2000+ lyttinger
Del denne Masterclass
Dette lærer du om i denne Masterclass
Bibliotek
Om LØRN
© 2024 LØRN AS
Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkende og skapende. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen til en LØRN masterclass om sikkerhet. Jeg heter Frode skarnes og gjestene mine i dag er Jens Dovland og Ulrik Sagelvmo som jobber i Mnemonic. Velkommen begge to.
Jens Dovland: Takk for det.
Ulrik Sagelvmo: Tusen takk.
Frode: Før vi starter, så skal jeg si litt om mikrokurset vi er i ferd med å lage, også skal vi sette i gang samtalen. Tanken er at dere to skal gi oss et 2 timers, firedelt kurs eller en forelesning som skal utgjøre et mikrokurs i nsms grunnprinsipper for sikkerhetsstyring. Vi har valgt å kalle kurset for “Hvordan lykkes med sikkerhet”, for det er jo det vi ønsker å oppnå. Vi skal ikke kun snakke om sikkerhetsstyring. Vi skal snakke om de andre elementene som digital sikkerhet, fysisk sikkerhet og ikke minst personellsikkerhet, for det henger jo sammen alt dette her. Jeg kan si at denne masterclassen passer for absolutt alle. Man trenger ikke å være en sikkerhetsperson for å dra nytte av dette, men man må ha et ønske om å forstå sikkerhet litt bedre og bruke den kunnskapen inn i sin egen virksomhet. Så litt nysgjerrighet er bra. Samtalen skal være uformell, det skal være en form for casual nerd samtale. Dere to er lærerne, jeg er eleven og det vi skal gjøre først er å gå inn på den første delen som er noen grunnleggende konsepter ved sikkerhet, før vi i del 2 går inn på noen gode eksempler. I del 3 så skal vi inn på best practice, og da skal vi snakke om grunnprinsippenes oppbygning og logikk, og til slutt så skal vi bruker LØRN som et eksempel i en workshop hvor dere to skal få lov til, som Mnemonic utsendte hjelpe oss å få god sikkerhet generelt i vårt lille univers av digitale ting som vi driver med i den spredningen som vi har. Høres det her greit ut gutta?
Jens: Veldig bra.
Ulrik: Ja.
Frode: Da tenker jeg at vi må bli litt bedre kjent med Mnemonic aller først. Så Jens, hva er Mnemonic, og hva driver dere med?
Jens: Altså Mnemonic, det er et selskap som ble etablert i år 2000 og begynner å bikke 300 ansatte nå og er et Norsk selskap som har hovedkvarter her i Oslo, så er man til stede i en del andre land som Sverige, Storbritannia, USA også sentral Europa nå den siste tiden. Vi driver i utgangspunktet utelukkende bare med informasjonssikkerhet, og vi er kanskje mest kjent for det som er en monitoreringsløsning som vi kaller det. En løsning som vi bruker for å oppdage sikkerhetshendelser som er kjent under navnet Argus eller Argusplattformen. Det er nok det Mnemonic er mest mest kjent for, men vi leverer egentlig alt innenfor informasjonssikkerhets tjenester, altså som jeg nevnte Argusplattformen. Vi leverer veldig mye på produkt, som brannmurer og rett og slett hardware for informasjonssikkerthet. Vi leverer penetrationstesting. Altså sikkerhetstesting, der man setter seg ned med en gjeng med tekniske testere som kan da prøve å finne sikkerhetshull. Om det er i produkter, om det er i infrastruktur, om det er i nettløsninger, det gjør vi. Og Ulrik og jeg, vi jobber i det som er konsulentavdelingen til Mnemonic, som er grc, altså governance, risk og compliance som hovedsakelig driver med sikkerhetsstyring. Det er sånn jeg vil si Mnemonic er kort oppsummert, eller hva Ulrik?
Ulrik: Jo, det støtter helt ut. Det er derfor vi er her og snakker om sikkerhetsstyring, for det er det vi gjør til daglig, hvor vi hjelper virksomheter med å oppnå forsvarlig sikkerhet på en bærekraftig måte.
Frode: Da kjenner jeg meg veldig trygg, for hvis dette er hverdagen, så blir det en lærerik samtale for meg også, og det blir spennende. Men Jens, hvem er du og hvorfor i alle verdens dager havnet du i Mnemonic eller innenfor sikkerhetsdomene?
Jens: Ja det er et godt spørsmål. Hvis vi går tilbake til den tiden jeg var i forsvaret, gikk hærens befalsskole, også jobbet jeg noen år i grensevakten også husker jeg at jeg satt så litt på det her på Youtube, og så sikkerhetsverden litt annerledes ut. Man kunne få til ganske mye med veldig lite, og det var en interesse som trigget hos meg, også begynte jeg å undersøke litt, at dette kunne jo vært interessant å se litt nærmere på. Så da begynte jeg på NTNU og tok en grad innenfor informasjonssikkerhet. Eller heter egentlig kommunikasjonsteknologi og digital sikkerhet for å være helt presis. Og underveis der så får man testet veldig mye. Jeg fikk testet både den tekniske sikkerhetsdelen, altså å være en sånn type penetrasjonstester og gjøre sikkerhetstester, men jeg fikk også vært innom Mnemonic i den perioden. Jeg fikk se litt mer hvordan det er å jobbe med sikkerhetsstyring, og jeg tror kanskje erfaringen min derfra var at jeg synes det var mer interessant å ha den tekniske forståelsen, men allikevel klare å jobbe med organisasjoner for å få til endringer og bli bedre på sikkerhet. Så det tror jeg var sånn kort oppsummert min vei til Mnemonic.
Frode: Bra. Ulrik, hvordan havnet du i dette?
Ulrik: Jeg egentlig kjenner meg egentlig litt igjen i det Jens sier. Originalt, så jeg for meg at jeg skulle studere noe innenfor informasjonsteknologi og skulle gå en IT linje, men jeg havnet også på sporet til forsvaret og har fått utdannelsen min i forsvaret, og jeg har gått det som nå heter cyberingeniørskolen, hvor jeg har fått en bachelorgrad i informasjonssikkerhet blant annet. Etter det så har jeg også jobbet en del i forsvaret, hvor jeg foretrakk å jobbe med informasjonssikkerhet. Også har jeg bare valgt å fordype meg mer og mer i det. Og etterhvert så fant jeg med Mnemonic, et selskap som kun ønsker og drive med det hvor jeg får muligheten til å spesialisere meg i det, og stortrives med det.
Jens: For det tror jeg er veldig stor forskjell på Mnemonic, og en del andre virksomheter. Vi driver jo utelukkende med informasjonssikkerhet. Det er mange som også driver med det, men vi driver bare med det.
Frode: Så dere er kall det ekspertene på dette, men det er bra, og jeg er jo også fra Forsvaret, og har fått min utdanning og oppvekst der så vi har mange fellesnevnere å tusle videre på her. Det jeg er litt interessert i da det er hvordan jobber Mnemonic? Hvordan filosofi har de for å skape verdi for kunder eller partnere der ute? Dere sier dere har litt sånn smal fokus. Dere er veldig styrt inn mot informasjonssikkerhet, men hvordan gjør dere dette her, hvis du kan på en kort måte forklare dette her?
Ulrik: Jeg kan starte. Jeg og Jens representerer den avdelingen i Mnemonic som kanskje går tettest inn mot det som er virksomhetsledere. Og alt det vi gjør er egentlig knyttet opp til de, fordi sikkerhetsstyring må gå gjennom det øverste nivået. Og når vi starter en samtale med en kunde som ønsker mer informasjon om hvordan de skal kunne få på plass forsvarlig sikkerhetsnivå i sin virksomhet, så starter vi gjerne med å få et bedre bilde av virksomheten hvor vi ønsker å forstå hva er businessmodellen deres? Hva er det det de gjør? Hva er det de lever av, hvilke tjenester er det? Sånn at vi kan få en veldig god forståelse for virksomheten som er veldig viktig for å lykkes med sikkerhet. Så det er en veldig viktig del av den oppstartsamtalen som vi har, og noe av det første vi ønsker å gjøre er å kartlegge basert på det virksomheten driver med, hvilke verdier er viktig for dem? Sånn at vi kan bygge videre på det sånn at det blir forsvart, og at man kan ha forsvarlig sikkerhetsnivå som vi snakker veldig mye om når vi jobber opp imot kunder og generelt innenfor informasjonssikkerhet.
Jens: Ja, det tror jeg også er veldig viktig. Du nevner jo ikke at det kanskje er en fallgruve hvor mange tenker at det er en løsning som passer for for alle, men sånn som vi ser i vår hverdag er jo det at hver case er ganske unik, og det må tilpasses rett og slett for hver enkelt virksomhet.
Frode: Men jeg lurer fortsatt på, for jeg har jo bakgrunn fra forsvaret og nasjonal sikkerhetsmyndighet, og jeg hadde en sånn opplevelse at mange så på sikkerhet som bare en kostnad, noe som var vanskelig å få implementert. Du fikk løsninger som ikke var funksjonelle på samme måten, så det var mye negativitet knyttet til dette. Så hvordan tenker dere rundt det for å få til en form for bærekraftig utvikling av organisasjoner hvor funksjonalitet sammen med et fornuftig integrert sikkerhetsnivå er det som da skal forme fremtiden? Hvordan gjør dere dette her? Jeg skjønner jo at dere blir kjent med virksomheten, men det er jo en lang vei å gå for å få til ordentlige gode løsninger på dette.
Ulrik: Ja der tror jeg du treffer noe av den problematikken vi møter hver dag, rett i rota. En ting er å starte og begynne å snakke om virksomheten, men en annen ting er å sette det her i systematikk og få på plass sikkerheten som gjerne er en utgift, men det er en utgift for å kunne oppnå og ta ny risiko og velge nye veier og hele tiden utvikle virksomheten. Og jeg opplever at hvis man skal være veldig god på sikkerhet, så må man være ganske pragmatisk. Man må ha en tilnærming til sikkerhet som gjør at man ikke bare er det vi kaller compliance drevne eller sånn etterlevelse. Det handler mye mer om å få sikkerhet som faktisk passer til virksomheten, og som virksomheten faktisk kan bruke sånn at du får en reell form for sikkerhet og ikke bare noe som står på et papir.
