LØRN Masterclass M0061
Cybercrime
Olav Skard er sjef for nasjonalt cyberkrimsenter og er gjest i denne Masterclass serien. De siste årene har generell kriminalitet gått ned, men kriminalitet på nett opp. Hva er trendene for kriminelle i 2022? Og hvordan jobber Kripos for å forebygge og stoppe kriminalitet på nett?

Olav Skard

Avdelingsdirektør/ Leder

Kripos/NC3

"De skumleste kriminelle er utrolig profesjonelle"

Dette er LØRN Masterclass

Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Digitale samtale-baserte kurs – 4 x 30minutter
Vi samler de beste hodene bak de nye teoretiske konseptene innen ledelse av digital innovasjon og transformasjon. Vi dekker 15 tematiske områder innen ny kunnskap og erfaringer om innovasjon  og ledelse, og 10 perspektiver som gründer, forsker etc.  Innen hver av disse tema og 10 perspektiver setter vi opp digitale samtale-baserte kurs i fire deler, som alltid følger samme struktur: introduksjon, eksempler, verktøykasse og verksted. På cirka 30 minutter i hver leksjon vil du på en lett måte lære nye konsepter og forstå nye muligheter.
Vis

Leksjon 1 - Introduksjon (38min)

Ulike former for cyberkriminalitet

Leksjon 2 - Eksempler (35min)

Hvordan truslene har endret seg over tid

Leksjon 3 - Verktøy (29min)

Håndtering av dataangrep

Leksjon 4 - Verksted (22min)

Konsekvenser av dataangrep

Ferdig med alle leksjonene?

Ta quiz og få læringsbevis

Du må være medlem for å ta quiz

Ferdig med quiz?

Besvar refleksjonsoppgave

Du må være medlem for å gjøre refleksjonsoppgave.

Tema: Cybersikkerhet og etterlevelse
Organisasjon: Kripos/NC3
Perspektiv: Offentlig sektor
Dato: 9, november 2022
Språk: NO
Sted:OSLO
Vert: Frode Skaarnes

2000+ lyttinger

Del denne Masterclass

Dette lærer du om i denne Masterclass

Vis mer

Din neste LØRNing

Din neste LØRNing

Din neste LØRNing

Leksjon 1 - ID:M0061a

Leksjon 1 - ID:M0061a

Leksjon 1 - ID:M0061a

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Frode Skaarnes: Hei og velkommen til en LØRN masterclass som cyberkriminalitet. Jeg heter Frode Akaarnes og gjesten min i dag er Olav Skard som er sjef for nasjonalt cyberkrimsenter i Kripos. Velkommen olav. 

 

Olav Skard: Takk for det Frode. 

 

Frode: Før vi kjører i gang med selve kurset, så skal jeg si litt om, hva er denne samtalen og hvordan er den bygd opp? Den kommer til å vare i ca 2 timer og er firedelt. Det blir et mikrokurs i cybersikkerhet med vekt på cyberkriminalitet, og det er også det vi har kalt kurset. Det bør være litt for alle. Vi kommer til å berøre både enkeltpersoners mulighet til å bli rammet av dette og opp til virksomheter, både private og offentlige virksomheter. Så man trenger bare å være nysgjerrig på hva cybersecurity er og hva cyberkriminalitet er, for å finne denne samtalen spennende. Samtalen kommer til å være uformell, jeg ser på deg som læreren min i løpet av disse timene, og jeg er studenten. Den første halvtimen så skal vi snakke litt om grunnleggende konsepter. De andre 30 minuttene, så skal du fortelle oss om noen gode eksempler. På den tredje skal vi gå gjennom verktøykassen vi har, og hvilke teknologiske muligheter vi har for å forberede oss på dette. Og til slutt så skal vi la deg være en ceo som starter en virksomhet og etablerer gode rutiner fra starten av. Høres det her greit ut Olav? 

 

Olav: Det høres bra ut Frode. 

 

Frode: Da tenker jeg, før vi setter i gang med samtalen, så må vi jo få deg til å si noen ord om deg selv, så jeg tenker, hvem er Olav og hvorfor har du begynt å brenne for å bekjempe cyberkriminalitet?  

 

Olav: Ja, jeg har jobbet av cirka 30 år i forsvaret, også var det litt tilfeldig at jeg begynte å jobbe med politiet. Det var vel en veteranbil, også fikk jeg en pop up annonse. Jeg så etter noen mobildeler til den, og da så jeg en utlysning som sjef for nasjonalt cybernettsenter. Det var vel i påsken i 2018 eller sånt noe? Så begynte jeg å lese meg opp. Jeg har jobbet med etterretning stort sett hele forsvarskarrieren på ulike nivåer i forsvaret og var jo klar over cyber og cybertrusselen. Fordelen med å lese seg opp på ting som ikke har med et redningstjenesten å gjøre er at det er åpent tilgjengelig på nett og man kan jo lese seg ganske klok på diverse utredninger, og da er det sånn at det utredes ganske mye før, før det gjøres noe. Så det var mye bra, mye bra skrevet om hva som er bakgrunnen og hva som egentlig er foreslått av løsninger, omtrent hvor den saken står på dette med å bekjempe cybertrusler og kriminalitet. Da jeg var ferdig lest opp, så tenkte jeg at dette her kan jeg sikkert klare like bra og dårlig som noen andre, også synes jeg det var en veldig fin utfordring. Altså det å bygge opp noe nytt, det var det lenge siden jeg har vært med på i forsvaret som stort sett var blitt mindre i løpet av de 30 årene jeg har jobbet der. Også var det et spennende fagfelt. Jeg synes jo ikke at cyber sånn i utgangspunktet er de mest spennende i alle sammenhenger, men det er det mest aktuelle, og det er svært interessant. Og det er egentlig der man legge inn trøkket hvis man skal jobbe med trusler og kriminalitet i dag er å forstå litt mer av det. Så jeg sendte inn en søknad og etter masse intervjurunder så endte jeg opp med å få et tilbud, og jeg takket ja, så tenkte jeg at jeg kan jo like gjerne ta en sånn tre til femårs ordning der. Det er jo sånn man gjør i forsvaret. Man får en jobb også har man det i tre til fem år også ender man opp med å jobbe der som regel i ett år, kanskje to. Så det var et langt perspektiv for meg, og jeg tenkte, da lærer jeg noe nytt. Jeg går ut i en annen sektor og spennende å se hva jeg kan ta med meg over i den nye jobben. Så nå er vi vel snart ferdig med å bygge opp dette nct, i hvert fall til foreløpig byggetrinn. Det er selvfølgelig ambisjoner om å gjøre det større i hvert fall så lenge jeg er på vaks så skal vi gjøre det vi kan for å gjøre det mest mulig effektivt. Både med kapabiliteter og kapasiteter. Jeg har vært der i litt over fem år nå, og vi kommer til februar neste år, så leverer jeg det senteret. Da er oppgaven løst i byggetrinnet. 

 

Frode: Ja, spennende. Jeg skjønner jo at det kan være litt sånn altoppslukende å starte opp en sånn virksomhet, men er det sånn at du har litt fritid? Isåfall, hva driver du med når du ikke bekjemper cyberkriminalitet? 

 

Olav: Jeg bor på på Nesøya, så det er veldig kort vei til sjøen her. Så på fritiden bruker jeg båten. Det er ikke hele året det altså, men jeg bruker en del tid på den. Det er en gammel båt som krever en del puss før og etter den skal på vannet. Den er jo på land akkurat nå, og er vel sånn omtrent halvferdig, meg det jeg må gjøre i høst der. Alle vet jo, at de to lykkeligste dagene i en båteiers liv, det er den dagen han kjøpte båten den dagen han selger. Så vi har jo et lite guttelag nedpå på kaia som vi synes alle er greit å rømme ned dit og pusse litt på båten. Så får vi gjort noe helt konkret. Det er jo greit, i hvert fall når man jobber som leder, å vite at du kan skylde på deg selv for fremgangen, og det gjør du når du står og mekker. Ellers på vinteren så liker jeg å gå på ski. Også synes jeg det er veldig fint å gjøre ingenting. Jeg synes det er bra bra alternativ til å gjøre veldig mye, er å innimellom gjøre ingenting. 

 

Frode: Ja, det høres veldig bra ut. En litt sånn mentalhygienisk grense på sjøen og deretter gjøre ingenting er jo en bra start på oppladning. Men du Kripos, alle har jo hørt om Kripos. Jeg tror det er mange som er litt sånn usikre på, hva gjør dere? I forhold til vanlig politi, i forhold til pst, i forhold til nsm og e-tjenesten. Det er liksom en sånn gjeng som er knyttet til forsvars og justissektoren som det kanskje ikke er så god kompetanse på hva dere egentlig bidrar med. Så kan du gi oss restaurantversjonen av hva Kripos er i forhold til de andre? 

 

Olav: Jeg hadde hørt om Kripos fordi de var ganske ofte i nyhetene. Eller de er jo i nyhetene flere ganger i uka. Og da er det: “Kripos bistår, Kripos er på stedet.” Og det er nok det folk flest forbinder med Kripos. At de rykker ut når det skjer noe kriminelt og alvorlig kriminalitet. Det er vel sånn Kripos starta back in the days. Det var etterforskningsstøtte i drapssaker og etterhvert andre alvorlige kriminalitetsformer. Organisasjonen har vokst kraftig. Altså det er vel cirka 700 ansatte her nå og. Det er omtrent dobbelt så mye som det var for 10 år siden. Så det vokser i tråd med oppgaven da. Formålet til Kripos, det er å det er å bekjempe organisert og annen alvorlig kriminalitet. Og Kripos kan ta egne saker, det vil si saker som krever spesiell kompetanse, som ikke har noen tydelig geografisk avgrensning, og som har et internasjonalt tilsnitt. Det gjelder jo de fleste cyber krimsaker, i hvert fall datainnbrudd med løsepengevirus, eksempelvis. Så Kripos er på mange måter verktøykassa til Norsk politi. Vi bistår politidistriktene. Det er det vi stort sett gjør. Vi har også egne saker innenfor organisert kriminalitet, herunder cyber kriminalitet. Men i stor grad, så sender vi folk ut til politidistriktene og hjelper de i etterforskninger. Jeg kunne jo lite om politiet før jeg begynte der, ikke sant? Jeg gikk på Forsvarets høyskole sammen med en politimester, og da gikk det mer opp for meg at politiet drev med å etterforske ting, også innimellom drev de med noe annet. Det er egentlig litt motsatt. Politiet gjør veldig mye annet enn å etterforske saker, og Kripos er på mange måter den hubben som skal til for at man er på høyden med kompetanse for å kunne gjennomføre etterforskninger. Det handler om taktisk etterforskningskompetanse, altså hvordan man faktisk gjør det, tradekraften, og det er teknisk. Så hvordan man fremskaffer spor og gjør de om til bevis og hvordan de kan anvendes i en straffesak. Så er det laboratoriet. Vi har et kriminalteknisk laboratorium, et tradisjonelt et om du vil. DNA, brann, kjemi, fingeravtrykk, papir, printer, blekk. Så har vi et moderne laboratorium, som har vokst ganske mye, eller jeg vil si veldig mye faktisk de siste årene, det er elektroniske spor. Og litt elektroniskespor er en bestanddel i all kriminalitet i dag og det er alltid for lite kapasitet på dette med å fremskaffe elektroniske spor, men det er svært viktig og veldig effektivt når vi får tak i det, og det gjør vi alltid når vi setter inn fokus på ressursene, så finner vi sporene. 

 

Frode: Hvis du tar det du er sjef for, altså cyberkrimsenter. Det er jo sånn at det har kommet et annet senter, litt før ditt senter. Dette nasjonale cybersikkerhetssenter som ledes av nsm. Også har jo også etterretningstjenesten for kapasiteter fått et nytt mandat knyttet til tilrettelagt innhenting. Hvordan er rolledelingen mellom dere som er særorgan, hemmelige tjenester i grensesnittet der? Er det framtida å sørge for at du har robuste miljøer som kan samhandle godt på innenfor sånne spesielle ting som cyberområdet har blitt da?

