2000+ lyttinger
Del denne Masterclass
Dette lærer du om i denne Masterclass
Bibliotek
Om LØRN
© 2024 LØRN AS
Hei og velkommen til LØRN. 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På LØRN.Tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen til denne LØRN Masterclassen om sikkerhet. Mitt navn er Frode Skaarnes og gjesten min i dag det er Roar Thon som er fagdirektør i Nasjonal sikkerhetsmyndighet. Velkommen Roar!
Roar Thon: Takk skal du ha Frode.
Frode: Før vi setter i gang, så skal jeg ta si litt om selve mikrokurset som vi nå skal lage og tanken er at vi skal ha et fire-delt kurs på 2 timer. Første, kall det forelesningen, utgjør en introduksjon til tema. Andre forelesningen, der skal snakke litt om ulike eksempler som kan sette litt bilder på det vi har snakket om. Og den tredje delen, der skal vi snakke om, ja, kall det standarder, måter å gjøre det på. Og i dag så er det da grunnprinsippene til NSM som skal få lov til å være hovedfokus i del tre. Og så til slutt, så skal du få lov til å hjelpe oss i LØRN med å være SISO, og forklarer oss litt hvordan du ville grepet an livet for å få oss på den trygge siden av gjerdet. Vi har valgt å kalle dette mikrokurset for NSMs grunnprinsipper for sikkerhet. Så skal vi legger det på et nivå som gjør at det passer for absolutt alle. Man må ikke være teknisk, men man må være litt interessert i å gjøre noe med den situasjonen man står i. Så vil dette være et viktig tiltak for absolutt alle. Vi skal ha det som en prat, en uformell samtale. Vi, ja hva skal man si for noe, vi starter egentlig der. Og jeg vet ikke, høres dette greit ut, Roar?
Roar: Det høres helt greit ut det.
Frode: Da må vi starte med oktober, fordi før du sier litt mer om deg sjøl, så skal du fortelle litt om hvordan hverdagen din ser ut. Og sånn som jeg har forstått det, så raste du igjennom sikkerhetsmåneden oktober med over 40 foredrag for ulike organisasjoner og virksomheter. Kan du si litt om hva som får noen til å ville gjøre det? Og hvem var disse folka? Og ikke minst hva, hva var liksom opplevelsen før og etter de ulike foredragene du hadde?
Roar: Ja. Hva er det som får meg til å gjøre det? For det første sa har det jo blitt sånn at etter snart 20 år i NSM så har det blitt til at jeg gjør veldig mye sånn. Så i snitt så har jeg vel 150 foredrag i året, hatt de siste årene. Men i oktober så er det nasjonal sikkerhetsmåned og da girer man liksom enda et hakk ned, også besøker man enda flere den måneden. Så litt sånn tallmessig sett da så fikk jeg 48 foredrag i oktober, så det er nesten sånn 1/3 av det man leverer totalt sett i året. Man gjør jo litt annet enn bare å prate og, men da er jeg i realiteten høyt og lavt sammen med veldig mange andre også, som tilbyr foredrag innenfor sikkerhet. Og det er det som gjør det litt sånn, holdt jeg på å si, enda mer spennende da fordi akkurat da snakker du kanskje til litt andre grupper enn det du snakker til normalt. Så det er alt i fra toppledere, konsernledelse til pensjonister. Og spennet der er veldig vidt, og det er samtidig utfordrende i form av hvordan kommunisere man sikkerhet til såpass ulike grupperinger. For begge grupperingene har absolutt behov for å bli sikre, altså sikrere. Så det ligger veldig mye interessant, som er en del av det som blir motivasjonen til å gjøre dette her. For det er jo moro, synes i hvert fall jeg da. Treffer masse mennesker som er genuint interessert eller hvert fall nesten liksom blir det etterhvert som man prater. Alle forstår etter hvert behovet for dette her og det er veldig mange spørrende. Hva skal man gjøre nå? Og kanskje en av de største endringene, nå når jeg har holdt på med dette en stund, er at vi har gått i fra et fokus hvor vi nærmest har måttet slåss og overbevise folk om at sikkerhet er viktig. Det har de aller fleste nå etterhvert forstått, hvert fall sånn litt grunnleggende. Og nå er de litt mer spørrende; hva gjør vi nå? Hva gjør jeg nå for å sikre verdiene mine? Så jeg må jo si, utenfor oktober og sikkerhetsmåneden, så opplever jeg at jeg blir tatt, får direkte kontakt med ledere som tar kontakt og rett og slett er bekymret. De sover litt dårlig om natten, rett og slett, for det har gått opp for dem hvilket ja, hvilke utfordringer man står ovenfor da, når det kommer til blant annet digital sikkerhet.
Frode: Veldig, veldig spennende. Hvordan er fordelingen for deg på foredrag? Er det digitale foredrag, eller er det fysiske foredrag som preger det som står på ønskelista til ulike virksomheter?
Roar: Du, veldig mange ønsker jo å fysisk, men 48 foredrag i løpet av realiteten en måned det sier jo sitt at det krever hvert fall veldig mye logistikk hvis man skal være land og strand rundt. Så jeg må nok si at jeg har vært litt restriktiv etter pandemien med å si at jeg snakker gjerne til dere i Bergen, men de 30 minuttene kan jeg gjøre digitalt, og så kan jeg samtidig da få andre leveranser den dagen. Så jeg har vel, ja fordelingen er vel en sånn røfflig 30 % digitale foredrag og resten fysisk i ulike da av sammenhenger, konferanser eller direkte foredrag bare med meg.
Frode: Det er veldig, veldig spennende. Hvis vi går litt tilbake i tida da. Sikkerhet i hvert fall digitalsikkerhet eller cybersikkerhet, det var jo ikke sånn, det prega ikke livet til vanlig folk. Det gjorde jeg imidlertid Commodore 64 og litt sånn dårlig oppløsning på spill. Så hvis du kan ta oss med på en reise da fra vi satt på gutterommet sånn midten til slutten av 80-tallet og gamet med de, hva som man si, ramme faktorene som var da og fram til hvordan det det ser ut nå. Hva er liksom de store linjene, og hva er som åpenbart veldig, veldig annerledes nå enn da vi var unger Roar?
Roar: For det første når du nevner gaming, så så jeg faktisk her om dagen en fantastisk dokumentarserie. For det er noen episoder som ligger på Netflix som retter og slett handler om utviklingen av dataspill. Om man nettopp starter med konsollene som sådan, med alt ifra Pong til Pac-Man og så videre, og tar det helt frem til da hvor også PCen blir en sånn drivende greie på at man kan spille dataspill av det, og det er mere spillverden. Men når man satt der, så var jo ikke akkurat risikoen veldig høy, men samtidig så var man jo enn i en setting, hvert fall kan jeg huske det, jeg var nok mer pc-personen sånn også spillemessig, hvor ting ble distribuert via disketter og fokuset var jo allerede sånn gradvis på. Kunne det være virus på disketten som tuklet og slettet et eller annet? Men med disse virusene hadde du jo til syvende og sist den, i forhold til i dag, en litt sånn uskyldig tilnærming da. For den var laget ofte av noen som rett og slett bare sjekka ut hva som var mulig å få til, som kunne ha ganske katastrofale konsekvenser for at dataene dine forsvant og så videre. Men allikevel ikke i en sånn ekstrem kommersiell setting da. Men så utviklet jo det er seg og den store driveren rundt dette her, den kom jo med introduksjonen at internett også blir allment tilgjengelig, rett og slett. At du og jeg plutselig kunne koble på linja vår og begynne og kommunisere med den store, vide verden. Og det var det som er for meg den store gamechangeren, at hvis man tenkere i et sånn sikkerhetsmessig perspektiv og ikke bare digital sikkerhet, så måtte man før i tiden for å tukle med alt i fra tekniske installasjoner som et vannverk eller rett og slett komme hjem i stua di i en eller annen form for å vite hva du holdt på med der, så måtte man være fysisk til stede før i tiden. Man måtte ha så rett og slett mennesker på bakken som tok seg inn i vannmerke og tuklet med det, eller at man da via andre metoder greide å følge litt med ekstra med hva som skjedde hjemme i stua di. Nå har vi i realiteten sørget for at teknologien gjør det fullt mulig å gjøre det fra en annen kontorstol i Brasil, av igjen krefter som nødvendigvis ikke vil oss vel. Og akkurat den har vi ikke, vi har enda ikke fullt og helt tatt innover oss at det er situasjonen opplever jeg dessverre enda. Jeg opplever å møte ledere og andre som snakker litt om denne problematikken, som at de nærmest er for skåna fra dette fordi at de holder til på en annen base i langt ute på norskekysten et eller annet sted og har bare 20 ansatte og ingen tenker på dem som sådan, så de trenger ikke å fokusere på dette her. Og da har de liksom ikke tenkt over at det spiller ingen rolle. Du er en del av et globalt nettverk og der ligger det mange utfordringer. Og den siste delen av det da, før vi går videre, er jo det at veldig mye av det som skjer er jo tilfeldig. Det handler ikke om hvem du er og hva du driver med osv., så lenge det viser seg å være teknologisk mulig den dagen og at du har havnet på enda en eller annen automatisert liste, så hvor man allerede hadde oversikt over hvilke sårbarheter du hadde også utnytter man det. Og da er man ikke så veldig opptatt av om du nettopp holder til på kysten eller om du er i Bergen eller i Oslo, eller hva det måtte være, men man utnytter det for alt det er verdt og ser hva man kan få ut av det. Men vi har så lett for å tenke på at alt som skjer er liksom målretta, så vi devaluere vår egen betydning ved å si at jammen, jeg driver bare i denne bransjen, og vi er bare så små og vi har ikke så mye penger på konto. Det er ikke egentlig det handler om bestandig fordi de som forsøker seg de forsøker seg bare, uansett hvem du er.
Frode: Da kan du ende opp med at du får tildelt noe ransomware som du litt sånn blindt åpner og vips så har noen Cryptolocker noe som er viktig for deg. Jeg tenker før vi går videre så er det viktig å få på plass noen av disse begrepene. Du nevnte virus, det har eksistert, det et begrep som må ha eksistert i mange år, og ransomware, det er litt nyere. Men hvis du velger ut noen nå, begreper du tenker er viktig for folk å forstå, for å få liksom mappa opp hvordan ser dette denne verden ut. Kan du dra oss igjennom noen sånne, og hvor vil du starte?
Roar: Nei, altså, hvis vi starter med virus da, som kanskje er det mest allmenne begrepet på at folk forstår at her er det et eller annet veldig galt, så er det så mange ord og begreper rundt det; malware, skadevare, ondsinnet kode. Og så kan man, trojanske hester, altså det er så mange sånne kategorier i det da og der har vi kanskje en tendens å være litt fagidioter tenker jeg. Fordi hvis du da nettopp blir rammet av et eller annet sånt noe, så er det kanskje ikke det mest vesentlig for deg som virksomhetseier og greie å ha den riktige definisjonen på hva det er som ramma deg, men mer det at du faktisk står oppe i et betydelig problem. Men til syvende og sist, alle disse begrepene handler jo om, hvert fall når vi da snakker virus, skadevare, ondsinnet kode, så er det en teknologisk kode som utnytter altså ulike muligheter i datasystemer til å komme seg inn, få kontroll, få oversikt og også kunne gjøre endringer som da medfører nettopp at du får et eller annet form for problem. Om det er å stjele informasjon, hente ut informasjon også, eller som du da sier Cryptolocker, altså alt av informasjonen din krypteres. Vi har koden ingen andre har den, hvor mye vil du betale for å få koden? Så det er jo den ene delen av dette. Og så er det jo et annet begrep som ofte går igjen er jo såkalte nulldagssårbarheter, de utnytter man i realiteten igjen fortsatt ved å gjøre og lage koder som nettopp utnytter at her er det et hull med definisjonen på det hullet, den sårbarheten, er at den ikke er allment kjent slik at det eksisterer i realiteten ikke noen sikkerhetstiltak som stenger ned og lukker det hullet, og det gjør at muligheten for at dette kan utnyttes i veldig stor grad er til stede da. Så det dukker opp sånne sårbarheter nesten hele tiden. Det siste er vel egentlig crypto, altså cryptovirus er vel egentlig da igjen det mer allmenne begrepet, som da eksisterer i veldig mange forskjellige varianter. Men nettopp det at man er i stand til, via ulike metoder, å komme inn i et datasystem og så begynne å kryptere dataene. Og det greier man etterhvert ganske vel å gjøre veldig, veldig fort med betydelige konsekvenser, hvor i realiteten ingenting av det du har digitalt er du i stand til å bruke lenger. Og det er katastrofalt i verste fall for veldig mange virksomheter. Og så har du metodene for å levere dette her da, levere disse virusene, skadevarene og vi ofte da snakker om phishing og den type ting, som rett og slett handler om sosial manipulasjon, bare at den skjer over digitale verktøy for å lure oss til å nettopp gjøre et eller annet, åpne et eller annet som nettopp starter dette digitale forsøket på å utnytte disse sårbarhetene da. Ja, altså jeg vet ikke om det er en enkel måte å forklare det på jeg men?
