LØRN Masterclass M0060
15 bud for god cybersikkerhet
En av de største utfordringene med god digital sikkerhet er et stort kunnskapsgap hos individer og i bedrifter. NSM har laget en liste med 15 grunnregler, 15 bud, som er enkle å forstå og forholde seg til og som alle bør kjenne til. Disse 15 handlinger utforsker vi i denne masterclassen, så du også kan begynne å gjøre dem allerede i dag.

Frode Skaarnes

COO/Partner

LØRN

"Det mørke nettet har en hel verdikjede der alle kan kjøpe “crime as a service”"

Dette er LØRN Masterclass

Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Vis

Leksjon 1 - Introduksjon (41min)

Hvor trusler kan komme fra, Det mørke internett, NSMs grunnprinsipper

Leksjon 2 - Eksempler (26min)

De tre angrepsområdene, Konkrete angrepsmetoder

Leksjon 3 - Verktøy (19min)

Viktige konsepter for cybersikkerhet, De fire viktigste prinsippene for cybersikkerhet

Leksjon 4 - Verksted (8min)

Implementering av sikkerhetstiltak, Hvordan håndtere angrep, GDPR

Ferdig med alle leksjonene?

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Tema: Cybersikkerhet og etterlevelse
Organisasjon: LØRN
Perspektiv: Gründerskap
Språk: NO
Sted:OSLO
Vert: Silvija Seres

2000+ lyttinger

Litteratur:
  1. The global risks report 2022
  2. Weapons of math destruction - Cathy O’Neil
  3. The hacked world order - Adam Segal
  4. Cybersecurity Bible: Security Threats, Frameworks, Cryptography & Network Security  -
  5. Hugo Hoffman
  6. NSM podcast

Del denne Masterclass

Dette lærer du om i denne Masterclass

Vis mer

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Leksjon 1 - ID:M0060a

Leksjon 1 - ID:M0060a

Leksjon 1 - ID:M0060a

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

 

Silvija Seres: Hei og velkommen til LØRN Masterclass om grunnprinsipper for cybersikkerhet. Med vår enestående Frode Skaarnes fra LØRN. Velkommen til deg også, Frode.

 

Frode Skaarnes: Tusen takk.

 

Silvija: Nå er det sånn at jeg er vertskap og du er gjest. Du har vært vertskap for flere av våre Masterclasses i Cybersecurity. For vi har funnet ut at at dette er et tema som man må gå litt mer i dybde enn vanlig innovasjons partene våre som vi kaller for caser. Jeg skal si bare tre setninger for Masterclass formatet før vi går inn i tema. Og en Masterclass er da en samtale delt i fire deler som til sammen utgjør et lite lett digitalt kurs. Første del er introduksjon til tema og en motivasjon til å lytte til resten. Det andre er masse god eksmepler for at folk skal skjønne hva vi egentlig snakker om gjennom bilder. Det tredje er en verktøykasse, så de kan begynne å anvende det de lærer her. Og det fjerde er et bittelite workshop. Og tema i dag er faktisk et utrolig spennende konsept som NSM har lansert. Du har tidligere jobbet i NSM og er en av de flinkeste ledere innenfor cybersecurity jeg vet om. Så derfor passer du perfekt til å lære oss om dette her. Så Frode, siden du er gjesten og jeg må spørre gjesten om hvem er du? Og hvorfor ble du sånn? Hva ville du svart veldig kort på det. Og settingen er at vi er på en fest, ikke på en forelesning eller en debatt. 

 

Frode: Som du sa så heter jeg Frode. Jeg er 54 år gammel, så jeg er blitt en gammel rutinert fyr innenfor dette som går på sikkerhet. Og jeg har egentlig hatt hele livet mitt i offentlig forvaltning, så på et vis kan du si at jeg har fått lov til som en del av forsvaret være med på den sikkerheten for Norge på en sånn bokstavelig måte. Jeg har jobbet litt i utenrikstjeneste, så jeg har fått lov til å være offer. Noen ville ha ting hele tiden. Så har jeg jobbet litt i etterretningstjenesten hvor jeg egentlig fikk lov til å gjøre det samme mot de som vi ble gjort mot i utenrikstjenesten. Og så fikk jeg lov til å sitte i Nasjonal sikkerhetsmyndighet. Egentlig med ansvar for alt bortsett fra cybersikkerhet, men med veldig tett koordinering med cybersikkerhet. Vi hadde ansvaret for for eksempel objekter og infrastruktur som var kritisk. Og da skulle jeg bruke den kunnskapen jeg hadde fått gjennom disse tre andre elementene og finne ut hvordan kan vi beskytte Norge best mulig? Så jeg har liksom digget sikkerhet hele tiden, og det er ordentlig, ordentlig gøy. Og så har det vært en morsom utvikling innenfor dette. 

 

Silvija: Og kan jeg spørre deg veldig kort. Jeg skal ikke gå inn i dine hobbyer for jeg vet de er mange og de er ganske spennende, men overgangen fra fysisk til digital sikkerhet. Når skjedde det? Eller det hybrid greiene som vi snakker om nå. Hva er det for noe? 

 

Frode: Alt var så mye enklere på 80- og 90-tallet. Da jeg hadde min første Commodore 64 så var det ingen som tenkte på sikkerhet. Vi spilte spill og vi prøvde å programmere og vi lærte dette på skolen på en måte som gjorde at det det dreide seg om var å lage ting og få ting til å virke. Ha brukervennligheten på det. Men sikkerhet drev vi ikke med. Og jeg tror at vi på midten av 90-tallet og opp i mot år 2000 begynte å se at det utviklet seg i en retning hvor man måtte beskytte seg mer. Internett var liksom en plass hvor sikkerhet ikke fantes. Men det fantes mange muligheter. Så jeg tenker det gikk sånn humpa gikk frem til sånn 2010. Også så vi dette veldig taktskiftet hvor man så en eksponensiell vekst som du sikkert ville sagt i antall angrep. Og ikke minst i hvor avanserte de ble. Og da så vi at de ulike aktørene brukte det man kalte for sammensatte virkemidler eller hybride virkemidler hvor cyberangrep eller ulike digitale angrep var et av elementene. Så poenget er at du ikke kan se på cybersikkerhet isolert. Det gir liksom ikke noe mening. For det er alltid i sammenheng med noe annet. Hvert fall hvis du kommer fra statlige aktører eller fra organiserte kriminelle. Og det skillet har også blitt utvidet på en måte fordi de samhandler jo tett i noen stater.

 

Silvija: Veldig bra, og du sier at det hybride nå kanskje er mer tilstedeværende, men mindre synlig enn det fysiske?

 

Frode: Ja, jeg tror du kan være hvor som helst, og du kan sitte på Fiji og gjøre det ene elementet. Mens hvis du skal gjøre noe fysisk, så må du være der du skal gjøre det. Og det gjør jo at man har et vell av muligheter, hvert fall når det er pluss minus 7 milliarder pcer der ute i verden nå. Og det vil jo si at det finnes så mange som har muligheten til å angripe deg eller det du representerer. Og de er jo usynlige. De kan bruke ulike deler av internettet som ikke er så tilgjengelig for andre også for å bli enda mindre synlig enn det de kanskje er for folk flest. 

 

Silvija: Og problemet er at dette her angår oss alle. Og så har de færreste av oss et språk til å håndtere det. Det er liksom som å være i et fremmed land hvor folk snakker med språk du ikke skjønner og skriver med tegn du ikke kan lese. Også er det liksom sånne holdninger også, om at dette kan ikke skje på Toten? Hvem skulle angrepet Toten. Men det at folk skjønner at på internett så spiller det ingen rolle om du sitter i Oslo, Toten eller i City i London. Du er like tilgjengelig og antagelig like attraktiv med forskjellige briller på. Så dette er et felles ansvar, men det er et kjempestort kunnskapsgap. Og hvordan kan vi fylle det kunnskapsgapet når de fleste av oss har ikke tid og penger til å ta en ny mastergrad i Cyber Security? 

 

Frode: Det vi gjør nå, det tror jeg er med  på minske det gapet. I si tid så fant jeg LØRN på nettet fordi jeg trengte å booste Kunnskapen min på info ulike temaer da jeg gikk på sjefskurset på Forsvarets høgskole. Og det jeg fant ut av da var at den lille kunnskapen du har kan økes så veldig effektiv gjennom denne type virkemidler. Også har du da andre aktører. Siden jeg er gammel NSMer så må jeg få lov til å trekke frem den jobben som Sofie Nystrøm gjør og kanskje Roar Thon som holder tusenvis av foredrag knyttet til dette for å få opp aktualiteten rundt det. Men jeg tror det er litt sånn at vi må dra sammen. For det er så voldsomt stort. Fra vi snakket om Commodore-64 i sted til Quantum Computing til Blockchain, kvanteressistente krypto. Det er gresk for alle og det er gresk for vanlige folk, men også for veldig mange ledere. Så man må finne ut hva slags informasjon er tilgjengelig og hvordan kan den enkelte få det man trenger for å være med i debatten. For hvis man ikke forstår basic innenfor dette så seiler man sakte ute både på jobb og privat. Og man blir et veldig lett offer. J

 

Silvija: Men du Frode, det er også så innmari mye som skjer og som man burde og kunne lære. Det er et sånt vel med begreper. En dyrepark innenfor cyber security. Det er virus, det er trojanske hester, det er ormer. Det er masse. Kan ikke du lære oss hvordan snakke litt om det. Hva er de tre-fire viktigste konseptene vi burde ta med oss? 

 

Frode: Innenfor skadevare? 

 

Silvija: Ja, hva er skadevare? Hva i all verden betyr det? 

 

Frode: Skadevare er liksom sekkebetegnelsen på alt fra spyware til virus, til ormer, til alt. Det er et program som er designet for å gjøre noe på din maskin eller på noens maskin som ikke man ønsker at skal skje. 

 

Silvija: Hvis vi starter med virus. Det de aller fleste har hørt om. Datavirus. Så det er lite stykke software som går inn i maskinen min å gjør hva? 