 

Olav: Ja, altså cyber som problem eller som mulighet? Historisk sett så kom kompetansen tidligst i etterretning på sikkerhetsorganisasjoner. Hvis man skulle stjele informasjon fra en motpart om du vil, eller spionere så var det ikke sånn at du skulle ha tak i eller en ringperm med ark i, også ta bilde av det, også stikke i holtålen også snike deg ut igjen. Fordi all den informasjonen er lagret et sted. Så man må ha tilgang til informasjonsforlaget. Også dette med å påvirke motstanderen usett, og drive med påvirkningsoperasjoner, hvordan skal man forsvare seg mot det? Det tenker jeg er årsaken til at kompetansen kom først i etterretning, også sikkerhetsorganisasjonen hele verden over. Det er jo sånn at alle nasjoner kan hente informasjon om andre nasjoner, det er helt greit, men i motsatt rekkefølge så er det jo kriminalitet i alle land. Så det er en slags balanse i det. Så, så vi en fremvekst av- altså ikke svindel- men løsepengevirus som sådan er et fenomen, som er beskrevet allerede for 20 år siden. Det var godt kjent for 10 år siden. Det er jo vanskelig å si helt nøyaktig da, men hvis vi ser for oss en historie, bare som et eksempel. Det satt mennesker med jobbkompetanse. Noen av de har sluttet, andre fikk sparken, noen ble kreative, også begynte man å bruke det man hadde lært på jobben privat, også vokste det opp en kriminell industri hvor man så at man kunne tjene mye penger på å anvende det man hadde lært ved å gå på kurs og utdanning i statlige hemmelige virksomheter til det private. Dette er en historie da, ikke sant? Også tilslutt så kommer man opp et kompetansenivå som gjør at dette sprer seg, også blir det et grunnlag for en ny form for kriminalitet. Hvor man da får tilgang til informasjon. Du har tilgang til enkeltpersoner og havner i posisjoner hvor man kan påvirke deg og meg, fordi de får tak i informasjonen som er viktig for oss. Da blir det inngripende for oss. Parallelt med denne utviklingen, så kom smarttelefonen, og det er jo ikke fryktelig mange år siden det. Det er sånn 10 pluss år siden, så dukket den opp, og da ble det noe annet enn tekstmelding og ringing. Da ble det på mange måter et liv, og nå går alle rundt med en smarttelefon. Og da mener jeg alle. Vi har statistikk fra både rike og fattige land, hvis smarttelefon, det prioriterer alle. Da går man rundt med store verdier i form av informasjon, som gjør at de kriminelle kan få tak i informasjonen til mange, eller nå ut til mange med sin kriminelle virksomhet. Fordi vi gjør oss selv til et mål ved at vi bærer rundt tusenvis av ringpermer med informasjon som vi ikke vil at andre skal få tak i. Og som de fleste av oss, så går vi rundt og tenker ikke noe særlig på at vi er sårbare for innbrudd.  

 

Frode: Du drar litt sånne lange linjer nå. Hvordan har trusselen egentlig endret seg med tiden? Opplever du det sånn at de som utdanner seg innenfor cyberkriminalitet, og skoleringen som både foregår i grupper, men også på deler av nettet, dette mørke nettet i internettverden, utvikler de seg raskere enn oss, eller henger vi liksom i samme takt? Du sier jo litt at etterretnings- og sikkerhetstjenestene gjør egentlig de samme tingene som de kriminelle, også gjør vi de samme tingene når vi skal forsvare oss. Er det en form for lik utvikling her eller sakker vi akterut her som vi har gjort i andre tilsvarende settinger over tid?

 

Olav: Jeg lærte på kurs i forsvaret en gang at i overført betydning så er kampen mellom panserbeskyttelse og pansergranater, den går hele tiden. Så noen ganger ligger de kriminelle foran, og andre ganger ligger vi foran, men vi forsøker jo å få mest mulig kontroll på hva motstanderen kan påvirke oss med. Vi forsøker å bli flinkest mulig, både de kriminelle og vi som kjemper mot kriminalitet. Fordelen til kriminelle, er at de er flere. Vi slår dem ikke på antall, det gjør vi ikk. Så de kan være flere, og de kan gjerne opprettholde et fokus over tid. Altså de beste er ikke så veldig travle. De tar det med ro, de bygger opp og de er forsiktige. De gjør gode undersøkelser før de tar noe risiko selv, også slår de til. Det er ikke så mye byråkrati, det et byråkrati de lager selv. Vi ser i løsepengevirus saker som generelt sett tilbakeføres en ganske stor prosentandel av det vi ser at de henter ut da verdier tilbakeføres til businessen. Selv om de kjører ansettelsesprosesser så forsøker de å få tak i de beste folka og vil helt sikkert ha folk de kan stole på, de også. Så ved å ha kontroll på virksomheten, så har du mindre byråkrati. Det er en viss byråkrati i staten når du skal bygge kapasitet, og du skal omfordele ressurser og du skal gjøre endringer fra året før. Samtidig så ser vi at der hvor vi legger inn ressurser og 

fokus, og når vi virkelig klarer å kraftsamle innsatsen vår i tid og rom, så er vi bedre enn dem. 

 

Frode: Det er jeg veldig glad for å høre. Det er en trygghet. Hvis du tar hverdagen din da. I media så leser vi om direktørsvindel, vi leser om cyber stalking, hacking, dette dark web systemet som alle har hørt om. Kanskje Tor som et fenomen, sosial manipulering. Det er masse ord og uttrykk som det er fort gjort å gå seg vill i. Er det sånn at du kan si litt om hva de fenomenene som preger hverdagen mest for dere er? Du nevnte jo ransomware her tidligere. Er det noen ting som liksom dominerer mer enn andre ting, for det er jo virkelig en jungel av ulike svindel og kriminalitets metoder. 

 

Olav: Ja. For de kriminelle så handler det først og fremst om å skaffe seg tilgang. Det er vel enkleste måten jeg kan si det på. De skaffer seg tilgang til informasjon og systemer. Også kan de planlegge hva de skal gjøre deretter. Dataområdet i løsepengevirus, det er den mest alvorlige som vi håndterer nå. Når det kommer noe som er mer alvorlig, så vil vi fokusere over på det. Årsaken til det er at vi som Kripos og særorgan må kunne håndtere den mest komplekse kriminaliteten. Kompleksitet, det er et hakk lenger ned på stigen, og det er kaos. Da har du en formening om hva det er som skjer når du prøver å påvirke en situasjon eller forsøker å løse problemet også gjør du det, også måler du resultatene. Det er en type metodeutvikling som man best gjør ved å håndtere det som er vanskeligst. Så dette med å etterforske løsepengevirussaker som i hydro saken. Vi tok jo den saken, fordi vi ikke hadde noe valg, ikke sant? Du kan ikke bygge opp nasjonale cyberkrimsenter ved siden av en utvikling i den saken. Så sånn sett var dette for oss en sånn make og break sak. Vi var nødt til å ta den og vi hadde vært i drift i 3 uker. Det skjønner jo folk, at når du skal bygge opp noe over 4 år og du har holdt på i 4 uker så er det jo på mange måter ikke ideelt, men samtidig så er det. Vi visste at vi kom til å få bra med ressurstilgang i løpet av 4 år. Vi kunne ansette folk, vi kunne kjøpe utstyr. Så hadde vi en sånn ekstrem case som vi skulle løse, og vi fant jo tydelig ut at dette kan vi jo ikke. Så kan du jo si, ja selvfølgelig var det jo mye vi kunne valgt der, men kortversjonen, vi kunne ikke det. Så fant vi raskt ut at det var ingen andre som kunne heller, men det var mange som hadde mye lengre svar på ting. Ja, selvfølgelig, vi har lang kompetanse, vi kunne ikke det. Men, nå kan vi det. Så vi har lært oss det, vi har kommet frem til navn, ansikter og arrestasjoner i hydro saken. En av de hovedmistenkte, sitter varetektsfengslet i Sveits nå, og han sitter der på grunn av mistanke om at det er hovedmannen bak utviklingen av dere lockergoga viruset. Jeg vil fortelle litt om volumer her, for det blir store tall. Det er et løspengevirud, og de kriminelle har en tendens til å bruke flere eller bytte i mellom. Og det ene løsepengeviruset, det har stått for cirka 22 milliarder US dollar i kostnader for 1800 virksomheter gjennom 70 land. Så størrelsen på økonomien rundt løsepengevirus, altså som man avdekker når man faktisk etterforsker disse sakene og ikke bare tenker at det sikkert er slik det foregår. Hvis man etterforsker slik man skal og føre bevis, finner nok en del forhold. På verdensbasis, så er det jo tall på at den er større enn narkotika problemet. Så det er verdens største kriminell økonomi, og den er stadig økende. Det er kompetansekrevende å holde på med de vanskeligste tingene, og det vi lærer når vi løser de vanskeligste problemene gjør at det er enklere for oss å løse enklere saker, som type svindelsaker. Direktørsvindel, det er svindelsaker, men alvorlig nok. Det er enorme pengesummer er. Man lurer en direktør for tilgang på systemene, er på innsiden og opptrer som noen annen. Og får da en myndighetsperson i en organisasjon som normalt sett ikke tar beslutninger, men til slutt skjærer igjennom også utnytter svakheter ved kjennskap til organisasjon. Eksempelvis, så det viser jo at de er smarte. Fordi sånn som purringer da, eller de fleste har jo faktureringssystemer, også får du en purring fordi det ikke er betalt også eskalerer ting og til slutt, så kommer kanskje en henvendelse på en eller annen transaksjon. Tilsutt så griper sjefene inn, og når sjefene griper inn så er det en større risiko, fordi man pleier ikke å gjøre det. Man griper kanskje inn noen ganger i en transaksjon, også tar man en beslutning, også skal man berge en eller annen omdømmesituasjon. Så blir man skikkelig lurt. Det er rammene for virksomheten. For da er det jo toppsjefen i den nasjonen som egentlig har gjort denne feilen. Dette er jo svindel, dette er ikke den mest alvorlige organiserte kriminaliteten nødvendigvis akkurat i det brukerleddet, men det kan være organisert kriminalitet som står bak. Det er her dette utfordres litt. Riksadvokaten sier at du skal ikke bruke ressurser på å etterforske saker som aldri kommer i mål, for å si det forenklet. Det er åpenbart for alle, men det som er vanskelig med cyber kriminalitet er nettopp en geografisk avgrensning. For hvis det er et kriminelt forhold som man kan komme i mål med som etterforskes som har blitt stilt for retten. Så kommer de i fengsel også er det på mange måter en sånn sløyfe som kan rettferdiggjøre ressursbruken. Det er en løsning vi har for å få ned kriminaliteten, altså oppdagelsesrisiko, personlig risiko også videre. På cyberkrim så er det ikke like lett å skille mellom hvem det er som står bak. I utgangspunktet så er det ikke på noen form for kriminalitet, men gjennom etterforskning av flere saker, så får man et stadig tydeligere bilde på hvor mange guttorms operatører eller noe sånt som er igjen, og i hvilken grad de kjøpt sine tjenester av organiserte kriminelle lenger opp i hierarkiet? For det er et marked som vokser. Climate and service var i min tid i forsvaret deployert i Afghanistan og Irak blant annet. Så var det jo insurgency service. Altså markedet kunne kjøpe alt du trengte for å for å lage en bombe og være med i kampen mot de vestlige som hadde invadert. Få et oversikt over det markedet, det hjelper. Vi ser på dette som organisert kriminalitet, og vi har lært nok nå til at vi tenker at vi finner bakmenn, også finner vi et system, også ser vi på dette som organisert kriminalitet. Vi har lært nok nå til at vi tenker at vi finner bakmenn, også finner vi et system, også finner vi gjerne de som gjennomfører kriminaliteten nedover systemet, men dette gjør det vanskelig å skille i prioritet av saker, fordi det er så mange saker. Og at en svindelsak før kanskje ikke dreide seg om så veldig mange kroner eller et lommetyveri eller et innbrudd i en bil eller annen type vinningskriminalitet, hvorm man kunne tjene noen 1000 kroner. Den type kriminaliteten stuper, men den andre typen kriminalitet kan man svindle et firma for 15 millioner kroner like lett som du kan svindle en annen privatperson eller legge den under press. Det gjør at skillet mellom alvorlig kriminalitet, så må håndteres sentralt og petty crimes, altså kriminalitet som er mengde kriminalitet det utfordres. Du har nødt til å se litt nytt på den sammensetningen. 

