Episode 330 - Moberg & Valmot: Cyberskurkene jubler over Covid-19

Velkommen til Teknisk Sett, en podcast fra TU og Digi.no, får vi legge til. Mitt navn er Jan Moberg, og jeg sitter her, og i andre enden har jeg Odd-Rikard Valmoth, som som vanlig. Hei, Rikard. Hei, Kjell-Ern. Hun sitter i kjelleren som vanlig, og i dag skal vi snakke om et tema vi har vært innom flere ganger tidligere. Men det som er spesielt spennende nå er at vi har en fersk rapport fra covid. Og det det dreier seg om er jo å bli lurt digitalt. Og Rikard, hvordan står det til? Har du blitt lurt? Jeg har blitt lurt en gang, det er ikke nok 20 år siden, men siden vet jeg ikke om jeg har blitt lurt lenger. Jeg ble jo klok av skade, men jeg får jo forsøk nesten daglig. Det er jo helt vilt her. Du har ingen prinsesser i Nigeria eller arbeidstante der? Nei, de har jeg ikke gått på. I gamle dager kom det jo brev, fysiske brev, og så oppdaget de posten, og så ble det kanskje litt inflasjon i at kongen var død, og du kunne få prinsesser av alle kongerike. Eller at det er du som er den eneste mottaker av en eller annen arv eller gave. Ja, det har jeg fått, og det går jeg ikke på. Men det er mye som er på grensen til at du kan se på det, altså. Absolutt. Jeg er imponert over systemene til Google Mail som vi bruker, hvor mye de luker ut, og hvor lite jeg tross alt får direkte inn. Men nå har det vært covid, og la oss høre hvordan det egentlig står til da. Da har vi fått med oss forskningschef Kai Roer i Know Before Research. Hei Kai. Hei han og Oddrik Hært. Vil du få lov til å være her? Ja, vi har skjønt at du har en litt sånn fersk status på hva som har skjedd på denne fronten under covid-19. Ja, altså, jeg er så heldig at jeg sitter sammen med mine kolleger her i Oslo og forsker på sikkerhetskultur, sikkerhetsadferd og sånne her type ting. Ikke så mange prinsesser fra Nigeria, må jeg tilstå, men på en måte de andre tingene. Det tror jeg du skal være glad for. Og en av de tingene vi gjør er å gi ut en årlig rapport som vi kaller Sikkerhetskulturrapporten, bortsett fra på nynorsk, som heter Security Culture Report, og Og i årets rapport har vi jo sett selvfølgelig på hvordan har COVID påvirket. For det har skjedd en endring. Ja, det er jo det store spørsmålet da. Har det skjedd en endring? Har vi blitt påvirket av COVID? Og dessverre vil jeg vel si at for de aller fleste bransjer så har ikke sikkerhetskulturen deres endret seg i noen særlig grad. Og dessverre er det rett og slett fordi det er ingen industrier eller bransjer i vår rapport med over 320 000 respondenter rundt i hele verden. Det er ingen av de som har det vi kaller en god sikkerhetskultur. Heller ikke aldrene teknologisjournalister? Jeg har ikke mål til det, men det kan man godt gjøre, vet du. Hahaha. Jeg hadde jo håpet å se at noen av disse bransjene faktisk tok et jump opp fra middelmådig kultur, som vi kaller det, opp til god kultur. Men det har vi altså ikke sett. Men når det er sagt, så er det ikke bare dårligheter. En av de bransjene som konsekvent har gjort det dårligst de siste fem årene, det er utdanningssektoren. Det har ligget på bånd av rankingen vår hvert eneste år. Da snakker du om universiteter, høyskoler og både studenter og akademi, eller? Ja, og hele utdanningssektoren. Barne-, ungdomsskoler også, videregående også. Så det er ikke bare høyrenivå. Det vil si at vi kan ikke bare skylle på akademia. Vi må faktisk ta inn over at dette er et mye bredere samfunnsproblem. Men det interessante med den sektoren, det er at nå har de faktisk gått opp et par poeng, og da også fått en bedre klassifisering. Det er fortsatt helt i bånd av listene våre, men Vi tror at det er en av de positive resultatene som vi har av COVID, fordi den bransjen har jo tradisjonelt sett vært