Jens: Ja, også tror jeg også at det man ser gjennom endring over tid, det er jo at det er mange av våre kunder hvor det er viktig å være gode på sikkerhet fordi de selger typ en tjeneste eller har en eller annen form for leveranse der kunder av de igjen begynner å kravstille sikkerhet, og her begynner man å få ganske like interesser da. At kunder fra våre kunder begynner å stille krav til sikkerhet og på den måten så må man faktisk for å komme gjennom for eksempel med anbudsprosessen, så må du ha den sikkerheten på plass, så det er jo på en måte en veldig sånn klar motivasjon for veldig mange, og i hvert fall starte sikkerhetsarbeidet da hvis man ikke allerede har gjort det.
Frode: Ja, veldig interessant. Lystne har jo skrevet mye om disse lange og uoversiktlige verdikjedene som har oppstått som en konsekvens av en veldig digitalisert verden. Og jeg skjønner jo da at angriperne, trusselaktørene har mange flere valg på å komme seg inn der de vil inn gjennom disse verdikjedene. Og det kan løses som dere sier gjennom kravstilling, men kan dere beskrive hvordan trusselbildet ser ut nå? Nå har vi en litt ekstraordinær sikkerhetspolitisk situasjon i Europa. Så gjerne si litt hvordan dere har opplevd at den har vært med på å forsterke eller svekke det bildet som dere legger til grunn når dere skal hjelpe ulike virksomheter med å kartlegge den trusselen de står overfor.
Ulrik: Det ordet som gjerne blir brukt er skjermet risikobilde som går igjen, spesielt fra myndighetene sin side. Og det er absolutt noe vi også opplever. Vi har ikke nødvendigvis sett de store angrepene som man kanskje trodde tidlig i februar kunne komme til å skje utover som krigen i Ukraina utviklet seg, men det er fremdeles ikke noe mangel på digitale angrep, og vi har også sett sammen med myndighetene i Norge at det er en stor vekst på digitale angrep. Og jeg legger merke i en rapport fra ibm som sier at hele 83% av virksomheter verden over har blitt utsatt for et digitalt angrep. Så det her er absolutt noe man må være forberedt på. Så hvis jeg skal si litt om trusselbildet for virksomheter, når vi vet at det er så mange som 80% da som vil bli truffet av en form for et digitalt angrep, så handler det nettopp om å beskytte seg selv. En ting er å forstå verdikjedene sine, men vel så viktig er også å ta kontroll på det du har kontroll på, så må du kravstille de tjenestene du eventuelt bestiller i sikkerhet til å hjelpe deg med å opprettholde et forsvarlig sikkerhetsnivå. Jeg opplever når det kommer til det digitale domene, så er det utfordrende å kommunisere dette med trusselbildet. Det utvikler seg raskt, og man må forstå at man spiller et spill mot en motstander som bruker teknologi og ønsker å ta til seg ny teknologi for å utnytte det, for å oppnå sine mål. Det spillet der er ganske utfordrende å forholde seg til. I hvert fall for virksomheter som kanskje ikke nødvendigvis har den kompetansen og forståelsen innenfor det digitale domene. Det som kanskje gjør det her ekstra unikt er at man må forstå at man også er sårbar for det vi kaller spillover effekter eller ringvirkninger, at du nødvendigvis ikke trenger å være målet for en trusselaktør. Det kan være det at du blir indirekte truffet av et digitalt angrep, som gjør det her enda mer komplekst. I tillegg så kan angrepet være på andre siden av kloden, så det er veldig mye som kommer til spill, og det er derfor det er veldig viktig for virksomheten at det første vi gjør er at vi må forstå verdiene. Sånn at vi så kan se på hvilke trusler som kan påvirke deg og utgjøre en fare for dine verdier.
Frode: Men Jens, vi snakker om trusselaktører som et litt sånn sterilt begrep på noe der ute. Hva er dette for noe? Jeg husker i gamle dager så snakket vi om statlige aktører, organiserte kriminelle, disse velkjente gutteroms hackerne som drev på. Hvordan ser dette bildet ut i dag?
Jens: Nei, jeg vil si at vi fortsatt bruker de samme begrepene, også er det noen flere som har kommet til, og noen flere som har gått kanskje. Det er jo som Ulrik sier, man har jo rullert metodene, og det er jo nye metoder som hele tiden kommer til. Det som er typisk når Ulrik og jeg ser på ulike virksomheter, er jo å prøve å forstå hvilke type trusselaktører er det som er aktuelt for denne virksomheten? I stor grad så er jo det fortsatt kriminelle aktører som ønsker å ha en profitt, rett og slett, og tenker at de vil ha en kortsiktig gevinst. Så det er jo sånn virkeligheten er for ganske mange. Også må man mappe opp dette med hvilke typer metoder det er sannsynlige at disse trusselaktørene benytter seg av, for å så sette inn det som er riktig tiltak.
Frode: Nå har vi snakket litt om trusselene, vi har snakket litt om verdiene. Hvilke sårbarheter ser dere som er sånne gjengangere hos virksomheter dere er ute og kikker på? Har dere en sånn 10 på topp eller 3 på topp? Hva er det dere alltid ser?
Jens: Det kommer litt an på. For Ulrik og jeg ser veldig mye på organisasjonen, også er det jo noen ganger at vi må understøtte dette med tekniske tester også. Det er på en måte da det virkelig begynner å bli interessant. Det er da vi skal kunne validere de resultatene man har med den tekniske testingen. Hvis man skal liksom bruke en sånn sekkebegrep der, så er jo kanskje feilkonfigurasjoner for å bruke det uttrykket som vil omfavne ganske bredt spekter. Det er nok det man ser ganske mye av. At man har et bilde av hvordan ting ser ut, at man tror man har satt opp nettverket sitt på denne måten, men så viser det seg at det ikke stemmer, og det gjelder også for de som er i skyen, altså feilkonfigurasjoner. At man rett og slett har gjort en feil underveis, at man tror man er veldig sikker, men så viser det seg at man ikke er det likevel. Det er en ganske sånn gjenganger i mange av de stedene eller mange av de organisasjonene som vi er ute og jobber med.
Ulrik: Også kan jeg legge til der, at det vi gjerne ser på som Jens sier her, vi kommer inn fra et sånt sikkerhets styringsperspektiv. Det er ikke alltid vi kan se en sterk tilknytning til hvilke roller og ansvar for sikkerhet som finnes i organisasjonen. Det kan fort bli rotårsaken til at man mislykkes på for eksempel å sikre en e-mail server eller en filserver. At de mekanismene man gjerne sørger for og går i orden ved god sikkerhetsstyring, gjør at hvis de glipper, så glipper gjerne annet sikkerhetsarbeid også.
Frode: Men da lurer jeg på. Jeg har en sånn opplevelse at sikkerhet er liksom et sånt eget spor i mange virksomheter, og hvor dette med roller og ansvar blir litt sånn på siden. Så man kan si at de topplederne og HR, altså styring av menneskelig utvikling og ressurser er en åpenbar del av dette her. Risiko knyttet til salg eller hva det må være, men sikkerhet den er liksom litt på siden. Ser dere noen endringer i dette her, eller er det sånn mange steder fortsatt?
Ulrik: Man ser nok kanskje en liten forbedring, men det er fortsatt et tilfelle spesielt når vi har en sånn første touch med kundene. At nå kommer Mnemonic også går de til IT ansvarlig også ordner dere dette og får det på plass. Det er ikke helt sånn dette skal fungere. La oss si at du gjør en risikovurdering der man avdekker en del sårbarheter. Da blir det jo veldig fort et kostnadsspørsmål rett og slett. Er dette risikoen man skal ta, å akseptere den risikoen, eller skal jeg faktisk gjøre noe med den? Og det er jo gjerne en IT ansvarlig som sitter der og sier nei, men dette er det som er budsjettet mitt. Dette er det jeg har fått, og den tilgjengeligheten og det kravet jeg har til å ha tilgjengelighet systemer, det er trumfer alt. Hvis ikke jeg er tilgjengelig, så “that’s it.” Men når det kommer til den konfidensialitetbiten, som man har et veldig sterkt ønske om ivare ta, så blir ikke det prioritert rett og slett. Og det kan nok være litt det samspillet, hvor man sier at man gjerne setter sikkerhet på utsiden, man setter gjerne en sikkerhetsansvarlig som jobber i den IT gruppa for den organisasjonen, også får man på en måte ikke løftet det her opp nok sånn at man får orientert om de trusler eller i sårbarheter som foreligger, og man har typisk en ledergruppe som ikke er informert rett og slett over hva som er dagens status. Så Ulrik og jeg jobber veldig mye med akkurat dette, å kommunisere de sårbarhetene som ligger der, og sammenstille det slik at det er forenlig med det en ledergruppe eller virksomhetens ledelse anser som sin risikoappetitt. Det er et begrep vi bruker veldig mye, altså hvor risikovillig er egentlig denne organisasjonen.
Frode: Veldig spennende. Noe annet som er veldig spennende. Det er jo disse fenomenene og begrepene innenfor sikkerhet. Det er jo en jungel der ute med virus, ormer og mørke nett, det er det er mye mye å ta tak i. Kan dere lede oss igjennom de viktigste begrepene og fenomenene som vi bør kjenne til eller bør forstå for å kunne forstå hva det kan gjøre med oss, eller hvordan det kan treffe oss på en eller annen måte?