 

Frode: Du beskriver nå litt sånn tradisjonell kriminalitet og kall det nye fenomenet de siste 10, 15, 20 årene cyberkriminalitet. Hvis jeg skjønte riktig da, så har egentlig tradisjonell kriminalitet gått noe nedover de siste årene, også er det helt åpenbart at cyberkriminalitet er vekstbransjer. Du nevner jo store tall, større enn narkotika også videre. Er det sånn at vi i Norge på et sånt politisk nivå evner å prioritere disse endringene som skjer på en effektiv måte? Kan du si noe kort om det? 

 

Olav: Ja, jeg kan jo si litt om hvordan det er i dag. Cyberkrim går i eksponentiell vekst. Det går rett opp, all annen kriminalitet går ned. Det er grovt sett hele kriminalitetsbilde. Så har vi bundet opp hoveddelen av ressursene til politiet i å bekjempe den tradisjonelle kriminaliteten også en prosentvis svært lav andel av pengene koblet opp mot digital kriminalitet. Så dette skaper delta som man må forsøke å dekke, men dette tar tid. Det tar tid for våre politikere, styrende myndigheter å omtale disse problemene slik det faktisk åpner seg. Jeg syns hvordan man snakker om det har betydning for å starte med dette. Jeg har sett en dreining i de 4 årene jeg har jobbet med dette, eller snart 4 og et halvt. Man må regne med alle månedene med tanke på at jeg har jobbet i Kripos i så kort tid. Du kan ikke si du har vært i Kripos før du har vært der i 20 år. Da begynner man ført å telle om det er erfaren. Jeg har sett diskursen gå fra å snakke om cybersikkerhet, kriminalitetsbegreper ikke nevnt annet enn noen få i politiet til i dag, hvor det stort sett snakkes om cyberkriminalitet og alle gjør det. Flere myndighetspersoner, organisasjoner snakker om kriminalitet, og det er et lite felt hvor vi lurer på, hvor mye skal den og den personen eller representanten for den og den organisasjonen egentlig snakke om kriminalitetsbilde? Men det tenker jeg er en overgang. Vi synes det er bra at man snakker om dette som kriminalitet, fordi det er det dette er. Hvis man snakker om som kriminalitet, så vekker man etter hvert i livet noen mekanismer som gjør at man må kunne bekjempe kriminaliteten. Da spiller politiet og påtalemyndigheten den viktigste rollen i å bekjempe. Alene eller sammen med andre og helst veldig mye sammen med andre. Du får ikke til alt alene. Det skal vi sikkert snakke litt om senere, men når det språket er det som er gjeldende så begynner det å skje noe. For da skjønner man at man må styrke politiet for å bekjempe kriminalitet, og man må styrke påtalemyndigheten for å bekjempe kriminalitet,. Og vi er vel ikke helt der ennå. Politireformen har tilført masse personer til Norsk politi. Det har vært sånn 2% uniformert personell faktor som har vært oppfylt. Det er en måte å regne på som er veldig naturlig. Hvis du skal si noe som folk forstår så er det en målbar sak. Den kommer jo igjen med litt utfordringer fordi det holder ikke bare med folk utdannet på politihøgskolen for å løse kriminalitets problematikken. Du trenger mange andre også med annen type kompetanse. På Kripos er det 50/50 sivile, altså ikke politiutdannet og politiutdannet. Det er også 50/ 50 menn og kvinner. Det er ikke fordi at noen har prøvd å få det til. Det er bare fordi det ble best slik da man skulle lage best mulig kompetanse. I forlengelsen av det må man jo da lage en struktur eller fordele ressurser innrettet mot digital kriminalitet. Og digital kriminalitet kan du på en måte beskrive som en ny kriminalitetsform. Ok da tar vi den inn, så lærer oss å bekjempe den, ligner mye på annet, er bare litt mer på nett også går vi videre. Det er ikke så enkelt. Det er mer en transmisjon som går på hvordan politiet evner å anvende teknologi og henge med utvikling og anvende teknologi i sin oppdragsløsning i minst like stor grad som det de kriminelle gjør. Det er det som er utfordringen. Det krever en mye større omlegging av ressursene enn at man sender noen pengesekker ned til en nct, sånn at de kan ansette noen flere folk og kjøpe noe mer utstyr. For dette er en dreining og en konsekvens av digitaliseringen da. Det er jo at man man må jo digitalisere politiet. Med digitalisering så kommer det nye arenaer og de kriminelle følger alltid etter oss der vi er, og når de da følger etter oss i digitale arenaer. Så er det åpenbart at man ikke kan bruke den gode gamle konvensjonelle metoden, men vi trenger de folka, altså de som har jobbet med andre typer etterforskning, krim og hele perspektivet. Det er jo kjempeflinke folk, men de må tilføres litt mer kompetanse over på det digitale. Så er det sånn at politiet står i linja hele tiden. Det er ikke noe sånn beredskapsorganisasjon som forsvaret. Jeg synes jeg var veldig travel da jeg jobbet i forsvaret, men forsvaret er på mange måter laget som en beredskapsorganisasjon som skal løses ut i krise krig også har de en del fredsoperative oppgaver og driver i utenlandsoperasjoner. Politiet står i linje hele tiden med alt de har og da skal man omstille. Man kan ikke selge en politibil, bytte den på depo til større cyber bekjempelseskraft. Hvis vi bytter ut det. Dette er en utvikling som kommer over tid, også er det samtidig en utvikling i å flette den digitaliseringsstrategien til politiet inn i kriminalitetsbekjempelse strategien. For tradisjonelt sett så går dette her i to spor. Man skal digitalisere, lage felles plattformer, kjøpe IKT bærere, plattformer, overføringskapasitet, lagring, også skal man se på det fagspesifikke. Så det å flette bekjempelse av cyberkrim helt tett inni den teknologiske utviklingen, det er der nøkkelen ligger. Vi kan ikke ha utvikle som sitter i partiets IT-organisasjon og utvikler et eller annet som blir fint i fremtiden. Også holder vi på å surre med noe selv. Vi må sitte sammen og løse det. For det det gjør de kriminelle. Og det går an å hente ut effekt på veien fram til en bedre balanse, men det kommer til å ta tid å få til den dreiningen. 

 

Frode: Olav, vi skal snakke litt mer om det her i den tredje delen. Tusen takk for denne introen til cyberkriminalitet også fortsetter vi med noen gode eksempler om et lite øyeblikk, takk. 

 

Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University. 

 

Leksjon 2 - ID:M0061b

Leksjon 2 - ID:M0061b

Leksjon 2 - ID:M0061b

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Frode Skaarnes: Hei og velkommen tilbake til denne andre forelesningen i vår masterclass om cyberkriminalitet med Olav fra Kripos. I den første delen, så snakket vi litt om de grunnleggende fenomenene knyttet til dette, og nå skal vi bli bedre kjent med noen eksempler som på et vis vil være med oss til å vise bredden i hva som kan treffe deg og ikke minst alvorligheten i dette. Og hvordan dette arter seg for ulike virksomheter. Olav skal starte med et eksempel som dreier seg om Nortura, som er en stor kjøttprodusent i Norge og som eies av bøndene selv. Så det viser at selv landbruket må være på vakt når det gjelder cyberkriminalitet. Så Olav, hvorfor er Nortura et et godt eksempel å bruke i denne sammenhengen? 

 

Olav Skard: Nortura er et eksempel på at det kan gå bra. 

 

Frode: Jeg kjenner at nå ble jeg litt glad. For vi må jo ha med glade eksempler også. Vi har stort sett bare med litt sånne triste eksempler i disse cybersecurity masterclassene. 

 

Olav: Ja, jeg er enig i det, man kan ikke ta ting seriøst uten det alvorlige også tenker jeg. Når problemer blir så stort som dette så er det litt for sent å være pessimist. Det blir noe ekstra å bære med seg. Så noen små seiere må vi ha med. Dette er jo et eksempel på det. Nortura ble ble rammet av datainnbrudd i juletider i fjor, i likhet med mange andre store selskaper verden over, også i Norden og i Norge. Her under Choice hotels og media og flere andre selskaper. Vi ringte til Nortura rundt årsskiftet, og sa at dere har fremmede inne i deres systemer, og vi anbefaler å ta selskapet av nett. Det er deres beslutning. Vi kan ikke garantere at situasjonen kommer til å bli verre hvis dere ignorerer dette tipset, men vi fortalte litt om hva konsekvensen vil kunne bli. De de tok i mot informasjonen, og de gjennomførte en kontrollert nedstengning av sine systemer, og det var spennende nok. For dette var jo omtrent da var juleslakten skulle leveres inn og her er det jo just in time og ikke just in case prinsippet som gjelder. Her skal slakterbilene hente griser her og levere der. Da er det snakk om timer for å få dette her til å gå opp. Så jeg kjenner ikke alle detaljene løpende, men jeg husker at jeg fikk jo kjøpt ribbe og pinnekjøtt og alt dette her i julen så det gikk antageligvis ganske greit. Det skyldes nok, at det stengte systemene sine. Og vi kommer litt tilbake til hvordan vi kommer i posisjon til å gjøre det, men konsekvensen ble jo da at de problemene de selv påførte seg ved en kontrollert nedstengning og renske opp i egne systemer. Konsekvensen som vi anså som synlig var at det ville bli utsatt for kryptering av systemene sine, som er en av fasene i et løsepengevirus angrep. Da ville de få alvorlige problemer. Vi har snakket med Nortura i ettertid, og det synes vi er både hyggelig og lærerikt å prate med dem, når de har blitt litt mer klar over hva det var som kunne ha skjedd. Det er jo gjerne sånn at vi er godt på ballen og skjønner omfanget av problemer og rapporterer den. De som mottar informasjonen vet jo ikke det. Det er jo helt naturlig, men vi snakket med dem for noen måneder siden, og da sa de takk for tipset. Dere aner ikke hva slags problemer dere sparte oss for. Da tenker vi at, det ante vi nok, men det var veldig bra dere har funnet ut av det nå. 

 

Frode: For jeg tenker at, det er fort gjort når man får disse varslene fra myndighetsapparatet at man tenker at det kanskje overdrives. At det vil koste mer enn det smaker også videre. Hvordan kommuniserer dere med sånne som Nortura i det tilfellet her for å få de til å skjønne at det er en sense of urgency og ikke minst som du sier. Dere skjønner hva som kan skje i verste fall, men dere skjønner også hva som kan skje i en skala fra bestefall, til verste fall. Hvordan får du disse virksomhetene om bord sånn at de gjør lure vurderinger hvis ikke de sitter på kunnskaper selv? 

 

Olav: Politifolk er er godt trent å snakke med folk i vanskelige situasjoner generelt sett og de fleste av dem er kjempegode. Blant de beste av dem er de som har jobbet med informantbehandling og andre ting, som har vært vant til å forholde seg til personer som er i en stresset situasjon. Så i disse tilfellene som Nortura, så er det våre mest erfarne folk, vi setter på den telefonen. Oppgaven er å få dem til å gjøre mest mulig, med minst mulig informasjon. Altså kjære dagbok i dag starter tredveårskrigen? Det funker ikke sånn. Så gir en liten informasjonsbit, også må du få dem til å stole på deg akkurat passe mye. Det er gjerne sånn at det kommer motspørsmål slik som, er du sikker på det? Hvorfor det? Også kan man kaste bort veldig mye tid på det. Da forsvinner den muligheten til å ta en beslutning. Så vi setter på folk som er det beste vi kan sette på. I hvert fall de store selskapene, som alltid kjører andre varslinger med mindre alvorlige ting. Da er det flere som slipper til fordi det er vrient å få dem til å reagere på akkurat det vi sier, og samtidig folk som ikke lover for mye på den andre siden. Så vi må levere nok informasjon til at vi har nok til å ta en beslutning for å forstå at det må tas nå. Det hjelper ikke å vente, og at de må ta ansvaret. Så det funket jo bra i dette tilfellet. Jeg har ikke lyst til å shame noen, men vi har jo eksempler på de som ikke hørte etter. De som sa, slapp av, vi har alt under kontroll, også kunne hele Norge lese i avisen, at det hadde de slettes ikke. Aå det er ikke alltid vi lykkes med å komme gjennom, men vi tar det med ro, så det er naturlig at ikke alle reagerer på det, men det gjorde Nortura. 