 

Frode: Du kan si at et virus er en kode som da trenger inn eller som blir levert inn kanskje gjennom en e-post hvor du har trykket på en lenke eller noe sånt noe. Også brukes da dette programmet til å stjele sensitive data eller til å starte et såkalt DDOS angrep fordi du kjører så mye volum inn at du får tjenestenekt hos de som eier dette. Eller til å utføre det som har blitt veldig populært, løsepengevirus angrep. Så du kan si at viruset – du kan få det levert gjennom e-post eller du kan få det gjennom nettsteder du besøker eller gjennom en fildelingssystem. Så er det sånn at når det skjer så kan dette også kopiere seg selv og sette seg inn i systemene dine. 

 

Silvija: Så hvis jeg bare tegner to-tre bilder, for folk trenger bilder når de hører på oss, og det blir fort litt tørt å høre på oss snakke om cyber security abstrakt. Men det kunne være at jeg klikket på en link hvor noen lover meg å gi meg noen milliarder kroner fra en COO i Afrika. Eller det kan være noen som sier at en eller annen betaling har ikke gått gjennom og det ser veldig ut som at det kunne vært banken min. Så sjekker jeg ikke godt nok e-postadressen det kommer fra også trykker jeg på en link og den linken tar meg inn på en side som kanskje til og med ser veldig greit ut. Men den kjører et stykke software på min maskin, og hvis min maskin ikke er oppdatert med aller siste beskyttelse greie så har de funnet et eller annet lite hull til å krype inn i en av de mange prosessene som kjører på min maskin. Og da kan de plutselig sende ut masse e-poster hvis de har kommet inn i e-post systemet mitt eller de kan sende som du sa kanskje 100 000 mailer eller forespørsler til en eller annen webside, også kan den websiden si sorry du kommer ikke inn her fordi her er det tydeligvis noe veldig galt. 

 

Frode: Og det er det vanlige. Det kan være sånn som du sier, og det er gjerne eksemplene for vanlige mennesker. Men det kan også være mer avansert og få voldsomme konsekvenser. Og Stuxnet for eksempel, som dukket opp når iranerne kjørte sentrifuger i sitt atomvåpenprogram. Så var det sånn at noen også hadde fått en stikk med et lite program på til å bli infisert i deres system, og hvor det da lå og godgjøre seg og jobbet. Og det sies at det tok ut mer enn 20.000 datamaskiner som var knyttet til atomvåpenprogrammet dems. Og tatt dem tilbake mange år. Så du kan si at disse virusene kommer i ulike former. Dette Stuxnet viruset var sannsynligvis laget av amerikanerne eller israelerne eller de sammen. Og det gjør at du får en veldig profesjonell bruk av det. Men så har du også helt vanlig tenåring hackere som kan gjøre det samme, men med helt andre formål.

 

Silvija: Og det er dette her som da er så uangripelig eller ugjennomtrengelig at for det første så er det mange nye verktøy. Dette her er verktøy som er svært tilgjengelig der ute. Det finnes websider hvor du kan kjøpe diverse typer angrep, ikke sant og veldig sånn reklame for dette her. Liker du ikke den personen. Kjøp $10, så slår du dem ut digitalt og så videre. Og så vet man ikke hvem som er angriperen. For som du sier det kan være en fornærmet gutt, eller det kan være en stat, eller det kan være noen terrorister, eller det kan være noe som gjør det bære for store penger og ikke noe annen politisk motiv. Så det er så fuzzy hele greia. 

 

Frode: Jeg tror nok at før så var det veldig tydelig når du var en statlig aktør. Man kunne også kjenne igjen de organiserte kriminelle. Men siden som du sier crime as a service er tilgjengelig på det man kaller den mørke delen av internett som er kanskje den delen av internett som du ikke bare kan google deg inn på, men hvor du må kjenne litt mer til systemene for å komme inn. Så ligger alt dette tilgjengelig. Du kan betale med noen Bitcoins, så får du det du trenger for å enten angripe en ekskjæreste eller en arbeidsgiver du ikke likte eller hva det måtte være. Så det er nok blitt tilgjengelig på en måte som gjør at det er vanskelig å skille. Det er et så voldsomt volum på dette. 

 

Silvija: Ja. Også tror jeg at dette overlapper med så mange andre temaer. Vi har en av de tidligste casene om cyber security med jeg tror de het Navarro. Og da var det en veldig flink ung gutt som er en av de beste hackerne de har som fortalte at han holder kurs for barn hvor han lærer barna å hacke seg inn i kameraet på mobiltelefonen eller pc for å vise dem hvor utrolig lett det er. Så teknisk sett kan både Google Home og ALexa med sine kameraer og skjermer, men også din robot støvsuger eller et eller annet leketøy barna dine har hvis det har et kamera i seg plutselig begynne å overvåke huset ditt på innsiden. Eller noen kan hacke seg inn i bilen din, eller noen kan etter hvert hacke seg inn i pacemakeren din. Så dette blir så innmari gjennomtrengende når internet of things og alle disse sensorene blir en del av den fysiske verden også. Så den fysiske verden inkludert våre kropper blir tilkoblet internett.

 

Frode: Ja, og det er noen ordentlig gode eksempler. Jeg har et  annet eksempel også hvor de testet ut med en bamse på en liten jente. En bamse som kunne både snakke og lytte. Og det de gjorde var å manipulere denne jenta til å ta med seg bamsen og forlate huset med foreldrene og møte en ukjent person på et ukjent sted. Så det er ikke bare overvåkingen, men det er manipulerings mulighetene dette gir som også er veldig skummelt for alle. Både familier og ikke minst virksomheter som skal være trygge mot dette. 

 

Silvija: Og du vi kommer tilbake i vår tredje leksjon på noen av de store eksemplene som mange i Norge har hørt om. Eller kanskje ikke, men som de burde ha hørt om. Sånn som Østre Toten blant annet. Hvor en kommune ble slått ut og spørsmålet er hvor mange kommuner tør å ta sjansen på at noen ringer dem om noen dager og sier vil du betale velferds forpliktelsene dine eller ikke? Har du lyst å ha tilgang til nødvendigs skoledata for å drive skolene eller ikke? Dette har blitt et demokratisk ansvar å håndtere både privat og på jobb. Og der kommer det til kjernen av det vi skal snakke om i denne Masterclass, og det er noe som heter NSM sine grunnprinsipper. Og nå skal jeg prøve å introdusere ideen også må du rette meg opp. For det første må du forklare oss litt hvem NSM er. Men denne fantastiske organisasjonen har da laget en slags liste. Først med 10, så med 15 fjellvettregler for alle som hjelper oss å get the basics right før vi forviller oss i den store kunnskapsjungelen rundt cybersecurity. Så hva er disse grunnprinsippene og hvem er NSM?  

 

Frode: Jeg kan starte med hvem NSM er først. NSM er en av de tre hemmelige tjenestene. Og den som vi kaller for den forebyggende sikkerhetstjenesten. Og de har et spesielt ansvar for å sikre eller lage gode rutiner og systemer knyttet til IKT sikkerhet for alle. Men med utgangspunkt i de aller viktigste som da er de som er underlagt sikkerhetsloven som det heter. Og som da forvalter kritisk infrastruktur eller de viktigste verdiene vi har i Norge. Men de bruker også mye ressurser på å følge opp alle store dataangrep mot Norge, og koordinerer dette. Og det gjør de i tett sammenheng med Kripos, PST og etterretningstjenesten som har en arena hvor de deler og ser hverandre i kortene. Men de jobber også veldig tett med alle og alle andre som har ansvar innenfor det og følger opp digital sikkerhet.

 

Silvija: En norsk sikkerhetsmyndighet, ikke sant? 

 

Frode: Nasjonal sikkerhetsmyndighet.

 

Silvija:  Nasjonal sikkerhetsmyndighet, takk. Og de hjelper altså hele samfunnet. Inkludert bedrifter. Det er ikke bare for offentlige tjenester eller offentlig sektor, eller?

 

Frode: De hjelper alle. Så lenge det er et omfattende og avansert angrep så vil de være med på å koordinere den hendelsen. Men de prioriterer, selvfølgelig de har jo som alle andre de ressursene de har. Så de må prioritere de viktigste aktørene. Men det de har gjort som en del av dette er å lage disse grunnprinsippene for IKT sikkerhet. Som egentlig er et sett med prinsipper og tiltak som da er laget for å beskytte informasjonssystemer mot at noen får seg uautorisert tilgang, kan skade eller misbruke data som er der. Og de er virkelig for alle. Det er for alle virksomheter, små og store. Også LØRN. 

 

Silvija: Ja. Jeg tenker at det jeg ser fra utsiden som en ikke cyber ekspert er at det meste av cyberangrep skjer ved at det skjer en eller annen menneskelig feil. Vi klikker på en link vi ikke skulle ha gjort eller plugger inn en USB vi ikke skulle ha plugget inn eller kjøper en sigarett lader fra Amazon eller Ebay eller Kina eller i tillegg til å lade en elektronisk sigarett installerer ting på datamaskinen. Og det å være litt bevisst på hva er det som er the do’s and don’ts eller slags 10 bud som alle burde kunne forholde seg til er veldig, veldig nyttig her. Og noe grunnleggende greier som å installere virus beskyttelse og antivirus software. Og sjekk e-postadresser før du klikker på linker. Det er sånn som absolutt alle burde vite. Og det er sånne prinsipper. Nå skal jeg lese opp en og en av disse prinsippene. Og hvis du kan hjelpe meg å oversette det til et slags gatespråk som også resepsjonisten eller min mor skal kunne forstå. For dette er kunnskap som gjelder alle. Og for å være litt streng mot kommunikasjons folkene i NSM, jeg synes noe av dette språket er litt vanskelig å oversette til meg eller en vanlig ikke sertifisert cyber bruker, da. Så første prinsipp sier kartlegg enheter i bruk i virksomheten. Hva betyr det?

