære av og det må opp og frem. Så når du for eksempel finner feil i det du bygger, i programvaren du har, feil i oppsettet av et IT system, så bruk det som en kjempegod læring og trekk det frem som noe positivt. Nå er jeg veldig glad i Twist. Madde forskjellige sjokolade.
Frode: Mange er glad i Twist.
Andreas: Mange er glad i Twist. Så jeg vil si at et billig tiltak, og nå har jeg ikke avtale med Freia, men si at du har en sårbarhet eller en feil eller en utfordring i selskapet ditt. Så sier du at okey, de som melder i fra om en feil eller et forbedringspotensial. Det skal vi ta opp på et allmannamøte og si at denne feilen er rapportert, tusen takk til Ole. Han hjalp oss med dette. Hadde dette gått galt hadde det kostet oss utrolig mye penger. Her Ole, tusen takk. Du får en Twist pose. Så kan du dele den med avdelingen og de rundt deg. Dette hjalp selskapet. Det kan få utrolig store effekter for bare anerkjennelse fra ledere om at det du gjorde var riktig. Tusen takk for bidraget ditt. Vise til andre at det er sånn du møter når noen melder fra om feil. Sånn løser vi det her. Så er det et fysisk bevis på at her belønner vi folk. Så spørs det da om det blir mye sjokolade så kan det ha andre utfordringer, men bare tanken at du gir noe som kan deles. Jeg tror det er sjeldent at du sitter å spiser en Twist pose alene på pulten din. Det er naturlig noe du deler med de rundt deg. Du feirer at vi sa ifra om en ting, og det kunne gått galt, men det gjorde det ikke. Og det var viktig for både businessen og strategien. Og den anerkjennelsen fra leder. Det tror jeg er det beste byggingen av sikkerhetskultur noen sted. For takknemlighet biten. Hvis du har et allmenn møte på 200 stykker og alle klapper for hun ene på IT som meldte fra om en teknisk feil. Det koster ikke mye. Men det tror jeg har utrolig stor effekt
Frode: Så det du sier er…
Andreas: SIkkert og Twist, det blir bra.
Frode: Ja, veldig bra. Du har egentlig oppsummert det selv. Gi anerkjennelse og feir sikkerhetsbrudd eller feir det som gjør at man bedrer sikkerheten. Og gi anerkjennelse. En utrolig fin oppsummering. Da er vi ferdig med tredje samtalen. Nå skal du få bryne deg i neste samtale. DU skal få lov til å være Ciso i LØRN. Så inntil videre ha en liten pause. Kos deg med Twist. Også ses vi igjen straks. Takk.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Frode Skaarnes: Hei og velkommen til den fjerde og siste samtalen i vårt mikro kurs om Cybersikkerhet for små og mellomstore bedrifter. Gjesten min er fortsatt Andreas og i denne samtalen som vi nå skal ha så skal vi snakke om et eksempel. Og det eksempeleet skal være LØRN. Vi skal gjennomføre en liten workshop hvor Andreas skal hjelpe oss å få LØRN til å få orden i sysakene sine innenfor det digitale rom og med spesielt fokus på cybersikkerhet. Jeg vet ikke helt hvordan jeg skal begynne Andreas, men jeg tenker jeg kan starte med å beskrive hvordan LØRN ser ut så du får på et vis et bilde av hva du skal få lov til å være Ciso for fremover. Er det en plan?
Andreas Hegna: Det høres ut som en god plan.
Frode: Veldig bra. Da kan vi starte med med rammene. Vi er cirka 15 ansatte. Vi er ansatte i Norge, vi er ansatte i Europa, og vi har faktisk en kar som jobber i Chile og lager avatarer for oss. Så vi har også ansatte i Amerika. Så vi har blant våre ansatte ulike ansettelsesforhold. Noen er fast ansatte. Noen er frilansere. Vi er en stor og blandet familie som da lager det som er gullet vårt. Og gullet vårt er i utgangspunktet 1500 pluss lærings moduler, og dette er podcaster, video caster, det er ulike tekstdokumenter. Det er quizer, det er refleksjonsoppgaver. Vi har bøker. Vi har filmede webinar. Og vi har da for å lage alle disse et bredt spekter av software. For å nevne noe av det så har vi Stream Yard, så vi sitter å tar opp denne podkasten med. I tillegg til ulike verktøy vi har for å gjøre speech to text og text to speach i ulike språk. Vi har verktøy for å publisere og redigere. Vi har stor bruk av sosiale medier som Facebook, LinkedIn, Spotify, Youtube også videre. Og vi har vår dedikerte plattform som syr alt dette sammen og som presenterer dette for alle våre studenter. Om de er business eller om det er enkeltpersoner som er inne og blir litt klokere på plattformen vår. Det vi ikke har er en egen IT-avdeling. Og vi har heller ikke en egen sikkerhetsavdeling. Det er noe som vi tar ansvar for i fellesskap. Og da er det sånn at hos oss så er valgfrihet viktig. Og det vil si i et sånt hardware perspektiv, så bruker folk den maskinen de vil. Jeg har Mac. Silvija har pc. Vi har ulike skytjenester. Vi har Google, Microsoft som leverandører. Vi bruker ulike webbaserte grafiske verktøy. Så vi har på et hvis en jungel av software, hardware, og ikke minst så er vi en stor lykkelig familie spredt over hele verden. Så da er spørsmålet – du er nå ansatt som ny Ciso LØRN. Hvor i all verdensdager ville du begynt?