 

Frode: Du sier, få de til å agere effektiv med så lite informasjon som mulig. Er det fordi at dere sitter på gradert informasjon eller er det sensitiv informasjon som ikke er gradert, men som dere ikke ønsker å dele av hensyn til etterretning?

 

Olav: Ja. Det er ikke det samme som etterretningsarbeid. Altså hvis du skal gå for informasjonen til etterretning, så skal det ikke bare være informasjon. Det skal være gode kilder, og det skal være nivåvurdert informasjonsverdi og du skal ha det fra minst 3 uavhengige kilder, og det skal helst være bekreftet. Så skal du hinke rundt på et bein og gjøre en eller annen regndans samtidig. Det blir informasjon som går til statistikken, istorikken og årsrapporten og sånn. Da jeg jobbet i etterretningstjenesten og jeg skulle si ifra om noe. Hvis jeg skulle ha effekt, så måtte jeg si ifra så tidlig jeg visste noe, også måtte jeg få den personen til å stole på og til å vite at vi hadde en forhåndsdialog. At vi satt oss ned, også kom noen løpende og sa vent med det, eller her må man jo gjøre noe. Så hvis du spør hvorfor det med masse etterspørsmål, så vil jeg ikke kunne klare å svare på det fordi vi jobber faktisk med å berike det situasjonsbildet. Det er det som er tilfellet med med Nortura. Vi ga dem det vi hadde og vi jobbet med å berike bildet, men da var vi i en situasjon hvor stadig flere selskaper faktisk ble kryptert. Og i noen tilfeller, så er det snakk om timer. Da føler du at du får lite informasjon. Hvis vi forteller dem, nei, du kan stenge nå, ellers kan du vente noen dager, også finner du ut av om du burde ha stengt, eller ikke. Det er det jeg mener med å ta beslutning på lite informasjon. Da er det sånn at langt opp i systemet, så har man best informasjonsflyt med den kritiske informasjonen som man må akte på. Da blir man gjerne stående litt alene som sjef, hvis man skal ha en god beslutning og situasjonen endrer seg raskt. 

 

Frode: Hvis vi skal si at dette var en suksesshistorie, har du noen historier hvor konsekvensen ble annerledes? Ikke nødvendigvis at aere hadde varslet på forhånd, men hvor et cyberangrep påvirket virksomheten mye. 

 

Olav: Det mest kjente eksemplet er vel Norsk Hydro. De tapte vel én milliard på det. Vi har brukt mye tid på denne saken. Vi har etterforsket den og var til stede 8. Mars, da ble Norge rammet av locker goga viruset og de møtte på jobb, skrudde på pc’en sin, og der var det en hilsen fra en kriminell gjen som forklarte hva som hadde skjedd med instruksjoner. Da var alt stengt. De kom altså ikke videre. Når du lager ting i aluminium, så må det holdes varmt, så det er flytende. Et eksempel på ting som kan skje i industrien når de blir sluttet av løsepengevirus er jo at hvis aluminium størkner i de her kjelene eller gryter hvor de smelter det før de heller det ut i formen for å lage noe. Så tenker man at det er litt av en jobb å få det ut i etterkant. Sånn at de måtte hive seg rundt lynraskt og få manuell drift på plass i de kritiske stedene. Også startet de et arbeid som tok veldig lang tid og hvor man trengte masse penger for å få selskapet opp igjen. Et litt banalt eksempel, men et eksempel var at de skulle levere en anmeldelse. Vi ventet jo på den også endte vi ikke opp med å gjøre noe før vi fikk den anmeldelsen. Så tenkte vi, at vi kan vel ta en sak selv om det ikke kommer inn en anmeldelse allikevel. Det var jo en forsinkelse på en dag. Så kom forklaringen på det da når anmeldelsen kom på tekstmelding. For selvfølgelig den som ble satt til å skrive anmeldelsen skulle sette seg ned på pc’en og skrive, og det virket jo ikke. Så da måtte de kjøpe en blekkprinter, koble den til telefonen, skrive ut anmeldelsen, tar bilde på telefonen og sende. Så når det vanskelig å sende en anmeldelse, så kan du tenke deg for et selskap med pluss 30.000 ansatte, hvor vanskelig det er å få driften til å gå i mange land. Og de ble jo totalt lammet, og de har jo. De har jo de flinkeste selv til å forhindre akkurat konsekvensene av det, og det har de vært veldig flinke til. Så Hydro har vært åpne, og de har vært tilgjengelige, og de har samarbeidet helt forbilledlig med oss. Det er vi helt avhengige av. Det første politiet må gjøre det er å bekrefte eller avkrefte og dokumentere at det har foregått noe kriminelt. Så hvis ikke vi vet om det, ikke blir kalt til det området eller ikke får startet arbeidet, så vet vi jo ikke om hva som er startpunktet. Ellers i samfunnet, så er man vandt til at politiet rykker ut hvis det ligger en eller annen tilsynelatende livløs person i en park. Så ringer man jo politiet. Man ringer jo ikke en eller annen. La meg tenke hvilken etat det var det som egentlig drev med det. Man ringer jo politiet, så kommer politiet dit, og da sperrer de  området og tilkaller krimteknikkere og gjør jobben sin. Og publikum er vandt til det. Der står politiet med sperreband. Da skal de sikkert gjøre det sitt, også blir de henvist til å gå rundt området og nothing to see here. Også kommer krimtekniskstøtte, også gjør man greia si, men når det kommer til hydro hadde NSM personell der nede for å hjelpe til med hendelseshåndtering perspektivet som ikke bare er enkelt å avgrense for dem eller for oss, også var et sivilt, hurtig innleid håndterings selskap som var til stede. Så hvis vi går tilbake til den tilsynelatende livløse personen i eksempel nummer en, og politiet hadde rykket ut den fysiske verden. Så hadde det da stått et par andre crew i diverse kjeledresser med merker på ryggen som man mer eller mindre kjente igjen og drevet med sine ndersøkelser og politiet måtte da vente på tur eller spørre unnskyld, kan vi slippe til? Du skjønner, vi vil også gå inn her og gjøre vår jobb? Det er et bilde på forskjellen på åstedet på cybercrime. Hydro var først og fremst veldig overrasket og etter hvert også veldig glad for at vi møtte opp og vi sendte ned syv/åtte personer som et robust team og tok det derfra. Så 4 år senere så er ikke denne saken helt ferdig etterforsket, men vi har kommet fram til navn og ansikter, gjennomført arrestasjoner, og vi kjører videre i etterfølging prosess i samarbeid med flere utenlandske politistyrker i andre land. Det er også litt typisk for cyberkrim. Vi kan ikke sette de vanlige prioriteringsreglene til grunn for å bekjempe en så gjennomorganisert og internasjonalisert kriminalitetsform. Vi kan ikke sette til grunn, at hvis ikke vi får basert noen i fengsel i Norge, så bruker vi ikke ressurser på det. Hvis vi kan føre det i hvilken som helst av samarbeidene i landet, så har vi kommet i mål. Det er en type internasjonalisering som politiet har holdt på med alltid. Det kan man jo ha banale eksempler på det også. Hvis man deltar i vm eller ol, så er det en konkurranse. Folk møtes internasjonalt på en eller annen arena et eller annet sted, også måler man resultatene sine og konkurrerer med hverandre, også jobber man seg videre. Her er det også slik at man kan kraftsamle ressurser rundt en eller annen nasjon som går i liv og vi hjelper dem, også får vi informasjon ut. For det var fra hydro saken vi fikk informasjonen fra et av de landene som vi samarbeidet med i til sammen fifth element sakskomplekset. Fifth element sakskomplekset var alle de andre sakene knyttet opp mot den samme gjengen så kom den informasjonen. Vi var jo sikre på den informasjonen vi hadde fått. Vi visste jo at mest sannsynlig, når vi ser at de kriminelle har lister og arkiver, og navnet Norsk Hydro dukker opp for a si det litt enkelt. Så er det noe muffens. Og når da Nortura ble nevnt, så er det også noe muffens. Vi tar opp telefonen, og vi kan ikke gå noe dypere i den informasjonsverdien som så, men fordi vi i Hydro saken har lært, at vi gjennomfører det i fem faser. Først har du en inspeksjonsverktøy. Altså kommer seg inn på en eller annen måte. Skaffer seg tilgang. Det kan være ukjent, eller sånn enkel personlig feil epost klikk på lenke hvor du slipper noen inn. Du åpner egentlig bare døra, enten har de brutt seg inn med vold, smuget seg inn ved egen kompetanse eller fått noen til å sleppe seg inn. Da er det fotfeste og rekrutteringsfase som fortsetter. Her er det fint mulig å finne dem, men ikke hvis ikke du har folk til slikt, da finner du dem ikke. For du merker noe på systemene dine i fase 3. Altså først har de brutt seg inn, det er et lovbrudd. Så rekognoserer de rund. Da er det fortsatt et innbrudd som du ville gjort i et hus. Også stjeler de data. Eller de kopierer ut et sett med data. Da har du tyveri. Også etter den uttransporten av disse filene, så kommer gjerne krypteringen. Disse fasene var vi klar over når vi snakket med Nortura. Vi antok at de var mellom fase 3 og 4. Altså rett før kryptering. Og det var det minimum av informasjon vi kunne gi dem. Men man vet jo ikke i ettertid. Det er sikkerhet og forsvar, ikke sant? De største seirene de er ingen som har hørt noe om. For det var et problem som aldri oppsto. Så det var noe de fleste fikk vite om. Så har man forebygget avverget og det er effektivt da. Men vi har regnet denne inn som effektiv avverging. Altså for å fullføre den 5 fase modellen etter kryptering, så skjønner alle at her er det noe, for du får ikke brukt datamaskinen din. Det står en hilsen fra de kriminelle på skjermen. Så kommer dialog som viser til dekryptering og vi er skeptiske, ikke sant? Så får man noen filer fra innsiden av systemene, ok greit. Så får man forhandling av pris, og de har rekognosert. Altså de vet omtrent hvor selskapet har vært. De vet hvor mye de taper ved å være ute av drift, også beregner de en sum. Så er det noen som betaler, og noen som ikke betaler den summen. Uansett, så foregår disse transaksjonene i kryptovaluta. Altså det er hvitvasking av penger på den moderne måten. Så ser vi jo at de kan shame også. Altså de sitter på informasjon, og den informasjonen de har hentet ut kan de bruke om dobbel utpressing. De kan si at, dere kan få tilbake nøkkelen, det er greit, men dere må betale mer, hvis ikke så deler denne informasjonen dere har. Vi deler fabrikk hemmelighetene deres. Vi sender det bare ut til alle konkurrentene deres, så kan jo de bare bruke det. Så har du et nivå 3 og det har vi sett lite av i Norge, men. Det er egentlig litt det enkleste og det råeste. At man kan gå mot enkeltpersoner med for eksempel personopplysninger. Altså presse deg og meg og. De har sykehistorikken, personopplysningene våre osv. Også sier de at for 10.000 kroner, så skal vi la være med det. 

 

Frode: Men Olav. Fascinerende historie, skremmende å tenke på at man kan tape en milliard, og at det går måneder før du er oppe og går i på samme produktive nivå som du var før du ble angrepet. Det jeg lurer på, du nevnte ordet gutteromshacker i stad. Du brukte begrepet crime as a service. Og da lurer jeg egentlig på, er det sånn at avstanden mellom gutteroms hackerne og organiserte kriminelle og statlige aktører som også utfører kriminelle aktiviteter. Altså Nord Korea er jo beskyldt for å ha ranet digitale banker. Er det sånn at, fordi man kan kjøpe tjenestene på nett, så er bredden av de som kan utsette deg for dette her er mange? Du sa i sted at det er flere kriminelle politi. Er det sånn at nesten alle kan gjøre det? Er det blitt så enkelt? 