ganske treg med å ta i bruk ny teknologi, selv om vi har lest om de som bruker iPads og sånt nå, så har det vært unntakende. Både de ansatte, administrasjonen, lærere, har ofte vært liksom nei, nå kommer det noe nytt, det tar vi neste år, og så blir det aldri i år. Mens nå med covid så var det sånn, ja nei, vi har ikke noe klasserom lenger, nei. Da må vi jo faktisk ta i bruk teknologien. Og det tror vi har vært en viktig bidragsyter til at de har blitt flinkere. Men hva tror du kommer til å skje hvis de kommer tilbake, eller når de kommer tilbake til klasserommet igjen da? Og ikke blir så digitale lenger? Jeg vet ikke, men jeg håper at vi også i den sektoren får det vi snakker om på mange andre sektorer, mer enn en hybridmodell. sånn som når vi snakker på kontoret, at en større andel av de ansatte vil få lov til å kunne jobbe hjemmefra og kanskje ikke lenger i faste kontorer og sånne type ting. La oss håpe da at også utdanningssektoren kan leke med sånne type scenarier, at kanskje man har en dag så sitter man hjemme eller bruker teknologien og og da også få med seg sikkerhetsopplæringen. Hei, denne rapporten, vi må jo nevne det du sa jo at den var på, ikke på bokmål. Det selskapet du er ansatt i, Know Before Research, er altså ikke norsk, men har en forskningsavdeling i Norge, men det er jo 1100 ansatte i Internasjonalt med hovedkvarter i USA, som mange andre. Den rapporten du viser til er en internasjonal studie, regner jeg med? Ja, det er korrekt. Det vi gjør er at vi samler inn data gjennom våre kunder. Dette anonymiseres, og så analyserer mitt team det her i Oslo. Og så lager vi denne globale benchmarken. Ja. Da må jeg spørre deg litt mer konkret. Jeg nevnte jo innledningsvis at jeg som bruker er ganske fornøyd med disse filterene som e-postleverandøren bruker. Er det et rent ukyndig amatørutsang, eller er de forleite? Det er to ting der. Det ene er at hva du personlig opplever er jo kjempeviktig. For det handler om din brukeropplevelse og effekten av den jobben du får utført. Og det andre er jo, som du peker på når du snakker om Google og de alternativene til Gmail der ute, dette er jo store teknologiplattformer med veldig mange brukere, og det gir dem en kjempefordel når det kommer til å tune disse filterene sine. Fordi de fanger opp bevegelsene når ting er på vei inn i din e-postkasse og 10 000 andre sine e-postkasser samtidig. Så kan de si at her er det en 99,99% sannsynlighet for at dette er tull, og så flagger vi det som spam eller phishingforsøk. Så jeg personlig er helt enig med deg. Teknologi brukt sånn som dette her, det er helt genialt. Men likevel så gikk det galt på Stortinget for ikke lenge siden. Det er jo ikke lett da, selv for profforganisasjoner å holde seg på matta. Vi har eksempler fra Hydro. Hva er det som går galt? Det er jo mange ting som går galt. En av tingene med government-sektoren, som du peker på med Stortinget, det er at de sammen med education ligger jo helt i bånd på lista vår når det kommer til sikkerhetskultur. og for oss i begynnelsen var det litt overraskende, for vi tenkte at her har man jo sånn som forsvaret, og man har NSM, og man har en del sånne myndigheter som kan sikkerhet, men så må man minne seg på at i det store bildet er det tross alt ikke så mange av dem. Resten av offentlig sektor henger litt etter, kan vi si. Og hvis vi da ser på Stortinget, en av de tingene som kom opp var at de har jo diskutert sikkerhetskontroller, og til og med hatt en plan på å implementere to-faktor-autentisering, men det gjorde de ikke. Det må vi gjøre neste år, eller en eller annen gang, for det er ikke... I praksis er det ikke viktig nok i vår analyse. Det betyr ikke at det ikke er viktig nok, det betyr bare at de forstår ikke hvor viktig det faktisk er. Hadde de gjort det