Andreas: Det er en veldig spennende case hvert fall. Jeg tror veldig mange SMB virksomehter vil kjennes seg igjen. Man har veldig kultur for åpenhet, man har veldig kultur for at man bruker de verktøyene man trenger for å gjøre jobben. Også må man tenke på dette. Du har jo sagt det underveis hva som er bekymringen. Det er jo gullet dere skal beskytte, det er opptakene og podcasten. Så vil dere ha en lett og ledig kultur for at folk skal kunne bruke forskjellige verktøy eller bruke Mac eller om det er Linux eller Windows. Så man skal ha den enkelheten inni her uten at det blir veldig super sikker. Jeg tror det er sånn veldig mange har det. Hvor er balansen?
Frode: Vi vil være leken og fleksibel på den ene siden, men så vil vi være tilgjengelig på den andre siden.
Andreas: Ja, sånn i Ciso da. Det første jeg ville prøvd å fokusere på er hvordan skal man gjøre jobben enklere for alle sammen. Hvor er pain pointene på ting dere sliter med som har sikkerhetsmessige aspekt som jeg kan gjøre lettere for dere. Samtidig som jeg gjør det sikrere. Det første jeg ville begynt med er egentlig før det med å prøve å finne ut hva er det vi er pålagt og hva er det vi har av må krav? Også er det dette med at det er fint hvis vi kan gjøre det lettere for folk. Jeg hadde begynt med hvilke krav er dere underlagt. Så ville jeg anta at det er personopplysninger, det er personvern forskriften, men dere er nok ikke en regulert bransje så det er ikke ikke noe finans krav her. Men dere har kanskje noen leverandøravtaler? Store kunder. Enterprise kunder som krever noe av dere. Hvis jeg hadde lest avtaleverket og sett at står det noe sikkerhetskrav fra store leverandører? Krever de at dere har noen standarder? Krever de at dere har ISI-2121 for eksempel? Også hadde jeg sett hva krever loven. Da har du rammene du har lov til å bevege deg innenfor. Og du har lov til å bevege deg innenfor de rammene som har må-krav, så må du ha nice to have som er mer risikobasert da. Si at det er personvern. Det første jeg ville begynt med da er egentlig pålogging. Du har mange forskjellige skytjenester. Og hvis man gjør dette litt på dugnad så er det litt systemer her og der og det er kanskje flere pålogginger og det er ikke kanskje knyttet sammen med Google pålogging eller Azure pålogging. Da hadde jeg prøvd å forenkle prosessen sånn at jeg kan jobbe mer effektivt. Frigjøre tid, da. Prøve å sentralisere det til en pålogging. Og gjort den så enkel å bruke som overhode mulig. Og når jeg får alle over på den så hadde jeg gjort at vi har hvert fall lang passord.
Frode: Da må jeg stille deg et spørsmål. Når du sier pålogging, enkel pålogging. Når man har ulike leverandører kan man også knytte disse gjennom en felles pålogging likevel eller er det sånn at de er atskilt atskilt?