Frode: Jo, det er veldig bra. Men når vi snakker om sosial manipulering, så må jo ikke den være digital. Den kan jo skje sånn ansiktet til ansikt også. Kan du si litt om hvordan du tenker at det de digitale truslene, de fysiske truslene, de kall det innside truslene, hvordan disse henger sammen og hvordan en trussel aktør eller en eller annet form for angriper som ikke vil deg vel ser dette i sammenheng?
Roar: Ja, så igjen da så er det jo litt sånn der den teknologiske utviklingen har gjort det mulig å gjøre mye av den tradisjonelle med metodikken som du og jeg kjenner godt ifra etterretnings verden osv. som er ansikt til ansikt møtet mellom mennesker, hvor en profesjonell etterretningsoffiser som kan ekstremt mye om mennesker, hvis man virkelig kan jobben sin, vet å trykke på akkurat de riktige knappene for at du og jeg skal bli gode venner, for å si det sånn. Etablere en kontakt, en tillit, et felles interesseområde. Så har den digitale muligheten da gjort at dette kan også nå brukes digitalt, slik at man kan pleie vennskap og felles interesser over tid før man i realiteten ber noen om å gjøre noe. Fordi, igjen da, vi bruker et begrep dette inside, insidern, den er så mangeartet og jeg er ikke bestandig like komfortabel om å bruke det begrepet, for jeg synes den den spenner seg veldig vidt. Fordi når en innsider er blitt en trussel, så er det noe veldig konkret. Da har du en person innenfor din virksomhet som forsettlig ønsker å gjøre skade. Og så har vi et annet ytterpunkt hvor vi snakker om uaktsomme innsidere, altså i realiteten deg og meg som bare åpner et vedlegg som vi ideelt sett da ikke burde ha åpna, men som vi kanskje ikke engang har forutsetning for å forstå at vi ikke skulle oppnå. Så ytterpunktene på denne innsider greina den er veldig, veldig bred. For jeg skiller veldig på hva som da kan si er den uaktsomme delen, altså mennesker uten kompetanse som ikke nødvendigvis følger like godt med osv. hvor feilmarginen kan være veldig høy, den er helt annerledes enn de som da forsettlig begynner å tenke på å gjøre ting til sin egen fordel, eller da gjøre det for noen andre. Og den siste kategorien er det jo desidert vanskeligst å gjøre noe med da, fordi det skjer jo veldig ofte i det skjulte og blir ikke synlig før man virkelig står der med problemene. Men igjen, dette er ting man må forholde seg til og jeg tror nok at som samfunn i Norge så har vi nok en veldig sånn naiv tilnærming til dette med blant annet insider problematikken. At vi blir liksom like overraska over at det viser seg at det faktiske foregår industrispionasje, etterretningsvirksomhet og at man faktisk har hatt folk på innsiden som har hatt. Ja, det har kanskje blitt klarere det siste året tenker jeg på en del av de tingene som faktisk skjer.
Frode: Ja, både mellom stater og i kall det kommersielle virksomheter så dukker det jo opp eksempler at til og med gode venner spionerer jo på hverandre.
Roar: Jaja det er klart. Hvis jeg kan få lov til å nevne en ting da, fordi når du og jeg spiller inn dette her nå, så har vi jo startet desember og vi NSM vi har da en julekalender, en podkast julekalender som heter julegradert, hvor jeg er en av de som snakker i den. Litt av innholdet i den julekalenderen er at vi har gått realiteten hundre år tilbake i tid og ser litt på hva julegavetipsene der, blant annet. Men det vi også gjorde var å se litt på hva dukker opp i avisene rundt 20 tallet, 30-tallet i Norge når det gjelder sikkerhet, etterretning, den type ting. Og da dukker det opp rett og slett debatter og diskusjoner om at den norske straffeloven ikke var god nok til å dekke industrispionasje, forretningshemmeligheter som man da kaller det. Og så dukker det opp bare noen dager etterpå opp en konkret sak hvor to mennesker har truffet på en arbeider på en margarinfabrikk i osloområdet og ønsker å betale om ganske så mye penger for å avsløre noe av forretningshemmeligheter rundt denne norske margarinfabrikken ved bokstavelig talt smøring. Hvor han etter råd fra sin kone ikke går med på dette her, men avtaler et møte og møter opp da sammen med politiet som kommer å pågripe disse to norske konkurrentene, ser det tydeligvis ut til å være da. Så at dette ikke skjedde før i tida heller, skal vi da, må vi altså ikke glemme. Dette er noe som kontinuerlig har vært der hele tiden og som har blitt enda mer igjen aktualisert gjennom digitalisering og den teknologiske muligheten for å bedrive den type aktivitet da.
Frode: Så det er sant? Det står alltid en kvinne bak de gode beslutningene?
Roar: Ja, helt klart, uten tvil. Altså men selv da margarin fabrikken ble utsatt for industrispionasje, da kan man tenke seg.
Frode: Det er egentlig ikke overraskende. Alt som genererer penger er det nyttig å vite mye om. Vi har snakket om litt hverdagslig ting fra det vi har i stekepanna og litt tilbake til 80-tallet. Noe som også kom med dette internettet vårt er jo denne Dark webben, dette mørke nettet. Kan du bare si litte granne om det og et sånt fenomen som man hører mer og mer om som har liksom fått navnet Crime As A Service. Og hva betyr det liksom for kompetansen man trenger for å gjennomføre til dels ganske komplisert operasjoner eller aksjoner eller ting da, mot folk og virksomheter.
Roar: Den enkleste måten å holdt jeg på å si, forklarer det på hvis jeg skal starte på Crime As A Service så er det at det fins utrolig mye smarte mennesker der ute som nettopp kan koding, kan en rekke forskjellige ting, som tilbyr sine tjenester, sine produkter og man vil, koder, programmer, hva det måtte være, ut til mennesker som da igjen kan bruke det til å begå kriminalitet. Så du kan godt si at man kan ta en litt sånn etisk tilnærming til å si at jeg har bare lagd programmet, jeg har ikke brukt det mot noen, det får andre litt mere kyniske mennesker velge hva de vil bruke dette her til. Og så legger man den type tjenester ut til salg og strømlinjeformer det ganske så profesjonelt. Og det, for å starte i den enden så er det kanskje ikke det lureste å tilby sånn på internett i seg selv ganske åpenlyst. Det vil man sannsynligvis få en del utfordringer med å gjøre, og derfor så har jo da dette begrepet Dark web vært en veldig sånn markedsplass for blant annet den type tjenester. Nå er ikke Dark web …, noen tenker på det som et sånt eget internett som bare noen få har tilgang på. Det er til syvende og sist bare ikke-søkbare sider på nettet, altså som du får ikke opp noe på Google for å si det på den måten er ett av kravene for å liksom være der er at du bruker krypterte løsninger, VPN løsninger og så videre for å dukke ned i denne litt mer sånn u-indeksert store nettet. Og det handler om selvsagt å skaffe seg tilganger, få de rette kontaktene og ikke minst da hvordan man da også i det skjulte skal kunne både kjøpe og betale for ulike tjenester. Så jeg synes The Dark web er en litt sånn todelt sak da, fordi det fins alltid mennesker der ute som har behov for å beskytte seg og sitt på en forståelig måte. Og mange av de tjenestene dette baserer seg på er jo laget av den årsak, alt i fra politiske motstandere til et regime i et land som ønsker å kommunisere kryptert og beskytte sin identitet og så videre, og kan formidle informasjon. Så for meg er liksom The Dark web litt sånn typiske eksempel på at du kan ha teknologi som kan brukes til veldig mye positive ting, og så kan du samtidig misbruke det. Men det kan du også med en hammer, en øks og en kniv på kjøkkenbordet ditt ikke sant. Det er litt sånn allmenngyldig egentlig da.
Frode: Så det egentlig verdinøytral teknologi, men det er menneskenes intensjoner bak som er utfordringen.
Roar: Ja.
Frode: Før vi avrunder denne første delen, du er jo åpenbart et menneske som sprer kunnskap om sikkerhet. Det er jo det vi gjør nå også. Kan du si litt om mulighetene folk og virksomheter har til å, på en litt enkel og en litt sånn, altså alle kan ikke ta en master i cybersikkerhet, men alle har behov for å forstå. Så hvordan, har du noen sånne råd til hvordan virksomheter og folk kan skaffe seg denne kunnskapen uten at de må bruke flere år og masse penger?
Roar: Da detter vi jo egentlig fort ned på det vi egentlig skulle snakke litt om og det er kanskje en fin overgang, og det er til syvende og sist grunnprinsippene som blant annet kommer fra oss, eller ikke fra oss, våre grunnprinsipper fra NSM som er et resultat av at vi, altså vi har drevet rådgivning innenfor IKT-sikkerhet siden 90-tallet, sånn siden datamaskinene kom, og som organisasjon sa vi da har gitt råd til spesielle miljøer som Forsvaret, andre som da har hatt behov for å beskytte sin informasjon fordi den er i vår verden det vi kaller sikkerhetsgradert informasjon, altså hemmeligheter rett og slett, som vi ikke ønsker at andre skal få tak i. Også ser vi da over tiden ikke sant at ting utvikler seg, alle har behov for et land her, og vi sitter med betydelig kompetanse og hvordan skal vi da liksom får ut den kompetansen til at enda flere kan bruke den? Og det er liksom litt av bakgrunns historikken til grunnprinsippene hvor det er en del sånn lavt hengende frukter. Og den fortelle folk litt hvor skal du egentlig starte da, i hvilken ende starter du på det her? Kjøper du bare et vilkårlig produkt, eller lager du deg en plan og en oversikt og så videre, så grunnprinsippet for ikke IKT-sikkerhet når vi snakker om digital sikkerhet er et veldig fornuftig sted å se. Og så vil jeg også samtidig slå et slag for et nettsted som heter, nå står det helt stille for meg, Nettvett. Veldig bra at du minte meg på den. Som er et samlingssted hvor man hvert fall på et personlig plan kan få en god del gode råd og tips til hvordan man selv kan sikre seg og sine verdier i sånn mer personlige perspektiv så det er et godt sted å starte. Så, men igjen, helt grunnleggende vi er nødt å ta innover oss utfordringer her, utviklingen. Jeg pleier å bruke et eksempel sånn rent statistisk eksempel i mine foredrag på å liksom forstå at ting har endra seg til en viss grad, men det er på mange måter mer metodene som endrer seg. Fordi, i 1999 så ble det begått 73 ran mot norske postfly, banker og verditransporter. Ni år etterpå, i 2008 så er det tallet nede i fire og da er det interessante spørsmålet da, okay det er nesten et foredrag i seg selv å snakke om hvorfor det skjedde, men forsvant de kriminelle? Ga de opp liksom? Gikk de hjem? Liksom begynte med noe annet? Nei, de gjorde ikke det det – de ble bare digitale. Og det å bli digital har også gjort at de kan altså gjøre dette her i et betydelig høyere tempo enn det å gå inn i banken med en hagle og en finlandshette over hue. Det skalerer på en helt annen måte og alle bli eksponert for det, og det er vi nødt til å ta inn over oss altså.
Frode: Det var en dramatisk avslutning på første del av samtalen vår. Så jeg må bare si tusen takk for den første praten og så er vi tilbake om et lite øyeblikk.
Takk for at du lærte med LØRN. Husk at du må registrere deg på LORN.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Hei og velkommen til LØRN. 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På LØRN.Tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen tilbake til andre forelesning i vår LØRN Masterclass med Roar Thon. I den første delen så snakket vi litt om grunnleggende, hva skal man si for noe, forhold knyttet til sikkerhet, litt om ulike fenomener og litt om hvilke mulighetsrom som ligger for eksempel i dette mørke nettet. Det vi skal gjøre nå, nå skal vi snakke om noen eksempler. I første del så var det veldig sånn tydelig på to ting. Det at du blir truffet, det er ikke nødvendigvis fordi at noen av målrettet har gått mot deg som person eller virksomhet, men mere du er et offer for omstendighetene, du er et tilfeldig offer som gjør at det er vanskelig å vite at det er akkurat deg de skal treffe. Kan du fortelle litt om hvordan materialiserer dette seg sånn i praksis? Hva er det liksom som skjer rundt disse eksemplene som du har tatt med deg inn i samtalene?