 

Olav: Ja. Jeg tror i hvert fall for den generasjonen som kommer litt etter oss, sånn som de som vokser opp nå og de som er midt i 20 årene nå. De de har såpass god kontroll på hvordan de anvender teknologi, at for dem vil ikke dette her være vanskelig å bli en del av. Hvis man ser på dette som et hiraki. Det er jo mange som liker å se på krim og mafia filmer og se på filmer om organisert kriminalitet, så hvis man kan ta et bilde på det, så har man sånne løpegutter i bunn. Dette er jo et utall popular filmer og andre. Så over det er det noen som kontrollerer løpeguttene, også fortsetter dette hierarkiet oppover til den som sitter på toppen av pyramiden og her gjelder det å skjule mest mulig av kommunikasjonslinjen opp for å holde integriteten intakt da til den personen som sitter på toppen. Fordi den personen på toppen den skal jo operere på en maktarena hvor det er naturlig at man snakket med styrende myndigheter og politikere også videre som man kan se i Gudfaren- filmen eller andre ting. Forutsetningen for at løpeguttene skal fungere, er at de får oppgaver som er enkle nok, og forutsetningen for at den på toppen skal tjene penger, er at det er en struktur under som fungerer. At det er organisert, og at det er en disiplin og at alle gjør det de skal. Så er det jo en forutsetning i en sånn boksetting. Eller i denne historien, så er det en forutsetning at man får lov til å operere med denne kriminelle organisasjonen sin. Fordi den har gjerne opphold i et land. Hvis den da opererer uten begrensninger. Så er det jo enten fordi at ingen skjønner at de er der, eller fordi at noen skjønner at de er der, men ikke bryr seg så veldig. Eller skjønner at de er der og synes det er greit at de holder på. Da begynner vi å komme langt inn på korrupsjon. Vi ser jo det i korrupsjonsproblematikken i forbindelse med narkotikatrafikk, ikke sant hvor enkelte nasjoner har mye korrupsjon, også vestlige land, veldig mye korrupsjon. Også kan man gå enda lenger opp i saken, så kan myndigheter bruke denne kriminelle organisasjonen til å utøve ting på vegne av myndighetene, også kan jo den kriminelle organisasjonen være myndighetene. Hvor man er hen i den stakken der. Hvis man spør han som sitter på gutterommet, jobber han for en statlig aktør bak her? Kan det være Kina eller Russland eller Nord Korea. Eller er det bare en på gutterommet? Det må man jo etterforske. Det er da man finner ut av det, sant? Hvis man finner ut av hvem som står bak så kan det jo hende at man kommer til et sted hvor man kan si at her er det statlige aktører på etterforskningssiden. Det er pst, ikke sant? Så er det er et samarbeid da. Men å finne frem til det er det viktigste. Og når man etterforsker saker, så skal man etterforske grundig, sånn at når man kommer til slutt, så har man bevist utover enhver rimelig tvil. Så er det særlig hvis noen skal settes i fengsel. Og det er på mange måter noe annet enn å levere en etterretningsrapport eller gjøre en attribusjon. For der er det mer sannsynlighetsgrad. Meget sannsynlig, svært sannsynlig like sannsynlig som usannsynlig, usannsynlig. Men hvis det er meget sannsynlig, ja da har man et virkemiddel. Da kan man gjøre en attribusjon. Man kan sende en diplomatisk note, man kan gjøre et etterretningstiltak. Det er vanskelig å konkludere med hvem som står bak før man har etterforsket, og det å starte med konklusjonen. Det er jo ingen av oss som ønsker at det skal skje hvis vi blir mistenkt for å ha gjennomført noe kriminelt. Da ønsker vi at noen skal finne ut hva som akkurat har skjedd, eller absolutt har skjedd. I hvert fall siden vi ikke gjør noe galt. Og da finner de ut at det ikke var vi som gjorde det. Hvis man starter med mest sannsynlig. At det var antageligvis Frode og Olav som sto bak, typisk dem. Da har du litt forskjellen på hvor mye ressurser du må legge inn. Og det å etterforske noe som Hydro saken? Det tar fire pluss år, 15 ansatte. Mye læring, mye gøy, mye krevende, mye gøy, mye givende. Når du får , så er det kjempe motiverende å kunne gå full circle. Men det er noen perspektiver å ta inn. Hvis det er en sammenheng der, så kan man anta, man kan tenke på tidligere tilfeller og mene noe, med en viss grad og sannsynlighet, men det må etterforskes grundig for å vite. 

 

Frode: Vi skal snart avrunde, men jeg leste i avisa for en stund siden at dere hadde tatt ned en nettside. For vi snakker om nye måter man driver business på etter man fikk nettet. Dette var omsetting av narkotika. Kan du bruke bare et par minutter på å forklare oss, hva var dette, hvordan gjorde dere dette og hvorfor var dette viktig, både for Kripos og ikke minst for Norge? 

 

Olav: Ja det kan jeg si litt om. Da skal vi til det mørke nettet det. Det er jo et mørkt og farlig sted. Det er vel ikke det? Altså internett da det består av en synlig brukerdel som 10 pluss prosent, og det er det vi ser. Resten det er understøttelse av alt, som skal til for at dette her fungerer. Det kaller vi det mørke nettet. Altså det ikke de fleste ser og bruker det er det mørke nettet? Og nede i undergrunnen er det mulig å lage kommunikasjonssystemer som en torbrowser eksempelvis. Da blir det et slags undergrunns internett hvor man også har markedsplasser som Finn.no for narkotika. Det var en slik side vi tok ned. Der er det kjøp, salg og reklame, og score for god og dårlig service. Der legges det ut for salg, våpen, narkotika og alt mulig annet som er forbudt å kjøpe og selge. Derfor ligger det på det såkalte mørke nettet. Så var vel dette også i jula i fjor, hvis jeg husker rett. Vi hadde jo en del folk på jobb fordi det skjedde såpass mye annet. Også var det jo en del arbeid med kjente sårbarheter hvor vi jobbet litt med sårbarhets undersøkelser, også bestemte vi oss for å hjelpe vest politidistrikt i en sak som de hadde ved å gå inn mot en side ved å ta beslag? Vi tok et beslag, og gjennom dette beslaget, så sørget vi samtidig for at de som brukte denne nettsiden senere ble automatisk linket videre med en så stor hyppighet at det ble helt ubrukelig for dem, til en hilsen fra politiet om at dette nettstedet er nå tatt ned. Vi gjorde det mot dem som de kriminelle mot oss. Så vi slo tilbake, og det kostet egentlig ikke så veldig mye arbeid, men du vet, alt skal være på plass. Altså det rettslige grunnlaget skal være der. Altså, vi må gjøre det ordentlig og alt må være på stell. Det var det her, og det gir effekt. Vi vet jo omtrent hvor de kriminelle chatter og på hvilke fora de de snakker sammen. Det var mye aktivitet på de foraene etter at den nettsiden gikk ned. Dette er også et eksempel på avverging og forebygging. Altså det å varsle Nortura. Det er det er avverging. Det henger sammen med etterforskning og metodebruk og den skarpeste kunnskapen om våpen som vi har. Og dette er også en form for avverging og forebygging som det er lett å telle og peke på som result. Vi ønsker jo først og fremst å holde på med dette hjørnet av forebygging, altså den spisseste, den som treffer direkte, den som er målrettet og løpende. Også bidrar vi også i forebygging, altså passordregler, generelle tips og triks. Der tenker jeg, at da er det flere andre som kan oppdatere disse tips kartotekene. For det er kjempeviktig, og det er viktig å få bidratt det ut til folka, men vi må jobbe skarpere. For vi sitter på skarpere og mer tidsriktig informasjon, fordi vi driver med etterforskning. Da er det så enkelt som det, at fordi vi skal etterforske, fordi vi er politiet, så har vi hjemler, og vi har kompetanse og utstyr til å kunne utføre å bruke disse hjemlene, og da får vi tak i informasjon som ingen andre får tak i. Én, fordi vi har kompetanse og to, fordi de ikke har lov. Og det kan vi bruke mest mulig til målrettet forebygging som jeg da snakker om avverging. Altså avdekke og stanse kriminell virksomhet. Det er effektiv forebygging. 

 

Frode: Og dette skal vi snakke mer om i del 3. For da skal vi nemlig snakke om hva Kripos kan gjøre, hva ulike virksomheter kan gjøre, hvilke tips og triks det er som eksisterer for å gjøre det så vanskelig som mulig for de som ønsker deg i denne cyberverdenen vi bor i. Takk så langt Olav. Da er vi tilbake om noen få minutter. 

 

Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University. 

 

Leksjon 3 - ID:M0061c

Leksjon 3 - ID:M0061c

Leksjon 3 - ID:M0061c

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Frode Skaarnes: Hei og velkommen tilbake til denne tredje samtalen i masterclass om cyberkriminalitet med Olav. Vi har i den første samtalen snakket litt om de grunnleggende konseptene. I den andre samtalen har vi fått noen ordentlige gode eksempler, både på ting som gikk bra og på ting som ikke gikk så bra og hvordan man kan gripe an disse ulike fenomenene når vi får informasjon om det eller når det treffer oss. I denne delen, så skal vi snakke litt om noen tips og triks for å forberede oss på dette her på en god måte. En ting glemte jeg å spørre deg om i stad Olav, og det er at vi vet hva vi vet, men vi vet jo ikke hva vi ikke vet. Det gjelder også innenfor cyberfeltet og det jeg lurer på da, det er toppen av isberget. Hvordan ser dette ut i en cyberverden? Har vi god kontroll på mørketallene eller er det et litt sånn blurry bilde i cyber verden?

 

Olav Skard: Nei, jeg vil ikke si at vi har et godt kriminalitetsbilde på cyberkriminalitet. Så det betyr jo at vi har en del mørketall. For vår del så har vi ansatt flere etter det siste året, og vi jobber med en årsrapport som skal beskrive kriminalitetsbildet med et aktørfokus. Den satser på at kommer ut første kvartal neste år. Vi har sendt ut en del spørringer som en metode for å få ned mørketallene. For det er ganske enkelt at hvis politiet ikke selv oppdager at det foregår noe kriminelt, eller ingen forteller det til oss. Så vet vi ikke om det? Men det betyr jo ikke at ikke kriminaliteten finnes. Også når man begynner å sette ressurser i denne retningen, la oss si vi kan begynne med etterretning. Når man setter det etterretningsfokus på et område, så vokser jo altid problemet, fordi man fokuserer på det. Så finner vi mer og mer kriminalitet. På et eller annet tidspunkt så begynner det å gå opp for en at det som gjorde at det økte så raskt var vel egentlig at vi begynte å interessere oss for det, og at det gikk inn i vårt hode at det fantes. Så på et eller annet tidspunkt, så finner man jo en normal å måle det mot. Det er først da man kan si noe om denne trenden egentlig går opp eller ned, eller om den er stabil. Og at man får fram nyansene, men det krever mer tid, og det krever et bedre informasjonstilfang enn det vi har nå, men vi gjør ganske mye her nå. Vi er på nsr, vi er på nho, vi får stadig flere rapporter inn fra bedrifter, og vi får stadig mer rapportering. Så akkurat den grunn riggen for informasjon, den er i bedring. Det er fortsatt en utfordring å få politidistriktene til å rapportere godt nok inn i politiets etterretningssystem. For de er på mange måter sensorer. De er spredd over hele landet. Et problem med cyber og politiet, er at de ikke ser så veldig godt at det er cyberkrim borti der . Det er lettere å se det sånn at publikum rapporterer det inn, ting som hender i den fysiske verden. Det at vi i det hele tatt er interessert i noe som skjer i cyberspac er fordi at det får en konsekvens i den fysiske verden. Hvis ikke, så hadde det bare vært noe som foregikk inne i et datasystem. Så kunne du bare holde på i fred. 

 

Frode: Jeg tipper jo da, at mange virksomheter- hvis de blir rammet av dette her- kvier seg for oss å være åpen om det. Og er åpen i media som er den optimale åpenheten, men kanskje også dele det til politiet, anmelde det også videre. Vet vi om det er en positiv trend på dette eller, er det sånn at man opplever at dere ønsker å skjerme det for å unngå omdømmetap ute? Min opplevelse er egentlig at det styrker omdømmet mer enn det svekker omdømmet. Du har nevnt Hydro, men det gjelder jo mange andre også som har valgt en annen åpenhetsprofil rundt det. 