Andreas: Det spørs litt på hvor moden leverandørene er. Jeg vil si at de fleste i dag klarer å støtte pålogging via en tredjepart. For eksempel Azure AD, Google ID, det kan være en type sentral ting. Det kan være at du må kjøpe bedrift lisens eller en oppgradert lisens på de verktøyene, men det kommer du til å spare inn på effektiv tidsbruk og få mindre frustrasjon hos brukerne. Så det var det første jeg ville gjort. Hvis du har en leverandør som ikke støtter det så hadde jeg stilt spørsmålet hvorfor ikke? Men så er det noen systemer som ikke klarer å integrere. Og da er det å få på plass en passord manager og få det ut til selskapet. At alle får det gratis. Her kan du lagre passordene dine på en trygg måte. Det vil gjøre det lettere for deg å logge på tjenesten. Du trenger ikke å huske på alt mulig, hverdagen blir bare bedre. Og da har du allerede første win med at hvis du kan gjøre livet litt enklere for den enkelte så har du en god start.
Frode: Min opplevelse er at sikkerhet er ofte beheftet ved at ting blir mer tungvint. Så jeg kjenner som CEO at jeg liker samtalen så langt om hvor vi skal. Så hvor går vi videre nå?
Andreas: Det første når du har begynt å samle påloggingene da så er det neste spørsmålet som kommer hva har vi? Hva er det vi skal sy sammen? Og det å faktisk ha oversikt over hva du har. Og hva du bruker det til. Man har det i hodet, men har man egentlig full oversikt? Så det å lage en liste over all software vi bruker. Dette er hva vi bruker det til. Også samtidig stille spørsmålet fordi du vet at du har personvern og hva er det de prosesserer? Er det personvernopplysninger her? Og i så fall hvilke? Så du får med grunnlaget for å kunne gjøre en ordentlig personvern vurdering. Men samtidig holder du fokuset på sikkerhet. Så ser du. Hvilke av disse tjenestene er det du kan koble på en sentral pålogging og hvem er det du må støtte med passord manager. Også er det forretningsmessige perspektive her. Hvordan skal du få verdi ut av den investeringen du gjør på sikkerhe. Jo, har vi kjøpt to av samme produkt? Kan vi kvitte oss med noen lisenser fordi vi har egentlig to produkter som gjør det samme. Det er en kjempegod start. Hvis du kan spare noen penger der. Og det andre er når du samler disse identitetene et sted så er jo oddsen større også at du får kastet ut de som slutter og du får inn de som begynner. På den måten bruker du ikke like mye penger på lisenser som bare står å spinner og bare sitter å bruker penger. Sånn at du kan effektivisere bruken samtidig som du strammer inn på tilgangskontrollen. Så det er win-win. Sikkerhet brukes for sikkerhet, men det brukes også for å spare penger og effektivisere.
Frode: Så det du sier er egentlig at CFO blir også happy camper her. Og ikke minst så vil vi lage oss sannsynligvis som en konsekvens av det du sier gode on boarding, men også offboarding rutiner. Og at man da gjennomgående ikke betaler noe man ikke har bruk for og at man slutter å betale for det når folk faktisk ikke har behov for det.
Andreas: Sikkerhetsmessig kjempeviktig, men det er en undervurdert del av sikkerhet at dette er forretningsstøtte i hele selskapet. Man sier jo at sikkerhet skal være gjennomsyret og at alle skal ta en del av det. Men vi som bransje har ikke vært like gode på å få frem hvilken verdi vi gir til selskapet. Og dette er veldig håndfaste ting. Du sparer folk tid,d u gjør hverdagen lettere. Mindre frustrasjon. Du bruker ikke penge rpå noe du ikek skal. Samtidig også vet jo vi at det er flere risikoer vi håndterer ved å gjøre dette. Vi har ikke så mye tid, for folk er veldig opptatt av hva de bruker. Vi har strammere tilgangskontroll. Det er lettere å gjøre hendelses respons. Det er lettere å sperre kontoer hvis noen blir hacket eller noen gjetter passord. Og det kan vi snakke om på IT og det kan vi snakke om på sikkerhet, men for øvrige selskaper så vet de at de er litt tryggere, men de får også andre fordeler. Så jeg tror det å dra mer verdi ut av det vi gjør tror jeg er det viktigste å starte med. Så kan du ta de mer painful tingene senere. De som kanskje gjør de litt tyngre når du setter på sikkerhetstiltak. Men da har du fortsatt gjort livet lettere for den ansatte på et område og da har du litt mer slack på tyngre ting på andre områder.
Frode: Så du velger helt bevisst å gå inn på og kalle den positive driven før du starter på det som kan oppleves som hemmende i hverdagen?
