Velkommen til Teknisk Sett, en podcast fra TU. Mitt navn er Jan Moberg, og jeg står her med Rikard Holmått. Hei Jan. Hei Rikard. Du, nå er det snart sommer. Ja, det er sommer. Og så tenker jeg, tidligere så fikk jeg, jeg har fått sånne mailer fra ansatte som sier, Jan, send...
50 000. Jeg trenger penger nå. Så la meg ikke at jeg fikk i de pengene. Nei, men jeg kunne jo trodde at du sendte den mailen, men det gjorde du ikke. Dette her er jo en sånn klassisk felle folk kan gå i. Jeg vet jo ikke hvor mange som har gått inn, men jeg tenker jo med alt som skjer på den digitale fronten at det var greit å lage en podcast om...
og sikkerhet på nett og det var jo du, det leverte jo du som du bare sang etter Ja, altså jeg tror jo at veldig mange har fått basisoppdragelse nå men det er mye igjen Ja, folk har sittet mye hjemme i pandemitiden og jobbet mye digitalt Det er mye svindel, og det blir mer og mer sofistikert og det er skummelt Blir vi mer og mer lettlurte? Jeg vet ikke Nei, det tror jeg ikke, men de vil bli utsatt for mer avansert svindel
For at vi skal få enda litt mer voksenopplegning av Rikard, så har du invitert inn River Security, et relativt nystartet konglomerat, eller to mann som jobber med dette. Du kaller deg konsulent, Kristal. Du har jo vært både sikkerhetssjef og annet, men dette kan du mye om.
Ja, det er det jeg brenner for. Der jeg er født og oppvokst på en måte, på internett. Og du hører, vi har jo hatt sånne mailer som du sikkert er vel kjent med, men
Jeg må jo bare si med en gang, du må forklare sammenhengen om arbeidsmetodikken deres av navnet River Security. Riktig. Så River, elven, er faktisk et navn som vi valgte ganske bevisst i forhold til det å håndtere problemer i bedrifter lenger opp i strømmen av elven. Så det kan ta oss inn i en historie hvor man går over en bro for eksempel, og så hører man ord på at det har hjulpet litt lenger nede med elven. Man går ned der, og så ser man at et barn flytter ned over elven. Man redder opp barnet, og...
Hups, kommer det et par barn til. Flytter nedover elven. Til slutt så kommer det så mye barn at man gir opp. Og man sier, ha det bra, takk skal du ha. Jeg stikker. Men ikke for å forlate problemet, men for å gå opp elven og spenne han et tullball som hiver ut i alle ungen i elven. Gå til kilden. Og der kan man rydde opp mye bedre problemer. Og i IT-sammenheng og cybersammenheng, så klarer man av og til å finne de rotkåsene, eller de effektene som har størst
påvirkning av driften, uten at vi nødvendigvis skal sno opp ned på alt og gjøre store omveltninger. Du skal ikke til Nigeria, Russland og sånne ting? Vi skal ikke ha attentat på noen, nødvendigvis, men det finnes ofte løsninger til problemer som kan identifiseres, spesielt når man snakker med noen som flyter med i bransjen, som henger med, så er det av og til litt lavpengende frukter man kan plukke for å bli kvitt større problemer og større verk i bedrifter. Men hvordan er det sånn
meldingen fra deg før vi har kommet for langt inn i podcasten. Er vi gode på sikkerhet i Norge, eller er vi dårlige? Mitt inntrykk er at vi ikke er så veldig gode. Det er veldig mye svakhet der. Det er alt for lett å være hacker.
Er det fordi vi er naive, eller fordi vi er late, eller uvitne? Det kommer ofte ned på litt forskjellige ting. Så kan vi snakke om, snakker vi om bedrifter, så er vi kanskje litt late. De har vondt å gjøre endringer. Man ser kanskje at når man forsøker å gjøre endringer, så stopper noe å fungere, og så tør man ikke å gjøre endringer igjen. Fordi at det gikk ut til å være produksjon, for eksempel, og aldri mer tar den serveren. Fordi det var den dagen den krasjet, for eksempel. Ja.
Og da stopper man innovasjonen, man slutter å videreutvikle seg, og man får mer og mer sårbarhet eksponert etter hvert som man går veien videre. Det er jo sagt om nordmenn og folk i Norden at vi har høy tillit
Mens i andre land, som vi har sagt, har de lav tillit til oss i mellom. Er det en ulempe for oss når det gjelder sikkerhet? Digital sikkerhet? Det er fryktelig mye penger i omløp i cybersikkerhet og i svindel. Og stor grunn til det er på grunn av vår naive holdning mot det at vi er på internett.