Roar Thon: Hvis vi starter på det mere sånn tilfeldighetsperspektivet da, så har jeg en sak som vi dropper å snakke om navn på bedrifter og den type ting, men mere sånn anonymisert som sådan, men vit at dette, det jeg snakker om nå, det har skjedd og det har skjedd mot mange. Og det er sånn typisk eksempel på hvordan de kan gå fram. Og hvorvidt dette selskap som ble utsatt for dette, at de som forsøker seg visste at de hadde en teknologi sårbarhet som gjorde det mulig for kjeltringene å ta seg inn på epostserveren til det norske selskapet, det vet jeg ikke helt. For det kan skje at man har greid å skanne og finne ut av at de har en dårlig versjon som har noen sårbarheter, sånn at de ligger allerede på en automatisert liste, for å si det sånn, over mange som man da forsøker seg mot. Eller om det igjen bare er enda mer tilfeldig at de er bare en av 4000 vilkårlig som har fått en epost som setter i gang den digitale prosessen når du og jeg åpner en lenke for å se på et eller annet dokument og så videre.
Frode: Kan vi dvele litt med det første som du sa, en automatisert liste. Hvor finner man automatiserte lister?
Roar: Ja de kan både kjøpes og de kan lages selv. Det vil altså si at kjeltringene de driver og skanner nettet, port scanning. Altså internett består av mange porter som kommunikasjons porter, som de aller fleste av oss har på datamaskiner og på servere og så videre. Og de aller fleste av dem, ideelt sett, skal være stengt og hver fall dedikert kun for en viss type trafikk. Så du kan godt sammenligne med at du har en person som går rundt og rister på alle hagegjerder, porter og dører, og ser om det er noen åpninger og muligheter her. Eller biter seg merke i at akkurat den døra der, der er det ikke noe merke om at det er alarm og så videre, det kan gjøre det enklere enn hos naboen; den type ting. Og dette automatisere mann og så leter man etter alt i fra, man får alltid litt ut av informasjon. Hvilken versjon av Windows kjører du, Linux kjører du? Ikke sant, den type ting. Og så kan man oppdage da, nå forenkler jeg veldig, så kan man oppdage da at okay vi har nå lagde oss en liste over de som har denne versjonen, den vet vi har en sårbarhet. Det kan se ut som de kjører den versjonen av noe annet i tillegg, som gjør at vi kan utnytte dette her sånn. Så man lager seg den type lister og så er det nærmest tilfeldighetene igjen hvor mange du få på den lista og hvilket ark de tar fram den dagen for å prøve seg for å se på den måten. De har jo noen begrensninger de også i ressursene sine på hvem de skal gå løs på, så det er ikke sånn at de nødvendigvis reker over alle for å si det på den måten. Men når man da kommer seg inn og får kontroll på den måten at man er i stand til å lese e-postene som kommer inn til bedriften, så sitter kjeltringene da og leser e-post og fanger da opp at dette selskapet de blir fakturert fra en utenlandsk fabrikk, til en viss grad til ganske store summer. For det viste seg at den komponenten de kjøpte fra den fabrikken var en sånn hovedkomponent de trengte for å lage sitt produkt. Så vi snakker om en del store summer her. Det kjeltringene gjør er at de gjør, er da i stand til, uten at de blir oppdaga og endre på fakturaen som er sendt fra det utenlandske selskapet til det norske. Så de sitter imellom, endrer de på kontonummer som fakturaen skal innbetales til, til en annen utenlands kom. Og så, for dette har de i dag vært i stand til kontrollere, så slipper de den eposten videre fra seg imellom til at den når fram til den som da skal motta den i bedriften. Økonomiavdelingen eller innkjøpssjefen eller hva det måtte være. Og denne leveransen er jo ikke fake, den er jo basert på en reell leveranse som de har mottatt og som de bruker i sin produksjon. Så det er jo få grunner til å tro at det er noe galt her, men de har allikevel i de norske bedriftene rutiner for å forstå at dette kontonummeret her er jo annerledes enn det vi har betalt inn til før. Så hva gjør de da med det? Jo, de sender en e-post tilbake til det utenlandske selskapet for å spørre om «Har dere bytta kontonummer?». Og den e-posten kom jo aldri fram til det utenlandske selskapet, for den blir fanga opp av de som sitter i mellom, kjeltringene, som da rett og slett bare svarer på vegne av det utenlandske selskapet «Ja, vi har bytta kontonummer». Og så i god tro så betaler man fakturaen og det gjør man faktisk i en tremånedersperiode og oppdager ikke at dette her er flere fakturaer. Oppdager ikke at dette her er feil før det utenlandske selskapet ringer og sier at «vet du hva? Det er ikke noe vits i å bestille noe mer fra oss, for det betaler ikke regningene deres». Da først begynner man å se nærmere på hva som har skjedd her. Og så har man altså igjen, man skylder for det første noen penger som aldri har fått pengene sine. Og så har man da mistet betydelig summer selv, som man har betalt ut direkte til kjeltringene. Dette er bare en av så utrolig mange ulike scenarier og måten å gjøre dette på. Og jeg syns også at dette er et godt eksempel på at det er ikke alltid at løsningen her hadde vært en mere teknologi, bedre teknologi. Ja, ideelt sett skulle man da sikret da kanskje epostserveren sin på en bedre måte, det hadde forhindret dette her, men samtidig så handler dette litt om å sette opp også gode kontrollrutiner og andre rutiner for disse tingene når de skjer da. Altså kanskje da ikke bare ha sendt en epost med spørsmål «har dere byttet kontonummer», men faktisk tatt opp telefonen og ringt til de man har, for man har jo de kontaktene og muligheten til å ringe og så si «Har dere bytta kontonummer?» og ville kanskje ha fått et helt annet svar da hvis de hadde gjort det. Så det handler ikke bare om teknologi, det handler om mennesker og det handler om prosesser. Så det det er for meg det litt sånn det, dette er toppen av isfjellet. Bare en av mange metoder dette kan gjøres på og som vi selvsagt ikke ønsker skal skje, men den ligger hos meg mere sånn tilfeldighetsperspektivet da.
Frode: Men i dette tilfelle så er det jo en sånn integritet sak. Dette er jo nesten de mest fascinerende tingene man ble utsatt for. Det at noen sitter imellom og endrer på innhold i enten e-poster eller i prosessene som du beskriver. Hvis man ser på andre ting da, som også virker tilfeldige. Dette som går på Ransomware og så videre. Er mekanismene de samme? Eller er det andre ting også som, du snakka om disse automatiserte listene, passord bruker jo å være en form for utfordrende del av dette bildet. Er det andre ting liksom vi kan peke på i dette tilfeldighets bildet?
Roar: Ja, altså noen ganger så handler det jo rett og slett bare det om at noen faktisk bare er i stand til å logge seg inn, fordi man har fått tak i et passord som nettopp gjør det er mulig og så har man ikke tatt i bruk andre sikkerhetsmessig tiltak da som hadde hindret at det var så enkelt. Så det er så mange flere måter å komme inn til det på da, men igjen, det handler om …
Frode: Du sier du sier bare logget på. Hvor finner man dette passordet ditt da?
Roar: Ja, altså vi har jo en tendens til, fordi passord er vanskelig for oss mennesker, sånn i det store og hele hvert fall. Det har det blitt det ut i form av digitaliseringen fordi når du snakka om Commodore i første runde med meg nå, så var det i en tid hvor du og jeg kanskje ikke nesten engang hadde behov for passord, men etter hvert så fikk vi et visst behov for det. Og så hadde vi behov for kanskje ett eller to på noe vi brukte og det var det var forholdsvis enkelt for oss, for selv du og jeg var i satt å huske ett eller to passord i hue vårt. Så over tid så har jo dette vokst i en enorm mengde da, på ting vi i realiteten må forholde oss til. Og så har vi opprettholdt noen av disse rådene som har gjort det veldig vanskelig for oss mennesker, når vi i realiteten sier at man nærmest tror at folk skal være i stand til å huske 40 til 50 unike passord som skal være lange og komplekse osv. og det er ikke mennesker mulig, hevder jeg. Og da tar man veldig fort snarveier og da bruker man ett eller to passord på alt man har og når det eksponeres for så mange tjenester der ute, så er det rent statistisk sett at noen av de tjenestene du og jeg bruker, om det er et nettsted vi måtte opprette en konto for å kjøpe nye skøyter til jul eller et eller annet sånt, for å få dette i netthandelsdelen, så er kanskje ikke det nettstedet vi handla på gode nok på sikkerheten sin så de mister masse informasjon og de mister passorddatabasen de også sitter på. Og i verste fall så er ikke den krypterte og beskyttet en gang, så den ligger der i klartekst, for de har hatt et veldig dårlig forhold til sikkerheten sin, og da kommer de brukernavn og passordene ut i store mengder og da aggregerer man dette her og legger det ut. Igjen kanskje i starten så tilbyr man dette til salg på det mørke nettet, at du kan nå få kjøpe tilgang på om 50 000, 100 000 mennesker, helt nye ferske passord som de ikke kanskje har rukket å bytte engang og det er ikke engang sikkert at virksomheten vet at de har mistet passordet til alle kundene sine, så kunden vet det heller ikke. Og over tid så forsvinner også disse passordene over i større mere allment tilgjengelige databaser som hvem som helst i realiteten kan laste ned. Og da kan du og jeg i verste fall begynne å søke på navn. Finner jeg Frode Skaarnes der? Og finner du Roar Thon der? Og det gjør du helt klart. Hvert fall med meg sjøl, det vet jeg, for jeg har fått kompromittert flere av mine passord tilhørende tjenester. For eksempel, la meg ta et konkret eksempel, Linkedin ble hacket i 2012. Mitt passord var endel av det som da kommer ut i friluft, som jeg kaller det. Sov jeg godt om natten av den grunn? Ja, fordi punkt en; det passordet var unikt, så det eksponerer ikke noen andre tjenester. Og to, jeg fikk varsel såpass tidlig at jeg var inne og byttet det passord i tillegg så det passord som ligger der er i realiteten totalt ubrukelig. Men når man ikke har den kunnskapen og når man ikke liksom vet at det er der ute og man har brukt det samme passordet på 40 andre tjenester, da åpner muligheten seg for at noen rett og slett bare kan ta brukernavn og passordet ditt og så logge seg. Og så kommer det andre ting i tillegg da, som vi kanskje kommer tilbake til med multi-faktor autentisering, som ikke gjør det like enkelt å bare bruke passord for å logge seg inn. Men det er der sånne ting som gjør at disse ulike tiltakene blir så viktig å ha på plass.
Frode: Er det noe annet innenfor disse mer tilfeldige angrepene, som du er et tilfeldig offer for, som du tenker vi bør berøre før vi går videre på en litt mere målretta virksomhet mot oss?
Roar: Nei, jeg tror vel egentlig at vi har beskrevet hvert fall metodikken. Og så tro jeg igjen, som jeg aldri gir meg på, at det er rett og slett bare viktig å forstå hvor ofte det tilfeldighetsperspektivet slår inn, sånn at man ikke igjen minimaliserer sin egen betydning og tror at man slipper unna dette her fordi at man ikke er viktig nok, store nok eller driver med noe som liksom er interessant nok for at man målretta blir forsøkt angrepet av. For du er nødt til å ta å starte med tilfeldighetsperspektivet på dette her.
Frode: Okey, da går vi videre til de som bevisst har valgt oss som det neste offeret. Hva preger dette bildet?