Andreas: Ja, og ikke begynne med for mye på en gang. Si at du ligger i skyen da. Så er enten at du ligger si skyen eller har ting på on-prime leverandør. Ta en prat med den leverandøren du har og spør om hva andre ting du kan hjelpe med p sikkerheten så du kan sette en pengemessig verdi på uten å putte mye penger og tid på. Er det ting du kan gjøre, ting som kan foreslås for å gjøre oss litt sikrere allerede i morgen? Eller i skytjenester er det mulighet til å kjøpe en litt høyere lisens. Eller det er mulig å aktivere sikkerhetsfunksjonalitet eller følge en guide. Hva er det de enkle tingene vi kan gjøre i dag som er veldig håndfast og konkret som får veldig effekt? Det er kanskje ikke den perfekte ting å gjøre. Hvis du skulle gjort en full risikovurdering. Men du begynner et sted. Og når du har hevet nivået litt så kan du ta et sterkt tilbake og se hvilke risikoer har vi. Dekker dette det meste eller er det noen gap? For hvis du gjør det motsatt vei så ser vi kanskje oi, vi mangler en drøss med greier. Dette er alt for stort. Det var tungt. Vi venter til i morgen. Vi venter til neste uke. Vi har ikke tid til dette nå. Så det handler om å begynne i små drypp og gjøre det litt og litt bedre og ikke overøse selskapet med masse sikkerhets aktivitet, så får man ikke gjort noe på 2 uker. Da tror jeg du kommer lenger litt og litt.
Frode: Men det vil si du må ha en en struktur og en langsiktig plan da, for å kunne gjøre litt og litt. Så du gjør litt og litt med en med et klart mål for øyet. Så for å gå videre da. Kulturen hos oss som jeg sa, vi er både samlokalisert. Vi som holder til i Oslo området. Også er vi veldig distribuert. Hvordan skaper man sikkerhetskultur i en sånn verden?
Andreas: Ja. Sånn som vi snakket om i forrige kapittel. Twist posen da. Den er litt vanskelig å sende over landegrenser. Men skryt og anerkjennelse er ikke det. Så den første prosessen jeg ville fokusert på i et selskap er ikke nødvendigvis kravsette. Det første jeg ville begynt med er hendelseshåndtering. Fordi da får du så mye gode input. Så hvis du begynner med hvordan håndterer vi feil. Hvordan håndterer vi angrep og hvordan håndterer vi hendelser i eksemplene som er nevnt tidligere. Så jobber man med hvordan dette skal kommuniseres og tas ut. Hvordan feirer vi de tingene som er kommet inn. Hvordan gir vi skryt til de som sa i fra. Også kommer man tilbake til kravet igjen om at dette må vi passe på at vi har på plass. Fordi en persons konto blir hacket, da må vi gjøre noe for at det ikke skjer igjen. Så kjør opplæring, skryt litt. Også lærer vi på en måte litt mer reaktivt med å gjøre det på tryggere hendelser og ikke de store kritiske. Vi vil lære av de små hendelsene og de får vi inn ved at vi ber de ansatte fortelle. Det er de beste sensorene vi har. Hva er det de ser som bekymrer dem. Hva er det de ser som er feil? Og da vil du få masse. Alt fra prosessering, til økonomi besparelser til alvorlige feil og ting som ikke er blitt prioritert. Både den som er blitt nedprioritert og at den ikke føler seg sett i kortene, eller kastet under bussen. At nå er det noen som skal ta meg. Men kun fokusere på at så bra de sa i fra. Hvorfor kommer vi dit? Hadde ikke tid, hadde ikke ressurser, hadde alt for mange hatter på så rakk ikke å gjøre det. De fleste tror jeg ikke velger bort tiltak fordi de eksplisitt ikke vil det. Det er vel alltid en avveining her å forstå at folk er presset på tid. Gi dem tvilen til gode. Jeg tror det er med å bygge den gode kulturen som gjør at også på tvers av landegrenser. Folk tør å si i fra uansett hvor i verden. Uansett hvilken kultur de kommer fra så tror jeg de fleste kan stå bak at det skal være trygt å feile og det skal være trygt å si ifra.