 

Frode: Det betyr at du må ha kontroll på hva som er kobla til på dine systemer. Og det vi har sett da, i for eksempel da vi var på tilsyn. Det var at man hadde gamle servere som ikke var i bruk lenger, men som var til stede og fortsatt var koblet til systemet, og som da ved de som da skanner og finner sårbarheter hos aktører. De fikk en lett vei inn, så du må vite hva som du har. Og så må de vite at det da er oppdatert på den måten som det skal være. Så du må finne ut hva har sånn at du vet hvordan du skal beskytte det.

 

Silvija: Kan jeg bare spørre deg et litt sides spørsmål her? Eller vi kan jobbe mer med dette her i workshopen. Me sånne bedrifter som LØRN, hvor disse unge, nye arbeidstakere. De har sine egne macer og telefoner, og det er en sånn fullstendig flyt mellom det som er bedriftens og det som er privat og det som brukes til bedriftens behov og det som brukes privat. Hva gjør man da?

 

Frode: Det er et dilemma. Og jeg tror flere og flere virksomheter får et skarpere skille her. Og det er litt GDPR messig. Men det er også fordi man da har flåtestyringssystemer, eller systemer som gjør at man oppdaterer alt og man får begrensinger på for eksempel programmer man kan legge inn. Så det man hvert fall må ha er å ha noen strenge regler for hva du har lov til å ha på den pcen eller macen du har. Sånn at man hvert fall er enig om at man har noen prinsipper for hvordan man skal bruke dette. For man vet jo ikke hva man bruker det til privat. Det kan være mye. Og det kan være mange steder man tusler innom som nok har høyere risiko enn det du som CEO i LØRN ønsker at ditt system skal utsette for, da.

 

Silvija: Men igjen, det begynner kanskje med å forstå hvilke personer skal ha tilgang til hvilke områder og hvordan enhetene skal håndtere dette her. Og så blir dette kanskje litt forenklet når man bruker skytjenester, men vi kommer tilbake til det også. Og så står det punkt nummer to eller prinsipp nummer to. Kartlegg programvare. Så ikke bare enheter, men programvare også i bruk i virksomheten.

 

Frode: Og det går jo på i LØRN også, så har man jo mange ulike programvarer som kjører parallelt fra mange ulike aktører. Og da kommer vi tilbake til det som jeg nevnte i sta. Det er at man må bli enige om hvilke programmer er det man stoler på? Fordi har man jo inne, og så må man da sørge for at man har et system hvor man da ikke har programmer inne som man ikke stoler på av en eller annen grunn, og er vurdert at man ikke får lov til å laste ned. Så det er bare det at man må forstå på samme måte som hvilke hvilke hardware du har, så må du vite hva slags software du har, fordi hvis du ikke har kontroll på lisenser du har overalt, så vil du også kunne få passord som går ut. Du kan ha sårbarheter ved det som blir en vei inn, da gjennom de ulike programvarene som er lastet ned da. Så det er de henger helt sammen.

 

Silvija: Og punkt nummer tre. Kjøp moderne og oppdatert maskin og programvare. Hvorfor det?

 

Frode: Innenfor dette så er det sånn at det siste er virkelig det beste. Og så er det også sånn at hvis vi hadde koblet på en kommandoer-64 på det vi har nå og få gammelt og nytt å snakke sammen sikkerhetsmessig. Det kan være vanskelig, og det er også sånn at noen av disse sikkerhetshullene man finner da er jo knyttet til utdaterte hardware som har utdatert software. Og sånn sett så har du gjort deg ekstra sårbar. Og hvert fall da visste du sånn som vi snakker om først ikke egentlig er kjent med at det er der også, men det er koblet på allikevel.

 

Silvija: Supert. Nummer fire sier ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting?

 

Frode: Ja, og skytjenester er jo fantastisk. Du sa det jo. Man legger liksom ansvaret over på noen andre, og vi må stole på de vi legger ansvaret over på. Og det gjelder egentlig all tjenesteutsetting. Du som CEO eier jo sikkerheten. Så du må gjøre noen vurderinger på hvilke leverandører stoler du på? Hva slags underleverandører eksisterer der, og hvor er du i denne næringskjeden da? Og hvis man shopper litt sånn ukritisk her, så kan man fortsette ut ting som man ikke burde sett ut, eller man setter ut det til folk man ikke burde sette det ut til. Dette kan jo være at du setter ut noe til India, eller du setter ut noe til ett eller et annet sted der. Det er en global problemstilling nå. Du har store amerikanske tilbydere. Du har mange ulike tilbydere i Europa, men også i Asia som leverer ulike elementer. Og det vil si at man har ulik risikoene i denne næringskjeden som man tilhører. Så selv om man er liten, så har man mange noder der ute som man må liksom ha kontroll på.

 

Silvija: Vi går litt fort gjennom de andre nå også. Jeg har lyst til legge til at dette er et utrolig viktig poeng som vi har vært gjennom for veldig mange av de store angrepene som vi skal snakke om senere, kommer faktisk gjennom at det var noe som skjedde hos en leverandør som er vært brukt som en bakdør inn i systemene til den som faktisk blir angrepet og krever løsepenger, for eksempel for å få tilbake filene sin. Fem, del opp virksomhetens nettverk etter virksomhetens risikoprofil.

 

Frode: Alle skal ikke ha tilgang til alt. Man må ha administrator rettighetene på en plass. Man må ha ulike tilgang eller logiske tilgangssystemer som gjør at man har kontroll på hvem som får vite hva og har tilgang til hva. Og her er det viktig at alle ikke har tilgang til alt, for det trenger man ikke, og det vil også gjøre virksomheten mye mer sårbar dersom en får et virus inn da. Eller som du nevnte i stad med en sånn sigarett lader, som da hvor du har en trojaner som ligger inne i dette og som bare hopper videre inn da.

 

Silvija: Veldig bra. Nummer seks, etablere et sentralt styrt regime for sikkerhetsoppdatering.

 

Frode: Mange av de hendelsene man har hatt går jo på at man ikke har gjennomført oppdateringer, og det at man har sentralisert styrte systemer, enten automatisk eller gjennom påminnelser er viktig, fordi hvis ikke så vil en eller annen glemme å oppdatere sin del av dette, og da har du fortsatt det for de som skanner systemene, så er kanskje den patche tirsdagen da som kommer en gang i måneden fra Microsoft. Den forblir åpen i din virksomhet fordi Person X ikke gjennomførte oppdateringer.

 

Silvija: Nummer syv. Konfigurert klienter slik at kun kjent programvare kjører på dem. Hva er klienter?

 

Frode: Det høres ut som det høres ut som en medisinsk greie, men nei, det er alle PC’er, alle servere, alt som du har da, som kjører en eller annet programvare er dine klienter. Og da er vi tilbake til om du skal stole på dine ansatte, eller om du skal si at nei. Vi tillater kun dette, og det er litt så ulike kulturer. Men man må forstå risikoen man gjør hvis man kjøre frislipp på at alle får installere alt som de ønsker. Og særlig nå hvor det er så store variasjoner og kanskje ikke god nok risikopersepsjon da av de som jobber hos oss da. 

 

Silvija: Det tror jeg er et veldig viktig konsept her, hvor vi må forstå at vi blir angrepet hele tiden og oppfører oss fornuftig. Et annet bildet som jeg litt vil legge igjen hos folk, det er en slags immunitet. Du er angrepet hele tiden, litt sånn som i den naturlige verden, ikke sant? Og det er kroppens immunitet som er ditt virkelige forsvar på lang sikt og sammen med bedrifter. Vi må ha nok immunitet mot dette her i alle bedrifter.

 

Frode: Jeg er helt enig. Man var som bygge resistens. Og det gjør man kun gjennom å gjøre dette på en litt strukturert måte. Så oppnår man immunitet til slutt. For det må være målet. 

 

Silvija: Noe som vi kommer tilbake til er at alle sitter å snakker sikkert nå. Og så tenker de at det høres jævlig kjedelig ut. Men det kan være veldig gøy. Det å drive med litt sånn gode cyber workshops, hvor du har blå og røde team hvor noen angriper og noen forsvarer og man gjør litt øvelser. Så det litt sånn hjemmeværende inn i bedriften. Og alle er med på det.  

 

Frode: Jeg er helt enig. Og dette er jo sånn desktop øvelser som er gøy fordi alle har et forhold til det, egentlig. 

 

Silvija: Kan du hjelpe de som hører dette her? Hvis de har lyst til å gjøre noe sånt, kan vi gjøre det som en slags strukturert dekoding av deres cybersikkerhet og litt øvelse på toppen av det? 

 

Frode: Ja, det kan man gjøre.

 

Silvija: Men du, vi går fort gjennom de gjenværende. Jeg husker nå ikke om jeg har nevnt noe med åtte eller ikke, men deaktiver unødvendig funksjonalitet.

 

Frode: Ja, det gir seg selv egentlig. Det du ikke har brukt for å ha aktivt. For jo større angrepsflate eller sårbarheter du har, jo lettere er du som mål. 

 

Silvija: Et område som relaterer til dette – og jeg kjenner meg så veldig som skomakerens barn nå når vi snakker om disse tingene. Men det er å rydd også litt i filer og sånn. Vi drar med oss så vanvittig tung bagasje av ting vi ikke bruker i denne cyber verden fordi det koster så lite tror vi,men det koster i form av risiko. 

 

Frode: Helt riktig.

 

Silvija: Endre alle standards passord på IKT produktene før produksjonssetting. Høres vanskelig ut. Men hva det?

 

Frode: Det er så enkelt. Det er det samme som du gjør på ruteren hjemme. Det står et standard passord på undersiden. Skift det passordet før du begynner å bruke ruteren, fordi hvis ikke så vil det kunne være tilgjengelig for noen i en sånn passord dump på Dark Web. For det fins alltid utro tjenere som stjeler dette og tilgjengeliggjør det. Så dette gjelder små og store virksomheter. Så der hvor det er et standard passord, skift passordet til et godt passord. Og da før de bruker det.