 

Olav: Ja vi ser flere trender her. Vi ser at selskapene vil samarbeide med politiet. De ønsker å samarbeide med politiet fordi at de kan gjøre noe med det, men her er det et men. Vi har ikke god nok kapasitet, men hvis vi nå sier at vi har det, vi har nå en bra kapasitet på å bekjempe denne kriminaliteten så vil de samarbeide med politiet. Fordi hvis de gir denne informasjonen til politiet, så får det en effekt i å bekjempe det. De kan etterforske, de kan forfølge og de kan hente ut forebyggende informasjon og hjelpe andre med det. Vi ser at de svært gjerne vil samarbeide med nettopp politiet, fordi vi har en myndighet til å gjøre noe med det. Hvis de først skal eksponere seg, altså hvis de kun skal eksponere seg som en konsekvens, at de har rapportert informasjon til datatilsynet eller til nsm eller til andre som samler informasjon for å beskrive et bilde, så er ser vi en trend. Det er på mange måter en risiko som ikke er verdt det. Så de vil gjerne samarbeide med politiet, men de synes at politiet har for dårlig kapasitet, det er en trend. Også ser vi at det er mange som ikke melder ifra. Vi ser at det er selskaper og mange selskaper verden over som aldri overlever et løsepengevirus angrep. Altså selskapet er ferdig, kommer aldri opp igjen og hører ikke noe mer fra dem, eller man hører ikke om det heller. Så har vi de som melder ifra og som merker at de får en omdømmeknekk fra de som ikke har blitt rammet. Litt sånn, du er blitt smittet og ikke, så da har du ikke passet på deg selv. Det er alltid noen sånne små elementer i det, men vi merker at de som velger å gå ut og gjøre det ordentlig. De taper ikke noe på det. De får et godt omdømme. De kan få omdømme akkurat i øyeblikket, men det at man vil være med og bidra med informasjon inn til å hjelpe andre, det gjør seg. Vi klarer å fange opp de som jobber for fellesskapet i tillegg til bare til seg selv. Og her kommer jo cluet. Hvis du melder informasjon til politiet også venter du 4 år med Hydro etterforskning også kanskje dukker du opp på andre siden. Det er ikke sånn det fungerer. Vi henter informasjon hver dag fra utenlandske politimyndigheter, hvor vi speiler inn tips vi har fått fra publikum og selskapet, og vi får svar tilbake med en gang. Noen ganger er det det siste puslespillet vi trenger for å få løst vår sak. Noen ganger er det den informasjonen vi sender ned. Det er det siste som skal til for å få løst den saken som de har holdt på med i flere år. Uansett så kan vi da speile ut informasjon som har avvergende betydning, både for det selskapet det gjelder. Hvis et selskap sender inn informasjon fordi de mener jeg har rammet på noe i Norge, så har det selskapet forgreninger i vært svært mange andre land. Så det kan være til direkte hjelp for selskapets internasjonale virksomhet eller konsernets virksomhet. Eller det er til hjelp for et naboselskap. Det er litt Budstikka, vardebrenningssak. At det kommer sikkert ikke til min landsby, så da sitter vi bare her og slapper av. Det er på mange måter viktig at det kollektive må fungere, hvis vi skal få løst de store samfunnsproblemene utover det at vi har sett det bort til de myndighetspersonene. De regulerer trafikken og de kriminelle og de styrer helsevesenet. Det er først til det kollektive trer sammen, at det virker som vi så under korona. Én, hvis hvis korona hadde kjørt som en strengt hemmelig operasjon hvor vi ikke kunne ha informasjon ut av folket, så tror jeg det blir vanskelig å få gjort noe med det, så det må være åpenhet. Også er det så tett samarbeid som mobiliserer hver enkelt person. Som skal starte med seg selv om morgenen og flere ganger om dagen og ikke gjøre noe annet enn det som er foreskrevet. Det at man klarte under korona å få folk flest til å lese kommunale forskrifter. Det viser litt hvor mye som skal til. Tenk hvor mange timer alle sammen brukte på denne koronagreia. Også begynner det å løsne, selv om det var flere områder som ikke ble håndtert så kom vi gjennom det. Det er litt den samme totale tankegangen man må ha for å håndtere denne type kriminalitet også. Koronapandemien, altså denne som cyberkrimpandemien den har vart lenge, og den pågår for full styrke. 

 

Frode: Hvis vi tar utgangspunkt i det før vi skal gå på hva folk kan gjøre. Du brukte ordet eksponensiell vekst i stad, som er en veldig sterk stigende kurve. Kan du si litt om hvordan teknologiutviklingen IT-internett hvordan dette på et vis påvirker ulike elementer av kriminalitetsbekjempelse før vi går på hvordan vi skal forebygge etterpå. Vi tenker dette gjennom 3 akser. Hvor den første aksen er kriminalitetsform.Vi får nye kriminalitetsformer som for eksempel edos angrep. Uten datamaskiner ikke noe angrep. Det er herunder hackerangrep og og andre eksempler skjer. Så har vi kriminalitetsmodus, altså hvordan kriminaliteten gjennomføres. Kriminaliteten gjennomføres med stadig større bruk av teknologi. Og kriminaliteten er ikke rettet mot teknologi som det er i kriminalitetsform, men det er en så vesentlig bestanddel i utøvelsen at ikke du klarer deg uten, for eksempel internettrelaterte overgrep mot barn. Hvor den som bestiller sitter i ett land og den som er kriminell utøver sitter i et annet land, den som står bak, og den som er offeret sitter i et tredjeland. Det hadde ikke vært mulig uten internett, men det vi snakker om der er voldtekt og annen type alvorlig kriminalitet som da gjøres tilgjengelig for folk gjennom internett. Og løsepengevirus er også et eksempel på det. Det er mange andre eksempler på det. I dette så er det også alle typer kriminalitet. For altså kriminelle bruker kriminaliteten sin til å planlegge og gjennomføre og rekruttere personell og skjule sin virksomhet. De bruker teknologi, og fordi at alt og alle etterlater digitale spor, så er vi på tredje aksen, og det er sporsted. Det er stadig vanskeligere å få tak i informasjonen fordi de kriminelle begynner å kryptere systemene sine og gjør det de kan for å gjemme seg bort, men samtidig så ser vi at de stoler på det. Dette er jo kryptert og sikkert, men plutselig så er vi gjennom også ser vi på baksiden, og der selfier og alt bevismateriale du kan ønske deg blir levert i form av skrytebilder. Og i klartekst på planlegging, gjennomføring og omsetting av oppdrag. Så det gir store muligheter for politiet at de kriminelle bruker så mye teknologi i utøvelsen av sin kriminelle virksomhet. Både på det som har et størst uttrykk i den fysiske verden, som for eksempel organisert kriminalitet, narkotika, trafficking, all type planlegging og gjennomføring, men også på type løsepengevirus, ceo, svindel, faktura svindel og andre ting. Det hadde det heller ikke vært mulig å gjøre uten internett og teknologi. Altså, du hadde ikke kommet på innsiden av en beslutnings og kommunikasjonskjede hvor du kunne endre på fakturaens kontonummer eller sende en troverdig kommunikasjon som gjorde at den som sitter på regnskap og skal gå mot denne tjenesteportalen endrer betalingsinformasjonen frivillig og sier tusen takk skal du ha, og sender over igen. Da hadde du ikke fått til den type svindel i den fysiske verden. Så det er de tre aksene hvor vi ser at det påvirkes. 

 

Frode: Så hvis vi ser hva vi kan gjøre i lys av det. Er det logisk å dele opp verktøykassen for eksempel i, hva kan du som enkeltperson eller virksomhet gjøre? Hva kan de ulike tjenestetilbyderne gjøre? Vi har hatt en sånn endring. Vi setter mye mer service ut i disse dager enn vi gjorde bare for en fem-ti år siden. Det vil si at vi overlater mye av verdiene våre til at noen andre skal passe på det. Så hvis vi da sier at techselskapene/ de som er leverandører. De har en rolle, også lurer jeg på hva er det, det offentlige kan gjøre i dette her? Politi, andre myndigheter også videre? Hvis vi kan starte med enkeltpersoner også jobbe oss oppover, er det en mulig løsning for å diskutere litt gjennom hvilke tiltak er hensiktsmessig på de ulike nivåene hos de ulike aktørene?

 

Olav: Ja, det synes jeg er en god idé. Det er jo enklere å bygge opp fra scratch, og ofte ser vi at situasjonen for et selskap som allerede har mange 1000 ansatte i flere land og mange typer IT- systemer skal begynne å fikse dette og gjøre sin del av det ved å ansette en sikkerhetsekspert eller to. Og da tenker jeg, at de kunne godt tenke seg å begynne med alt på nytt. Det er så mye lettere å bygge det opp på nytt. Slt begynner i det små. Det begynner med en idé, også er det noen som cacher på den ideen, også er man sikkert først en også to i en stund. Det er jo dyrt å ha folk ansatt for de som starter virksomheter. Jeg har aldri startet en virksomhet, men jeg synes jo det er artig å se hva Statoil startet med. De startet et punkt uten møbler og med en telefon som stod på gulvet? Det startet der også med Spotify og andre techselskaper. Hvis du og jeg skulle startet opp et sånt selskap nå, som et bilde på hvordan man kan tenke sikkerhet. Så vet vi at vi må passe på informasjonen vår. Det er informasjon som vi skaper fra dag en som vi kommer til å leve av, og det er det som skaper vårt konkurransefortrinn. Hvis ikke vi tar det på alvor, og hvis vi mister det underveis i en situasjon hvor ingen av oss får lønn, for vi bruker sparepenger fordi vi regner med å ikke få noe turnover fordi vi ikke har fått inntekt på en stund ennå, men vi gønner på og satser. Så har vi blitt enige om hvordan vi skal kommunisere. Hva slags mobiltelefon velger vi? Hva slags sikringssystemer velger vi? Også spør vi noen vi kjenner. Vi bygger opp så sikkert som mulig, også passer vi på dataene våre. Også hadde vi passet på at vi var godt informert så langt det går. Også hadde vi bedt andre om å hjelpe oss. Så hadde vi laget en grunnrigg for sikkerhet som gjorde at det ble en del av dna. At vi må tenke sikkerhet. Ikke fordi at man skal være en sånn sikkerhetsdude, men fordi det er hele fundamentet for at vi skal kunne overleve som selskap. Det er at vi har kontroll på vår informasjon, også overfor kriminelle og konkurrenter, og at ikke vi roter det bort, men at vi får det systematisert. Da tror jeg vi kunne ha bygget dette opp, så at det ble vel så bra gevinst på det funksjonelle som på det sikre, fordi at vi startet med det i bunn. 

 

Frode: Jeg tenker vi skal gjøre dette her etterpå i workshopen vår, der vi skal starte opp vårt lille firma? Før vi kommer dit, tenker jeg at hvis vi ser litt på omgivelsene rundt oss også, hva har vi jo spille på i et sånt leverandørperspektiv og i et myndighetsperspektiv? Også tenker jeg at da har vi på et vis verktøykassa som vi skal bruke til workshoppen etterpå. Hva tenker du er det viktigste i et leverandørperspektiv? Hva er tankesettet ditt når du skal gå ut og hente inn tjenester som andre leverer?

 

Olav: Jeg tenker at jeg helst ikke ville sette dem ut hvis ikke jeg må. Det blir litt som å si at vi har masse stash i huset som vi ikke har plass til og det er fullt på hytta. Ok, så leier vi fjernlager- som vi har ikke gjort enda- men det kan fort hende at vi gjør. Da tenker jeg, hva legger jeg i det fjernlageret da? Er det arvesølv? Nei, der legger jeg de tingene som er minst farlig. Så om det skulle gå tapt så gjør det ikke så mye. Kanskje hvis noen stjeler det så kan man til og med si at det er en fordel. For da slipper jeg rydde opp i det. Det er ingen som orker å hive her, så vi bare stasher bort dit. Hvis jeg hadde hatt passet, hadde jeg ikke flyttet det noe sted. Da ville jeg hatt koll på det selv, sånn at man kunne gå innom det og ha full kontroll på det, og man visste akkurat hvor det lå hen. Og at ingen har rørt det er jo åpenbart, for det blir ikke så ofte brukt. Så jeg ville ha tenkt på den måten da. Jeg skjønner at verden har blitt sånn at man må outsource dette med lagringstjenester i denne skyen. Nå skal ikke jeg lage noen sånne troll i hodet på folk om den der skyen, men det vil i hvert fall si at det ligger jo ikke noen sky. Den ligger lagret på noen andres harddisk et eller annet sted. Så den er ikke oppi der. Og hvor er den og hvem har kontroll på det innholdet og hvem har tilgang til den informasjon? Alt det går på å stole på noen. Du kan jo lage din egen sky, altså du kan ha kontroll på informasjonen din, også kan du selv bestemme hvor den informasjonen skal gå. Det sikreste er jo tape. Det er fortsatt det. Det er ikke like enkelt å bruke, men hvis du skal kjøre backupen så må du hive inn alt sammen. For det er klipp og lim. Den tapen er jo ikke like greit som annen type backup, men det er jo fortsatt det sikreste. Har du kontroll på det fra starten av så er du jo bedre rustet. Ellers så må du stole på noen, og da tar du risiko. Hvis man bare tenker, får vekk all den informasjonsadministrasjon, det orker jeg ikke tenke på det, jeg vil bare ha det tilgjengelig akkurat. Jeg vil ikke ha noe lagg eller noen ting, hvem fikser det? Når noe skjærer seg, så er du dårligere stilt. 