Roar: Ja, og da skal vi gjøre noe som jeg mener igjen er ganske interessant og viktig å forstå. Og det er at de som da jobber målretta mot oss, trussel aktørene, de driver også sin aktivitet ut fra rene forretningsmessige prinsipper og det vil si at de vil også velge den korteste mulige, enkleste, billigste veien inn. Så hvis de også kan logge seg inn, så er det det beste for dem også. Altså det sparer dem for veldig mye arbeid, for å si det sånn. Så igjen metoden for å beskytte seg her, den må være ganske lik og ganske grunnleggende for å stå imot. For det er ikke sånn at de alltid kommer opp med de mest avanserte metodene for å liksom bryte seg inn. De vil lete etter den enkleste veien inn; står døra oppe, okay så går jeg inn døra. Jeg forsøker ikke å lirke opp vindu ditt på baderommet for å komme inn når du likevel har latt døra stå oppe. Så det er et viktig, viktig prinsipp å huske på da. Men når det kommer til målrettede, målrettede ting, så ser vi nok veldig ofte at det ligger til en viss grad en betydelig mere innhenting av informasjon på forhånd. Og, man har skreddersydd enkelte ting på en helt annen måte. Det vil også si at man har tydeligvis gått gjennom alt av åpen informasjon på nettet som virksomheten selv har lagt ut om seg selv, som andre har lagt ut om bedriften, sosiale profiler til ansatte som er tilgjengelige der ute. Ofte så starter de med et betydelig informasjonsinnhentingsgrunnlag for å finne sin metode for å for å lykkes med ting da. Og eksempelet jeg har valgt meg ut er fascinerende nok ganske mange år tilbake i tid, men jeg syns det er så beskrivende og det er en nesten en personlig erfaring. Og grunnen til at jeg sier det er en personlig erfaring er at jeg endte opp med å få en samtale med personen som ble utsatt for dette her. Gründer i næringslivet startet opp sin egen teknologibedrift og utviklet et produkt som absolutt var så til de grader interessant i markedet. Vedkommende forteller om dette her i ettertid, og han blir, jeg må understreke at dette er en veldig spesiell metode å gjøre ting på. Vi har nok sett noe av det seinere, men igjen det er så mange muligheter her nå at det er ikke bare dette vi må se etter for å si det sånn da, men eksempelet står seg. Vedkommende blir kontaktet av alle ting via Facebook av en person som han ikke visste hvem var, men som angir at de har samme interesse. Og jeg har brukt jeg har anonymisert den saken, så når jeg har snakket om den tidligere, så har jeg sagt at okay deres interesse var sportsbilen Audi R5, en litt spesiell bil på denne tiden. Fordi profilen til denne personen var gjennomsyret av interessen, altså en brennende interesse for akkurat den bilen. Det var ikke det i realiteten, det var noe annet, men det var veldig, veldig synlig. Vedkommende som tar kontakt digitalt har den samme interessen, har mye informasjon, mye kunnskap og de etablerer realitetene. Et slags sånn venneforhold via Facebook og de begynner å utveksle informasjon med hverandre med tips og lenker og så videre til denne Audien, med videoer og den type ting. Og dette pågår faktisk over to måneders tid hvor de da liksom gjør dette her. De snakker om å lage en egen gruppe på Facebook og for å samle folk med det samme interessen og så videre. Og i ettertid, når man da analyserer og ser den dialogen, så har personen, altså denne gründeren, næringslivslederen, han har vært utsatt for en betydelig profesjonell informasjons innhenter som underveis i denne dialogen også skaffet seg ganske mye annen informasjon. De har snakket om trivielle ting, ting som skjer på jobben, sånne ting som det. Og så får personen en epost, og den får han på jobbeposten sin fra denne vennen som da sier at du «vet hva, jeg har en fantastisk video her som du bare må se». Og problemet med videoen det er at den funker ikke, så han får rett og slett ikke spilt den av og da har jo vennen selvsagt dette «null problem det», for han har en spesiell avspiller som han må installere for å få spilt av denne videoen. Og den kommer da hjem som en lenke på e-post. Og hvordan har dette selskapet satt opp sikkerhet sin? Jo, eieren, gründeren, teknologen i seg selv, han har alle rettigheter han, på dette systemet helt naturlig, sånn ut ifra liksom hvor de er som selskap, så han har da også rettigheten til å installere den lille programvare snutten, denne avspilleren som når det ble installert på systemet, faktisk da spiller av videoen som er akkurat hva den sier å være. Problemet er jo da, som alle kanskje skjønner nå, at i den programvaresnutten der, denne avspilleren, så ligger det også helt andre ting som gjør at man seinere da oppdager at her har vi blitt tappet for alt av i realiteten immaterielle verdier, altså forskningen vår, utviklingen vår osv. Det ble aldri veldig klart om dette ble brukt mot dem i markedet i forhold til produktutvikling og så videre, men de var helt klart utsatt for at de var tappet for all informasjon som blant annet igjen, vedkommende hadde jo tilgang på alt igjen. Så litt av mottoet der da, var at selv om han da var eier og den sentrale personen så skulle han kanskje ikke hatt like mange rettigheter allikevel hvis man egentlig ikke hadde behov for det. Men dette er et dette er et litt sånn utypisk eksempel på, og det det går litt tilbake til det du og jeg snakket om innledningsvis om at dette kunne like gjerne ha skjedd ved at du og jeg traff hverandre på en bar og vi begynner å snakke om disse tingene og så utvikler vi vennskapet vårt derfra, men følger noe sånne veldig sånne klare linjer fra det mere sånn humant siden av menneskelige etterretnings delen, bare at man har gjort dette digitalt før man da virkelig slår til. Og det var tilfeldigheter som gjorde at man også oppdaget at man faktisk hadde vært utsatt for dette, fordi konsekvensene ble ikke veldig synlig bortsett fra at man hadde mista passord informasjon, skjønte man etterhvert da.
Frode: Ja, dette er jo klassisk sosial manipulering. Og hva skal man si? Det har blitt enklere og enklere å kartlegge oss mennesker. Vi er bedre og bedre på å by på alt som gjør at vi ha jo komplette liv når du har vært innom én, to tre sosiale medier vi bruker regelmessig. Og jeg tror ikke alle egentlig forstår hvor verdifull informasjon man får ut av det i et manipuleringsperspektiv da, både eller spesielt innenfor kriminelle strukturer. Så det er veldig spennende.
Roar: Og jeg vet ikke hvor langt vi skal gå i dette her, men altså hvis man tar den klassiske sånn honning-fellen da, som jo til syvende og sist handler om potensielt tilbud som seksuelle tjenester sånn ideelt sett. Eller å få noen til å inngå et forhold med deg med helt andre hensikter, så er vi jo er jo i den settingen at med vår nye virkelighet, med den informasjonen vi ligger ute med, de aller fleste av oss, så vil det ikke lenger bare være i stand til å anta at jeg liker kvinner ikke sant, men man ville faktisk kunne analysere seg frem til nesten hva slags kvinnetype jeg tydeligvis er interessert i. Så man ytterligere bare skreddersyr det tilbudet, hvis jeg skulle utsettes for det, på en på en måte som gjør at jeg har enda mindre sjans til å stå imot når eventuelt situasjonen bø seg. Altså jeg tror ikke alle tenker sånn, men det er en ganske sånn, det er en kynisk verden der ute for å si det sånn. Så få noen verktøy i henda som gjør det enda enklere å utnytte oss som mennesker i ulike sammenhenger da.
Frode: Altså vi har snakka litt om internett generelt, vi har snakka litt om vanlige virksomheter, men kan du si litt om, fordi informasjon er ulikt tilgjengelig. Det er ulikt beskytta i forhold til, du brukte et begrep i stad; sikkerhetsgradert informasjon, altså det som er hemmeligheter. Kan du si litt om hvordan mekanikken er hos de som skal tilegne seg informasjon, jo vanskeligere tilgjengelig den er sånn for å hacke? Hvordan kan du ellers gjøre det der?
Roar: Da er vi jo tilbake til å bruke mennesker da, rett og slett. Da er vi på innsideproblematikken igjen. Fordi vi har fire nivåer i Norge på våre nasjonale hemmeligheter da, for å si det sånn. Og vi startet med begrenset, som er det laveste konfidensialitet, hemmelig og strengt hemmelig. Og du og jeg vet at når vi kommer høyere, høyere opp i den skalaen, så er sikkerhetstiltakene tøffere og tøffere og vi snakker tilsyn og siste med informasjon som ikke engang er tilgjengelig digitalt via internett, altså den er ikke bare noe du kan nå frem til da. Hvis man da er virkelig ute etter å få tak i den informasjonen, så må man kanskje se seg om etter andre metoder. Og det er blant annet igjen, kanskje den enkleste, altså forstå hva enkelt er men altså det å få mennesker som allerede har tilgang til å skaffe deg den informasjonen via andre kanaler. Men det kan også være nå så abstrakt som å si at okay, hvis vi nå har fått en forståelse for den informasjonen vi er ute etter, den er ikke kobla på internett, den befinner seg på noen datamaskiner som befinner seg inne i et rom som er uten vinduer og som er godt sikra osv. og vi har vi har sannsynligvis bare noen 20 personer i virksomheten, kanskje færre enn det også, som har tilgang til rommet og som får lov til å jobbe der på daglig basis. Finnes det allikevel muligheter for å nå fram dit uten egentlig å ha noen som jobber for deg på innsida? Ja, det gjør det kanskje. Og igjen, kanskje har man blitt flinkere til å stå imot disse tingene nå, men en sånn klassisk greie på det var jo da minnepinner. Altså rett og slett forsøke å infisere de som da man potensielt regner med visste var der. Infisere hjemme-pc’en din med et elle annet ganske avanserte greier som bare ligger der og venter på at du skal stikke en minnepinne inn eller en CD du lager deg, et eller annet. Holdt på å si diskett i enda eldre dager. Og så er det sånn å være tålmodig og se om den, tar du med deg den minnepinnen inn i det rommet Frode og setter den inn i en datamaskin som da du aldri skulle ha gjort dette her, men du gjør det allikevel. Får vi så infisert det systemet? Får vi så sørge for at informasjonen som ligger i det systemet føres tilbake igjen til minnepinnen din, sånn at når du tar med deg den hjem fra jobben den dagen og igjen setteren inn i din PC, så har vi faktisk greid å skaffe informasjonen. Altså, man har satt opp noen sånne, man kaller det airgaps, men de eksisterer ikke nødvendigvis 100 % allikevel, for man er avhengig av at du og jeg som mennesker blant annet følger nitidige regler rundt dette her da. Så igjen, det er kreativiteten som til en viss grad, altså virkeligheten stanser oss alltid, men kreativiteten skal vi aldri undervurdere da.
Frode: Da skal vi avrunde denne, eller eksempel delen, før vi går inn på grunnprinsippene som fenomen. Og det er jo da vi skal få lov til å lære litt mer om hvordan vi kan unngå alt det fæle du har fortalt om så langt. Så inntil da, så er vi tilbake om 2 minutter.
Takk for at du lærte med LØRN. Husk at du må registrere deg på LORN.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Hei og velkommen til LØRN. 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På LØRN.Tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen tilbake til denne tredje samtalen i denne LØRN Masterclassen om grunnprinsipper med Roar Thon fra Nasjonal sikkerhetsmyndighet. Vi har snakket litt om de grunnleggende konseptene i den første samtalen. Vi har fått noen gode eksempler både på, hva skal man si for noe, ting som treffer deg litt tilfeldig og ting som treffer deg veldig målrettet. Og nå skal vi gå igjennom, kall det verktøykassen, se hva kan vi gjøre for å forberede oss på dette. Og i Nasjonal sikkerhetsmyndighet så har dere noe som dere har kalt for grunnprinsipper. Hva er det og hvorfor har dere laget disse?
Roar Thon: Ja, som vi sa helt innledningsvis, vi har jo drevet med råd og veiledning rundt sikkerhet i mange, mange år og så ser vi jo at behovet for dette øker. Og i slutten av 2017 tror jeg det var jeg, så kom vi med den første utgaven av NSMs grunnprinsipper for IKT-sikkerhet. Hvordan måler man suksess i en offentlig etat? Den fikk i hvert fall veldig mye oppmerksomhet og vi så at veldig mange brukte den. Og så har dette blitt etterfulgt av tre andre grunnprinsipper, som er grunnprinsippet for sikkerhets styring, grunnprinsipper for fysisk sikkerhet og grunnprinsippet for personellsikkerhet. De fire til sammen utgjør på mange måter en sånn litt mer sånn helhetlig tilnærming til sikkerhetsarbeidet da. Så det er til syvende og sist et sett med anbefalinger om hvordan virksomheter kan sikre sine verdier på en fornuftig måte. Og så er det alltid sånn at hvilke anbefalinger som er relevante, det vil variere litt fra virksomheter til virksomhet og hvem de er. Altså vi pleier å si at det er forskjell på om du heter Kongsberg Defense og Euro Space og er i forsvars bransjen og våpenindustrien, eller om du heter Floriner blomster og selge blomster i butikken din på hjørnet liksom. Begge har behov for sikkerhet, men allikevel forskjellene er enorme på hva de må beskytte. Så for de aller fleste virksomheter, hvert fall for store virksomheter, så vil de aller fleste av tiltakene her være ganske relevant å se på. Og så for mindre virksomheter, så må de kanskje da liksom igjen forstå hvilket landskap de er i og se på at det er ikke alt her som er like relevant for oss. Men det som er med grunnprinsippene er at vi beskriver hva en virksomhet bør gjøre for å sikre seg. Vi beskriver også hvorfor, men ikke hvordan. Altså fordi veien til hvordan er så igjen forskjellig. Det eksisterer så veldig mange forskjellig ting, og ikke minst i den digitale sfæren så blir dette her veldig liksom aktuelt. Og det er også en endring. Og jeg vet ikke kanskje hvor interessant det er å høre om, men vi har jo fått en ny sikkerhetslov som kom inn i 2019 som utvidet myndighetsområde i sikkerhetsloven i ganske stor grad. Men hvor man også i større grad begynte å snakke om sikkerhet i et mer sånn videre perspektiv, og hvor man ikke nødvendigvis fulgte opp med så veldig mange detaljerte krav. For du er mere sånn at veien dit er viktigere at dere finner ut hva som fungerer for dere, enn at vi skal si. Jeg pleier å bruke eksempler på dette hvor tallene nå er helt irrelevante. Altså hvis safen din veier 500 kilo og så trenger du ikke bolten fast i veggen, men hvis han veier 499 så må den i tillegg boltet fast. Ikke sant det var sånne veldig detaljerte, konkrete ting som gjør at man kanskje får en tendens når man driver med sikkerhet, til å se på skjema sitt og så krysser man bare av på at man har gjort alle de tingene og så føler man seg trygg og sikker. Så tar man ikke høyde for alt det kreative som trusselaktørene holder på med, som er langt ute av for det regnearket ditt. Så her er det liksom mer lagt opp til at man kan være mere fleksibel. Hvilket tiltak er det som passer deg ute fra hvilke situasjonen du er i? Ja.