 

Silvija: Dette her på temaet passord er også noe vi fort kunne fortapt oss i. De fleste har kanskje lært by now at de ikke skal ha en gul lapp med passordet sitt på skjermen. Men der er det problemer med at du lager vanskelige passord og du skal bytte det med jevne mellomrom. Og du skal ikke bruke sånne og sånne ord også videre. Men det er noe som sier at vi går nå i en verden hvor biometri, altså det at du blir kjente igjen med både stemme, pupill, fingeravtrykk kombinert da med tilgang til en telefon og kanskje et passord. Er det  en eller annen tofaktor eller fler faktor autentisering som gjør at alt dette passordet trøbbelet blir kanskje ikke gjeldende i så stor grad. Hva tenker du? 

 

Frode: Jeg tror du har helt rett. Og jeg er jo der at jeg har lange og gode passord, men jeg må skrive de opp, og dette er på de aller viktigste passordene. Mens på ulike av disse som kalles sosiale mediene, så vil jeg kanskje ha mindre passord som er lettere å huske. Men jeg differensiere litt sånn i forhold til risiko føler jeg på dette her. Og jeg har aldri samme passord på to ting. Men jeg mener det finnes gode passord systemene, og hvis man stoler på leverandøren, så kan man jo bruke kommersielle løsninger som da oppretter og forvalter dine passord. Men da må du gjøre som vi snakket om i sted. Det er jo en tjenesteutsetting, så du må tenke deg nøye igjennom om du har lyst å gjøre det på alt eller hva du har lyst til å gjøre det på.

 

Silvija: Ja, du, Frode. Vi er på nummer 9 nå, også skal vi prøve å avslutte innen 2-3 minutter. Så jeg leser dem opp nå. Jeg skal være veldig streng med meg selv. Også oversetter du bare det du føler er nødvendig. Nummer 10 – minimer rettigheter for sluttbrukere og spesial brukere.

 

Frode: Og det vil si at en sluttbruker er sånn som meg i LØRN. Det er alle som skal bruke det, også er det noen som har spesielle tilganger. Men tilfredsstil det som de har behov for, og sørg for at administrator rettighetene holdes veldig tight.

 

Silvija: Nummer 11 – minimer rettigheter på drifts kontoer.

 

Frode: Det er egentlig det samme. Det er noen som har behov for å kunne gjøre vedlikehold, gjøre endringer og så videre. Og de må ha rettigheter. Men det er de som bør ha det, og ikke alle andre.

 

Silvija: Så vær litt bevisst hvem som har hvilke tilganger og kanskje ikke overkompliser heller.

 

Frode: Nei, det er ganske enkelt når man setter seg ned og ser på hva er behovet? Hvem har det behovet? Og så strukturerer man det egentlig bare.

 

Silvija: Nummer 12 – legg en plan for regelmessig sikkerhetskopiering av alle virksomhetsdata. Her føler jeg mange av oss sluntrer. 

 

Frode: Hva skjer hvis noen låser innholdet ditt eller velger å slette det og ta det ut? Ta gullet til LØRN som er 1500 ulike lærings serier eller kurs. Det ville jo vært en katastrofe hvis man ikke hadde en backup på dette og ikke fikk det tilbake. Så det å ha en fornuftig backup profil som gjør at du har backup på alt du virkelig ikke kan miste. Det tror jeg er helt avgjørende.

 

Silvija: Nummer 13 – avgjør hvilke deler av IKT systemet som skal overvåkes. 

 

Frode: Ja, og her er det regler også for hva man har lov til å overvåke. Det gjelder e-poster, det kan gjelde ulike scannings systemer for å finne om det er noe anomali. Du har har bestemt at dette fikk lov til å kjøre og dette fikk lov til å kjøre. Og dete å finne det som ikke får lov til å kjøre

 

Silvija: Uvanlig oppførsel.

 

Frode: Og du kan si at før så sa vi at vi hadde en beskrivelse av et virus, og når det viruset kom så holdt vi det ute. Mens nå tenker man motsatt. Nå tenker vi at vi vet hva vi har også tenker vi at alt som ikke er som det skal være, da går det en alarm. Men man må da overvåke det som er viktig å overvåke og innenfor det regelverkete som er.

 

Silvija: Bra. 14, beslutt hvilke data som er sikkerheetsrelevante og bør samles inn.

 

Frode: Logger er alltid nyttig å ha når du skal gå tilbake og se hva som skjedde. Jo kl. 19 så skjedde dette. Klokken et eller annet skjedde dette. Og da kan du gå inn å analysere hva som gikk feil. Var det en menneskelig feil? Var den teknologisk feil? Var det en kombinasjon som det kanskje ofte er? Så gjør du det baserte på det du har samlet inn, fordi at det er relevant i et sikkerhetsperspektiv.

 

Silvija: Og så siste – etabler et planverk for hendelseshåndtering.

 

Frode: Ja, og det kom vi litt tilbake til etterpå. Det er når uhellet er ute. Hva gjør vi da?  Hva i alle verdens dager skal vi gjøre? Ringer vi politiet, løser vi det selv? Har vi en avtale med en eller annen konsulent som kommer inn som en hvit ridder og bare fikser det for oss? Eller er det du og jeg som er liksom brannmennene som må fikse det selv?

 

Silvija: Det å ha en slags kriseplan er vel egentlig det du sier, og den burde vi ikke begynne å lage når uhellet er ute, men ha en på forhånd. Kanskje ha øvd litt også.

 

Frode: Ja, grunnprinsippene er veldig tydelig på det. Det som du ikke har øvd på vil jo du ikke ha noe garanti for at fungerer. Så det er lurt å øve.

 

Silvija: Veldig bra. Du, Frode nå  har vi snakket om 15 bud for Cyber Security fra NSM. Og så er det noe som er viktigere her enn andre. Vi kommer til å komme tilbake til dette her når vi åpner opp denne verktøykassa og leker litt mer med det i leksjon tre. Nå skal vi snakke i leksjon to om noen av dine favoritt eksempler, og kanskje noen er mine også. Vi ses veldig snart.

 

Du har nå lyttet til en podcast fra Lørn.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læring sertifikat for å ha lyttet til denne podcasten på vårt online universitet Lørn.University 

 

Leksjon 2 - ID:M0060b

Leksjon 2 - ID:M0060b

Leksjon 2 - ID:M0060b

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

 

Silvija Seres: Hei og velkommen til leksjon to i LØRN Masterclass om grunnprinsipper for cybersikkerhet med Frode Skårnes. Vår egen Frode Skårnes som også er en cyber ekspert. Frode, nå skal vi snakke om noen av dine favoritt eksempler. Og gjennom din tid i NSM så har du sikkert sett mye mer enn det du kan snakke om. Men det vi kan snakke om er tre veldig godt kjente eksempler, og du har valgt dem ut på grunn av at de viser veldig gode bilder av de tre vanligste grunner til at man blir angrepet. Så kan du først fortelle oss hva er de angreps målene også hvilke eksempler skal du snakke om?

 

Frode Skaarnes: Ja, den første og den mest kjente er jo at vi beskytter noe av konfidensialitet hensyn, altså at ingen skal stjele innholdet av det som er. Om det er dokumenter eller e-postadresser, eller et eller annet. Så det var tradisjonelt det man tenkte mest på når man begynte med sikkerhet. Så er det to stykker som er kommet mer og mer og som er blitt sett på som viktigere og viktigere.  Og det ene er integritet. Det vil si at noen hacker deg for å manipulere innholdet eller manipulere prosesser som gjør at man da kan stjele penger eller endre prosesser også videre. Så det er noe vi har sett mer av. Også er det kanskje den vi ser mest av og det er det som går på tilgjengelighet. Alle forventer at alt skal være tilgjengelig 24/7. Og noen ganger så er det nede noen få timer og andre ganger er det nede ganske lenge. Og når komplekse systemer blir utsatt for dette så kan det ta lang tid før de er oppe og går og får en normalsituasjon etterpå. Fra noen få minutter til flere måneder som det kan ta hvis du ikke får tilgang til det som har blitt tatt fra deg eller låst ned på en måte som gjør at det er utilgjengelig for deg. 

 

Silvija: Og hva vil du begynne med av konkrete eksempler?

 

Frode: Jeg liker egentlig integritets biten best. For det er ordentlig snooky. Det å tenke seg at jeg sender en e-post til deg og at noen går inn å endrer innholdet mellom deg og meg er en ganske skremmende sak. Og når du ser dette i et litt større perspektiv så har man muligheten for å drive direktørsvindel, man kan gjennom sosial manipulasjon få tilgang til noe som gjør at du kan rett og slett stjele masse penger eller påvirke ulike organisasjoner på en måte som er helt uvirkelig for de som blir utsatt for det. Og jeg tenkte jeg skulle snakke om noe som kalles for Norfund saken. Norfund er statens investeringsfond for utviklingsland, og det vil si at de låner ut masse penger hvert år. Over 5 milliarder tror jeg de lånte ut i 2021, til ulike prosjekter i Asia, Afrika og overlat. Så det vil si de sender penger hele tiden. Det er det de driver med. De har systemer for å gjøre dette. Og de følger disse systemene. Norfund sender da som en del av sin oppgave penger, eller lån til Asia, Afrika og SØr-Amerika over hele verden hvor det er utviklingsland. Så du kan si at deres operasjonsmodus er jo nettopp transaksjoner for å hjelpe prosjekter. Og dette er noe vi da finansierer over statsbudsjettet og det er Utenriksdepartementet som forvalter det. Det som da skjedde det på et tidspunkt i 2020, det var at noen hacket seg inn på deres systemer. Og de opererte der ganske lenge. Sannsynligvis en stund som gjorde at de kartla alt på en måte som gjorde at de hadde full oversikt over ulike transaksjoner. Men spesielt en transaksjon var det de klarte å påvirke. Og det gjorde at 100 millioner kroner ble overført til en kriminell aktør i stedet for en mikrofinansinstitusjon i Kambodsja. Så det viser bare hvor sårbar man er.