Frode: Jeg liker det tankesettet helt klart. Vi lever liksom av de historiene som de ansatte faktisk forteller. Og ikke de de feier under teppet og håper ingen skal oppdage. Men jeg tror tid som faktor som du beskriver er hvert fall vår hverdag i LØRN verden. Fordi alt vi gjør understøtter business. Og hvis sikkerhet understøtter business og kan bli en naturlig del av det så vil man også prioritere det. Jeg tror det er fort gjort i den hektiske hverdagen å tenke at det er leveranse, leveranse, leveranse. Og at noen andre tar ansvaret for den sikkerheten som er nødvendig. Om det er Google, Microsoft eller hva det er. Så så lenge man følger noen enkle spilleregler så går det bra. Også gjør det jo det så lenge det går bra. Jeg liker det tankesettet. Du sa hendelseshåndtering. Jobber med de små hendelsene. La oss si at vi har hendelser som egentlig er så små at vi kan lære av det internt. Bør vi også dele det med den kjeden vi er en del av dersom de også kan lære av det? Hvordan tenker du rundt det? Jeg ser dilemmaet som mange har. At det føles veldig skremmende og skummelt å dele ting som gjør at du kanskje kan fremstå som uprofesjonell. Hvordan skal man få bukt med det tankesettet? At det skjer alle. For det gjør det jo på en måte. Men jeg skjønner på en måte at dette er vanskelig.
Andreas: Ja, det er ubehagelig. Nei, jeg vil si at hvis du prosesserer personopplysninger så må du uansett forholde deg til at hvis det skjer noe så må du si ifra. Du har satt en to timers frist til dette tilsynet. Du har også en plikt til å melde fra til de du behandler opplysningen for. Så det er bedre å være føre var og dyppe tåa i vannet. Enn å på en måte hoppe i sjøen når det virkelig smeller. Og jeg tror man blir positivt overasket om at man deler til folk. Så gjør det flere ganger så tror jeg du får positive opplevelser også vet du hva, det fleste tar det positivt i mot. Så hvis du ikke tør å dele nøyaktige detaljer så ville jeg begynt med å dele tall. Sett tall på hvor mange hendelser eller feil du har håndtert. Hvor fort det ble håndtert og hva konsekvensen var. Det ble løst internt og ingen konsekvens for personvern. Også deler du de KPIene eller disse performance verdiene med dine nærmeste. Nærmeste leverandør og partnere også ser du feedback. Er det nyttig for dem? Er det trygt for dem å forstå at vet du hva, dere har en prosess. Kanskje ikke perfekt, men det er en prosess der og man prøver å være mer åpen over tid. Så må man få tilbakemelding på at den ene feilen du nevnte – kan du fortelle mer om den? Åja, men så fint. Den håndterte du. Og når du først putter det på papiret og deler så gjør du også implisitt den der at det er viktig å kunne svare på eventuelle spørsmål som kommer. Så forbereder du deg også mentalt på dette her. Så den dagen det smeller har du vært igjennom den prosessen allerede. Du vet litt hva du skal gjøre, og du har den tryggheten da. Og på en måte småfeil med patching om at den var ikke oppdatert på to år, da oppdaterer du den også skriver du en lite hendelsesrapport på det også sier du ifra om at vet du hva. Vi hadde en del interne prosedyrer og rutiner også fant vi den serveren på egen hånd. Det var ingen feil med den. Men vi så den hadde glippet i rutinene og vi har justert rutinene våre. Den patches nå jevnlig. Supert. Kjempegod tilbakemelding til kunde. Her har de kontroll.
Frode: Så rekkefølgen blir på en måte å skape en intern trygghet. Fordeling for å dra det videre ut i en sånn trygghet knyttet til de du er en del av en kjede med. Og dele med de. Og hvor du da til slutt løfter egentlig problemstillingen så ofte så det nesten ofte får effekten av å øve. Fordi du gjør det regelmessig og tester det egentlig i små eller mikoøvelser som gjør at du blir et knepp bedre hver eneste gang noe lite skjer. Så det må være fantastisk.
Andreas: Så hvis du ikke føler du er komfortabel med å dele alt – begynn på et veldig lavt detaljnivå. Fortell antall feil du har i stedet for nøyaktige detaljer. Etter hvert som du begynner å bli mer trygg så deler du mer og mer. Mer og mer detaljer og mer og mer om hvordan dere håndterer ting internet. Da får du den feedbacken og du kjenner at det er trygt.
Frode: Ja, sånn avslutnignsvis. Når du har laget noe som skal forebygge. Du har laget noe som skal oppdage det som skjer. Du har laget noe som vi snakker om nå som er hendelseshåndtering biten. Og man gjenoppretter en tilstand så man har en systematikk i det. Hva tenker du rundt formaliseringen av dette? Og revidering av dette? Du nevnte det egentlig i sted. Modningshet Nivået vil jo øke etter hvert tiltak egentlig. Men når er du der at du vil ha et system som er reviderbart og som du vil ha et bevisst forhold til med gjennomganger og vurderinger knyttet til endringer også videre. Hvor er du da liksom?