Frode: Så det er en risikobasert tilnærming som på én måte blir enklere å skalere ut ifra hvordan verden endres da? Hvis jeg leser det er riktig da.
Roar: Ja helt klart. Så sånn sett, kommer det en ny teknologiske greie eller en ny situasjon som gjør at akkurat det og det produktet eller osv. har en eller annen stor svakhet i seg, så trenger man ikke nødvendigvis endre loven eller reglene fordi de tar høyde for både den utviklingen. Så liksom hoved-rådene står, men du må kanskje tenke litt annerledes på hvordan er det du nå skal få sikkerheten din etter at akkurat denne nye brikka kom på plass da?
Frode: Men jeg kan tenke meg at veldig mange liker jo å ha en liste. Bare sånn click in the box og det er jo, hva skal man si for noe, det er lett å vite om man har gjort det eller ikke gjort det, så har man liksom et konkret krav å forholde seg til. Så du kan liksom ikke blitt tatt på å ikke ha gjort det. Så hva kan du si at det er den store utfordringen med grunnprinsipper i forhold til checklista i forhold til å få dette implementert i virksomheter.
Roar: Altså den største utfordringen ved den forskjellen jeg nå egentlig beskrev, det er jo at det da plutselig ikke fortelle folk lenger at de skal bolte fast safen i veggen, bare sånn overført betydning, fører jo til at dette er betydelig mer kompetansekrevende. Det krever altså mer av de som skal jobbe systematisk med sikkerhet for faktisk å se dette i et mere helhetlig perspektiv, hvor den måten du har valgt å gjøre dette på er helt innafor og kjempefint, og du valgte å gjøre på en annen måte og det også kjempefint, men veien deres dit den er kanskje forholdsvis lik, men dere har allikevel gjort forskjellige vurderinger da, men dere har greid å sikre dere på best mulig måte. Så det er nok kompetansen der, jeg tror det er kompetanse behovet som er den største utfordringen. For jeg må nok si at jeg har møtt ganske mange som har til en viss grad vært litt sånn fortvilet over den endringen som har kommet, fordi de ønsker nærmest at vi blant annet som NSM, skal bare komme med lista som de får på plass og så har du gjort bare disse fem tingene, så er du sikker. Ja, men det er du også Ikke fordi verden er ikke sånn.
Frode: Og har det gått galt eller gikk det galt i gamle dager, så kunne man jo se om man hadde gjort de riktige tingene, men det er jo ikke det som er poenget. Poenget er jo å være så trygg som mulig i forhold til den risikoaksepten som man har definert. Dere har jo et sånt fint uttrykk på hvor lista bør ligge; forsvarlig sikkerhetsnivå. For i en risikobasert verden så må man jo liksom definere et eller annen nivå ting skal ligge på. Hva ligger i det?
Roar: Nei, altså det er kanskje et av de vanskeligste spørsmålene å svare på, Frode. Fordi det nettopp det, hva er forsvarlig for deg? Hva er forsvarlig for meg? Måten man eventuelt evaluerer det på da, holdt på å si kontrollerer det på og inspiserer det på og har tilsyn på. Det er jo til en viss grad å se etter en viss systematikk og en helt gjennomførbar tanke rundt hvordan du endte opp til at du nå har valgt å ha piggtråd gjerdet der og at du har slått på disse og disse tiltakene på det digitale serverrommet ditt, altså den type ting. Men igjen da, forskjellen på hva som er forsvarlig eller akseptabelt, er liksom igjen forskjellen på om du da heter Kongsberg Defense eller Floriner blomster er så vidt forskjellig. Så jeg syns at det er et av de vanskeligste spørsmålene på å si når er nok nok da. For det vil du i realiteten aldri fullt og helt få teste allikevel før du har vært i situasjonen hvor du virkelig har fått testa det. Men du er nødt å ha et, altså man leter jo mer og mindre etter den systematiske tilnærming til det som nettopp starter med verdivurderingene, som starter med risikovurderingene knytta til de verdiene du har en forståelse av hvem du er som virksomhet og hvilke trusselaktører du da må forholde av til. Igjen, da er vi tilbake til det vi har snakket om tidligere; er du helt klart i den sona på at du bare må forholde deg til tilfeldighetsperspektivet, som kanskje blomsterbutikken i større grad må, eller er du i forsvarsindustrien som da gjør at du helt klart må forholde deg også til både tilfeldighetsperspektivet, men også det målretta perspektivet.
Frode: Også kan jeg jo tenke meg at det er sånn at mange store virksomheter, eller kanskje små også, har bare en liten del av virksomheten sin som er eller kan være utsatt for en sånn målretta del, mens resten er mer eller mindre uinteressant i et målretta perspektiv. Så det må jo være, å få dette til å henge sammen på en god måte må være vanskelig?
Roar: Ja, det tror jeg er veldig vanskelig for en del mindre bedrifter. Altså det er nok i hvert fall lettere for en større helt klart definert virksomhet, som forstår at de er i skuddlinja for både det ene og det andre, til å arbeide og ta dette på alvor, enn det er å drive en litt mindre bedrift med mindre ressurser osv. Men samtidig da ta innover seg at akkurat det vi holder på med her, akkurat den leveransen vår her til denne kunden, den er faktisk noe som gjør at vi faktisk igjen havner i dette målretta perspektivet og at den verdien her er ekstremt høy. Så det å stille seg om fra en, på måte, litt sånn fredelig hverdag da eller tanke til å liksom forstå at her er vi plutselig nå i skuddlinja for noe, den tror jeg er ganske vanskelig for mange.
Frode: Men du har beskrevet nå at det er fire typer grunnprinsipper for sikkerhet som er gitt ut. Og etter hva jeg forstått da, så er de bygd opp i kall det fire elementer hvor du har en sånn kartleggingsbit først, kall det en forebyggende bit som nummer to, en oppdagende eller en hvordan se om noe er galt, før du har en bit som går på det å kunne håndtere hendelser og gjenopprette virksomheten til en ny normal. Hvis vi skal bruke noen minutter på å gå gjennom disse ulike delene; hva inneholder disse ulike elementene?
Roar: Ja, altså hvis vi tar det i fire da som er i forhold til hvordan jeg sier det nå, så sier jeg det på en litt annen måte. For jeg snakker om å rett og slett altså forebygge, forhindre som den første delen. Og så må du være i stand til å detektere at noe skjer som du i eventuelt ikke ønsker skal skje. Og så må det være sant å håndtere det. Og så må du være i stand til å normalisere det, altså komme tilbake i en slags sånn normaltilstand i driften din eller hva vi skal definere. Mens grunnprinsippene tar jo utgangspunktet i noe som starter før, som er en litt mer som systematisk tilnærming til dette som problem og det er å identifisere og kartlegge. Og det handler til syvende og sist om å forstå og hva du forvalter av verdier, hvem som har tilgang på de verdiene er både et menneskelig perspektiv, et digitalt perspektiv. Det handler om å ha oversikt over hva slags verktøy og produksjonsmidler du har som er implementert i dette her igjen da sånn veldig digitalt da så snakker om hvilke maskiner, enheter er der, hvilke programvarer er det du bruker. Hvilke leveranser og understøttende systemer er du avhengig av for å lage ditt produkt, for eksempel, som igjen da blir viktig i denne sammenhengen. Så kartlegging og rett og slett legge opp til at du kan ha noe å styre etter, når vi da kommer til sikkerhetsstyring i seg selv da, som er et eget grunnprinsipp og det beskriver i realiteten bare ulike eller altså måter å styre sikkerhetsarbeidet på, for det er jo det sikkerhetsstyring er. Det er ikke noe vits i å begynne med tiltakene på å håndtere, for å si det sånn, altså på fire hvis du ikke vet hva du egentlig må håndtere og hvor du skal håndtere det. Så du er du er nødt til å starte i den riktige enden der da. Det er jo den systematikken der jeg mener er, har kanskje kommet enda klarere fram for veldig mange virksomheter på hvor de skal starte med dette her. Ja, hvis det plutselig går opp for deg, føler at her hos oss står det litt dårlig til med sikkerheten nå, så nå må vi liksom bare gjøre noe, da er det så enkelt å gå inn og så gjøre; da får vi kjøpe oss et system da som skal detektere at det skjer noe, men det systemet er sannsynligvis også avhengig av, for at det skal fungere optimalt, at det faktisk vet hvor det skal implementeres og plasseres. Så du er liksom nødt å starte i riktig ende? Men samtidig, når det kommer til sikkerhetsstyring, så er det også en litt sånn greie på at vi som sikkerhets folk som ofte er litt sånn, holdt jeg på å si vi liker regnearket vårt, vi liker oversikten, kontroll, styring, den type ting. Vi har også en litt sånn introvert holdning til noe av dette her. Jeg husker for en del år tilbake, NSM skulle vi skulle ut med et særdeles viktig dokument og jeg fikk i oppdrag å være sånn siste djevelens advokat og lese litt korrektur og stille noen spørsmål; hvorfor skriver vi det på denne måten her? Og så kom jeg over en setning hvor det sto «Det er et problem at ledere ikke bryr seg om sikkerhet», og det er noe jeg har formidlet selv i mange, mange år og selvsagt se på som et problem. Men, det som er interessant som kom som setningen under, er «for det skaper problem for styringssystem for sikkerhet». Ja, jeg skjønner hva du sier her, men problemet at leder ikke bryr seg om sikkerheten, er at det går ut over sikkerheten. Mens vår take på det med å skrive det på den måten, er at det tukler til regnearket mitt på en måte, det tukler styringssystemet mitt. End results, endemålet her er jo ikke at styringssystemet skal være perfekt, endemålet er jo at sikkerheten skal være best mulig.
Frode: Men jeg har, hvert fall i min tid hvor jeg jobba med sikkerhet, stussa litt over at sikkerhetsstyring det er litt sånt et sidespor. Man kan si at styrer og toppledergrupper de de styrer alt; om det er økonomi, om det er produktutvikling, om det er leveransene, men sikkerhet – det har ikke vært en like naturlig del i styrerommene eller hos toppledergruppene og så videre. Det har man blitt litt som du sier, orientert om av de som har Excel arkene. Og jeg tenker alle linjeledere er jo ansvarlig for alt annet og de burde jo også på lik linje være ansvarlig for sikkerhet. Og hvor sikkerhetslederen eller den som er sikkerhetsansvarlig, har samme funksjon som en HR-direktør eller en økonomi direktører, eller hva det er for noe. En rådgivende funksjon inn mot linja. Hvorfor er dette annerledes hos så mange?