Ulrik: Det synes jeg er et veldig godt spørsmål, og noe vi ser veldig mye på. I det siste, så har jeg sett mye på ai og maskinlæring spesielt. Spesielt mye i nyhetene nå har jo vært den chat botten som kan gi deg svar på alle mulige problemer. Den svei og for virksomheter, så betyr det masse nye muligheter. Her er det et potensial som de kan bruke for å få nye gevinster og løse og tilby bedre tjenester. Samtidig er det vår rolle å gjøre oppmerksom på det nye risikobildet man vil utsette seg for ved å ta i bruk sånn type ny teknologi og gjøre det at vi ønsker å bruke denne teknologien her som en måte å drive vekst i virksomheten, men vi skal gjøre det på en forsvarlig måte. Og det er der bærekraftige løsninger kommer inn, og må være litt pragmatisk. Da må man forstå at det er risiko å ta i bruk noe nytt, men samtidig være den enableren som gjør at man kan ta det i bruk.
Jens: Absolutt. Også en annen forlengelse av det. Sky er et begrep, som jeg tror alle har fått med seg siste siste årene. Det man ofte ser der, er at det er veldig mye bra man kan få til. At du kan øke sikkerheten ved å gå til sky, men dessverre blir det litt sånn neglisjert ganske ofte fordi man tenker at vi flytter til skyen, også er vi trygge da. Så det tror jeg er verdt å ha med seg. En annen ting jeg tenker vi bør nevne er jo ransomware eller løsepengevirus. Jeg kan jo kort forklare det. Jeg tror mange har begynt å få med seg hva det er for noe. Det kan skje ved at man får tilsendt et virus. For å forklare det, så er det rett og slett bare det vi kaller skadevare, ikke sant. At det er en form for kode som kommer inn til deg eller til en pc eller laptop som begynner å kjøre en form for skadelig vare, også begynner den da å kryptere både din maskin, men det vil også prøve å spre seg videre til infrastrukturen og kryptere det ned. Når den har gjort, eller hvis ikke det da oppdages, så vil jo det ende med at veldig mye av din data blir kryptert og at trusselaktøren vil spørre om å få løsepenger for at du skal få dataen din tilbake, så det blir en sånn form for utpressing. Du vil ha dataen tilbake, pluss at de også vil selge den videre dersom du ikke betaler for det, eksempelvis på det mørke nettet som nevnt.
Frode: Ja, det er jo nesten en annen verden for mange dette her. Hvis du i tillegg kan si litt om et begrep som mange hører mye om, altså blockchain. Hva er det for noe egentlig?
Ulrik: Blockchain er noe jeg egentlig ser mest i forhold til digital valuta. Kanskje der jeg har best kjennskap til funksjonaliteten til det, men vi ser det også bli brukt opp imot kunstverden. Hvor vi har sett masse nyheter komme. Det det tillater å gjøre er å lage et nettverk av anonyme folk man kan stole på for å holde et slags sertifikat eller en token som alle i det samfunnet kan stole på. Ja, jeg vil si det handler om tillit i blockchainen, at de kodene som blir knekket der er verifisert av alle i nettverket som gjør at du kan ha tillit til de transaksjonene som går. Og for vår del da, så vil jeg ikke si at det er nødvendigvis noe jeg har vært borti hos mange kunder og virksomheter som tar i bruk, men jeg tror jeg vi opplever det som et litt sånn ungt miljø og vi ser også flere som ønsker å utforske den delen og den verden.
Frode: Ja, veldig bra. Litt sånn mystikk på slutten. Jeg tenker vi har kommet oss igjennom den første delen av samtalen vår og gjort folk litt klokere. Så skal vi fortsette straks med noen eksempler, så Jens og Ulrik, takk så langt.
Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkende og skapende. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen tilbake til vår andre forelesning i vår LØRN masterclass om sikkerhet. Jens og Ulrik, dere tok oss igjennom en grunnleggende introduksjon til sikkerhetsdomene i første del, og nå skal vi snakke litt om noen gode eksempler. Da tenker jeg at vi bare skal la dere kjøre på. Så Ulrik hvor starter vi?
Ulrik Sagelvmo: Vi skal starte med en case, jeg var på tidligere i år, egentlig i starten i januar februar tider. Hvor det var en kunde som hadde blitt utsatt for et angrep. Systemet deres ble tatt ned og de hadde behov for både det å håndtere det angrepet, men også stable seg på beina igjen. Og da gikk vi fram for å hjelpe de med å gjøre de to tingene her simultant, sånn at de både kunne få jaget ut denne angriperen, men samtidig også kunne få på plass tjenestene og levere de tjenestene de gjorde sånn i normal drift. Og igjen da, når vi går inn her, selv om det er hendelseshåndtering så er det mange branner som man ønsker å slukke, også er det viktig for oss å forstå virksomheten og verdiene. Så selv om det er veldig høy puls blant folk, så ønsker vi å kunne senke den også snakke gjennom, hva som er viktig for oss og dere å gjøre sammen nå? Og den rollen jeg hadde inn i dette her var å hjelpe virksomheten med å forstå hvilke tjenester som var essensielle og grunnleggende for å få opp og for å bygge videre tjenester. Fordi veldig store virksomheter, har mange ulike tjenester og spredt utover hele det norske land. Så det å kunne starte med hva er det viktige nå og senke pulsen litt og bygge videre på det var veldig viktig. Og var en kritisk suksessfaktor, vil jeg si.
Frode: Kan jeg spørre om en ting? Var det sånn at de fikk noen varsler underveis som de ignorerte, eller var det sånn at det bare traff uten at man egentlig hadde fått noe forvarsel på det skulle skje eller kommer til å skje?
Ulrik: Nei, så det viste seg jeg under den analysen som vi gjorde at denne aktøren hadde oppdrett litt smart, hadde vært veldig forsiktig i starten. Vi kaller det gjerne rekognosert, at de hadde prøvd å opparbeide seg informasjon om systemet og prøvd da å få til seg større og større tilganger sånn at de kunne gjøre mer ugang. Og det var under denne fasen hvor aktøren eller den angriperen prøvde å få aksessere større deler av nettverket. Det begynte å gå noen varsellamper, og man klarte faktisk å oppdage aktøren før den hadde utført et angrep. Så her var man faktisk ganske gode på å oppdage at man var utsatt for mistenkelig aktivitet, før faktisk angriperen rakk å utføre noe av voldsom skade, men man måtte uansett ta ned systemene sine. Fordi det fotfestet som vi gjerne kaller det, at en aktør får på systemene de ønsker vi å få bort. For hvis du plutselig fortsetter å gjenopprette systemene dine, så vil bare denne aktøren komme tilbake, så vi måtte sperre den ute, og da måtte vi også ta ned disse systemene.
Frode: Spennende. Jeg har et spørsmål til også knyttet til det. For det vil si de hadde en eller annen form for deteksjons mekanisme som gjorde at de så dem. Det er interessant å høre mer om, men så er jeg også spent på ideene om at man er sikker på at man har stengt noen ute av nettet. At jo større nett, jo vanskeligere kanskje? Kan dere si litt om det?
Ulrik: Ja, det sistnevnte var en reell utfordring. For det tar tid å gjøre, det vi kaller for attribusjon. Altså finne ut hvem denne angriperen er og finne ut skalaen på dette fotfestet. For i store nettverk så kan det være på så mange steder, og det tar tid å gå tilbake i logger, og det svarer litt på det første spørsmålet ditt når det kommer til dette med deteksjonskapasiteten. Så er det flere virksomheter, som nødvendigvis ikke har så god oversikt over hva man logger. Og gjerne så er det noen innstillinger som er satt opp, og de er gjerne for tynne til å gjøre gode analyser, forensics analyser av nettverket og hvordan en aktør har opptrådt. Så det er også noe vi går inn når vi snakker med virksomheter. At de må ha forståelse for, hva er deteksjonskapasiteten og hva trenger man hvis man oppdager noe for å kunne finne nettopp dette fotfestet til aktøren og hvordan den har manøvrert seg rundt i nettverket ditt.
Frode: Kan du si litt om hvordan det endte for denne virksomheten? Endte det godt?
Ulrik: Det endte godt. Ble vesentlig det vi kaller en slags modenhetsreise, altså man vokser og man systematiserer sikkerhetsarbeidet i organisasjonen, og det gikk helt fra toppnivået til dette med å få roller og ansvar og den sikkerhetsorganisasjonen på plass, helt til veldig gode deteksjonskapasiteter på teknisk nivå. Sånn at man hadde sikret hele kjeden for å nemlig sørge for at denne aktøren var kastet seg fullstendig ut av nettverket, og man hadde en mye sterkere modenhet knyttet til informasjons sikkerhetsarbeidet i virksomheten etterpå.
Frode: Så bra. Jens, har du noe på på lur av gode historier?
Jens Dovland: Ja, jeg kan spille litt videre på det Ulrik nevnte. Også en ganske sånn lik type hendelse, bortsett fra at det gikk ganske dårlig, veldig, veldig lenge. Man hadde blitt fullstendig kompromittiert, rett og slett av et løsepengevirus. Hvor man hadde kommet til et tidspunkt der hvor alt var stengt ned. At nå var det bare stopp, også må vi finne ut veien videre herfra. Så på en måte for en virksomhet, så kan man jo se for seg der hvor på en måte alt er nede, du får ikke printet, du får ikke mail, det er ingenting. Det som var ganske interessant, var at man holdt på med denne forensics prosessen som Ulrik nevnte, altså etterforskningen. Man prøver å finne ut hva som har skjedd, og det holdt man på med ganske lenge, helt til det ble sånn spørsmål. Sånn hvor lenge skal vi holde på med dette her? Fordi, en av grunnene til at man gjør denne forensics prosessen det er jo tilknyttet at hvis noe skjer, så tenker veldig mange av vi har backup, ikke sant? Hva gjør vi hvis noe skjer? Det går nok fint, for vi har backupen vår. Det er for så vidt rett, men så blir spørsmålet, da må vi velge hvilken dato vi skal gå tilbake til. Vi hadde vel en ganske god stund tilbake, men vi må jo vite da at når vi går tilbake til denne datoen at ikke trusselaktøren allerede hadde etablert seg i dette nettverket. Og det er jo derfor vi prøver å gjøre dette med forensics eller etterforskningsarbeidet for å forstå, hvordan var det man egentlig kom seg inn? At man med noen form sikkerhet da kan si at, hvis vi går tilbake til denne datoen, så vil vi være trygge. Det som da har skjedd, er jo at man faktisk ikke har de dataene som trengs for å kunne si med sikkerhet når man skal rulle tilbake til. Så da var vi inne og gjorde noen vurderinger rundt dette, og på en måte belyste noen sannsynligheter for når man skal gå tilbake til. Men hvis en måte trekker en parallell videre til dette med sikkerhetsstyring, så var man jo ikke informert, vil jeg påstå, om hvilken risiko man tok ved å la være å ha disse funksjonalitetene på plass. Og når man da ender i den situasjonen, så sto man egentlig på bar bakke og kunne ikke si noe om om trusselaktørene etablerte seg her for syv dager siden, eller om det var 6 måneder, et år tilbake. Og det vanskeliggjør, og er på en måte et veldig stort hinder for det videre arbeidet, som gjør at man i mer eller mindre grad aldri kan egentlig si når denne trusselaktøren faktisk etablerte seg.