 

Silvija: Bare for å forstå dette her, Frode. Det var ikke banken som gjorde en feil betaling av noe slag. Det skjedde i det man anta kontonummeret eller kontonummeret ble manipulert i noe kommunikasjon til Norfund.

 

Frode: Jeg det som skjedde sånn rent fysisk var at de gikk inn og det de hadde gjort var at de manipulerte og forfalsket informasjonsutveksling mellom Norfund og denne lånetakerne i Kambodsja. Og de ble gode. De fant en språkdrakt som var riktig. Innholdet var sånn som det skulle være. Og utformingen  av e-postene og dokumentene var identisk med hva man forventet. Også forfalsket de betalingsdetaljene på et tidspunkt. Og i det det skjedde så når lånet skulle utbetales disse hundre millionene, så ble det overført til en annen konto. En låntager, navnet på kontoinnehaver var det samme, bortsett fra at pengene endte i Mexico istedenfor i Kambodsja.

 

Silvija: Og hva gjør man da? Kan man få det tilbake eller?

 

Frode: Det ville jeg blitt veldig overrasket over. Fordi dette er jo penger som da sannsynligvis har forsvunnet videre og videre og videre og som plutselig er borte, vil jeg anta da.

 

Silvija: Kan jeg bare kommentere veldig kort der. For dette tror jeg vi oppdager i hverdagen oftere enn vi tror. Jeg har opplevd to ganger minst at noen har skrevet og utgitt seg for å være meg til arbeidsgiverne mine og gitt sin konto – en annen konto. Og det er ikke jeg som har sendt den mailen. Og man er helt avhengig av at de da som driver med utbetaling av penger, er våkne og dobbeltsjekker. Aksepter aldri en konto endring uten gode rutiner for at dette her virkelig stemmer.

 

Frode: Det er sant det. Og som et eksempel på hvor godt dette ble gjort da, så gikk det nesten halvannen måned fra transaksjonen skjedde til den ble oppdaget. Da er det sånn at det har virkelig vært gjennomført på en måte som gjør at det er overbevisende. Men jeg tror også at det du sier – dette er jo kjernen av direktør svindel biten. Man blir pressa litt på tid ofte. Det virker som det er helt vanlig. Så det er så lite avvik at man får ikke opp garden tilstrekkelig til at man venter. Og så er folk veldig glad i å please, sørge for at ting flyter, snarere enn å stoppe ting som er pågående. Så jeg tror det er mange som du sier som blir utsatt for det. Og det er hvert fall en økende form for svindel i Norge. Og de som jobber med dette mener også at det er store mørketall. For dette er jo ikke noe man er stolt over. Det å betale ut penger feil eller bli lurt. Det gjør jo noe med tilliten man har som virksomhet eller organisasjon. Så her er det masse mørketall ute også. 

 

Silvija: Hvis vi snakker om de andre to angrepsmåter. Det er konfidensialitet og tilgjengelighet. Der har du to eksempler som viser litt sånn at egentlig er alle sårbare, ikke bare direktører som forvalter penger. Ett eksempel som har Stortinget, som er da våre høyeste politikere og et angrep på dem og deres informasjon. Og en annen er Østre Toten hvor de som lider av angrepet er de som faktisk mottar velferdstjenester. 

 

Frode: Det er mange som kan rammes. Vi kan starte med Stortinget først. De har jo blitt angrepet. 

 

Silvija: Forresten, det er et konfidensialitet angrep har du lært meg. Hvorfor det?

 

Frode: Det er fordi at det de potensielt kan har stjålet – noe har de tatt ut og det vet vi. Det kan ha vært e-poster, adresselister, kalendere og så videre. Man har nok kartlagt det og fått helt kontroll på det nå. Men man stjal noe ut, men gikk inn for å hente noe ut. Det som er kjernen her da. Det er at Stortinget er litt sånn som da jeg jobbet på utenriksstasjoner, så er man et åpenbart mål. Stortinget er et åpenbart mål. Hva Stortinget bestemmer seg for når det gjelder nordområdene. Når det gjelder andre viktige politiske beslutninger, så er det klart det at det er mange land som er interessert i hva er det som blir utvekslet av e-poster? Og hvor kan de for eksempel i et integritets perspektiv gå inn å manipulere. Så det angrepet som var først i 2020. Det var ikke så stort som det som var i 2021. Men det de fant ut da, og dette er jo kanskje et sånt perspektiv som man må må ha med, fordi Stortinget er ikke underlagt sikkerhetsloven. Og de får ikke besøk av Nasjonal sikkerhetsmyndighet annet enn i et sånt rådgivende spor fordi de skal ha en helt klar uavhengighet. Og de skal ta vare på seg selv. Og det vil si at de bestemmer selv hvilke tiltak de mener er adekvate i forhold til å beskytte det som de forvalter av informasjon og systemer. Men de fikk mye. Det var mange funn etter den første gjennomgangen. Det var masse usikra e-post. Passord var dårlig, samme jobb og privat, alt det vi snakka om i sted. Tofaktor autentisering var kanskje ikke fraværende. Og at man da gjennom å ha gjort disse – vi gikk jo gjennom 15 tiltak i sted. Hvis man ser på noen av disse tiltakene hvis man hadde fulgt de, så ville det sannsynligvis avverget innbruddet. Mens det angrepet som var i 2021. Det var litt større. Og det er da du også ser at systemet kan virke. Fordi Stortinget jobber tett sammen med NSM, selv om de ikke er underlagt sikkerhetsloven. Og det var NSM som meldte fra da om at det var unormal aktivitet på Stortinget. Og det vil si at man har da på andre gang i løpet av ganske kort tid blitt angrepet. Og så er det jo da sånn at hvis man da kan gå inn i de parlamentariske prosessene som pågår, så er jo dette her veldig alvorlig for samfunnet og veldig alvorlig for Norge.

 

Silvija: Og dette her går fra at noen liksom logger seg inn og klarer å finne en vei inn i e-post systemene eller noen servere til at noen kan kjøre med en lastebil å avlytte. Det er så mange veier inn nå, også via våre mobiltelefoner, via fremmede lands infrastruktur, via også videre. Det er ikke så veldig lett å liksom garantere for sikkerheten av kritisk infrastruktur etter hvert.

 

Frode: Det er vanskelig og litt som vi snakket om i stad med tjenesteutsetting. Innbruddet på Stortinget var jo knyttet til den Microsoft Exchange løsningen som de hadde. Og det er jo e-post, kalender, alt det som som gjør at du kan kommunisere. Og det var en sårbarhet som ble funnet. Microsoft sendte ut det varselet om patching. Det ble patchet, men er likevel så ser man at i den lille slotten av tid hvor det var tilgjengelig, så var det noen som da krøp inn og gjorde dette. Og det som er kanskje vanskelig er at man vet ikke alltid hvor lenge sånne sikkerhetshull har vært åpne og hva som har foregått.

 

Silvija: Og hva som har krøpet inn som du sier. 

 

Silvija: Og dette her tror jeg er litt sånn tilbake til den der gamle morsomhetene om at det finnes bare to typer organisasjoner, de som vet at de har blitt hacket og de som ikke vet det enda, men alle har blitt hacket. Og alle går med noen virus og bakterier i kroppen vår og alle bedrifter går med noe greier i sine systemer. Og spørsmålet er hvor godt vedlikeholder man denne resistensen som du sier mot det farlige. Fra Stortinget til Østre Toten? Hvorfor er det interessant å snakke om Østre Toten Frode?

 

Frode: Østre Toten er spennende fordi kommunene sin funksjon i Norge er så viktig. Det er liksom der tjenestene til borgerne for veldig mange blir utført, og de har en haug av fagsystemer. Jeg tror de har 200-300 forskjellige fagsystemer som snakker litt sammen og skal kommunisere og som da gjør man da har volsomt enorme angrepsflater. Kommuner er store. Du kan liksom sammenligne det med små og mellomstore bedrifter opp i mot da, sånn som Telenor og Equinor og Statkraft og Statnett. Det er veldig ulikt hvor mye kompetanse man har, og ulikt hvor mye ressurser man har til da å bruke på å sikre digital infrastruktur. Og da kan du tenke deg. Du er sykepleier akkurat nå, Silvija. Og midt på natta så slutter alle systemer å funke. Det er det første som skjer. Og så ringer du da til de du skal ringe til, og så finner man ut at alt er nede. Noen har hacket seg inn. De har forberedt angrepet sånn at det skal skje på natta, fordi da er man jo mest sårbare. Det er jo ikke sånn at alle sitter klar til å løser problemene kl. 03:15. Det er man først etter kl. 08 en gang. Så ideen om at noen på natta vil komme inn, låse ned systemene dems, laste data ut og slette backuper var jo ikke noe de hadde tenkt så mye på. De hadde et perspektiv på datasikkerhet, men dette var virkelig ikke noe de hadde tenkt skal skulle skje tror jeg. Jeg tror ideen når du våkner og alle skjermer er svarte. Og du vet det at du har x antall innbyggere som skal ivaretas. Det er ikke en god – det er en blåmandag.

 

Silvija: Og det kan like godt skje i Østre Toten – nå når tuller jeg bare, det er en relativt liten kommune. Man skulle tro at de står ikke først på angreps listen, men egentlig er alle våre 350 kommuner eller hvor mange de er, like utsatt for den type angrep.  

 

Frode: Ja, og jeg tror de som er små og mellomstore er de som er mest utsatt nettopp fordi at de har mindre ressurser å bruke. For det første så kan alt gå ned på et tidspunkt. Og det å ikke ha manuelle systemer – det var litt det vi snakket om i sted, har øvd da. Hva gjør vi når ting kollapser. Jo, da gjør vi dette. Og vi har disse systemene som backup. Og vi har disse manuelle prosessene som de kan gjøre for at ting skal gå. For det er jo sånn at pasientjournaler blir borte. Ulike andre innbyggere knyttet til ulike andre systemer knyttet til liv og helse påvirkes også. Men også NAVs evne til å utbetale penger til de som skal ha trygdeytelser. Så det er så mye og så voldsomt mye som skal plutselig manuelt bli manuelt på kort tid. Og det må du ha øvd på og ha en plan for. Hvis ikke så funker det ikke. 