Roar: Nei, altså det ligger litt sånn fra gammelt av, dessverre må jeg si. Fordi sikkerhet har som du beskriver, egentlig vært en sånn der tilleggsfeature som ikke alle egentlig var like sikker på om de ønsker seg en gang, på mange måter. Så det alltid har ligget litt sånn på sida og har dessverre også kanskje også, altså har også faglig sett tilhørt mennesker som har likt å holde til i kjelleren og være litt hemmelig og ha lukkede dører og ikke vært like flinke til å implementere og integrere seg blant alle andre. Fordi det problemet jeg har med sikkerhetsstyring, som av mange andre ord og begreper, det er jo at vi har vært veldig flinke til å putte ordet sikkerhet foran nettopp allerede eksisterende ord og begreper i sikkerhetsbransjen. I stedet for å i realiteten si at vi skal ikke ha sikkerhetssystemstyring, vi skal ha et styringssystem i virksomheten som inkluderer sikkerhet. Altså hvor er en helt naturlig del av det å lede og styre en virksomhet, så kommer sikkerhet inn som en betydelig faktor som du også er nødt å tenke på. Og det er for meg den ideelle situasjonen på samme måte som vi bruker begrepet rundt sikkerhetskultur. Når jeg da sier at okay, vi skal ideelt sett ikke ha sikkerhetskultur, vi skal ha en organisasjonskultur som inkluderer sikkerhet. Så sikkerhet skal ikke være på sidelinja og det må vi være flinkere til å få integrerte samme alt annet da.
Frode: Ja det synes jeg er et godt poeng. Hvis vi går tilbake da til identifisering og kartlegging. Du snakket litt om hvilke verdier man har, hvilke trusler som er gjeldende, men vi har vel også sett det jeg at noe så egentlig basic som å ha kontroll på alle systemene sine, altså hva har du av servere, hva er faktisk koblet til internett, hva er i bruk og er ikke i bruk, hva er oppdatert, hva er ikke oppdatert? Altså en sånn identifisere hardware biten og programvare biten, den logiske biten og har kontroll på det. For det er vel en form for sårbarhet som ligger i, litt som du sier, det er noen åpne dører i noen av disse delene. Er det noe man har god oversikt over nå, eller er det litt sånn det var før? Litt sånn litt forskjellig?
Roar: Det er nok riktig at du sier det er litt forskjellig. Fordi du og jeg kan være veldig utålmodige sikkert når det gjelder sikkerhetstilstanden, og vi skulle gjerne sett at alt var perfekt. Hvis vi leser våre rapporter som alltid fra Risiko 2022, hvor vi vurderer risikoen for samfunnet, så sier vi at det er betydelig mye som står igjen når det gjelder sikkerhetstilstanden i norske virksomheter, både offentlige, private virksomheter. Men, det betyr ikke at ting ikke har endra seg altså gradvis til det bedre. Problemet er fortsatt at gapet er for stort mellom de eksisterende og truslene og sikkerhetsnivået som er ute i samfunnet der da. Så min opplevelse etter å ha jobbet med dette her noen år er jo at jeg stadig, hvis jeg greier å tenke på den måten, så er det stadig forbedringer. Det er stadig økt fokus på dette her. Flere ressurser, mere mennesker inn med betydelige kompetanse og kunnskap, som kommer inn etter hvert, folk kommer ut i fra studier på både sikkerhet, styring og kultur, og mange forskjellige andre fagområder enn mer de sånn tradisjonelle tingene – så vi er på en god vei, men ideelt sett så skulle gjerne vært enda lenger framme. Og så er det alltid de som trekker fram. Ja, hvor, hvor godt framme er vi for at andre land osv., altså jeg sier det hele tiden at det er vanskelig å si til tider, fordi det er ingen som enda fullt ut ha gjort dette her før, vi er stadig på en sånn læringskurve. At samfunnet har endra seg i opp gjennom verdenshistorien, det ikke noe tvil om, men digitalisering som sådan når vi tenker digitalisering, er det egentlig ingen som har gjort og fullt ut har erfaring med at dette er den beste måten og veien å gå. Så dette bli litt sånn til underveis og så ønsker vi kanskje å gire ned enda mer og få enda mer fart og kraft på dette her, men kompetanse når det gjelder dette her blir særdeles viktig. Risikovurdering og verdivurdering er i realiteten nesten fag i seg selv altså, som krever seg og sitt.
Frode: Ja jeg er helt, helt enig. Hvis vi skal gå videre, kall det prinsippene sånn konkret det forebyggende perspektivet. Har du noen knagger du kan henge noe av dette på? Hva man bør gjøre når man har fått en oversikt over hvordan virksomhetens, kall det status og behov er? Hvordan gripe man an hvordan du skal beskytte det du er mest glad i eller anser som det viktigste for virksomheten?
Roar: Jeg tror en ting som er viktig å gjøre enn å ha klar formening om når du får den oversikten og det er jo at i den oversikten så ligger det også forhåpentligvis noen risikovurderinger i forhold til hva som faktisk er igjen det kritiske for deg. Prinsippet om at du ikke nødvendigvis skal sikre alt like godt hele tiden, altså det er noe som er viktigere å sikre enn andre ting som handler om konsekvensene dersom noe feiler. Sånn at du kanskje er nødt til å gjøre noen skiller på å si at noe her er ikke like viktig. Vi må ha sikkerhet, selvsagt. Altså det må sikres det også, men det er noen andre ting her som vi må bruke mer ressurser på å sikre på en helt annen måte, hvor vi da kanskje er nødt å segregere det fra andre ting, sånn som sådan at ikke alle har tilgang, at det ikke kan nås fra enhver tenkelig lokasjon, den type ting. Men, det jeg tenker mest på når det gjelder akkurat det her da, det er at la oss si at vi gjennom identifisering og kartlegging har fått en status og det er til syvende sist å gjøre noe vurdering på; er vi fornøyd som det er, eller må vi gjøre noe? Og mest erfaringsmessig så må man gjøre noe. Da er det å legge en plan for hvordan man gjør det. Det kan det handler jo både om teknologi, det handler om mennesker, kunnskap, det handler om kontrollrutiner, prosesser osv. Så er vi igjen så inne på hvor komplekst dette kan være, men jeg tenker at det å greie og nå en tilstand i virksomheten din hvor du fortløpende er i stand til å gjøre nye vurderinger underveis, er ekstremt viktig. Det vil også si at den identifisere og kartlegge, den er ikke noe du er ferdig med, den skjer kontinuerlig videre den. Fordi plutselig har du kjøpt inn mer utstyr, nytt utstyr, du har fått et nytt prosjekt, et oppdrag, en ny kunde som endrer på den statusen. Og der må du være i stand til å ha en sånn dynamisk løpende sak da, som gjør at du da, når du går inn i hvordan vi skal da beskytte og opprettholde dette her, at det er en automatikk i at noen faktisk forstår at vet du hva nå er situasjonen endra seg såpass at nå må vi se på nytt igjen på hvordan vi skal gjøre dette her. Og så sånn når det gjelder å beskytte, oppdatere i forhold til mer sånn konkrete ting, hvert fall når det gjelder grunnprinsippet for IKT-sikkerhet, så handler jo det om å se på hvordan man konfigurerer systemene sine, hvordan man beskytter data som bare er lagra eller som er i transitt, som vi kaller det, altså som da er i en eller annen kommunikasjonsforbindelse. Har man evne til å gjenopprette data dersom noe skjer? Rett og slett beskytte til alle tilganger selvsagt, slik at ikke hvem som helst kommer inn på nettverket til virksomheten. Ha kontroll over hvem som er der til enhver tid og hvem de er. Beskytte sånne litt eksterne komponenter, som e-post, nettleser osv. Så det er masse ting da og liksom under hver av de tingene sier noe, så er det så veldig mange tiltak i tillegg. Så man skal ikke glemme at noe dette her kan være eller fremstå som ganske massivt egentlig. Fordi grunnprinsippene består jo når det gjelder IKT, så består det av 21 hovedprinsipper med 118 tilhørende sikkerhetstiltak. Så det er jo det er ganske massive greier vi snakker om, egentlig. Men, ut fra det da, så har vi gjort en annen vri på det også, som jeg tror er ganske viktig å forstå. Vi har forsøkte å ikke bare komme opp med en hel haug med tiltak, og så sier jeg «dette må du gjøre», men vi har også tatt til side tre prioriteringsgrupper hvor vi altså sier at gruppe en, det er noen få tiltak der og dette er de mest kritiske, dette er de mest grunnleggende tingene du bør gjøre og så, som oftest er rot-årsakene til vellykket dataangrep. Så jeg gjør et poeng av at når jeg er ute og prater, nesten uansett hvem jeg prater til, om det er en toppledergrupp eller hvem det er, så sier jeg at okay jeg kan ikke gi meg fra å si at det er fornuftig av dere å ha gode passord-rutiner, implementere multifaktorautentisering, altså det vi kjenner igjen fra bankene på mobil osv. at du må ha noe mer for å logge deg på og identifisere deg. Og at dere ha gode rutiner for å oppdatere software, hardware, også igjen PC, nettbrett, server på serverparker osv. Og så gjør jeg et sånt poeng av å si at «også skjønner jeg da» kan jeg si «at dere tenker at med Roar Thon, du kommer fra Nasjonal sikkerhetsmyndighet og vi har hørt sånn og sånn om deg, vi har mast om dette her nå i 20 år, har du liksom ikke noe mere fancy avanserte å komme med enn det?». Jo, kan jeg da si. Les NSMs grunnprinsipper for IKT-sikkerhet, men forstå noe ganske vesentlig; så lenge dere fortsatt hører sånne som meg mase om manglende passordrutiner eller dårlige passordrutiner, manglende implementering av multifaktorautentisering og dårlige rutine knyttet oppdatering – så er det fortsatt hovedårsaken til de aller, aller fleste vellykkede dataangrepene mot norske virksomheter i dag.
Frode: Det er trist.
Roar: Og det er så trist, for vi har i realiteten, vi vet hva medisin er. Det skal sies at det er enklere å snakke om det, enn å implementere alt dette her i en sånn ordentlig gjennomførte greie, men det er ikke noe vits i å være opptatt av lufteluka på baksida av låven din, at noen kan ta seg en der, hvis love døra di står halvåpen altså. Det er den låvedør av du bør sikre først, og så kan du begynne å tenke på å lufteluka.
Frode: Men da sier vi at du setter en liten lås på både lufteluka og på låvedøra. Og så tenker man at nå tror jeg det er bra. Jeg brukte ordet oppdage i stad, du brukte ordet deteksjon, som er egentlig bare litt mer sånn jålete uttrykk på å oppdage noe tenker jeg, men det er greit det altså, jeg skal ikke ta deg på det. Eksempelet du kom med i stad, den viser jo at du kan være utsatt for noe ganske lenge uten at du faktisk har funnet ut. Så deteksjon, hva har du av muligheter der for å så oppdage disse tingene når noen først har kommet seg inn eller er i ferd med å prøve å bryte seg inn?
Roar: Ja, altså der er jeg veldig tilhenger av å heie på blant annet brukere og folk flest, fordi det er ikke alle av disse signalene som nødvendigvis bare handler om teknologi heller, men at faktisk de ansatte, de som er i virksomheten, faktisk er i stand til å oppdage, detektere, ting som er litt unormale. At de faktisk også både tenker den tanken at dette her var litt rart, hva er dette her og er i stand til å rapportere og si ifra videre i virksomheten til de som eventuelt kan se litt nærmere på det. Igjen, om det er en menneskelig hendelse eller om det er en litt sånn hva skjedde på PCen min her nå rett og slett, den type ting. Men, hvis vi går over på den lmer sånn teknologiske siden da så er den enkleste måten å forklare deteksjon på eller oppdage på, er jo at du har en viss peiling på hva som er norm oppførsel i ditt eget datasystem. Og hvis ting plutselig klokken 04 på morgningen, hvor normalt serverne dine ikke er i så veldig stor aktivitet, plutselig begynner å kommunisere med en eller annen IP-adresse i Kina og det flyttes store datamengder, så er det kanskje et signal på at er dette normalt da, hører dette hjemme der? Og da må jeg også si at det kan faktisk hende at det er normalt ut ifra noe, men det må kanskje allikevel sees på. Så sånne ting kan man automatisere og sette opp en rekke varsler på da, hvor altså datasystemene i realiteten selv sier at her skjer det et eller annet.
Frode: La oss si da at det kanskje er lurt å prøve å finne disse hullene selv først, hos seg selv. Hvordan kan det gå fram for å liksom å teste dine egne systemer?
Roar: Nei, altså der har vi jo noen egne fagmennesker rundt omkring, både i kommersiell og offentlig ansettelse som man populært på fagspråket kaller for Penetrasjonstestere, Pentestere. Og det er til syvende og sist, for oss så er de statsautoriserte hackere. De på oppdrag, så får de oppdrag å bryte seg inn hos offentlige etater, både fysisk og digitalt, for å teste hvor robust og god er sikkerheten her? Hva er sårbarheten og hullene? Og all erfaring tilsier vel at de finner alltid et eller annet. Det er alltid en eller annen mulighet. Dette er ganske kreative og dyktige, dyktige mennesker, men det gir til syvende og sist da, virksomheten en betydelig forbedret oversikt over hvor de eventuelt da må legge inn noen ekstra krefter når de da ser på hvor lett var det faktisk bare å komme inn til oss rent fysisk eller hvor enkelt var det rett og slett bare at noen får logge seg på systemet vårt via det trådløse nettverket, eller at de kom seg inn på epostserveren eller noe annet da.