Andreas: Når tror jeg du har kommet på det punktet hvor jeg tror du har gjort veldig mange av de tingene du hører andre sier du burde gjøre. Du har gjort en del tiltak for å prøve å komme på et visst nivå. også er det en intern driver som er enten vi skal gjøre dette fordi vi skal ha dette som kvalitet og måleparameter. Når du har kommet såpass langt at du kan begynne med standarder så begynner du ikke fra bunnen av. Det er ikke så motiverende også begynne med standarder også her har vi ingenting. Det virker tungt. Da er det bedre at du har gjort en del små prosesser og tenker at dette kan vi utvide. Dette kan jeg bygge på. Og da begynner vi å kjenne at vi begynner å bli klar for å formalisere dette for å få mer effektivisert det. Det kan også være at du får eksterne signaler på dette og det kan typisk være at du skal selge til nye kunder og du får ikke solgt det uten at du har X, Y og Z. Det kan også være en veldig sterk motivator. Og da er det også veldig fint at du har mange ting på plass sånn at du kanskje ikke har den standarden der og da. Ferdig ISI-2121 sertifisering, men du kan fortelle litt hva du har på plass. Ta litt grep om den historiefortellingen og se hvor langt du kommer. Og si at vi gjør dette på sikkerhet og vi deler ut Twist når det går galt. Og beskrive alle disse tingene dere gjør. Og for mange vil det være nok, ikke sant. De store salgene vil kanskje si at det er supert, men vi trenger at dere går til neste nivå. Og da er heller ikke veien så lang fordi da har du allerede gjort masse små gode ting underveis. Og len deg på verktøy du allerede har. Ikke let etter noe nytt og bruk. Har du Azure og lisensene der, har du Google, ta ting i bruk der. Har du ting i GitHub? Kan du få noe gratis innebygd? Og med noe så kan du heller plukke den ideelle løsningen senere. Da tror jeg du er på det punktet at nå må vi begynne å tenke på sertifisering og revidering og gap. Du har kommet så langt at du kjenner du har litt kontroll. Men hvor langt er det egentlig igjen for å få det stempelet? For nå føler vi at det her går ganske bra.
Frode: Hvis du tar og knytter bare noen få ord til det siste. Sertifisering. Hva er verdien, eller hvordan har du sett at det har virkelig en verdi for virksomheter du er ute?
Andreas: For SMB, så er det ofte licence to play med de store. Hvis du har et stempel med en sertifisering som sier ISI-2121 eller Sock type2 rapport, disse tingene er signaler til innkjøpsavdelinger som sier at noen andre har kommet å sett på. Vi har en hvis form for kontroll. Så vi kan vurdere risikoen for å inngå en deal her litt lavere. Men det er på en måte en stor del løsrivende salg. Så det har stor verdi. Det er også en stor verdi i forhold til effektivisering. De gjør de riktige tingene. Du bruker pengene riktig sted i selskapet ditt. Du bruker ikke tid og penger og ressurser på tiltak du ikke trenger. Det er en god feedback der. Så jeg vil si den største verdien der er å få frem hva vi har gjort og at noen kan gå god for det. SÅ det kutter også veldig ned på spørsmål. Jeg tror kanskje for mindre virksomheter så er det en veldig stor tidstyv at de du skal selge til ønsker jo at du skal gjøre det bra. De tenker at de vil deg vel. De ønsker at du skal fortelle om alt det gode du har gjort. Sertifisert ISIS er en god snarvei til det. Eller at det skal være en litt lengre vei der du forbereder dette har vi gjort, og forklare det videre. Så du svarer masse tid på spørsmålsskjema hvis du kan svare på det på forhånd. Så du trenger ikke sende spørsmålstegn til IT også bruker de en uke på å svare på det med kundens sitt eget skjema og sitt eget format også må du bruke en uke på å svare på det. Så det er kjempestor verdi på tidsbesparing på de tekniske ressursene.
Frode: Veldig godt oppsummert. Da har du tatt oss fra umoden til sertifisert. Jeg må si tusen takk for at du ville være med på denne master klassen. Jeg har lært mye, og jeg håper at alle andre har opplevd det som like lærerikt og hørt på samtalen vår. Så igjen Andreas, tusen takk. Også lykke til videre med SISO Services.
Andreas: Tusen takk. Utrolig hyggelig å kunne få lov å være med.
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et
Allerede Medlem? Logg inn her
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis.
Allerede Medlem? Logg inn her