Frode: Jeg ser jo at det sannsynligvis er vanskelig å vite hvor mye data du skal logge og hvilken data du skal logge for å kunne gjøre de riktige analysene. Så jeg antar jo at det er noe dere har mulighet til å veilede i, sånn at man gjør gode vurderinger på dette. Dere snakket jo litt om at kompetanse i å gjøre gode vurderinger, om det var i sky eller ellers, altså at man har konfigurert ting feil. At det er noe dere ser ofte. Så den kompetansebiten her må jo være et viktig gap å lukke antar jeg?
Jens: Absolutt, også er det veldig sånn i starten, at hvis man begynner å se på styringssystemet og sånne ting, så blir det ofte snakket om verdivurderinger, og finne ut hva som er verdiene dine. Fordi underveis i en sånn modenhetsreise som Ulrik sier, så vil du måtte gjøre en del valg. Og for mange virksomheter så er realiteten i det at man ikke kan ha logg på alt, eller vi kan ikke ha monitorering av alt. Vi må gjøre noen prioriteringer underveis. Og da blir det tilbake til spørsmålet, hva er verdiene dine? Hva er det som er viktigst for deg å beskytte? Så hvis du kun har midler for å overvåke eller ha logger fra de stedene og de tingene, så bør du da ha en god forståelse om hva er det som er viktigst å beskytte. Så den virker kanskje litt abstrakt hvis man skal begynne å sette seg inn i disse styringssystemene og sånne ting, men det vil på en måte besvare veldig mange spørsmål som kommer underveis senere i prosessen, når man ønsker å øke modenheten sin innenfor informasjonssikkerhet. Så en god verdivurdering i bunnen, det tror jeg hjelper for mange.
Frode: Ja, det høres lurt ut. Veien inn, den kan jo komme på flere måter. Du kan ha hacka et passord. Du kan ha kjøpt deg en tilgang til en passord dop på det mørke nettet hvor du har en handelsplass med litt sånn ulike data som kan brukes i et sånt crime access service perspektiv. Kan du si litt om i dette tilfellet hvordan var veien inn og samsvarer det med det dere ser som de normale måtene å komme seg inn i andre systemer på?
Frode: Jeg kan forsøke å si noe om noe om hva utfordringen var med akkurat denne casen. Det er jo at man ikke helt vet nøyaktig hvordan det skjedde. Så vidt jeg vet fortsatt den dag i dag, egentlig helt hvordan hvordan dette skjedde, men som du sier da, det med gjenbruk av passord og brukernavn er en veldig kjent vektor, og det er jo derfor man i veldig stor grad bruker tofaktorautentisering som gjør at den angrepsvektoren blir drastisk redusert. For det er sånn som du sier, at det er ganske lett for en trusselaktør å bare ha en enorm database med brukernavn og passord. Det er helt vanvittig hvor mye av brukernavn og passord som er på avveie. Da er det enkelt for en trusselaktør å bare sortere. Er de interessert i denne virksomheten, så kan man bare sortere på dette domenet. Altså hvis du jobber i en virksomhet også bare sorterer på det domene også forsøke med de med de brukerne og passordene. Det er en veldig enkel måte, men som blir bedre med bruk av to faktorene som blir åpenbart bedre.
Frode: Jeg må spørre deg før vi går videre, dere har jo egne pentest team også, og jeg husker fra min tid i nsm at ikke bare hadde man gjenbruk av passord, men man hadde jo noen sånne 10 på topp på passord, hvor det kan tilsynelatende se ut som ingen av de gode passordrådene som har kommet de siste 10 årene har synket inn hos de folkene som lager passord eller de i virksomhetene som stiller krav til hvordan passord skal se ut. Har dere noen tanker rundt det her?
Jens: Jeg tror at det som er i litt forandring, er at man kanskje tidligere gikk rundt og hadde en sånn passordpolicy, ikke sant? Det sto på et dokument at du må ha 10 tegn og du må ha ditt og datt, også er man kanskje mange som er svar skyldig, og sier at det visste jeg ikke om eller jeg bruker liksom sommer 2021 og de klassiske passordene, fordi det er veldig vanskelig å gå rundt og huske på masse passord hele tiden. Det man ser nå, er at man i mye større grad har mulighet til å si teknisk håndheve hvordan utfordring av passordet skal være for en virksomhet. Så ved at man har fått mye mer sånn sentral styring, altså eksempelvis ved at man har flyttet til sky, så kan man si at i denne virksomheten, så har vi disse kravene til passordene som gir en mye mer trygghet. For da er det ikke bare ord på et papir, men det er en form for operasjonalisering av de passordene man har hatt tidligere, så det er nok en ganske stor forskjell da, men igjen, som jeg nevnte med sky, så er det en sånn type mulighet som ligger der, men som dessverre ikke så veldig mange velger å benytte.
Ulrik: Altså kanskje det store hjertesukket her er at passord kan knekkes, selv om du har et veldig sterkt passord. Og det er kanskje derfor hele informasjonssikkerhets verden anbefaler dette med tofaktorer eller multifaktorisering, sånn at man nettopp unngår det at man kun trenger et passord for å komme seg til disse verdiene, til virksomhetene. At det ligger mer til enn som så.
Frode: Nå har vi jo krypto knyttet til de produktene vi bruker som er bygd på dagens systemer. Kvante er på vei innover, og mange tenker seg jo at det kommer til å gjøre noe med de gamle passord løsningene våre i tiden det vil ta å knekke det. Fra liksom år til kanskje mer minutter når dette er på plass. Hvordan forbereder man seg på det skiftet når kvantedatamaskiner med den enorme regnekraften som ligger i det treffer? Og hvordan kommer det til å treffe sikkerhetsverdien som dere er en del av?
Jens: Her tror jeg det er mange som har mye svinn på skogen for å for å kalle det, og kanskje ikke har tenkt så veldig langt rundt dette, rett og slett. Det tror jeg på en måte er min tanke bak dette her. At det er fokus på at man bruker algoritmer, altså passordalgoritmer som står imot type kvantemaskinkraft. for å kalle det. Det tror jeg ikke er foran i pannebrasken på veldig mange virksomheter der ute.
Ulrik: Nei, så er det nødvendigvis ikke alle som trenger å ha det fokuset. For en trusselaktør, en som ønsker å kunne bruke denne teknologien til å knekke kryptering og da kunne lese ut forskjellige verdipapirer og få tilgang til de, de kan være unyttige, altså ikke av verdi lenger når man kommer litt fram i tid. Vi vet at norske myndigheter er ganske opptatt av dette her. Hvis vi sender høygraderte meldinger som egentlig ikke kan bli frigitt før om 30 år fram i tid, men hvis de kan bli knekt 10 år frem i tid, så vil man få tilgang på informasjon, og det er noe vi absolutt er veldig varsom på når vi ser på dette med kvanteteknologi. Man er redd for at man kan samle store mengder med gradert informasjon også senere knekke dette som du er inne på.
Frode: Har vi noen andre eksempler som vi bør kikke litt på eller noen andre fenomener som er viktig å ta hensyn til når man skal gå inn som vi skal gjøre neste gang, og se på styringen av vår egen sikkerhet?
Ulrik: Jeg vil gjerne legge til noe der. Altså hvordan lykkes med sikkerhet? Der tror jeg det ligger veldig mange sårbarheter, og de veier inn som du nevner her. Og for å kunne forsvarlig sikre deg, så er litt av nøkkelen å ha det vi kaller et holistisk perspektiv, altså forstå hele virksomheten din og kunne plassere sikkerhetstiltak der det gir mening er veldig viktig for å nettopp kunne lykkes med sikkerhetsarbeidet. I forlengelse av det så er dette med modenhet veldig viktig. Du må forstå, hvor er det du hører hjemme i sikkerhetsverden? Hva er godt nok? Også hele tiden jobbe systematisk med det og utbedre. På den måten så vil man lykkes med sikkerhet.
Jens: Ja, jeg kan ta et relatert eksempel til dette. For jeg tror veldig mange som hører på det her og skal begynne å undersøke litt i organisasjonen, så vil de veldig ofte være avhengig av en form for driftsleverandør. Det er jo sånn det har blitt for veldig mange organisasjoner. At man har outsourced IT, også IT-sikkerheten. Så viser det seg ofte at når vi er ute med en del kunder og gjør typisk sånne tekniske tester og organisatoriske sjekker, så finner man ganske store svakheter i de driftsleverandørene. Det tror jeg mange tar litt for gitt, at de stoler veldig mye på sine driftsleverandører. Også blir nok de litt sånn svar skyldig for de er jo veldig opptatt av å ha et godt kundeforhold med sine kunder. Og det er jo selvfølgelig veldig forståelig, men det at man tar opp tråden og enten om man stiller krav, om man har det med i kontrakten med driftsleverandøren, altså at man hvertfall engasjerer driftslederen og gir en tydelig forventning til hvordan man ønsker at det skal være. Det tror jeg er veldig viktig for mange. For det er ofte ting vi ser, Ulrik og jeg. At vi er hos virksomheter og sier at, nei dette har driftsleverandørene ansvar for, også følger man ikke det opp i det hele tatt.