 

Silvija: Så har jeg egentlig bare lyst å oppsummere litt nå Frode før vi snakker om verktøykassen kunne kanskje hjulpet mot noe av dette. Du snakket om tre tre angreps områder. Det var konfidensialitet, tilgjengelighet og integritet, og du har da gitt oss tre konkrete eksempler i Norge fra relativt nyere tid. Alle innenfor de siste tolv måneder tror jeg. Stortinget som var da et konfidensialitet angrep fordi informasjonen som folk ikke burde ha tilgang til ble tatt ut. Østre Toten som være tilgjengelighets angrep fordi plutselig var grunnleggende oppgaver som hører til denne kommunen stoppet på grunn av tilgang til nødvendige data. Og Norfund, som var et integritet angrep hvor noen var veldig flinke til å spille rollen til en reell mottaker og dermed tilegnet seg da midler de ikke skulle hatt. Jeg har lyst å legge til et par andre navn som vi har så vidt nevnt tidligere, og det ene er Hydro angrepet. Og det var vel egentlig tilgjengelighets angrep fordi det var løsepenger virus? Hvis ikke jeg husker helt feil.

 

Frode: Det er riktig det.

 

Silvija: De fikk beskjed om å betale en ganske stor sum penger hvis de ønsket å fortsette produksjonen videre, fordi uten de dataene så var det litt vanskelig å kjøre fabrikker og leveranser og planlegging og alt mulig. Så var det Stuxnet som kanskje også er tilgjengelighets angrep?

 

Frode: Nja, det kan man si. Det er jo både integritet og tilgjengelighet.

 

Silvija: Hvor noen da overkjørte noe varmeanlegg, kjøleanlegg eller noe sånt som gjorde at hele atomkraftverket måtte stenges ned. Og så er det Choice hotellene hvor det var også løsepenger angrep, som da også ender opp med tilgjengelighet hvor de ikke hadde tilgang til – det var rett før jul tror jeg. Hvor de plutselig ikke hadde tilgang til reservasjonsdata. Og måtte rekonstruere hele greien. Det er ganske spennende historie i seg selv. En av mine favoritt historier her er noe som heter Ashley Madison. Jeg vet ikke om du kjenner til den? 

 

Frode: Bare litt. Man bør ikke kjenne til den siden for godt tror jeg. 

 

Silvija: Den er kul. For det er kanskje sånne white hat hackere, eller etiske hackere eller gud vet hva slags hackere vet hva som angrep dem, men Ashley Madison er en sånn tinder for gifte folk som vil være utro. Og konfidensialitet er rimelig viktig for disse folkene, så er det noen som stjal hele kundelisten og publiserte den. Og så var det en del skilsmisser i kjølvannet av dette her. Og så er det Wikileaks da, som egentlig har ekstremt alvorlige konsekvenser for flere store statlige aktører, ikke sant? Hvor navn på folk og holdninger til folk som absolutt ikke er klare for å være lagt ut for alle manns eie. 

 

Frode: Ja.

 

Silvija: Og det er jo overlappende med nasjonal politikken, rett og slett. Hvem bestemmer hva som skal være allment kjent og ikke ikke sant?

 

Frode: Og det har man jo på et vis etablert i systemet for i hvert fall i alle vestlige land. Hva er ugradert som vi sier, og som er da offentlig tilgjengelig for alle? Hva er det vi skal beskytte? Virkelig. Og det kan være informasjon om for eksempel infrastruktur og objekter, Eller det kan være informasjon om prosessere eller kapasiteter eller hva det måtte være. Jeg tror det er viktig og å se nå at i hvert fall sånn som Europa er i dag, og at veldig mye av den informasjon man tenker er ikke så viktig. Er veldig viktig i et sånt kartleggingen perspektiv, uavhengig av om man kan sette et gradert stempel på det. For summen av denne informasjonen, som noen kartlegger, vil gi et ganske godt bilde av hvor vi er sårbare i Norge. Hva skal du slå ut da ved et potensielt dra hybrid? En hybrid operasjon mot Norge. Og hvorfor gjør du akkurat det?

 

Silvija: Og så tror jeg at å tenke videre på hvor mye mer sårbare vi faktisk blir for hver dag som går i relasjon til at pacemakere kan hackes og telefonen master kan hackes og alt i mellom kan hackes og om det avbrytes og avlyttes. Og at vi har kanskje et demokratisk ansvar alle sammen til å gjøre oss så sikre som vi bare kan. At det er et viktig perspektiv her. 

 

Frode: Det er et veldig bra perspektiv. For her er det sånn at vi er akkurat så svake som den det svakeste leddet er. Og du nevnte i sted at noen har hacket deg og sendt e-poster på vegne av deg. Du kan fort bli en sånn nyttig objekt som brukes som et utgangspunkt for en operasjon mot noe, nettopp fordi at du ikke har noe å skjule. Så alle kan bli brukt i cyberoperasjoner og alle kan lures til å gjøre ting de ikke egentlig ville gjort hvis de forstår konsekvensen av det. Så det er en litt sånn skummel verden og vi er jo gjennom digitaliserte i Norge. Vi er et av verdens mest digitale samfunn. Og det fører mye godt med seg. Men det fører også med seg noen sånne risiko perspektiver som man bør forstå når man går inn og bruker alle disse internet of things greiene. Eller man er på ulike nettsteder. Eller hva det er. Hvis du bruker jobb macen til det, så er det jo potensielt sånn at du utsetter din arbeidsgiver for for risiko også. Så det å være litt sånn lojal og å være litt reflektert rundt hva du bør og ikke er, det er lurt, rett og slett.

 

Silvija: Jeg tror at det å forstå at dette er en av de viktigste nye risiki fremover, og at vi vi har et ansvar for å håndtere det er kjempeviktig. Og så forstå også at vi trenger ikke bli super eksperter i alt, men at vi trenger å vite disse grunnprinsipper og forstå litt vanlig vanlig dynamikk i angrep og gjøre det vi kan som individer. Akkurat som vi har lært å vaske hender under korona. Så kan vi kanskje lære og vaske  IT systemene våre med litt jevne mellomrom nå i denne cyber pandemien om du vil.

 

Frode: Jeg er helt enig. God hygiene er alltid bra, uavhengig av om det er cyber eller fysisk.

 

Silvija: Vi skal til verktøykassa igjen i neste leksjon, og da skal vi se hvordan kunne man kanskje brukt noen av de der prinsippene, for eksempel til å hindre eller løse raskere noen av de angrepene vi snakket om her. Tusen takk så langt.

 

Du har nå lyttet til en podcast fra Lørn.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læring sertifikat for å ha lyttet til denne podcasten på vårt online universitet Lørn.University 

 

Leksjon 3 - ID:M0060c

Leksjon 3 - ID:M0060c

Leksjon 3 - ID:M0060c

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

 

Silvija Seres: Hei og velkommen til leksjon tre i LØRN Masterclass om grunnprinsipper for cybersikkerhet med Frode Skaarnes. Frode, vi har snakket om grunnleggende konsepter og motivasjon for en bedre forståelse av cyber security. Og vi har snakket om noen eksempler. Spesielt da tre angreps områder som du snakket om som er tilgjengelighet, konfidensialitet og integritet. Og du har gitt oss på tilgjengelighet et eksempel av Østre Toten kommune angrep. På konfidensialitet ga du eksempler på Stortinget og på integritet ga du oss eksempler på Norfund. Og så var det flere eksempler. Alt for mange eksempler å dra frem her. Men nå skal vi snakke litt om verktøykassa og hvordan den kunne hjulpet oss å hindre kanskje noen av disse andre angrepene. Og bare for å understreke viktigheten av det vi snakker om nå. I pausen så har jeg googlet meg frem til World Economic Forum sin global Risk Rapport 2022, og den er veldig interessant fordi dette her er de verste globale risiki for hele verden. Øverst er fire ting; climate crisis, growing social divide, heighten cyber risk og uneven global recovery. Så cyber sikkerhet og risiko er like ille mener World Economic Forum som klimakatastrofe og krise. Så vi snakker ikke noe noe som vi får ta når vi ikke er så opptatt av krise. Det er den krisen vi må fikse sammen med de andre krisene. Så tilbake til disse grunnprinsipper eller verktøykassa vår. Hva tenker du?

 

Frode Skaarnes: Nei. Det jeg tenker er at det er virkelig et stort og omfattende problem knyttet til cybersikkerhet. Eller knyttet til å ta det alvorlig. Og det er som du sier, man bør føle en sense of urgency knyttet til dette nå. Og det er ikke så komplisert. Man sier at fire tiltak er så effektive at de vil sannsynligvis stoppe 80-90% av de vanlige data eller cyber angrepene. Og det er så enkelt som at når det kommer nye program og maskinvare, så installerer du det. Du kjøper det. Du vil nyte godt av at nye produkt versjoner har tette sikkerhetshull, og at de er rett og slett bedre på sikkerhet. De har utviklet seg gjennom den perioden som er gått fra du kjøpte den gamle. Også er det nummer to. Sikkerhetsoppdateringer. De kommer med jevne mellomrom. De kommer regelmessig i hver første tirsdag i måneden. Da er det patche tirsdag, og så kommer det da kunnskap om sårbarheter som må lukkes når det er veldig viktig utenom dette også. Og det å oppdatere raskt før noen rekker å bryte seg inn er jo hele cluet her. Også er det en gammel traver og det er at administrator rettigheter. Hva er det? Jo, det gir det full tilgang til alt hos deg. Og jo flere brukere man har på det, jo større er sannsynligheten at noen vil gjennom sosial manipulering hacke seg inn og overta da administrator rettigheter. Så det er noe man ikke bør gjøre. Og så er den siste. Veldig enkelt. Og det er blokkering av det man kaller for ikke autoriserte programmer. La maskinen kjøre på godkjente programmer. Det er masse programmer. Windows App locker for eksempel kan hjelpe deg til å få dette til å funke. Men poenget er hvis man gjør disse fire tingene. Og det er helt basic. Så er man ganske sikker. Også kan vi gå videre å se på grunnprinsippene. Og da trenger man litt mer modenhet for å få effekt av de i tillegg til dette. Hvis jeg skulle startet med noe helt fra scratch og grunnlaget var null. Dette er det jeg hadde gjort. 