Så vi må rett og slett være litt mer tøff og modig og utfordre de vi snakker med på internett for å få opp forsvaret. Det er fremdeles veldig mange vi snakker med som tror at internett er dette glade, hyggelige stedet hvor alle sammen kan ha det fint og festlig. Det er egentlig bare positive ting å si om det. Men sannheten er at vi er det samme nabolaget som de mest harbaket kriminelle på planeten. Som mafier, som mordere, som pedofile, som kriminelle svindlere og så videre.
De er i det samme nabolaget. Og der går vi da med lommeboken, hengende ut av rævhæren og tror at alt er greit. Nå må vi ta noen grep her, og det er klart. Ja, jeg er jo alltid usikker. Hvor sikre er vi? Altså, i en bedrift, hvor sikre er du? Dette skjer jo i de virtuelle rommene. Du har ikke noe koket. Du kan ikke se på en mur.
Det er et veldig godt poeng. Det som folk må vite, først og fremst, er at det ikke ofte er du som blir målrettet å angrepe. Det er ikke noen som sikter deg inn med en rifle og skyter deg direkte. I stedet for så hiver de fisker med dynamitt, eller bare hiver en håndgranat inn i skauen, og så blir du tilfeldigvis truffet.
Så det er sånn man blir hacket. Det er sånn ID-tyveri vanligvis kommer frem. Det er slik man mister alle pengene på bankkontoen, og så nekter banken å betale deg tilbake igjen. Det vi ser i media er bare toppen ut av et isfjell. Når kunder ringer meg, så er det ofte fordi at noen er blitt hacket, eller noen er besvindlet, og så videre. Og da må jeg sitte med advokaten, og sitte i søksmål, og så videre, fordi vi har tapt hundrevis av tusenvis av kroner. Og i noen tilfeller millionvis av kroner.
Det er jo ikke meg som har sagt at det er føgge. Nei da, og det er jo sånn jeg har tenkt. Jeg ønsker egentlig at denne podcasten skal bli fort ferdig som fy, sånn at jeg slipper å tenke mer på det. Det er sikkert en sånn reaksjon som mange har. Jeg tror det. Men Chris, vi var inne her før sendingen om å ta perspektivet først nasjonalt, og så på bedriftsnivå og enkeltnivå for å strukturere litt. Hva skjer på nasjonalt nivå, og hvor truet er vi?
På nasjonalt nivå har vi mange fiender. Selv blant venner slåss vi på internett. Det som er fokus mellom nasjoner, det går veldig ofte på informasjonsstjeling, bedriftsspionasje. Det handler om etterretning og vite, og ha mest mulig kunnskap om hverandres infrastruktur og operasjoner som foregår. Det er det ekstremt.
ekstremt mye verdi i. Og bare det at Norge har leiert det gjør at vi blir en stor målskive. Ja, altså i NATO-sammenheng og den type ting. For eksempel. Og det er big business. Det er også å ha informasjon om andre. Og dette kan private selskap jobbe med, og
statsbånds der privatselskapet jobber med, og at statene i seg selv jobber med å skaffe den interretningen, og det gjøres gjennom hacking. Og der er det liksom alle mot alle, er det ikke det? Jeg tror ikke vi bare forsvarer oss uten at jeg vet noe om det. Nei, vi skal jo ikke nødvendigvis, ja, det vil jo kanskje etjenesten kunne svare på, men det som er litt sånn å tenke på er at når vi gjør rekondisering på internett,
så er ikke det en krigføringsakt. Du kan bryte deg nærmest inn i andre bedrifter uten at det anses som å sende missiler over landets granser. Så det er litt sånn udefinert dette krigsspillet. Hva betyr egentlig krigføring på internett? Hvor tid har du gått over streken? Og derfor tar alle seg til rette, sant?
Og noen har kanskje vært der uten at du vet det. Ja, vi ser jo det på land som Schweiz for eksempel, som i fire til fem år har hatt hele flyindustrien sin hekket og kompromittert. I fire til fem år. Det kunne hende det lenger, men vi har ikke logger som sporer tilbake igjen. Vi har ikke bevismateriale som går lenger tilbake igjen. Vi trenger en Genev-konvensjon for det digitale området, men jeg er ikke sikker på om vi får det. Nei, det er ikke så lett å følge, men du var inne på dette med tretingstjenesten. Vi må jo spørre siden du er her og driver med dette området.
utkastet ekom da? Ja, jeg synes jo det er litt dumt. For jeg som jobber i dette fagfeltet, jeg som kjenner på en måte hvordan man kan beskytte seg som individer og være anonyme, bare se på de kriminelle rundt omkring i dag. Det er veldig lett å være kriminell. Hvis man passer seg litt i hverandre, så blir man ikke tatt.
Og det er millioner, det er milliarder av penger i dette fagfeltet. Og da skal vi nå altså kaste et nett rundt alle norske borgere og si at du er terrorist til motsatt det beviset nærmest. Og det er forferdelig dumt, sånn at vi som har kunnskapen vet at det ikke er vanskelig å omgå. Nei, du kunne løst det på en annen måte. Det er der man egentlig bør ha diskusjoner på hvordan man skal sette innsatsen.