 

Frode: Så du tenker at mange vurderer at tilgjengelighets perspektivet er viktigere enn for eksempel konfidensialitetsperspektivet i liksom forvaltning eller utsetting av egen informasjon til andre aktører?

 

Olav: Ja, eller så tenkes det ikke på det. Vi har jo vokst opp gjennom begreper. Altså Microsoft og Apple. Altså, hva kjøper du? Vi kjøper Microsoft og da bruker man Microsoft og Microsoft sine systemer. Noen bruker det og tenker ikke noe særlig over hvor det blir av denne informasjonen. Da er det ikke sånn at man ikke skal stole på Microsoft og arbeidet de gjør for å sikre sine systemer. For de jobber jo masse med å sikre sine systemer, men det at man ikke tenker på det i det hele tatt før dette er kneler og bedriften din ikke virker, det er ikke bra. Forøvrig, bare sånn apropos. Vi snakket jo litt om hydro senere. De fikk ikke alt opp og gå igjen før de fikk nøkkelen av oss til å låse opp systemene. For den fant vi for ikke så mange måneder siden, også måtte vi utvikle et verktøy for å få brukt den nøkkelen Fordi som du skjønner, det er ikke en nøkkel, det er ikke så enkelt som det. Så fikk de låst opp den siste informasjonen sin som de ikke klarte å gjenskape. Og først da var det helt på plass. Så det går an å tenke just in case og ikke bare just in time på informasjon. Andre kan sikkert forklare meg det, hvis jeg har misforstått, men hvorfor skal det være vanskeligere å bruke systemet ditt hvis du har litt mer kontroll og kompetanse på det, og at folkene har satt seg litt mer inn i det, hvorfor det virker. Det kan hende at du har fått en spinoff at det virker bedre fordi at folk skal være i stand til å sikre seg at de kan bruke systemet ditt. Kanskje til og med blir litt mer effektivt. At man klarer å utvikle måten å lede, drifte og kommunisere på, og bruke verktøy fordi man er verktøyopptatt gjennom at man skal vite hva det er som er farlige veier inn og at alle styrer seg opp et knepp. For hvis man skal få mobilisert enkelte ansatte i selskapet, så er det litt som med covid. Det er først da du får resultater. 

 

Frode: Vi har snakket mye om teknologi nå, men det står jo mennesker bak alt dette her, og du sier jo, du kan jo kanskje få både flinkere og mer effektive folk, men kan du si litt om sårbarhetene som vi mennesker utgjør i et sosial manipuleringperspektiv, eller at man kanskje har en dårlig kultur for å ivareta sikkerhet. Hvordan har dere opplevd at dette henger sammen? Er det sånn at man har et godt system, så er det innenfor alle disse ulike områdene. Både sikkerhetskultur, teknisk sikkerhet og fysisk sikkerhet. Eller er det sånn at det er varierer innenfor disse ulike formene som man kan organisere sikkerhet i? 

 

Olav: Ja altså først vil jeg si at, du får ikke sikre deg under prosent og det største problemet er er folka. Det er folka om de uforvarende gjør et eller annet dumt, eller at de vil skade bedriften. Altså en innsidetrusselen er jo like like levende selv om det er lagret mye data nå mer enn før eller som tidligere. Innsidetrusselen er jo den største trusselen. En ansatt som har jobbet flere år i et selskap og plutselig går amok og begynner å skade bedriften, men vi har en del erfaring med konsekvenser av sosial manipulering, altså på grooming. Vi ser det når vi jobber mot internettrelaterte seksuelle overgrep mot barn. Hvordan de kriminelle manipulerer barn og hvor på de er med manipuleringen sin og hvor godt det virker, og hvor godt det virker å manipulere oss alle hvis vi er først og fremst sliter med økonomi. Hvis vi er i mental ubalanse, ikke helt i form, er gamle, skjønner mindre enn vi gjorde når vi var unge. Eller er unge og blir lettlurte. Så kan inngangen til oss være svært mange måter. Altså vi kan jo gjennomføre denne masterclassen og sitte akkurat hvor vi vil, det er en kjempefordel, men samtidig så er det jo sånn at denne tilgangen til informasjon som vi har hele tiden. Den kan jo brukes til å sende informasjon til noen som får noen i ubalanse og drar folk i en eller annen retning. At hvis du fyrer noen opp i en eller annen sammenheng ved å sende informasjon, en mail om et eller annet som er dårlige nyheter eller svært gode nyheter, også inne der så gjemmer du en eller annen teaser som gjør at du blir lurt trill rundt, også slipper du plutselig fremmede inn i systemene. Eller så tenker du ikke så mye på det. Det er jo fortsatt at man er høflig og slipper hverandre inn gjennom dørene selv om det er masse kodelås på alle dørene. Jeg er jo ute og holder foredrag og det er jo like moro hver gang.  Man vil ikke være uhøffelig med folk, man vil ikke avvise noen, vil ikke være direkte nok til å calle ut den manipuleringen som får som pågår. Jeg tror det er også en faktor. 

 

Frode: Jeg tror det oppsummerer det egentlig veldig godt. Jeg syntes det var litt dystert før du fikk en liten humor inn på slutten, det likte jeg godt. Så skal vi si takk for denne samtalen, også møtes vi om noen få minutter til en workshop hvor du skal være administrerende direktør, jeg er en av dine lovende undersåtter og vi skal bygge business sammen. Takk. 

 

Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University. 

Leksjon 4 - ID:M0061d

Leksjon 4 - ID:M0061d

Leksjon 4 - ID:M0061d

Velkommen til LØRN.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.

 

Frode Skaarnes: Hei og velkommen tilbake til den fjerde og siste samtalen i vårt mikrokurs innenfor cyberkriminalitet. Gjesten vår Olav og jeg skal i denne delen ha en liten workshop, og vi skal se på hvordan man kan starte en virksomhet fra scratch og gjøre de riktige grepene for å komme rett ut av hoppkanten. Litt som Olav sa i stad, når du starter å lage sikkerhetsstyringen når du har mange 100 aktører på plass og et veldig etablert forretningsmessig system, så blir det vanskeligere. Så vi starter tidlig, vi gjør ting riktig. Olav er direktør. Jeg er en av 3 andre undersåtter og produktene vi lager er digitale produkter som må lagres et eller annet sted? Vi har selvfølgelig ingen IT- avdeling. Vi er alle ganske opplagte og ganske kvikke på bruk av ulike teknologiske hjelpemidler. Og sånn sett, så er vi vår egen støtte i dette. Så da direktør Olav, hvor skal vi starte? 

 

Olav Skard: Jeg tenker jo at vi må bli enige om en ting først. At det viktigste i selskapet vårt fra dette startpunktet, det er vår kunnskap. Det er det vi kan og det er systematisert kunnskap anvendt i en eller annen forretningsretning. Det må vi ta vare på. Vi må passe på våre gode ideer, våre kreative innspill og hvis det blir åpnet tilgjengelig, hvis det misbrukes, så får vi ikke det til. Da går vi konkurs eller vi kommer oss aldri opp. Så vi må ta en prat om hva er det som kan true denne informasjonen vår, også tar vi det derfra. Så tenker jeg at vi alle må involveres i det. Jeg kan ikke si, Frode, du har jobbet i nsm, og er ikke du sånn sikkerhetsdude, kan ikke du fikse dette for oss? Flott sier du, også går jeg og reiser videre til noe annet. Da må vi stoppe. Det er litt som vi lærte fra gammelt av i forsvaret. Enhver soldat er først og fremst en geværmann? Sånn at det man må evne å passe på seg selv. Hvis du tar forsvaret. Forsvaret skal kunne påføre noe på motstanderen og kunne slå en motstander. Det vil de ikke være i stand til hvis de ikke evner til å passe på seg selv. Å passe på seg selv må man klare. Hvis man havner i en vanskelig situasjon som man egentlig har forventet for man har gjennomført en situasjonsanalyse. Dette kan inntreffe, dette er det verste som kan skje, dette er det mest sannsynlige. Så kan man ikke ta en pause og si at, vent litt, vi må få inn noen styrkebeskyttelse her nå kommer det noen truende mot oss. Så da må jeg si stopp, jeg tror vi må passe på oss selv. Vi må passe på selv, for vi har ikke begynt enda å påvirke motstandere. Sånn er det for politiet og de fleste politioppdrag foregår jo svært fredelig, men politiet må jo være i stand til å passe på seg selv før de kan være til hjelp for andre i en farlig situasjon og tilbake til bedriften. Vi må være i stand til å ta vare på vår informasjon og sikre oss selv for at vi kan gå aktiv. For så lenge du har god situasjonsbevissthet, og du kan beregne risiko, så er det ikke meningen at dette skal være passiviserende. Det skal være aktiviserende. Og du vet hvilke aktive skritt du kan gå, selv når du får deg en på trynet. Og det har noe med resiliens å gjøre. Jeg har falt av hesten for noen år siden og ødelagt kneet. Da ble det uttrykket, back on the horse en ny betydning for meg. Det var litt spennende første gangen hvor jeg visste at hvis jeg faller igjen så kommer det kneet til å bli så ødelagt at det ikke virker på en stund, men back on the horse. Det å være aktiv og proaktiv forventer at man får noen trøkker også på dette området. For det regner jeg med at alle har erfart som bygger opp noe fra scratch. Jeg har erfart med å bygge opp noe fra scratch i det offentlige. Bygger opp noe scratch i det private. Det er noe motstand du må håndtere, det er alltid noe motstand. Også må du håndtere det på en måte som gjør at du går aktiv. Da, vil du alltid ha en progresjon, men hvis man setter bort alle disse tingene  fordi det er litt sånn farlig, eller fordi det ikke er så sentralt, så funker det ikke. For det er det som er utfordringen i store selskapet. At, oi, vi har blitt rammet eller naboselskap er rammet. Vi må fokusere på sikkerhet dere. Her har vi fått tak i en sikkerhetsekspert over til deg. Det er vanskelig. Så vi må ha sikkerhet inn i dna’et vårt, og vi må være robuste i vårt lille selskap. Også kommer det noen beslutningspunkter etter hvert som de vokser, men jeg vil tenke at vi må vente lengst mulig før vi setter spesialister og egne folk for håndtere dette for fellesskapet. Vi skal sammen ta beslutninger etter hvert som du blir større. Hvor skal vi lagre dataene våre? Hvordan skal vi gjøre det? Og at dette er informerte valg hele tiden, og at vi tenker at vi må passe på informasjonen vår, fordi det er hele businesskonseptet vårt. Det er jo det i moderne selskaper. Det er jo den som har best kontroll på informasjonen sin og den som kan utnytte den best, som er vinneren. Så jeg vil jo si at det er spot on sentrum og kjernen i virksomheten det er å ha kontroll på, håndtere og sikre personvern. Det tror jeg man kan få bygget opp sånn at det kan bli en en trivelig, artig og morsom ting å holde på med, og vite at man er robuste. Og hvis noen rammer, så kan man får seg en på tygga, men da vet man i hvert fall mye mer om hvor langt man må gå tilbake for å finne ut hvor det glapp. Det ser vi ofte når noen havner i denne situasjonen. At det er panikk. Og det sier de selv også. Vi fikk panikk fordi de aner ikke hvor de skal begynne. 