 

Silvija: Hjelp meg å rekapitulere. Nummer to var oppdateringer og nummer tre var admin rettigheter nummer én var?

 

Frode: Det er når det kommer nye programmer og ny maskinvare. Jo eldre maskinpark du har, og jo eldre versjoner du har av et program, jo mer sårbar er du.

 

Silvija: Jeg bare ler litt av det her, for jeg har en god venn, men han er bare litt treig på en del avgjørelser. Og han er sånn som har liksom utsett å kjøpe ny PC nå i ganske mange år fordi det blir så mye billigere og bedre neste år. Men sånn kan man ikke tenke her. Her må man bare følge med.

 

Frode Ja, og jeg tenker vi skifter mobiltelefonene våre ganske ofte. Og mobiltelefonen har blitt et sikkert verktøy i forhold til macer og pcer. Fordi det er mer begrenset hva du får lov til å laste ned. Og det er det er veldig sånn styrt på sikkerhet. GOogle følger deg opp. Apple følger deg opp. Alle følger deg opp. Og det gjør at det burde være sånn på alt annet. 

 

Silvija: Ja, og nummer fire var?

 

Frode: Det er blokkering av det man kaller for ikke autoriserte programmer, og det vil si at du kjenner ikke igjen programmet ergo du lar ikke det få lov til å starte opp. Og det finnes det systemer som du da kan bruke da, som jeg nevnte i stad.

 

Silvija: Veldig bra. Er det noe av dette her som du ser som opplagte muligheter for de tre eksemplene som vi snakket om i toeren?

 

Frode: Ja, jeg tror egentlig alle de eksemplene vi snakket om i toern vil – og nå kjenner jeg ikke eksakt status på hvordan det var. Men dette ville hvert fall være viktige premisser for å redusere risikoen for at det som skjedde skjedde. Så jeg tror det kunne sett annerledes ut uten at jeg skal oute noen av dem spesielt.

 

Silvija: Nei, det som jeg sitter å tenke på er en venn av meg fra sjefskurset for lenge siden som var politimester i et område i Norge. Og jeg husker vi snakket cyber security også sier han til meg at Silvija, du skjønner ikke. Veldig mye av hardwaren vår er fra 1970. Og noen av programvaren også. Så jeg tror offentlig sektor sparer litt på feil ting når vi utsetter denne oppdateringen av hardwaren vår. Vi glemmer at samfunnet vårt er like mye digitalt i dag som fysisk.

 

Frode: Ja, jeg tror for offentlig sektor så har man ventet litt for lenge. Og det vil si at det blir så ekstremt kostbart når man skal skifte ut alt det som det ofte blir. Og vi kunne jo snakket lenge om Helse Sør-Øst saken. Hvor vi snakker om at det er så stort. Det er så stort det du skal ha kontroll på. Og det vil være ulike årganger på mye av dette. Og så skal det kjøres sammen. Så for det første så tror jeg på at man må regelmessig fornye seg og skifte ut, og jeg tror på at dette må skje som en del av virksomhetens normale drift, og ikke at man får disse fossefall hvor man skifter ut store systemer til en ekstra kostnad hele tiden. 

 

Silvija: Jeg tror dette her er utrolig viktig bilde egentlig av det du snakker om. At man skal nedbetale denne tekniske gjelden kontinuerlig. Det er litt sånn som med hus gjelden vår eller huslånet. Du venter ikke i ti år for å så liksom nedbetale. Du betaler litt hele tiden. Og når ting utvikler seg så veldig mye raskere i det digitale, så er det enda viktigere å oppgradere og følge med og ha en plan og forstå at dette her er noe du gjør hele tiden. Og dette konseptet med teknisk hjelp tror jeg er veldig viktig for folk å bake inn i sine måte å tenke cybersikkerhet på.

 

Frode: Helt klart. Og egentlig grunnprinsippene for IKT sikkerhet som NSM har laget tar jo innover seg alt dette. Og de sammen med digitalisering direktoratet har jo et stort samfunnsansvar på å få dette budskapet ut, sånn at man får gjort noe med dette problemet da, og at man digitalisere på en lur måte fremover.

 

Silvija: Fordelen er at det blir faktisk lettere, og det blir på mange måter også billigere å få fantastisk mye regnekraft og datakraft og nettverks kraft ut av systemer. Men da må man følge med. Og det andre som jeg tenker er at dette her er liksom den ideen om at dette er den nye risiko håndterings hygienen din. Jeg tror vi er veldig flinke til å tenke risiko på business side. Og hvis du tenker på samfunnsrisiko også, så tenker vi fortsatt litt for fysisk. Og når man tenker på hvor mye som investeres i en sånn nasjonal veiplan og tunneller og broer. Det er klart det er viktig, det er kjempeviktig at vi fysisk kommer frem. Men det er minst like viktig at vi digitalt kommer frem i et land hvor helsevesenet kommer til å gå på det digitale. Og det er ikke fordi vi kan velge om vi vil eller ikke vil. Fordi det er den veien verden går rett og slett. 

 

Frode: Helt klart. Det jeg kunne tenke meg å få lov til å si litt om og er kall det grunnlaget for grunnprinsippene og hvordan de har strukturert dette. For vi har vært gjennom de 15 tiltakene som springer ut av dette. og jeg tenker man skal ha et mentalt bilde av at det er fire elementer som man må klare å planlegge innen for å få god IKT hygiene. Og det første går på å identifisere og kartlegge. Litt det vi snakket om i staten. Hva har du? Hvilke verdier har du? Hva slags systemer har du? Hva slags software har du. Også har du det som går på å beskytte det. Lage ulike systemer. Etablere gode prosedyrer for å så beskytte og opprettholde den infrastrukturen du har. Og det kan være alt fra nettverk beskyttelse, passordbeskyttelse, hvordan man kontrollerer dataflyten. Alle disse tingene som du kan monitorere og som du kan ha systemer for å følge opp. Også er det det som må skje raskt. Det tok en halvannen måned før Norfund fant ut at de var svindlet. Så det å oppdage at noen har vært der og finne systemer som gjør at man kan scanne og oppdage først sårbarheter også trusler også eventuelt individer eller noen som har kommet inn. Det er også viktig. Og å etablere en form for sikkerhetsvurdering som kommer først. Du overvåker innenfor det regelverket du har, men da med en ambisjon om å få avslørt trafikk som ikke skal være der. Analysere dette også kanskje min favoritt at du nevnte dette med etiske pen-testere i stad. Det å teste ut for å oppdage om du oppdager de som tester det ut. Så penetrasjonstester. Ha noen som har lyst til å angripe ditt system med den intensjonen med å finne svakheter. Det tror jeg også er en viktig måte å gjøre det på. Også er det et veldig riktig bilde på hvordan status er for ansatte som jobber der. Så er det når noe går galt. Da er det å håndtere og gjenopprette. Det å håndtere en konflikt, vi snakket litt om det i sted. Eller en situasjon som oppstår ved at du er hacket. Det er viktig å ha en plan for dette. Det bør ha vært øvd, også må man da regelmessig kjøre en revisjon av dette planverket, sånn at det hele tiden er oppdatert i forhold til endringer som er fremover. Og så må man evaluere og lære, og der mener jeg sånn som Østre Toten har vært helt supre. De har virkelig delt av alt for at vi andre skal bli bedre. Og jeg tror at hvis man da tenker disse fire fasene, først identifisering, kartlegging, beskytte, oppdage, håndtere og gjenopprette. Og det er ikke gjenopprette til det som var. Men til en ny og bedre tilstand. Det er det du skal gjenopprette til. 

 

Silvija: Hvis jeg skal oppsummere Frode, så snakket vi om at det er fire grunnleggende prinsipper. Og det er dette med å være flink til å oppdatere både hardware, software og eventuelle tilganger også videre. Up to date og at dette er en kontinuerlig prosess. Også først fornye deg også være flink til dette med tirsdags patching og cyber security oppdateringer også. Også passe på admin rettigheter og være flink til å blokkere relativt fort. Og så hadde du fire kategorier av disse grunnprinsipper hvor du snakker om første kategori dreier seg om hva du har. Data hardware og software også videre. Forstå under punkt nummer to hva du gjør. Hvilke prosesser som er vesentlige i bedriften din. Punkt nummer tre, hvordan finner du svakhetene. Og der sier du det finner et helt nytt område. Flere nye områder på dette med hvordan overvåker du og hvordan sjekker du disse såkalte sensordata. Du snakket om det utenom å nevnte ordete MDR. Eller begrepet MDR – Managed Detection and Response.. Dette er her er veldig godt strukturerte prosesser, og ofte så er det sånn at man trenger faktisk litt hjelp av noen eksterne, og det kan være Mnemonic eller Defendable eller andre leverandører av helhetlige sikkerhetstjenester, og det er en god investering å komme seg opp til et nivå for å kunne gå videre. Og så er det snakk om å gjenopprette ting fort nok når det er krise. Du må vite om du har råd til å være out of business fire uker eller fire måneder eller fire dager. Og hvor fort kommer du tilbake til livet igjen. 

 

Frode: Det var en god oppsummering.