Jeg må bare innrømme, Rikard, at den loven har ikke jeg satt meg så godt inn i, men jeg ser jo poenget her. Ja, det er det altså. Men samtidig så slåss jo myndighetene med hva skal vi gjøre? De må gjøre noe. Ja, men teknologi beveger seg utrolig fort. Akkurat. Og det beveger seg alt for fort at politikere kan lage lover og regler. Når de er ferdige med lovene og reglene sine, så er vi fem år fram i tiden, sant? Og det er helt nytt. En ny fotballbane vi spiller på. Mhm.
Så det er litt vanskelig, en utfordring, som må håndteres gjennom åpenhet og dialog, ikke gjennom at grettene gamle gubber i et eller annet forsvar skal sitte og si hva som er best for oss, eller politikere som ikke har peiling.
Riktig. Det går for fort, ja. Det går rett og slett for fort, og det er litt synd. Men vi hørte jo i fjor at Hyder ble svindlet av noe alldeles grusomt, og det skjer også sikkert i mange andre bedrifter hvor vi ikke får høre om det. Så hvor utbredt er det her, og hvordan ser det ut videre fra vårt?
Det at bedrifter blir hacket uten at de målrettet hacket ofte. De blir hacket ut av tilfeldigheter. De hadde en sak som andre ikke hadde, og så ble de tatt. Det er kjempeutbredt, dessverre. Det vi leser om i media er toppen av et større isfjell. Når vi jobber i kjennelsesronteringssammenheng, så jobber vi med bedrifter som går nærmest konkurs. Fordi at de blir hacket. De har kryptert hele kjappen. Alle serverne, ingenting fungerer.
Hva er løspengene som gjelder? Du kan tro Mastercard har blitt svidd godt på bitcoins. Da handler du med terroristene eller de kriminelle. Og du får, du betaler løspengene, du deler opp kanskje betalingene i 4-5 betalinger, og så ber de om å få server etter server, så låser man opp igjen, så prøver man å hive de ut igjen. Og det er utrolig synd og skammelig å putte penger tilbake igjen på industrien. Men når du har bygget en bedrift i 25 år, og over natten så var alt vekk, og
Og du kan betale 250 000 for å prøve å få det tilbake igjen. Det var jubel på styrerommet siste gang jeg annonserte prisen. Det var mye mer penger som gikk tapt i timen enn det de krevde i løsepenger.
Men hva er de to første tipsene til bedrifter for å unngå å komme dit? Det gjelder å ha kontroll på den digitale anslutningen. Hele bransjen er full av smarte kollegaer som gjør en utrolig bra innsats i Norge i dag. Men det som vi må gjøre er å prøve å få kontroll på den digitale anslutningen.
Vi må skjønne hvor vi eksponerer ting til internett, og så må vi prøve å sikre det på best mulig måte. Og det som er for eksempel minimum, for å ta et helt konkret eksempel, så når det kommer til ansatte sine e-poster, så skal det ligge bak det vi kaller for multifaktor-autorisering, det vil si at du får en kode på telefonen din,
når systemet ikke kjenner deg igjen lenger. Når du logger deg på for å anstede kontoret, jo da skal systemet utfordre brukeren og si det vekk. Bare send deg en liten popup på telefonen, en liten trykk yes for å bevise at du har telefonen din over brukeren din. Og bare det gjør det mye vanskeligere å være kriminell. Og det er minimum i dag.
Det er spesielt hvis du har mye å forsvare. Det er jo enkle løsninger da, egentlig. Det er gjort på ti minutter. Men det er ingen regel uten unntak. Så ikke la meg være en pedant her og si at dette skal være fordelt. Det er alltid en eller annen Ole Kåre, en eller annen Bob, en eller annen nede i verksedelshallen som det ikke fungerer for.
Men det håndterer vi med unntak. Så prosesserer vi de som er et unntak, og så lar vi regel gjelde i hovedsak alle. Så kan vi styre han ned i versetallet og si at du får ikke tilgang til sensitive filområder, du får ikke tilgang til HR-applikasjonen før du bruker et system som er akseptert. Men da må vi inn på, vi har vært litt inn på nasjonalt, vi var litt på bedrift, men vi er nødt til å touche på enkeltmennesker også, for det er jo vi som enkeltpersoner som begår feilene ofte.
De fleste sa jo bare angrep rettes mot mennesker. Da får de kriminelle foten innenfor døren. Du er bak brannmuren plutselig. Det er en ganske behagelig sted å være for kriminelle. Og vi blir jo synde, selvfølgelig. Det jeg vil anbefale at vi gjør, det er ganske greit, veldig kritisk. Det er folk som prøver å lure deg. Husk nabolaget på internett. Det er fullt av skikkelig skumle kriminelle.