Frode: Så det du egentlig sier, er at kombinasjonen av teknisk kompetanse og juridisk kompetanse er helt avgjørende hvis vi skal outsource for eksempel en tjeneste som også inkluderer sikkerheten. Jeg tror det var en fin avslutning på eksemplene. Den neste samtalen skal jo dreie seg om, kall det best practice standard og det vi har valgt å fokusere på i dag er det som nsm har kalt grunnprinsipper for sikkerhetsstyring, men også med de 3 underelementene som da reflekterer personellsikkerhet, digital sikkerhet og fysisk sikkerhet. Takk for samtalen så langt, også er vi tilbake om noen få strakser. Takk skal dere ha gutta.
Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkende og skapende. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen til tredje samtale i vår LØRN masterclass om sikkerhetsstyring med Jens og Ulrik fra Mnemonic. Vi har i den første samtalen snakket litt om de grunnleggende fenomenene og konseptene for sikkerhet og i forrige samtale var vi innom noen gode eksempler som setter scenen for det vi skal snakke om nå; Hva er det vi kan gjøre? Så skal vi ta en kikk ned i verktøykassen og se på det nasjonal sikkerhetsmyndighet har valgt å kalle sine grunnprinsipper for sikkerhetsstyring. Da skal vi ned i de underliggende delene av dette her, som dreier seg om IKT, digital sikkerhet og selvfølgelig personellsikkerhet. For det henger sammen. Vi kan egentlig bare starte med at dere kan fortelle meg litt rundt hvorfor vi har disse grunnprinsippene og hvordan er de bygd opp? Er ikke det en start, mine herrer?
Ulrik Sagelvmo: Ja, nsm gjør det veldig fint fordi de snakker om 4 grunnprinsipper akkurat som du nevner. Da kan man se for seg en trekant og helt øverst i den trekanten er dette med sikkerhetstyring, som er en suksessfaktor for å lykkes med personellsikkerhet, organisatorisk sikkerhet og digital sikkerhet. Innenfor alle disse 4 grunnprinsippene, så er det igjen 4 faser man gjerne snakker om. Det går på å identifisere og kartlegge, det går på beskytte og opprettholde, det går på å oppdage og til slutt håndtere og gjennomrette, og dette er likt for alle 4 grunnprinsipp. Men hvis vi starter med det øverste, altså sikkerhetsstyring, så er det akkurat det vi har snakket om tidligere her nå, dette med å forstå dine verdier. Det gjør du gjennom det vi kaller en risikovurdering, og risikovurderingen ligger til grunn for hele sikkerhetsstyringen. For at virksomheten skal kunne nå sine mål, så krever det risikosport. Der er det forskjellige metodikker, men jeg vil si det viktigste er å forstå verdien i virksomheten, forstå hvilke trusler du er utsatt for og hvilke sårbarheter som ligger i virksomheten din. Gjennom det så kan du besvare hvilket behov du har for type personellsikkerhet for fysisk sikkerhet og digital sikkerhet.
Frode: Før vi går videre. Det er jo små og store virksomheter, som skal forholde seg til dette her, og jeg antar at man må ha en eller annen form for grunnkompetanse for å gjøre en risikovurdering, eller er det noe som alle kan gjøre basert på det man finner på nettsidene til nasjonal sikkerhetsmyndighet og isåfall, hva trenger man av annen informasjon eller dokumentasjon for eksempel knyttet til trussel for å få noe ut i andre enden som faktisk hjelper deg?
Jens Dovland: Bare for å spille på det Ulrik sa, altså å forstå virksomheten. Og det er kanskje litt sånn forutsetning for å komme gjennom en sånn type øvelse, enten om det er ved hjelp av eksterne, eller om du gjør det om du gjør det selv, så er det på en måte å forstå, hvem er det som er involvert her da? Altså typisk som de må kartlegge interessentene. Og for å bare nevne noen eksempler der, så kan man si at det er en egen del som handler om personellsikkerhet. Da vil det være naturlig at for eksempel HR er med på den biten og for å skjønne hva man driver med driver der. Et annet eksempel er jo innkjøp. Hvem i denne organisasjonen er det som har ansvar for innkjøp? Hvilke rutiner har man for dette? Og også det mer åpenbare tekniske da, hvilke mekanismer for både deteksjon og monotorering er det vi har i dag? Så det er jo en av de første stegene, å skjønne hva har man innad i organisasjonen, og hvem bør være involvert i et sånt type prosjekt?
Frode: Og hvis jeg leser deg riktig da, så beskriver du en modell, hvor det egentlig er et linjeansvar på de ulike nivåene og ta innover seg de ulike elementene som personellsikkerhet og digital sikkerhet, for eksempel, i sitt system. Eller tenker man seg at man har dyttet det til ikt avdelingen med cybersikkerhet? Du nevnte HR og personellsikkerhet at det ligger der. Hvordan er de magiske løsningene her for å få dette til å bli holistisk, som var begrepet dere brukte i stad?
Jens: Ja, dette er utfordrende, og det er nok det mange synes er ganske vanskelig. Det er nettopp dette, man tenker jo gjerne at informasjonssikkerhet er en del som ligger under under it, men sånn som vi har vært innom før, så er det jo spennende såpass vidt i organisasjonen da. Og det er jo kanskje det morsomste med informasjonssikkerhet. At du ender opp med nesten alle avdelinger i en organisasjon? Hva var det du spurte om?
Ulrik: Jeg kan legge til en del av det man gjør når man jobber med sikkerhetsstyring. Det er nettopp å identifisere organisasjonen sin sikkerhetsorganisasjon, og den må jo være etablert sånn at den klarer å fange opp de utfordringene som ligger i virksomheten. Altså du må ha de aktørene i virksomheten din som både kan forstå sårbarheter i virksomheten din, men samtidig også ha myndighet til å kunne gjøre noe med det. Og det er derfor vi er veldig. Ja, noe av det vi gjør er nettopp dette med lederforankring, og når jeg sier lederforankring, så kan man til og med si at det ikke alltid er nok det. Det er faktisk sånn at til og med daglig leder må ha et forhold, også når det kommer til digital sikkerhet og ikke bare personell eller fysisk sikkerhet også. Så det at daglig leder da også kan forsikre seg om at han har medhjelpere som på en måte også fremmer utfordringer i virksomheten opp på det nivået, sånn at man kan ta de rette tiltakene for å så møte de utfordringene virksomheten står overfor. Det er veldig, veldig viktig.
Jens: Altså bare for å komme tilbake til det du spurte om med linjeansvar. Altså det kan kanskje fungere som et type linjeansvar, men man ser jo det som blir mer og mer vanlig er jo at man har en type sikkerhetsansvarlig rolle som har et mandat som strekker seg over hele organisasjonen. Typisk referert til en chief information security officer som blir stadig mer vanlig for å holde denne koordineringen på tvers av alle de områdene som man har innenfor en virksomhet. Også at du får en sånn type sånn kontroll, eller skal vi si compliancefunksjon. Sånn som jeg nevnte innledningsvis, at man har gjerne har et bilde på hvordan nettverket sitt ser ut, og man har disse rutinene og de står her, og det ser veldig bra ut, men følger vi dette? Er det operasjonalisert? Hvor god er vi på etterlevelse? Det er spesielt, kanskje mindre virksomheter som sliter med å ha en sånn type funksjon.
Frode: Fin intro. Ulrik sa, det er delt i 4, og vi starter med kartlegging. Kan dere dra oss igjennom disse ulike elementene eller fasene i grunnprinsippene, så vi får et sånt bilde av hva det innebærer å gjøre en vurdering knyttet til grunnprinsippene?
Ulrik: Så hvis vi starter med sikkerhetsstyring, så er den første delen dette med risiko, og få på plass en risikovurdering for virksomheten. Man må forstå interne krav og også eksterne når det kommer til dette med regulering lovgivning som man også må ha med inn når man skal finne ut hvilke krav til sikkerhet man må ha i virksomheten. Så må vi identifiserer truslene og avdekke sårbarheter. Ut fra det, så kan man tenke seg ulike scenarioer hva som er relevant for virksomheten og handle på det. Det er på en måte det som er identifisering og kartlegging. Og når du går videre, så vil du begynne å tenke på, nå har vi disse scenarioene, nå skal vi beskytte, og nå skal vi opprettholde virksomheten. Da må du tenke på hvilke veier inn i systemene mine finnes det? Vi har blant annet systemene våre som står er digitale, en kan komme inn der via å hacke seg inn, men man må også tenke på personellsikkerhet og fysisk sikkerhet. Så vi kan ha for eksempel en insider, vi kan ha noen som har brutt seg inn for å bare nappe ut harddisken i passervernet vårt. Så det handler om å bygge en tilnærming til sikkerhet som er helhetlig. Det er derfor vi må ta med de tre andre, altså personell, fysisk og digitalt sett i ett. For sammen, så får du da et helhetlig bilde av sikkerheten i virksomheten. Så hvordan skal du da virkelig lykkes med det? Da har du en god risikovurdering, men du må også gjøre dette systematisk. Og da begynner vi gjerne å snakke om styringsverktøy for informasjonssikkerhet. Her finnes det også veldig mange veier til rom, men for meg så er det viktigste at virksomheten har et system som funker for dem, som gjør at de hele tiden kan kontinuerlig jobbe med å forbedre sikkerheten i virksomheten.
Frode: Hvis vi tar det enda litt lenger ned da. Vi skal jo planlegge for deteksjon, vi skal planlegge for å håndtere hendelser, vi skal planlegge for mange elementer, også skal vi planlegge for hvordan vi skal nå den nye normalen når vi har vært utsatt for noe med sannsynligvis noen justeringer for å forbedre oss ytterligere for å unngå at noe skal skje med oss igjen. Hvordan forholder vi oss til til det? For jeg kan jo tenke meg, at for dere som sitter med dette i hverdagen, så er det en mye enklere reise enn for en leder av en virksomhet på 15-20 personer, hvor du egentlig må være litt sånn enmannsorkester på masse av dette her. For en ting er de store virksomhetene, men Norge har rundt 600.000 små mellomstore bedrifter som på et vis representerer mangfoldet i de utfordringene som dere beskriver. Hvordan skal vi gjøre dette? Jeg antar at Equinor og Statkraft og disse store tunge aktørene de har en zizo, men det er ikke sikkert at virksomhet x fra Løten har det. Så hva gjør virksomhet x fra Løten?