Frode: Så hvis jeg leser det riktig at så gjør dette det litt vondt, det føles fysisk vondt når du oppdager hvor lett det kanskje var eller det var hvert fall lettere enn det du trodde. Så det kan jo skape en form for inspirasjon til å ta en helhetlig kikk da på dette systemet. Jeg skjønner at det er et opplysende tiltak som så man får litt så nært på seg.
Roar: Men det er faktisk en annen ting rundt det som jeg også synes er viktig å tenke på, og det er hvordan virksomheten håndterer dette her i ettertid har også ganske stor betydning. Fordi, som du sier, dette kan være vondt. Og en litt sånn enklere måte en Pentest er jo de såkalte, holdt på å si mange har hatt kampanjer hvor de driver med fishing, testing mot ansatte osv. Det er en veldig spesiell øvelse egentlig, hvert fall hvis man ikke vet hva man og hvordan man skal håndtere ansatte som da feilet i den testen. Og når jeg sier feilet, så er det fordi at man må ikke glemme at det er folk flest sine oppgaver å motta e-post og vedlegg og lenker som de så klart både skal åpne og responderer på. Og i det ligger det en betydelig risiko. Men en sånn test, en sånn stresstest av nettopp en sånn ting, må nettopp bare være der for å skape økt oppmerksomhet og til en viss grad motivasjon og ikke brukes til å nærmest si at akkurat du, du feila du på denne testen her sånn. Fordi, vi kan alle gjøre det bedre, men vi må ikke glemme at igjen, det er folks jobb og faktisk sitte der og motta disse risikofylte tingene som kommer via nettet da.
Frode: Og det er jo nesten dårlig gjort å legge alt ansvaret over på mennesker som i en hektisk hverdag skal gjøre alle disse vurderingene løpende. La oss si da at vi ble hacket. Vi gikk ned, vi fikk ransomware trødd inn i systemet vårt og vi mottar en e-post som sier vi låser ned alt, betal dette, så skal dere få det tilbake og lykke til. Da kommer vi til den siste biten som er hendelseshåndteringsbiten og det å gjenopprette ikke nødvendigvis den gamle normalen, men til en ny normal. Hva er liksom hovedelementene i den fasen?
Roar: Nei, altså forhåpentligvis så har noen i den virksomheten som er rammet allerede tenkt tanken om at dette faktisk kommer til å skje. Det er en vanskelig tanke i seg selv, for man tror som regel at alt går bra og som regel de aller fleste dagene så gjør det det, inntil det ikke gjør det lenger. Og da står du da, men det er i seg sjøl er en sånn litt sånn vanskelig psykologisk øvelse å faktisk da nærmest legge til rette å planlegge for at ting går til et visst sted, for å si det sånn. Så mye handler i realiteten hva du allerede har gjort og forberedt deg på. Og det gjenspeiler seg også i grunnprinsippene, at du skal forberede virksomheten på håndtering av hendelser, at du faktisk er i stand til å ganske kjapt av-dømme på er dette en virkelig alvorlig hendelse eller om det være der en hendelse som ikke nødvendigvis krever at vi skal kalle inn toppledelsen og involvere liksom hele apparatet her. Men i eksempelet ditt nå, med et kryptovirus som stenger ned alt, så vil jeg si at da er vi fullskala med en gang at dette her er krisa altså. Ingen får gjort jobben sin på bedriften den dagen og da er vi inne på et av de store, store spørsmålene, egentlig. Og det er når jeg da snakker om å at vi skal forebygge, vi skal detektere, vi skal håndtere og vi skal normalisere, så er det noe av det mest vesentlige spørsmålet som man som virksomhet skal stille seg i dag; Hva skal man være i stand til å gjøre selv av det og hvem andre kommer og hjelper deg til alle de fasene? For det er ikke gitt at alle har kompetansen til å nettopp gjøre all disse tre tingene på en på en god nok og fornuftig måte. Og når vi da er over i hendelseshåndterings delen, da går klokka, for å si det sånn. Da er krisen der i forut at dette koster ved 150 ansatte som ikke kan igjen, kommunisere, produsere, gjøre alt ved bruk av teknologien som gjør. Vi er ganske avhengig av den. Og da er spørsmålet hvem snakker du med da? Altså har du allerede krefter og et team som er drilla og har kompetanse til å faktisk begynne å jobbe med dette her, eller må du hente noen utenfra. NSM med Nasjonalt cybersikkerhetssenter, vi sitter jo ofte og gir mye råd og bistand til virksomheter som er rammet av dette her som er del av det vi kaller samfunnskritisk karakter. Det er ikke sånn at vi kan hjelpe alle, for å si det sånn. Og så finnes det da en rekke kommersielle virksomheter som har spesialisert seg på den type hendelseshåndtering som kommer inn, som da i en systematisk, for igjen så snakker vi om systematikk her i hvordan du skal gå fram. Og det handler veldig mye om, en ting er selve hendelsen, men det andre er jo rett og slett; stoler du lenger på systemet ditt selv om du eventuelt nå er oppe og går? Er integriteten i orden eller er det allerede andre nye utfordringer der som du må ta høyde for og? Og jeg vet jo om virksomheter som har måttet gå så langt at de rett og slett har nesten skrota hele den digitale maskinparken sin og kjøpt nytt, og det er jo en ytterligere kostnads greie, men fordi at de rett og slett ikke har vært i stand til å fullt ut kunne verifisere at nå er ting trygt igjen. For det har igjen handlet om manglende rutine på at du har ikke at systemet for å logge, for å liksom kunne få informasjon om hendelsen. Og det er også ganske vanskelig utgangspunkt for de som skal hjelpe deg eller dine egne hvis man ikke har de verktøyene.
Frode: Så hvis jeg leser deg riktig da, så er det jo sånn at er du ikke en virksomhet som understøtte kritisk infrastruktur, så er dette noe du må tenke litt på selv.
Roar: Alle må tenke på dette selv uansett. Det er ikke sånn at vi i NSM kommer med noen svarte biler med masse folk som strømmer inn for å sette seg på serverrommet ditt, for å si det sånn, på ingen måte. Så alle sitter igjen med et ansvar selv ja.
Frode: Så det vil si at har man ikke kapasiteten selv, så bør man kanskje få til noen avtaler med noen som kan dette her og har kapasitet til å gjøre dette her før uhellet er ute, sånn at man faktisk har en ny reelle mulighet til å respondere på en eller annen, et bilde som gir en normalsituasjon, for å unngå det du egentlig beskriver at man er usikker på om man har fått renset det skikkelig?
Frode: Ja, altså dette har vært såpass problematisk at vi noen år i NSM, så er det noen år siden vi opprettet en såkalt kvalitetsordning for virksomheter som tilbyr rensehåndtering. Fordi ett av våre sånn nærmest praktiske problem som en offentlig etat, med de oppgavene vi har, det er at når noen da ringer og sier «okay, vi har dette problemet, alt er kryptert, hva gjør vi nå?» og vi da ikke kan hjelpe de på den måten som de gjerne skulle ønske, så ønsker du umiddelbart å vite hvem andre ringer jeg da. Og da var vårt problem sånn praktisk, at vi kunne ikke da si at okay, ring det selskapet for det vil nærmest være markedsvridende hvis vi da hadde en slags favoritt, så løsningen vår var rett og slett å tilby en mulighet for at mange av de virksomhetene som driver med den type aktivitet, kunne rett og slett få en slags verifisering, godkjennelse av oss på at de hadde høy kvalitet på det de holdt på med og så ender de opp på en liste på denne kvalitets ordningen som gjør da at vi kan da vise til listen. Så kan de gå til et av de selskapene på den listen, som har blitt flere og flere er faktisk, og da be om tjenesten. Men igjen, du er inne på noe veldig vesentlig. Det er veldig smart og ha en sånn avtalt på forhånd, hvor det faktisk er en forpliktelse der til at de faktisk kommer og hjelper deg og det også ikke nødvendigvis har den samme, det er nok rundt å si at det å ikke ha en sånn avtalt på forhånd når ting skjer, er en fordyrende effekt når helsen er der. Det koster deg enda mer penger for å få bistand da, kontra å ha en avtale som er inngått på forhånd da.
Frode: Veldig bra. Jeg antar at den lista kan han bare gå inn på NSM og hente.
Roar: Den kan du gå inn på NSM og finne.
Frode: Ja, men det er veldig bra. Da føler jeg at vi har snakka oss gjennom grunnprinsippene. Anbefaler alle å ta en kikk på dem. Jeg har brukt de mye selv.
Roar: Og hvis det er en ting jeg kan si her Frode, fordi vi gjorde et lite stunt under Nasjonal sikkerhetsmåned i oktober, fordi det er jo ikke bare grunnprinsippene vi har, men vi har jo faktisk også kurs knyttet til grunnprinsippene. Så man kan ta et e-lærings kurs på 3 timer, som da fokuserer på NSMs grunnprinsipper for IKT-sikkerhet. Og det vi gjorde i oktober, det var at vi gjorde dette kurset tilgjengelig for alle har det alltid vært, men har kostet en sum med penger. Ikke kanskje i veldig store summer, men når du aggregerte de summene opp imot en stor organisasjon, så blir det allikevel penger av det. Så vi valgte å tilby det kurset gratis for oktober og det var over 32000 som registrerte seg for å ta kurset og 21500 personer som fullførte e-læringskurset og fikk kursbevis i NSMs gruppe for IKT-sikkerhets. Det kurset eksisterer fortsatt, så det er bare å gå på NSM og se på kurstilbudet der.
Frode: Og her kjenner jeg at når til og med Forsvarssjef Eirik Kristoffersen har tid til å bruke 3 timer på å bresje opp sikkerhetsperspektivet innenfor IKT, da har alle tid til det.
Roar: Helt klart, uten tvil.
Frode: Takk for denne praten. Nå skal vi inn i neste runde om en liten straks og der skal du få lov til å være SISO i LØRN og det gleder jeg meg skikkelig til.
Takk for at du lærte med LØRN. Husk at du må registrere deg på LORN.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Hei og velkommen til LØRN. 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På LØRN.Tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei igjen og velkommen til denne fjerde og siste delen av vårt mikrokurs, som er en LØRN Masterclass om grunnprinsipper. Gjesten vår i dag er Roar Thon fra Nasjonal sikkerhetsmyndighet og det vi skal gjøre nå, det er at Roar skal få lov til å være SISO i LØRN. Og så skal vi ta et lite verksted for å se hvordan du kan hjelpe oss med å få orden på sysakene innenfor for sikkerhet, Roar. Skal jeg starte med å beskrive litt hvordan vi ser ut?
Roar Thon: Ja, gjør det. Vi har ikke diskutert lønnen min enda, men det får vi ta etterpå.
Frode: Det skal vi nok komme til enighet om. Jeg har aldri ikke lykkes med å få folk fornøyd med lønn, så du er i trygge hender.
Roar: Ja, det høres bra ut.
Frode: Sånn kort oppsummert, vi er et lite selskap med cirka 15 ansatte. Vi lager digitale produkter på en plattform som vi har utviklet selv. Gullet vårt da eller verdiene våre, er knyttet til det det vi har liggende på plattformen som er sånn cirka 1500 læringssamtaler i ulike formater. Det er podkaster, det er videoer, det er ulike tekster. Dette inneholder også litt sånne quizer, refleksjonsoppgaver og bøker, og de er litt forskjellige alle sammen og det er litt forskjellig produksjoner som de inngår i. Så det er det er det vi gjør. Og for å gjøre dette så har vi en haug av ulike software-ting vi bruker, sånn som vi holder på nå så er vi i noe som kalles for StreamYard, som gjør opptaket. Vi har noen ulike verktøy som vi bruker for å få speech, det som vi sier nå, til å bli tekst. Og så kan det også bli til speech igjen i et annet språk etter at det er blitt dratt igjennom noen prosesser. Og så bruker vi masse sosiale kanaler som Facebook og LinkedIn og Spotify osv., osv. Så har vi folk i Norge, vi har folk i utlandet og vi skal sy dette sammen. Og siden vi er 15 stykker, så har vi ikke noe IT avdeling. Vi har en person og han heter Roar som skal sørge for at vi bygger de riktige tingene og at vi ivaretar sikkerheten godt nok og at folk får god handlefrihet i hverdagen, men innenfor da de normale grensene, sånn at man er så sikker som det er fornuftig å være med det utgangspunktet vi har. Så da er spørsmål Roar, hvor starter vi hen?