Så nummer to, så bør du ikke bruke det samme passordet overalt. Fordi at når Dropbox, når LinkedIn, når disse store nettstedene blir hacket, som de har blitt, og derfor tok opp de eksemplene, så forsvinner de passordet. Og andre har det, så som meg. Jeg har over 10 milliarder brukende passord. Og så kan jeg bare ta det brukende passordet, logge meg på forretningseposten din, eller en VPN som jeg har på innsiden av bedriften. Så kan jeg bare stjele jo mer jeg er god til.
Så enkelt skal ikke det være. Hvis man bruker forskjellige passord, så er det vanskeligere. Og det får man ikke til hvis man ikke lagrer passordene på en eller annen måte. Nei, det er det da. Skriv det ned i boken din. Skriv det ned i boken din. Og hvis noen går i boken din og stjeler passord på jobben, så er det et HR-problem, ikke et IT-problem. Nettopp. Men dette med passord også må utfordres. Altså, man må ha andre typer identifikasjon etter hvert da.
Ja, det er jo lov å tenke i de baner. Passord er jo litt gammeldags. Tenk kanskje bare på nøkkelringen din, så har du en liten USB som du kan plugge i PC-en, og så overleves det magisk. De fleste telefoner har jo fingeravdrykk.
Ja, hvorfor ikke? Ja, og noen har tatt i bruk det. Du vil snakke med noen ut av min bransje som vil si at ja, men det ble knekt en gang. Jeg så at det var en video på internett der fingeravtrykket kunne bli fjusket med, og de kom seg inn. Ja, men det er mye bedre enn alternativet. Det tror jeg. Det var veldig rettig, og det er et kjempeproblem. Jeg tror det er veldig mange som gjenbruker passordet sitt. Her kan vi jo holde på lenge, men jeg tenkte det er et par ting vi må bare spørre om nå.
Det er presidentvalg i USA, og dette har jo vært en pågående historie lenge siden Donald Trump sto i valgkampen sist og sa «If you can hear me Russia, please hack the emails». Men hvor stor er utfordringen? Hvor sannsynlig er det at den type prosesser blir infiltrert?
Det blir jo infiltrert. Det blir jo påvirket. Det er jo bevist. Det vet vi, men det er ikke slik at man trykker på en knapp på et assertur og så gjør man det om til landslaget eller ikke. Man styrer folkemasser. Folkemasser i samlet, hvis man klarer å styre meninger og opinioner gjennom nyheter som har en lite snev ut av sannheten, men kanskje ikke hele sannheten, så har man mer...
til å få fram budskapene sine og bli gjenvalgt gjerne. Så det er slike type psykologiske operasjoner, psyops som det faktisk heter, det er et stort fagfelt innenfor cyberindustrien blant annet, det er der skudsen ligger. Og da er du inne på sosiale medier og alle disse kanalene? Riktig. Det er at et individ, en operatør, kan sitte og styre og si at
hundre andre falske kontor, falske identiteter, og lage kommentarer. Et system som ivaretar de forskjellige identitetene dine, hvor du kan bruke dette til å spre hva enn du ønsker å spre, det finnes i dag. Og de passer på det at skal du kommentere på en norsk artikkel, så skriver du på norsk, og du får opp en warning-message, en advarsel, at nå bruker du en norsk IP-adresse på en norsk nettsted, husk å skrive på norsk. Det er et robustt system vi snakker om, det er big business. Ja.
Akkurat. Vi må avslutte, Chris, men har du et par konkrete tips til, du har forsvunnet å være innom da, til lytterne våre i sommer? Folk er ute og reiser litt og beveger seg. Ja, altså, ta...
ta noe litt vare på deg selv. Vær litt kritisk. Holdning begynner man med. Tenk på familie, barna dine som skal inn på denne kriminelle arenaen som det er. Du trodde The World Wide Web var for kortesten, men det er egentlig The Wild Wild West. Man har ikke lyst til å bli skutt. Nei.
Man har lyst til å overleve, så begynner holdning. Tenk deg at det han, Kristen, snakker om, ikke bare type rocket science, at det er dag til dag business på internett. Vær litt mer kritisk til ting, og så skjerper vi oss sakk med sikkert. Søker vi løsninger? Digitalt solgrem, ja. Ja, vi må ta oss en runde. Vi er nå etter denne podcasten, og tenker litt på hvordan vi skal operere i sommer, og det blir klart. Ja, det er kanskje noen hekke i podcasten vår. Nettopp.
Krist-Ale fra River Security, takk skal du ha for at du kom innom. Her er det mye mer å snakke om, så det er ikke sjeldent at vi sier du må komme tilbake, og det sier vi også til deg. Takk skal du ha.