Ulrik: Så jeg kan starte. Jeg vil tørre å påstå på at du kommer til å bli angrepet en gang. Det gir ikke noe økonomisk mening og sikre deg 100%, og det er forsåvidt veldig tilnærmet umulig. Så de må også ha planer for å kunne handle når du blir angrepet, og for en virksomhet på luften som det nevner her, så handler det om også kanskje tenke seg gjennom disse scenarioene man har utarbeidet i en risikovurdering tidligere. Så tenker jeg, hva hvis det skjer, hvordan skal vi handle da? Vet vi hvem vi skal snakke med? Vet vi hvilket personell som kan hjelpe oss med å håndtere dette? Er det noen som vi kan en strekke hånd ut til for å få hjelp og den type tankegang? Sånn at man kan legge et slags beredskapsplanverk for hvordan agere dersom dette skulle forekomme? Og det må også trenes og øves og spilles på da. Så jo mer kompetanse, jo bedre, men samtidig så tilbake til litt den pragmatiske tilnærmingen til sikkerhet. Selv om man har bygget seg et scenario, så er det veldig lite sannsynlig at det kommer til å spille seg ut nøyaktig sånn som man har tenkt, så man har en plan også handler man etter det, men man også forstå hvordan situasjonen utvikler seg. Og bare det å ha spilt med disse tankene så er en del gjort. Så må man sørge for at man får det ned på papiret, også kan man forbedre det etter hvert som man lærer mer og forstår mer.
Jens: Også bare for å understøtte det er Ulrik sier. Jeg kan forstå at det virker veldig overveldende hvis man går inn til en gruppe og tenker ja, nå skal vi følge alt dette, og det er for det første veldig dyrt, også tror jeg det er ganske komplisert for veldig mange, men som Ulrik sier, så er jo risikovurderingene som ligger i bunnen her, og som egentlig danner utgangspunktet for de prioriteringene du skal gjøre senere. Så å starte med det og legge inn kruttet der man mener det er høyest risiko, det er det som vil gi mening for veldig mange.
Frode: Grunnprinsipper er jo på et vis noe man må gjøre en Serie av vurderinger knyttet til for å få mening ut i andre enden. I gamle dager, så hadde vi jo litt mer sånn skjematisk tilnærming til dette. Vi hadde en del tiltak som man på et vis sa, gjør du dette, så vil du kanskje unngå så mye som 90% av alle hvert fall de mest vanlige typer angrep man kan utsettes for. Er det fortsatt sånn dere snakker om pragmatikk i dette her? Er det fortsatt sånn at det er noen tiltak som alle bør gjøre, helt uavhengig av risikovurderinger også videre? Eller skal alt være knyttet til opp til verdier og den risikovurderingen som er er gjort?
Ulrik: Det er et veldig godt spørsmål, og jeg vil si at det ikke nødvendigvis er sant at man må gjøre nøyaktig akkurat det som er tilknyttet opp til sine verdier. Det er litt med den teknologien vi bruker og benytter oss av som er bygget på det samme fundamentet og inneholder også flere av de samme sårbarhetene som vi ser går igjen. Vi kan jo si at det er mange trusselaktører som er veldig opportunistiske. Altså de bruker de enkleste metodene de kan finne på for å oppnå måloppnåelse. Altså, de vil ikke bruke de mest sofistikerte angrepsvektorene sine for å ta det. Jo lavere, jo bedre på en måte. Samtidig så hjelper det dem å skjule seg bedre også i form av at da er det vanskelig å vite nøyaktig hvem som kan stå bak dette angrepet. Så det finnes sikkerhetstiltak som absolutt er veldig fine og som vil dekke majoriteten av de vi vil kalle som opurtinistiske og enkle angrep, men når det er sagt så handler det mye om å ha oppdateringer. For det er gjerne da driftsleverandørene og leverandørene av disse tjenestene som passer på å lokke disse sårbarhetene. Så for deg, så handler det da om å oppdatere og patche disse systemene sånn at man har siste versjon. Det som kan være litt vanskelig for en virksomhet er nettopp det å tolke disse grunnprinsippene. For de beskriver kanskje litt mer et behov for sikkerhet, men ikke nødvendigvis hvilke tiltak eller hvor det skal plasseres. Vi bruker også gjerne begrepet herding, altså bare det å sette på plass deteksjonskapasiteten er utfordrende, for det finnes veldig enkle deteksjons muligheter, men det finnes også svært sofistikerte metoder for å kunne gjøre deteksjon. Det å finne ut hva slags kapasitet er det jeg trenger? Og da snakker vi om det vi var inne på tidligere med bærekraftige løsninger. Altså, hvis du er et lite selskap, så trenger ikke du det hotteste kraftigste verktøyet for deteksjon nødvendigvis for å kunne forsvare seg. Det er litt der vi hjelper virksomheter med å forstå hva det er på markedet? Hva er det som passer virksomheten deres? Sånn at man kan bygge en forsvarlig bærekraftig løsning hos virksomheten.
Frode: Veldig spennende, men leser jeg dere dit hen da at enkle tiltak knyttet til kanskje oppgradering av maskinpark på den ene siden, eller kanskje sørge for at det som er i bruk er koblet til, og det som ikke er i bruk lenger er fysisk koblet fra? Jeg har har noen sånne eksempler, sånn historisk på gamle servere som har tuslet og gått selv om det ikke har vært i bruk og som da har vært den lates vei inn i ganske komplekse store systemer. Så snakker vi om å oppgradere programvaren med programvareoppdateringene som gis ut regelmessig. Er det noe annet? Man snakker jo mye om dette med at man prøver å få administratorrettigheter når man har kommet seg inn. Man har fått et fotfeste. Er det noen tommelfingerregler man kan bruke der for hvem og hvordan man bør tildele de rettighetene som gir deg virkelig mulighet til å påvirke systemet negativt da hvis du har onde hensikter?
Ulrik: Ja, så vi kaster jo ut masse begreper, både dette med zero trust, least privilege som på en måte er akkurat det du beskriver her. Det handler om å segmentere nettverket ditt så mye som mulig og fornuftig. Så hvis vi tar det ganske langt, så kan man til og med ha egne- ikke bare har du en administrator med brukerrettigheter, men du har mange administrator kontoer- for å gjøre helt spesifikke oppgaver i miljøet ditt. Så hvis en av disse skulle bli kompromittert, så er på en måte skadeomfanget mye mer begrenset i hva den kontoen kan faktisk utføre. Kanskje kan den opprette nye brukere? Den kan ikke slette, den kan ikke kjøre i gang nye systemer eller hoppe over, og man går videre til andre løsninger og kompromittere. De er veldig lukket og isolert, og det er på en måte sånn vi ønsker at virksomheter skal jobbe med sikkerhet, nettopp fordi du da kan ta nye løsninger fram med mye mindre risiko.
Frode: Spennende, hva med det å whiteliste ting som gjør at man blokkerer det ukjente eller åpenbart ondsinnet programvare. Er det en utvei for de som ønsker å bli tryggere?
Ulrik: Ja, det er det absolutt. Whitelisting er noe jeg opplever gjennom zero trust, altså i nettverket vårt. Så stoler vi egentlig ikke på noen, men det er utfordrende for samtidig så trenger du en funksjonalitet og angrepsvektoren din kan gjerne kan gå gjennom disse whitelisttilgangene uansett. Så det er legitim trafikk, og det er jo svært utfordrende å forholde seg til, og da må du også ha flere lag med sikkerhet og sørge for det. Det er absolutt dersom man ikke har gjort denne wrestlingen. Hvilket trafikk er det vi faktisk skal ha inn og ut og ikke tillate den trafikken man ikke har behov for eller skal ha en funksjonalitet for. Altså jo flere åpninger man har inn til sitt eget miljø, jo flere sårbarheter har man automatisk, og jo større er risikoflaten, så bare det å gjøre denne whitelistingen ved å forstå hvilke verdier, hvilken funksjonalitet det er som vi skal betjene og servere i vårt miljø? Jo, det er kun de vi skal forholde oss til, resten lukker vi. Da har du automatisk bare der stengt ned mange inngangsveier til nettverket ditt.
Frode: Ja, det høres veldig lurt ut. Er det noe annet vi bør tenke på i et planleggingsperspektiv eller deteksjons perspektiv? Hva blir den nye normalen? Jeg antar at når man har vært utsatt for noe og man gjenoppretter så har man lært noe som gjør at man kanskje endrer noen ting. Hvordan understøtter grunnprinsippene den prosessen, og i praksis, hvordan er det man gjør det?
Jens: For å spille litt videre på det vi allerede har sagt, så tror jeg man har en haug av sikkerhetsmekanismer som man kan velge, så er det tilbake til at vi må være helhetlig og si noe det som er fornuftig for den virksomheten her å gjøre, og at man er klar over de konsekvensene som det innebærer, og ikke gjør det. I mange tilfeller så vil mange bare si at den risikoen aksepterer vi, sånn vil det være i denne virksomheten.
Frode: Bra. Det var noen kloke avslutningsord. Da har vi snakket oss gjennom grunnprinsippene. Vi har snakket oss gjennom hvordan de henger sammen, og da skal vi ta en liten pause før vi kommer tilbake. Dere skal få lov til å bli litt bedre kjent med LØRNs organisasjon og tekniske kapasiteter. Også skal dere få gi oss noen gode råd på veien, inntil da, ha det bra.
Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkende og skapende. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Frode Skaarnes: Hei og velkommen tilbake til den fjerde og siste samtalen i vårt mikrokurs om sikkerhet. Gjestene mine er fortsatt Ulrik og Jens fra Mnemonic. I denne siste samtalen så skal vi ha en liten workshop hvor vi skal se hva de faglærte gutta her kan gjøre for LØRNs tilnærming til til sikkerhet innenfor det domenet som vi er. Aller først, så skal jeg fortelle litt om LØRN, slik at dere har et utgangspunkt å jobbe med, for da sier vi at settingen er at jeg har tatt kontakt med Mnemonic og fått tildelt dere to som to karer som skal komme inn og se på rigget vi har rundt sikkerhet og i hvilken grad det virker fornuftig eller ikke. Kort om oss, vi er et lite selskap på cirka 15 ansatte. Vi har våre leverandører i en stor global verden. Vi har en kar som lager avatarene våre som sitter i Chile. Vi har en kar som sitter i Serbia og redigerer videoene våre, og vi har et backoffice post production team i Montenegro, som jobber med å holde kontroll på en del av elementene våre. Så det er sånn som vi ser ut med folka som er viktige leverandører eller ansatte i lag. Når det gjelder, hva gjør vi? Så er det jo sånn at vi lager digitale produkter, for eksempel pod og videocaster som vi holder på med nå, og du kan si at gullet vårt er det. Verdien vår er alle de ulike mikrokursene vi har laget som ligger på vår plattform og som må være tilgjengelig 24/7 for at vi skal kunne gjøre det vi har lovet til våre viktige kunder. Disse læringsmodulene, de er som jeg sa i stad, podcaster, det videocast det, men det er også full tekstversjoner, og det er quizer, og det er refleksjonsoppgaver. Vi har lagt opp bøker, det vi kaller for cheat sheets, infographics, så vi har masse sånne sidetetting som er en del av pakken vår, men som også er viktig for oss at er tilgjengelig. Når det gjelder hardware så er det sånn at vi er jo moderne, så alle har fått lov til å velge om de vil ha PC eller Mac. Vi jobber fra der, hvor vi er. Vi har et kontor i Oslo, og vi har distribuert sånn at folk kan jobbe fra vårt nettverk fra der de måtte være. Vi bruker ulike software systemer som Streamyard som er det vi tar dette opptaket på, men også en del andre software løsninger som for eksempel når vi er ferdige med oss. Så vil speech to text programmet vi bruker ha laget en full tekstversjon av den samtalen som vi har hatt. Vi bruker ulike verktøy for å publisere dette her, og vi bruker ulike sosiale medier for å skaffe oss den oppmerksomheten vi trenger for å få boosta lyttertallene våre, for det er også en viktig del av dette. Så vi har, til å være en liten aktør mange ulike elementer som er knyttet sammen for at vi skal kunne levere og jobbe effektivt og ikke minst ta vare på informasjon til kundene våre på en god måte i et sikkerhetsperspektiv og i et gdpr perspektiv. Vi har ingen sikkerhetsansvarlige, vi har delegert det til den enkelte, så man er ansvarlig for sikkerheten i de ulike prosessene som man er ansvarlig for å gjennomføre, og vi har noen retningslinjer knyttet til deler av virksomheten vår. Det vi ønsker nå, det er å sette sikkerhetsstyring høyt oppe på agendaen og få en ordentlig strukturert og god tilnærming til hvordan vi bør gjøre dette fremover for å ivareta gullet vårt, verdiene våre på en måte som vi har risikoaksept til, så da er egentlig spørsmålet, hvor starter vi hen, Jens?
Jens Dovland: Ja, det er jo et spørsmål som mange stiller og som du sier, så ønsker vi å sette dette litt høyere på agendaen, og da er jo kanskje det første spørsmålet, hvem skal gjøre det? Og sånn som du sier Frode, så gir du jo en veldig god verdivurdering. Det er jo egentlig det du gir som en intro her. At man har en veldig god oversikt over hvilke verdier det er man har, og man gjør også en vurdering rundt hvilke systemer eller funksjoner det er som er med å understøtte disse verdiene? Der har man jo et ganske godt utgangspunkt. Så hvis du hadde fått det du sa i introduksjonen her ned på papir, så er jo det et ganske godt utgangspunkt for videre arbeid, rett og slett. Så det er en god start, men så kommer man videre på beskyttelse av disse verdiene. Og for å på en måte komme videre til det steget da man kan begynne å gjøre gode risikovurderinger, så ville jeg nok laget det som heter en risikoprofil som er forankret i ledelsen. Du nevner jo en del ting her med samarbeidsaktører, og at det er viktig at man bevarer sin integritet. Så hvis jeg tenker sånn litt sånn stort på det, så kanskje handler dette om noe med omdømmerisiko rett og slett da, ikke sant? Hvor går tålegrensen rett og slett på det? For at de som er gjester også videre skal føle at det er det er ivaretatt, og at man klarer å knytte til seg eksempelvis nye samarbeidspartnere videre. Så jeg ville etablert en sånn risikoprofil som sa noe om hva som er innenfor vårt tollområde. Du nevner også for eksempel det med tilgjengelighet, og det er viktig for at dette er tilgjengelig. Det måtte vi alle produsere. Vi snakker ikke liksom så kjempe oppetid, men det er viktig at det er tilgjengelig. Og ikke minst sånn som nevner dette med konfidensialiteten, at det ikke skal komme på avveie, at andre kan benytte seg av det. Så etter at man har sett på hvilke prosess man har og man har etablert en risikoprofil, så går man jo da framover til risikovurderinger. Også må man begynne å mappe opp dette her da. Ok, hvordan kan dette påvirke de verdiene vi har? Det ville jeg begynt med, å se, vi har disse podcastene, de lagres her, da må vi ha den og den formen for beskyttelse inn hit. Hvilke andre mekanismer? Jo vi kan ha backup. Kanskje ikke den backupen skal lagres på samme sted som der vi har backupene våre, så vi har en ekstra sikkerhet der. Ok, hvordan gjør vi tilgangsstyring inntil det som er podcastene våre? Det er ting jeg tenker er veldig naturlig å se på. Ja, men så er det jo ikke sant. Det er så mange valgmuligheter her da. Så hvilke systemer er det som understøtter dette. Det er viktig for oss. Da må vi legge kruttet vårt der. Bare det å gjøre den vurderingen der er ofte noe som tar ganske lang tid, eller virker kompleks fordi de ikke en god oversikt over de verdiene som de ønsker å beskytte. Som må man se hvilke tiltak du kan sette inn og faktisk operasjonalisere og sette inn de tiltakene og se at de fungerer sånn som de er tiltenkt.
Frode: Bra, Ulrik, hva tenker du når du hører statusen? Jeg blir jo litt glad når jeg får beskrevet at det ikke rakettforskning vi driver med, men allikevel, det er viktig å ha oversikt. Så det sjekker jeg av som et startpunkt i kartleggingen. Hva tenker du Ulrik, hvor går vi videre?
Ulrik Sagelvmo: Så jeg har da tatt med dere og gjort en litt identifisering og kartlegging og tatt den biten og gjort det vi kaller en konsekvensvurdering, så hadde jeg hatt lyst til å vite at du sier at dere har noe sikkerhet. Dere har gjort dere noen tanker, og som regel så har man alltids noe sikkerhet. Så jeg hadde gått sammen med dere, også hadde jeg funnet ut, hva har vi på plass og kartlagt litt den sikkerheten som er, også sånn at vi har en slags bunnlinje å forholde seg til. Så går vi tilbake til konsekvensanalysen. Hvor er det en mismatch, hvor er gapet? Da har vi gjort en slags modnes vurdering som vi bruker for det meste, sånn at da kan vi lage en roadmap, en vei til at man kan komme til det sikkerhetsnivået man ønsker, altså der man har en risikoappetitt. Hva handler det om, hvor er det vi skal sette inn disse sikkerhetstiltakene sånn at man kommer på det nivået da.
Og det er ofte det som er første touchen for veldig mange. Det er jo det man kaller en modenhets vurdering. Da må man rett og slett gjøre en måling av sikkerheten i virksomheten sett opp mot beste praksis rammeverk, altså da typisk nsms grunnprinsipper som vi har snakket mye om. Iso 27 2001 er også et ganske standard rammeverk for å gjøre målinger ut fra hva som er dagens status, rett og slett.
Frode: Jeg lurer på en ting også. For dere nevnte i stad er dette med etterlevelse. En ting er liksom å ha systemene på plass da, det å etterleve det, og det er jo litt sånn kulturperspektivet på dette her for oss som har et fargerikt fellesskap praktisk talt over hele verden. Hvor etablerer man en felles kultur. Har dere noe noe forslag til hvordan man kan gripe an noe sånt?
Jens: Ja, jeg tror, der er det er mange veier å gå, men jeg tror jo et nøkkelord er forankring, og at det er rett og slett er fokus på informasjonssikkerhet i virksomheten, at man har en talsperson for informasjonssekretær i konsesjonen. Det tror jeg er med på å styrke bevisstheten for alle? Jeg vet ikke hvordan ting er satt opp teknisk nå og sånne ting, men det man gjerne ser er at man starter fra en mindre virksomhet også har du den type utstyr og en annen har en annen type også bygger man en sånn snøball som bare ruller og ruller, også plutselig så er en organisasjon på over hundre mennesker, og da begynner man å miste kontroll så på en måte på et eller annet sted underveis da, så må det gjøres noen vurderinger. Når er det de ulike sikkerhetsmekanismene på en måte begynner å komme inn da, ikke sant? Sånn som vi snakket om tidligere, at man har for eksempel sentral styring av passord, og krav til passord. At man på en måte begynner å bygge sånne ting tidligere. For jo lengre og lengre du venter, jo dyrere og mer omfattende blir dette her, ikke sant? Du nevner at man har en del systemer som man har nå også hvis man går 5 år fram i tid da, så har man kanskje enda flere systemer, og da blir med en gang spørsmålet, hvordan skal man forvalte dette? Har man typ sånn felles innloggingsløsninger, de vurderingene der. Så det er jo litt typisk at man. Kanskje ser man at man har gått fra å være ganske små, enten å vokst veldig, veldig fort, også begynner man å stille seg spørsmål egentlig litt for sent. Hadde man gjort disse tiltakene når man var 15, 20 personer, så hadde det på en måte ikke vært så omfattende og hadde ikke vært så komplekst, men når vi skal begynne å gjøre sånne type endringer på en organisasjon som er over 100 stykk, så blir det med en gang veldig, veldig komplekst og veldig dyrt ofte da. Så det er derfor man kommer litt tilbake til å ha kontinuitet da. Dette sikkerhetsarbeidet er sånn, vi tar en stor runde nå, også ser vi hva som skjer videre i veien framover. Så det er derfor man alltid snakker om dette med kontinuerlig forbedring, og at det må være kontinuitet i arbeidet og at man ikke bare kan gjøre det sånn periodevis.