 

Frode: Jeg kjenner det så godt igjen fra nsm, hvor sikkerhet ble på et vis for mange virksomheter, noe man drev med litt sånn på siden. Det var noe egne folk og noe eget opplegg, og ikke en del av den vanlige virksomhetsstyringen som var forankret i toppledelsen og som var en del av hverdagen. Noen ganger, så koster sikkerhet litt penger. Det er en sånn form for kost ved alle ting du gjør. Alle ting koster jo penger. Hvordan tenker du forankring av viktige beslutninger i virksomheter som dette, si at vi har et styre, hva ville du som administrerende direktør ment var deler av en virksomhet som du ville informert om hver gang du møtte styrelederen din? Bare for å få sanksjonert de viktige beslutningene? 

 

Olav: La oss si at, da har vi vokst litt. Da er vi litt flere også har vi et styre, også sitter jeg med i det styret. Så ville jeg sagt til styreformann at jeg orker ikke å være den som skal komme hit og rekke opp hånda hver gang og trekke dette sikkerhetskortet, det må du gjøre. Så må du gi meg oppdrag og sørge for at det blir sikkert. Også må jeg fortelle hva de andre i styret skal bidra med der, også må jeg få noen krav, også må dere sette dere inn i de forpliktelsene dere faktisk har i dette styret, fordi det ligger et ansvar her. Og at personlig informasjon er godt nok siktet og at vi tar dette worst case scenario også eier vi det alle sammen? For det jeg ser for meg at kan ha skjedd og skjer i dag i en rekke virksomheter som er ansatt Frode sikkerhetsekspert. Det er at sikkerhetsekspertene er ivrige. At nå har det tatt tak, altså nå begynner de med internopplæring, og nå har de fokuspunkter, og vi ser plakater ute, og nå fikk jeg en sånn fishing forsøk, og jeg unngikk dem, men det gjorde ikke du. Nå skal han på styremøtet en gang i uka. Det må jo holde med én gang i måneden. Så kommer du en gang i måneden med briefen din. Før du kommer inn så er verden egentlig relativt trygg. Det er andre viktige problemer man jobber med, også ser man på veggen også er du nede og sjekke litt VG og venter til å bli ferdig med den siste beskrivelsen av hva som er trusselen. Og når du går ut igjen, så er vi tilbake til businessen. Det vil man på mange måter unngå. At man ikke kan sette bort dette her, som at dette får HR ordne, eller dette får sikkerhet ordene, mens vi skal holde på med de andre tingene. Fordi det er ikke så veldig mange andre områder som helt effektivt slår det selskapet rett i bakken som dette problemet, som for eksempel datainnbrudd med løsepengevirus består i. Hvis man har sikret seg så godt som mulig, så har man gode muligheter til å finne denne unormale aktiviteten lenge før det blir så farlig at man blir gjenstand for en kryptering, men da må alle mobiliserer. Så må alle sørge for å ta det innover seg, også må det normaliseres. Når noe blir normalisert, så er dette noe man tar hensyn til, med tanke på sikkerhet som alt annet. Vi tar risiko. Jeg sykler til jobben. Det er jo ekstremsport hver dag. Det er jo alle muligheter til å slå seg skikkelig hver eneste dag. Hva gjør man da, man har på hjelm? Man har gode bremser på sykkelen og man har sånn signalfarget utstyr. Jeg gjør det, og det er litt hasle, men jeg gjør det fordi at det er blitt normalt. Tenker ikke noe mer over det. Dette gjelder jo også når det gjelder å sikre seg sine systemer i det digitale rom. 

 

Frode: Vi tenker på samarbeid som en sånn viktig mulighet, spesielt kanskje for små og mellomstore bedrifter. Hvis du ser litt sånn på finansnæringen, så var de tidlig ute med å si at vi konkurrerer på alt, bortsett fra sikkerhet, der samarbeider vi. Ser du for deg at man kan finne noen som er prinsipp like og har en form for klynge eller nettverk med for å drive forretningsutvikling, inkludert virksomhetsstyring og sikkerhet som et fenomen av det og samarbeide med rundt dette her. Du sa i stad at det var opplyst eller informerte beslutninger. At du tar beslutninger på et godt grunnlag. Jo mindre du er, jo større er kanskje sannsynligheten at du har litt huller i bakgrunnen eller huller i informasjonsgrunnlaget. Det er det noe som dere har sett, og som du i så fall tenker kan være en god vei inn å bygge kompetanse og gode beslutninger. 

 

Olav: Vi får jo spørsmål om det noen ganger som er hva kan vi gjøre? Altså alle de tingene vi allerede har nevnt også bygge opp en en kompetanse. Bruk penger og ressurser på det, for det koster ressurser. Ja, men det kan det og det selskapet gjøre fordi de har hundrevis av tusenvis ansatte og penger, så det er ikke noe problem, men tilbake til den der vesle bedriften vår som startet med to, og nå kanskje ti stykker. Det er jo enklere å kjøre internopplæring med 10 stykker. Vi ser jo at mellom 80 og 90% av all tilgang som de kriminelle får, det går gjennom småfeil som enkeltpersoner gjør. Så hvis man unngår å gjøre de småfeilene så fjerner man en stor del av risikoen og gjør at det må være mer kompetente forsøk på å forsøke å komme seg inn. Også finansbransjen etablerte for noen år siden nordisk finans. De har et veldig godt og tett samarbeid fordi de deler alt. Altså DNB har et godt sikkerhetsmiljø. De deler måten å tenke på sin arkitektur og hvordan de jobber med andre, fordi de tenker at da blir det flere festinger, flere forsvarsstudier og færre muligheter til å komme inn. Da tenker de nettverk i måten å tenke på, også tenker de finansnæringen, at jo færre folk du har ansatt jo mer penger tjener du. Og jo mer effektivt det er, jo mer system bruker du. Jeg tror det at sikkerhetsfokus, selv om man ikke er en oppstart som vi startet med, med at man holdt på over tid. Sikkerhetsfolk får svært god oversikt over alle systemer som skal sikres. Jeg tror man kan hente masse tips fra dem til å fortelle hvordan man kan drifte mer effektivt. Trenger vi alle disse systemene? Kan vi klare å gå på færre? Må vi opprettholde den prosessen som alene krever et eget system som er vanskelig å sikre, eller kan vi gjøre det mer effektivt? Må vi ha dette komplekse gående? Det blir nødvendigvis ikke stilt spørsmålstegn til av rene effektiviseringshensyn, men det kan være en inngang til at man faktisk gjør det mer effektivt drevet og at det kan være initiert at man ønsker å redusere sårbarheter. Den sårbarhet mot cyberkriminalitet kan også være en søkbarhet mot effektivitet. 

 

Frode: Mange systemer, som du sier, har litt større angrepsflate og det representerer jo det på en måte. Jeg tenker også at mange underleverandører representerer det samme, og vi er jo litt prisgitt av hverandres evne til å tenke sikkerhet. Hvor vanlig er det i de sakene som dere har sett at man har blitt angrepet som en konsekvens av noen du stolte på som egentlig var en leverandør til deg og som infiserte deg gjennom den vanlige kommunikasjonen eller vanlige relasjonen som man har? 

 

Olav: Det er jo flere eksempler på at kriminelle har skaffet seg tilgang til systemer i mange bedrifter gjennom den tjenesteleverandøren som leverer digitale tjenester. Det må det jo være. Det er jo systemer med oppdateringer av sikkerheten i systemene, og hvis hvis det stedet som oppdateringen hentes fra er interessert, da spres skadevaren raskt til mange. Det er jo en sårbarhet i en leveransekjede. For hvis man skal effektivisere, om det da er IT-tjenester så setter man bort alt av IT eksternt, fordi det er en god idé for å få ned kostnader og for å få mer effektiv drift stordriftsfordeler om du vil. Så rammer man jo mange flere når det går galt. Man ser den samme tendensen sånn som i jordbruk eksempelvis. Jeg er vokst opp på Hadeland. Der man før hadde egne traktorer, skurtreskere og lover og sånn. Nå er det 4-5 bønder som slår seg sammen for å i det hele tatt kunne tjene penger på det, så bygger de en låve. Og hvis den låven brenner ned, og alle dyrene er der, så er det klart at det er mer driftseffektivt, men det er også mye mer sårbart. Hva får man gjort med det? Jeg ser alltid en løsning, men det slutter vi med. Vi går tilbake til den gamle modellen. Det er ikke nødvendigvis altid løsningen, men man har tenkt gjennom hva den negative konsekvensen av den effektiviseringen er, det tror jeg kan være lurt. Det går an å se for seg disse scenariene og øve på det. Og det går an å forestille seg en situasjon, og det koster ikke mye å lage en sånn øvelse. Hvor da systemet er gjennom interessert og alt er nede. Eller at det virkelig hakker og du har en mistanke om at det er noe gærent. Så skal du begynne med å sende mail og klage til noen og da finne ut hvem det er du sender til. Hvem er det som er leverandøren bak? For det er jo mye som ligger bak hele tiden i informasjonsbehandlingen, og vi ser jo det. Vi lager databehandleravtaler gdpr-regelverk og vi kjøper verktøy til bruk av etterforskninger. Så vi lager databehandleravtaler, og da går noe av avtalen på å avgrense hvor mange som skal få lov å behandle den informasjonen som går gjennom cyberspace når vi bruker et verktøy. Den samme type undersøkelser bør jo selskapet gjøre. Hva er det som ligger bak denne tjenesten? Hvem er det som er aktørene som ligger bak? Også får man en oversikt på det området som jeg tror man gjerne gjør forretningsmessig på andre områder når man skal analysere en konkurrent eller et marked og hva muligheten er. 

 

Frode: Hvis du skulle komme med et siste råd til oppstartsselskaper, er det noe du vil trekke fram av alt vi har snakket om, eller noe vi ikke har snakket om før vi runder av samtalen vår?

 

Olav: Det er kanskje det enkleste målet, men samtidig det vanskeligste å følge. Det er å bli litt mer venn med teknologien. Prøv å skjønne litt mer hvordan det virker, ikke bare bli sint. Hvis du blir veldig fort sint når et eller annet ikke virker foran deg, så er sjansen ganske stor for at det er hos deg problemet sitter. Du skjønner ikke hvordan du skal brukes. Du skal sette av litt mer tid til å bli venn med teknologien. Hva skal vi sammenligne det med da? Altså det er ikke så veldig mange år siden det var nødvendig for alle som hadde en bil å kunne litt om hvordan denne bilen fungerte. Hvis den skulle stoppe langs veien, så var det hverken penger eller servicenettverk til å få den opp og gå igjen. Det var enklere å skru på. Så man må være avhengig av å kunne være litt selvhjulpen. Det betydde ikke, at man skulle være mekaniker eller spesialist, og kunne vite nok om hvordan det fungerte til å sørge for at man visste hvordan det lå an med det. Det er her det begynner å bli kjempevrient i det man pakker ut et eller annet man har kjøpt fra reklamebrosjyre, stikker inn ladekabelen får det ladet og du får en vakker åpningsskjerm. Ting begynner å henge litt, så går man rett over frustrasjons modus. Det er nødvendig. Og de som styrer Norge nå er ved en alder og en teknologi forståelsesnivå som gjør at det er en sårbarhet i seg. Så lytt til de unge, spør hvordan de opererer, også må sånne som du og jeg finne oss i å bruke littegranne tid på å skjønne hva vi går med mellom hendene hele dagen, hvordan det faktisk virker. 

 

Frode: Et godt råd, uten tvil. Tusen takk for at du ville være på denne masterklassen, Olav, og det har vært både lærerikt og veldig morsomt å være med deg i  2 timer. Med det så sier jeg takk rektor. Du gjorde en fabelaktig jobb. 

 

Olav: Takk det samme Frode. Dette var en hyggelig start på dagen. 

Frode: Takk

 

Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University. 

 

You must log in to pass this quiz.

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et

Allerede Medlem? Logg inn her

Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et 14 dagers gratis prøvemedlemskap

Allerede Medlem? Logg inn her

Vi bruker Cookies for å forbedre brukeropplevelsen av sidene. Les mer om personvern & cookies her