 

Silvija: Du som en siste del av denne verktøykassa vår sa og så slenge inn to ting eller tre ting. En link og to bøker. Og linken dreier seg om å be folk Google World Economic Forums Top Global Risk. Og lese seg frem til det som dreier seg om Global Security Risk. For det er litt oppvekkende synes jeg. Så er det tre bøker. Jeg liker veldig godt en som heter Weapons of Math Destruction. Det er matematiske ødeleggelse våpen. Også er det en som heter The New World Order hvis jeg husker tittelen riktig. Og den er skrevet av en sånn type pentagon X general som sier at verden har blitt skumlere og det er på grunn av det digitale. Og det var lenge før Ukraina. Og det siste er – jeg har prøvd å lese meg litt opp på cyber security i forbindelse med sikkerhets festivalen. Og da leste jeg fort gjennom Cyber Security Bible. Og det synes jeg også er en grei ting å bare bla gjennom. Trenger ikke å detalje lese, men du får litt oversikt over hva er de viktigste konseptene der. Jeg vet ikke om du er enig med meg, men jeg kunne tenkt meg å utfordre folk på å lese disse tre. 

 

Frode: Ja, det er gode bøker, det er det. Og vi har også noen nå norske bøker som er gode. En som heter Cyber Sikkerhet for ledere som jeg vil anbefale at man tar en kikk i hvis man er usikker på hvor man skal gå.

 

Silvija: Supert, Jeg skriver, og så tror jeg at NSM har en podkast eller?

 

Frode: NSM har podkast, og der er mye bra å lære derfra, og det er der Roar Thon som er primus motor for den. Og i tillegg til det så gir de ut to årlige rapporter. En på våren som er den årlige risiko i rapporten og en på høsten som er en IKT risikobilde rapport. Og der er det sånn nå at de har nok travle dager oppe hos Sofie Nystrøm, for det er nok et ekstra trøkk sånn som det er nå, så jeg tror de er veldig oppdatert på dette og har veldig gode analyser knyttet til hvordan verden ser ut nå. Så jeg vil anbefale alle å kikke litt inn på hvordan de tre hemmelige tjenestene opplever at verden er. Den er veldig annerledes nå enn den var bare for ett år siden.

 

Silvija: Det å lese sikkerhets rapporten for landet fra i fjor er egentlig mest opplysende på hvor vanvittig fort tiden endrer seg akkurat nå.

 

Frode: Helt klart.

 

Silvija: Tiden og verden. Kjære Frode, tusen takk så langt. Vi skal ha en super kort seanse i leksjon fire om hva kan LØRN gjøre eller hva kan andre SMBer lære av dette her. Takk så langt. 

 

Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University. 

 

Leksjon 4 - ID:M0060d

Leksjon 4 - ID:M0060d

Leksjon 4 - ID:M0060d

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

 

Silvija Seres: Hei og velkommen til den siste leksjonen. Den fjerde leksjon om grunnprinsipper for cybersikkerhet i denne LØRN masterclass med Frode Skårnes. Frode, dette her er en liten sånn dessert leksjon. Hvor vi skal snakke om hva kan en SMB gjøre helt konkret etter å ha hørt denne samtalen? Og den SMBen jeg kjenner best er LØRN. Og vi har alt i skyen. Vi har en deltids IT-administrator, og egentlig ikke ressurser til å ha en stor sikkerhetsavdeling. Og jeg må innrømme at jeg tenkte litt sånn oi, oi, skomakerens barn når jeg hørte deg snakke om de 15 prinsippene. Men hvis du skulle si okey, det viktigste vi skal rydde opp i nå. Hvor ville du startet? 

 

Frode Skaarnes: Det første jeg ville gjort. Jeg ville tenkt i en sånn tre faktor modell. Hva er verdiene mine? Hvor er vi spesielt sårbare? Og hva er truslene som vi ser i mot oss? Og da er det jo det vi kan gjøre noe med er jo å gjøre noe med sårbarhetene. Og da tenker jeg det at når vi har identifisert at verdien som er det viktigst for oss, det er våre caser og masterclasses. Det er våre digitale produkter, så må vi da sørge for at vi beskytter det på en måte så gjør at uavhengig av om noen prøver å hacke oss eller prøver det, så kan vi gjenopprette tilstanden til normalen så raskt som mulig.

 

Silvija: Kan jeg legge til noe mer som jeg satt å tenkte på? For vi er et lite selskap som også administrere flere roller. Driver med litt forskjellig. Så en annen ting jeg har tenkt på er litt sånn GDPR sikkerhet og tilgang til sensitive data og en del sånt. Så det også er en av de prinsippene som dreier seg om tilganger som er kanskje verdifullt å passe på her? 

 

Frode: Ja. Jeg tror at når du kartlegger verdiene dine og du kartlegger sårbarhetene, så må du se det i et business perspektiv og i et GDPR eller personvern perspektiv. Og de henger ofte tett sammen for oss som er SMBe. Og vi har en annen sårbarhet i oss også. For selv om vi er i en startup, så har vi folk over hele verden via folk i Chile, Serbia, Montenegro. Vi har de over hele Norge og sånn sett da så kan du si at vi har ulike kulturer å forholde oss til i et sånt sikkerhetskultur perspektiv. Så det å bygge hva vi skal og hva vi ikke skal. Det er mer krevende når man har en distribuert organisasjon som det vi har. Det er litt sånn som å ha alle på hjemmekontor. Du mister litt den følelsen av å ha kontroll. Så det jeg ville gjort hvis jeg var CEO i LØRN var at jeg ville laget en SHP for security hvor jeg ville da brukt disse fire viktigste tiltakene. De hadde vært en sånn must do. Så hadde jeg gått inn å sett hva skal jeg gjøre innenfor ulike områder som vil skape den sikkerhetskulturen som vi ønsker. Og da kan du si at disse 15 tiltakene kan være et grunnlag for det. Hadde jeg gjort sånn som du nevnte her tidligere, laget meg et system hvor jeg hadde noe forebyggende og noe for å oppdage også hendelses sorterings perspektivet, og jeg hadde øvd det. Jeg hadde satt meg ned og ut ifra hvilke som hadde hvilke tilgangsrettigheter og hvilke sårbarheter vi har og hvilke konsekvenser det kan få, laget en øvelse som ble litt morsom cyber aktig. Alle i hettegenser sånn som meg. Også gønnet på. 

 

Silvija: Du er stolt av hettegenseren?

 

Frode: Ja, siden jeg ikke er teknolog så må jeg bruke hettegenser når jeg snakker om cybersikkerhet. Rett og slett for å få følelsen som særlig disse white hat hackerne.

 

Silvija: Ta på en black hat også, ikke sant?

 

Frode: Ja, det kan du godt si. Men det å så få folk til å føle ansvar for jeg tror det er det som er kanskje det aller viktigste, at vi sitter i samme båten. Vi taper de samme pengene, og det går ut over oss alle hvis vi går på en smell.

 

Silvija: Og jeg vil egentlig bare understreke en ting du sier her, fordi dette her er ikke bare angrep på oss, men det kan fort være angrep på våre kunder. Og hvis vi forvalter deres ansatte, e-poster og så videre, så er det utrolig viktig at man har et godt svar både ved planleggingsfasen og i leveranse fasen av det man leverer. Så dette gjelder alle SMBer som har kunder de ikke bare ønsker å beholde, men ikke ønsker å skade. Og derfor er dette en grunnleggende business hygiene. Dette er ikke noe man kan utsette å gjøre når man rekker det. Dette er et sånt cost of doing business rett og slett. 

 

Frode: Det er jeg helt enig i, og hvert fall opp til et visst nivå. Og så er det sånn at jo mindre du er, jo mindre avansert kan det også være på denne beskyttelsen. Men da må man stole litt mer på disse leverandørene som vi har knyttet oss til. Men jeg helt enig i at det ligger en grunnleggende kostnad i å drive business både med andres data og vår egne data for å skape penger.

 

Silvija: Veldig bra. Jeg tror at jeg oppsummerer super kort, og så gir vi oss der. Jeg vet ikke hva SOP er, men jeg antar at det er et lite strukturert skriv om planer for sikkerhet? 

 

Frode: En standard operasjons prosedyre. Sånn gjør vi det hos oss.

 

Silvija: Standard prosedyrer for sikkerhet og datatilganger. Og det det viktigste her er at man har en både gjennomtenkt holdning til det, men også kanskje en innøvd reaksjonsmønster sånn at ikke det blir hodeløse kyllinger når det først skjer og og at man tenker igjennom hva er de mest viktige verdiene man har? Hvilke prosesser må beskyttes? For eksempel så blir det forferdelig å miste biblioteket, men det blir også forferdelig å ikke kunne gjøre noen produksjoner et par uker. Og så er det hvordan passer vi på at ting er på stell og at sikkerheten er på plass? Ikke sant? At vi ikke har blitt “breacha” som jeg ikke kan ett godt norsk navn på. Også hvordan gjenoppretter vi ting skulle uhellet virkelig være ute? Også ha månedlige backups av det som er business kritisk heller eller en eller annen frekvens eller som passer den business man er i. 

 

Frode: Godt oppsummert. Hvis man gjør dette, da er man et langt steg på vei inn i å ha en en god cybersikkerhet hygiene.

 

Silvija: Og så vil jeg kanskje legge til en siste ting. Ta å skrive ut de 15 prinsippene som man kan finne i en PDF eller på websiden til denne masterclass. Heng dem opp på veggen og husk å utfordre hverandre. Om folk har skjønt det og om folk forholder seg aktivt til det. For dette er faktisk alles ansvar.

 

Frode: Helt enig. 

 

Silvija: Tusen takk for at du har lært oss om noen gode grunnprinsipper for å skape en nødvendig digital hygiene i alle våre bedrifter.

 

Frode: Takk for at jeg fikk lov til å være med. 

 

 

 

Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University. 

 

You must log in to pass this quiz.

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et

Allerede Medlem? Logg inn her

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et 14 dagers gratis prøvemedlemskap

Allerede Medlem? Logg inn her

Vi bruker Cookies for å forbedre brukeropplevelsen av sidene. Les mer om personvern & cookies her