Frode: Det er veldig, veldig bra. Jeg beskrev jo gullet vårt som det digitale materialet vi har, men jeg nevnte også gdpr i en bisetning, fordi gullet vårt oppstår jo ikke tilbake. Det oppstår ved at flinke folk som dere to har lyst til å være med i podcastene våre, og vi har jo da gjennom de 1300 podcastene vi har laget et nettverk av veldig spennende mennesker. De ønsker vi også å beskytte, fordi det har noe med et begrep som dere nevnte i stad, omdømmetap er jo fort noe som treffer virksomheter som oss. Så på hvilken måte kan vårt nettverk bli utnyttet? Hva tenker dere rundt det og hva bør vi gjøre for å sørge for at det ikke skjer? For det vil jo være utrolig uheldig for oss. Og for dem som dette vil skje med da.
Ulrik: Det stemmer nok, også tenker jeg umiddelbart at eposter- uansett hvilken organisasjon man går til- vil være en veldig viktig del av det, og her har du jo på en måte både sikkerhetskontroller som gjelder for den enkelte, men som organisasjon kan ta et større ansvar for med det jeg sier, og har disse tekniske implementasjoner. At når Frode logger på så bruker han to faktorer, og han bruker et passord som er sterkt nok, og det kan vi si med sikkerhet. Så da er det greit. Den andre delen er jo mer sånn teknisk da, for eksempel at ja vi ikke tillater at andre sender epost på vegne av oss som fortsatt i dag er en ganske sånn stor sårbarhet som ikke veldig mange er klar over. At man ikke gjør den der autentiseringen av epost, så man kan faktisk sende epost på vegne av dere. Og det er jo på mange måter det her kan utnyttes på. Eksempelvis, man kan se på hvordan faktura prosessene går. Er det sånn at man sender en faktura bare på epost og kundene antar at det kommer fra den adressen og da er det greit. Hvilke rutiner har man rundt det? Det kan jo være en ting som er skadelig.
Frode: Penger er viktig og omdømme er viktig. Det er jo sånn vi har et framtidig vekstpotensiale, så jeg ser den. Videre, du nevnte egentlig skille, altså det går et skille et eller annet sted hvor du slutter å være startup, og du har scalet opp til å bli en ordentlig virksomhet. Man bør kanskje gjøre noen ting på et tidspunkt som er hensiktsmessig uten at det koster for mye, og at det er praktisk gjennomførbart. Vi som har valgfrihet hos oss, på hvilket tidspunkt bør man redusere på valgfriheten, for eksempel til hardware eller må man det nå? Det jeg egentlig er på jakt etter her er at vi har lyst til å få lov til å være kreative. De skal få lov til å ha stor valgfrihet i hvordan de jobber og hvor de jobber, men innenfor vår risikoappetitt da eller risikoaksept. Er det noen sånne, kall det tommelfingerregler for hva som er lurt og hva som ikke er lurt knyttet til sånne ting som dette? Og som hvertfall er viktig for oss som er i kreative virksomheter?
Jens: Dette er jo vurderinger, ikke sant? Det er på en måte det viktigste at man tar den vurderingen, også tenker man over det ved mellomrom. Det tror jeg er det aller viktigste. Også er det litt sånn, i hvor stor grad skal tilfeldighetene styre det her da? Jeg vet ikke om eksempelvis så har man jo en driftsleverandør som leverer alt dette, fordi når man begynner å bli over et visst nivå da, så må man faktisk enten etablere en egen it avdeling, eller du må ha en partner som kan kan levere dette for deg. Og da tror jeg det er viktig at man er ganske grundig i det valget. For da vil man jo i ganske lang framtid være styrt over hva den driftsleverandøren faktisk tilbyr, både når det kommer på hardware siden og på software siden. Så jeg tror det er viktig at man knytter til seg en leverandør som kan levere det man ønsker på et langsiktig perspektiv, og at man ikke bare tenker pris i møte egentlig med en driftsleverandør. Så veldig mange blir nok litt vel påvirket av hvem de har som driftsleder og hva de tilbyr egentlig.
Frode: Så det du egentlig sier, er at når man vokser, så vil man også vokse inn i en form for form som gjør at man på et vis veiledes litt inn i lurere løsninger enn om man er liten og kan gjøre akkurat som man vil gjennom da større avtaler og mer profesjonelle, kall det leverandørkjeder inn mot deg selv. Er det sånn å forstå?
Jens: Ja, også tror jeg på en måte at man bør ta et valg. Hvor i førersetet skal virksomheten være, og hvem er det som har hånden på rattet? Er det virksomheten eller er det leverandøren. Det kommer helt an på hvilken leverandør man bruker, men å si noe om at dette er vår risikoprofil. Vi har kanskje disse policyene skrevet på hvordan vi ønsker at det skal være, men vi ønsker at dere skal liksom operasjonalisere de for oss da eksempelvis, også hvis man da ikke har kanskje den driftsmålen man burde valgt, så må man si nei, dette er ikke mulig med den type løsninger som vi har, men andre vil si, ja så klart det kan vi det kan vi ordne.
Frode: Hva tenker du Ulrik om verdikjede problemstillingene? For meg, så er sikkerhetsstyring noe du må gjøre uavhengig av størrelse på virksomheten, og der må du systematisere det på en hensiktsmessig måte som jeg tror er veldig nøkkelen her. Når jeg var på barneskolen, så lærte jeg noe om det kokende frosk syndromet. At hvis en frosk havner opp i noe kokende vann, så vil den hoppe ut med en gang, mens hvis du plasserer den opp i sjelen og du sakte varmer vannet til det blir kokende, så vil den bli værende. Og det er veldig viktig for virksomheter da å være observant på når vannet begynner å koke, og når det ikke blir for sent. Derfor vil man hele tiden måtte gjøre sikkerhetsarbeidet, sikkerhetsstyring kontinuerlig. Det er ikke noe treschows av nivåer hvor du må plutselig begynne å gjøre dette eller dette, men du må alltid holde det oppdatert, og det kommer også inn når du snakker med driftsleverandører og dine verdikjeder og ha oversikt over det, også kravstille det. Så har vi jo utfordringen at noen tjenester kjøper man av så store driftsleverandører at de betjener såpass mange at det er veldig liten fleksibilitet man har på hvilke krav man kan sette til sånne. Og da handler det litt om å forstå hvilken verdier er det de kommer og hvilke risikoer er inne i bildet her, og kanskje bruke andre sikkerhetstiltak da for å sørge for at man har det forsvarlige sikkerhetsnivået i bunnen der? Og det er veldig viktig å forstå akkurat de sårbarhetene som kommer med det å tjenesteutsette noe da. Så det er vel så viktig å ha oversikt på de interne sårbarhetene, men du må også forstå hva som du bringer med deg eksternt.
Frode: Hvis skal oppsummere, kan dere begge komme med hvert deres gode råd i prosessen og særlig til de virksomhetene som ikke er så store at de har store organisasjoner knyttet til sikkerhet som ivaretar disse ulike utfordringene, men gjerne der hvor det er litt mer sånn dugnad internt. Hva er rådene deres? Hvis vi starter med Jens først, hva vil du si? Hva er liksom det aller viktigste å gjøre?
Jens: Ja, det blir litt sånn repeterende. Men jeg tror nummer en, det er å gjøre vurderingene. Jeg tror mange mener at det er noe de ikke kan nok om, eller dette skjønner jeg ikke noe av. Jeg tror allikevel at du som sitter i virksomhetene kjenner dem veldig godt, og det er ikke sikkert at en ekstern ville komme og gi deg alle de svarene du håper på, så jeg tror nummer en faktisk er å gjøre disse vurderingene. Så tror jeg hvis vi snakker om veldig små virksomheter, så tror jeg nummer to er sånn cyberhygiene for å kalle det det. Det blir veldig sånn praktisk igjen, men på en måte ha to faktor på tjenestene dine. Bruk sterke passord. De to tingene tror jeg liksom er det aller viktigste hvis man skal tenke på sånn individnivå da.
Frode: Ja, bra. Ulrik?
Ulrik: Ja, for meg så er den store testen på om du har lykkes med sikkerhet, hvor godt det er du sover du om natta. Man har jo gjerne en magefølelse på hvor bekymringene ligger og hvilke svakheter som er her. Det opplever jeg og Jens når vi besøker virksomheter, at når vi begynner å snakke med de, så har de allerede gjort seg mange kloke tanker og refleksjoner, og vi stiller noen spørsmål, og gjennom det så får man kanskje svar på hvor kanskje skoen trykker, også kan man ta tak i det. Det er akkurat det jeg opplever igjen. Gjør disse vurderingene og start et systematisk arbeid for å sikre deg.
Frode: Og da er det altså sånn og oppsummeringsteknisk, ikke bare gir det bedre sikkerhet. Det gir bedre søvn om natta også, så det er jo mange fordeler med å ta tak i disse tingene. Jens og Ulrik, tusen takk for at dere ble med i dette mikrokurs vårt. Det har vært en lærerik og veldig hyggelig runde hvor dere har bidratt med kunnskapen deres. Så tusen takk.
Ulrik: Takk skal du ha.
Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et
Allerede Medlem? Logg inn her
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis.
Allerede Medlem? Logg inn her