Roar: Ja, jeg kjenner på ansvaret allerede, for å si det sånn.
Frode: Det bør du gjøre.
Roar: Hvis jeg skulle kommet inn da, rett inn fra gata for ha gjort dette her, så hadde jeg nok følt et ganske sånn betydelig press i forhold til at ting kanskje hastet. Fordi en ting er jo det du forteller meg om virksomheten nå, men det gi meg jo ingen oversikt over hva dere egentlig har og hvordan ting skjer. Så da er vi egentlig inne på igjen noen av disse grunnprinsippene i henhold til grunnprinsippene for IKT-sikkerhet fra NSM. Det å rett og slett bare få oversikt, kartlegge hvilke enheter som er i bruk, kartlegge programvare som er i bruk – det er kanskje liksom det viktigste. Selvsagt måtte jeg ha gravd meg litt mer ned, i når du snakker om gullet deres, hva er egentlig det? Hvordan er det plassert? Hvordan eksponert er det? Så tror jeg fortsatt ikke jeg hadde sovet godt om natten sånn bare ved å ha fått oversikt over det. Fordi, disse grunnprinsippene da, for å ta utgangspunkt i det for å gjøre denne jobben, så startet jo det med noen sånne enkle råd. Og vi startet for noen år tilbake med fire effektive tiltak mot dataangrep og de ville jeg faktisk ha forsøkt å ha fått på plass så fort som mulig. Og det hadde jo vært rett og slett igjen, avhengig av hvor god oversikt og hvor god struktur dere hadde, så ville dette kanskje vært enkelt eller være vanskelig å få oversikt over. Men det første ville være å oppgradere program og maskinvare. Altså er det ting nå som kjører på disse enhetene som jeg fått oversikt over, som da ikke har vært gjort noe med på lang, lang tid at eksisterer det i det hele tatt rutiner her for å gjøre det regelmessig? Og hvis det ikke gjør det, så er det rett og slett å installere oppdateringer, patche sikkerhetsoppdateringer så fort som overhodet mulig. Hensikten med det er å lukke så mange sårbarheter som eksisterer da, som fort fortløpende kan brukes. Du er fortsatt ikke 100 % sikker, det er viktig å si, men du har i hvert fall fjernet deg fra noen ting som kan brukes mot deg. Neste er jo sånn klassisk greia da; hvem i Lørn har rettigheter til både det ene og det andre? Hvem har altså superbrukerrettigheter, administrasjonsrettigheter? Og der vil jeg ha minimalisert det mest mulig, men igjen så er det en sånn balanse mellom sikkerhet og praktiske ting. Jeg ville ikke ha sagt at okey det er kun meg som skal ha alt dette her og være gud og hvermann nå, fordi hva hvis jeg dra på hytta og dere ikke får tak i meg og dere trenger å få tak i meg. Altså du må legge inn noen, at du faktisk har muligheter til å ha en slags sånn 24/7 drift da på noen av de tingene. Men igjen, at alle 15 ansatte skulle ha sluttbruker eller altså som sluttbrukere skulle ha administratorrettigheter til enhver tenkelig ting hos dere, ville være uaktuell for meg. Det ville jeg hvert fall ha sloss veldig for, for å si det sånn, at dere ikke skulle ha. Og så kommer noe som også er ganske vanskelig da, fordi det handler om at jeg kan ha en mening om det fordi det fjerde og siste tiltaket det er å blokkere kjøring av såkalt ikke autoriserte programmer. Men, hvem bestemmer hva som er autorisert eller ikke? Det er jo et vesentlig spørsmål, fordi det kan hende at du Frode trenger et helt spesielt program i jobben din, for å gjøre jobben din mest effektivt, og jeg har ikke nødvendigvis noen forutsetning for å si at ja men det trenger du ikke, «du kan bruke Excel». Altså den avveiningen der da på det programmet du har der, hvor kommer det fra? Hva slags rettigheter har det programmet i systemet vårt osv.? Hvordan er det integrert? Så det å ha en klar formening om akkurat det vil være også noe som hadde stresset meg og det tror jeg nettopp hadde vært en sånn utfordring, hvert fall når man kommer i sånn og skulle ha nettopp den dialogen her, hva er det dere virkelig trenger og hva er det vi ikke trenger for å redusere mest mulig risiko. Så hvis du da sitter der med laptopen din og du har et par programmer der som du ikke har brukt på halvannet år, så ville jeg nok argumentert for at de fjerner vi Frode, de havner ikke på min autoriserte liste. Da har du nærmest bevist at du ikke trenger du ha det.
Frode: Det er jo penger spart også.
Roar: Det også. Og samt du ikke har tatt med en piratversjon, da hadde jeg vært enda mer skeptisk for å si det sånn.
Frode: Nei det gjør vi ikke. Det kan jeg bare si, vi opererer kun med offentlige og anerkjente lisenser.
Roar: Ja, bra. Altså dette ble jo så veldig kjapt da, ikke sant, fordi jeg håper jo folk skjønner at dette er jo ikke noe du bare kan få gjort sånn. Dette handler om å se ting over tid, fordi en av dem, hvis jeg hopper over til en slags enda mer kortversjon av NSMs grunnprinsipper, så har vi satt opp 15 prioriterte tiltak og da står det allerede at man skal kartlegge ting og få oversikt og så videre. Men, et av tiltakene der er å kjøpe moderne og oppdatert maskin og programvare. Det er enklere å skrive enn å gjøre det fordi det handler jo om økonomi, det handler om ressurser og så videre, men det tar utgangspunkt i at man legger til grunn at moderne teknologi faktisk da er sikrere enn eldre teknologi fordi at man har hatt sikkerhet, kanskje i arkitektur og sånt, på en litt annen måte. Men nettopp da har spørsmålet, hvilket operativsystem er det dere kjører? Er dere fortsatt på XP eller har dere tatt noen skritt videre? Så hadde det vært et argument og tatt da. Og så, sier du at du har mange ansatte rundt omkring i verden, egentlig og hvorvidt vi skal kalle det en form for tjenerutsetting og så videre, kan sikkert diskuteres, men det åpner i hvert fall for nye problemstillinger i forhold til hvem er det dere er avhengige av. Og så tror jeg at jeg ville ha sett litte granne på sluttproduktet, gullet deres. Altså en ting er jo selve produksjonstiden med alt det som implementerer der, men det liksom når produktet er ferdig – der ligger jo gullet. Og hvordan sikrer man det da? Altså skal det kanskje da løftes vekk og sikres på en litt annen måte, enn å sikre liksom produksjonsdelen i det. Fordi min tanke er at produksjonen kan du liksom til en viss grad gjenoppta, men det å miste den totale summen av alt av det dere har produsert over tid, å ikke kunne få det tilbake, ville være ganske kritisk. Så da snakker vi om å se på og legge opp en regelmessig plan for alt i fra sikkerhetskopiering, som vil være viktig for alt i seg selv, men ikke minst også kanskje da å se på helt spesielle lagrings metoder for sluttproduktet deres, som jeg forstår ikke nødvendigvis da skal være offentlig tilgjengelig for alle, ikke sant? Sånn i det store, ikke alt. Noe av det er det, men allikevel sørge for at det ikke blir tuklet med og at dere mister kontrollen over det da. Også det nevnte jeg jo i stad at jeg ville kjapt ha satt i gang oppdateringer og så videre, men jeg ville jo helt klart også implementert et regime for at det er faktisk en naturlig, automatisert, mest mulig automatisert og oppdatering av det man har, slik at man sørger for at man så kjappest mulig er oppdatert som sådan. Også ville jeg tatt en liten prat med, der tror jeg faktisk at dere ikke er såpass store som virksomhet at jeg tror jeg nesten vil ha tatt en prat med alle ansatte om hva de selv kan bidra med, gode passord, den type ting. Ikke minst ha satt opp en policy for hvordan de skal rapportere når ting skjer. Hvis for eksempel PC-en deres bare helt uten videre stopper å fungere og restarter seg og så videre, altså liksom hva var dette her? Fortsetter det å skje kan det være en helt vanlig feil, men det kan også være tegn på noe annet.
Frode: Det høres ikke bra ut.
Roar: Det høres ikke bra ut. Hvor rapporterer man det hen og ikke sant, hva gjør man da? Da er det bare noe jeg trekker på skuldrene av eller er det faktisk noe som Roar ønsker å vite om? Så ja, det er utrolig mye her som kan og skal gjøres og det er nesten som den samtalen vi kunne hatt nå er nesten uendelig, ikke sant, hvis vi skal ta utgangspunkt i grunnprinsippene. Men, det er hvert fall litt av det jeg nevnte nå som jeg sånn umiddelbart ville ha sett på oss er det helt sikkert ting jeg ikke husker på i farta heller. Men igjen, se på disse 15 prioriterte tiltakene hvis man nå hører på og vil ha en sånn kvikk greie på at dette her er faktisk viktig, disse 15 tiltakene står veldig klart visuelt framstilt i grunnprinsippene, også er det da igjen alle de andre tingene man kan gjøre. Da tror jeg det er viktig å igjen huske på at vi har delt de sidene i tre deler hvor, kalle en slags modenhetsskala, det er ikke noe vits i å begynne å se for mye på del tre hvis du ikke er fornøyd med tilstanden din på de første tiltakene under del en.
Frode: Jeg ser det, det er en logikk i å finne ut hva du har, hvordan du bør beskytte det, før du tenker på hva du skal gjøre når det skjer noe og at du skal da komme tilbake. Men det en ting vi ikke har snakket så mye om og det er, du er jo fra politiet og jeg er jo fra Forsvaret i utgangspunktet.
Roar: Jeg har mere tid i Forsvaret enn politiet og så jeg er nok fra Forsvaret også.
Frode: Ja, men vi øvde mye uansett hva det var vi skulle, så øvde vi på det for å se hvordan håndterer vi det hvis noe er ute. Kan du komme noen tips? Er det så at det er for større aktører eller er det noe man kan gjøre, og i så fall hvordan, for oss litt mindre aktører også?
Roar: Nei, jeg synes absolutt det er for de mindre aktørene og. Så kan man snakke om hva er en øvelse? Men, rett og sett det og satt seg ned med ledelsen i LØRN og tatt en tabletop-øvelse hvor jeg sier at «okey, ingenting fungerer, hva gjør vi nå?», ville nok fått fram en god del momenter som man både kan lære av, for det er viktigere ut ifra hendelser, men også ville det sannsynligvis ha gitt meg mer informasjon enn hva jeg systematisk har greid å samle inn også, for det ville garantert ha dukket opp en del sånne smånisser i skapet på ting man ikke faktisk hadde helt oversikt over allikevel, eller at man får en forståelse av «jamen det fungerer ikke på den måten, vi har ingen avtale der eller når a skjer så skjer også b», så det har vi egentlig ikke tenkt på før, og ikke tatt høyde for det. Så en ting er det å øve det i form av at det skaper kunnskap, det skaper refleksjon og det skaper erfaring fra de som eventuelt skal sitte i posisjoner og bidra med et eller annet, men det er nesten garantert at det alltid kommer til å komme enda mer informasjon fram, som man ikke visste om, fordi man har samlet masse folk i rommet og man snakker om denne spesifikke tingen.
Frode: Ja jeg tror du har helt rett, all erfaring tilsier det. Vi skal ta og så runde av der. Jeg vil egentlig avslutter med å si at jeg anbefaler alle å ta en kikk inn på NSM.no og se på de ulike grunnprinsippene for å se hva som er hensiktsmessig å implementere i forhold til hva du har av verdier og hvor sårbar du synes at din organisasjon er. Så må jeg få lov til igjen da å takke deg Roar, for at du ble med på denne samtalen og ikke minst ønsker jeg lykke til med det arbeidet du gjør for å fremme god sikkerhet på tvers av egentlig hele Norge. Du nevnte fra pensjonister til toppledere og sikkert innenfor skoleverket også. En veldig, veldig viktig jobb. Og til alle dere der ute, sikkerhet må være en integrert del av all annen styring i en virksomhet.
Roar: Uten tvil.
Frode: Så Roar, tusen takk.
Roar: Bare hyggelig.
Takk for at du lærte med LØRN. Husk at du må registrere deg på LORN.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et
Allerede Medlem? Logg inn her
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis.
Allerede Medlem? Logg inn her