på forhånd, hadde de ikke ventet seks måneder eller planlagt for neste år å implementere sikkerhetskontroller da det hadde blitt gjort for lenge siden. Mitt inntrykk er at Microsoft fikk litt mye pisk litt kjapt. Men vi er nødt til å spørre deg, Kai, fordi mye er teknologi her, men dette å lokke folk ut på, det dreier seg mye om å trigge basisen i oss psykologisk også. Det er jo det vi kaller det, eller det vi ser på. Og det er det som teamet mitt spesialiserer seg på. Jeg har jo ingen teknologer ansatt hos meg. Jeg har psykologer. Jeg har matematikere, fordi vi snakker om enorme datamengder. Og det vi er interessert i, det er jo nettopp å finne ut hva er det med oss mennesker som når vi bruker denne teknologien gjør oss så utrolig gullible, som det heter på nynorsk. Naive, tillitsfulle, som gjør at vi, åja, nå får jeg jo en e-post fra en prinsesse i Nigeria. Hvis hun er søt, så er vel det greit det da, og så får jeg et halvt kongerike også. Det er mange prinsesser i Nigeria, har jeg skjønt. Ja. Nei, men du trigger jo da basale menneskelige behov, og jeg regner med at det er veldig interessant det du sier. Det hadde jeg ikke trodd hvis jeg skulle tippe at det var flest teknologer, men jeg skjønner jo sammenhengen. Du, en ting er sånn at det er masse utsendelser, at det blir filtrert bort i en del tilfeller og sånn, men veldig mye er jo målrettet. direkte mot enkelselskaper for å få tak i penger og informasjon. Det er vel en sånn mørk materie som vi ikke vet veldig mye om. Det er mange som ikke vil innrømme at de har blitt angrepet på den måten her. Det er mer det siste enn at det er en mørk materie. Vi har snakket om spearfishing i mange, mange år, og social engineering som i stor grad handler om det samme. La oss se kort på hvordan et sånt scenario spiller seg ut. La oss si at jeg er interessert i å loppe teknisk ukeblad for 200 000 kroner gjennom en business email compromise scam for eksempel. En av de første tingene jeg gjør da, det er jo selvfølgelig å analysere selskapet. Hvem er dere? Hvem jobber der? Hvem har de ulike rollene? Hvordan gjør jeg det? Jo, en datadump fra LinkedIn er jo genialt da. Og så når jeg da på en måte vet at det er Jan jeg skal snakke med i dette tilfellet, eller representere når jeg skal svindle regnskapsavdelingen, da har jeg selvfølgelig gått og gjort en ordentlig analyse på Jan, hva han har av fritidsinteresser, kanskje når han er ute og reiser og gjør sånne type ting. Og så vet jeg nøyaktig hva jeg skal si, hvordan jeg skal si det, og når jeg sier det. for å lure regnskapsavdelingen eller hvem det nå er som autoriserer betalingen hos dere. Ja, og den har vi jo vært utsatt for, hvor jeg har fått en mail fra en kollega som sier at «Hei, jeg er i London, man trenger umiddelbart 50 000 overført til meg». Og da kommer den faktisk fra en ansatsekte, eller til synligheten riktig e-postkonto. Ja. Og noen ganger så kommer den jo faktisk fra riktig konto også. Og da har svindlerne klart å bruke et phishing-angrep og fått noen, for eksempel, hvis jeg kan bruke deg som eksempel, Trigger deg til å klikke på et vedlegg, for eksempel. Når det kommer opp, så må du skrive inn brukernånd og passord. Hva skjer da? Jo, jeg får jo ditt brukernånd og passord. Hva skjer da? Jo, da logger jeg jo rett inn i din mailboks. Og så begynner jeg å lage filtre som gjør at de e-postene jeg ikke vil at du skal se, de ser du aldri. Samtidig som jeg har full kontroll på e-posthistorikken din, kan kartlegge hele virksomheten. La oss si at du sitter på regnskap eller driver med noen prosjekter, så kan jeg kartlegge store deler av leverandørorganisasjonen din. Og så kan jeg sitte og kommunisere med leverandører, kunder og internt som deg. Etterpå. skremmende saker altså. Ja, da er det ikke rart at noen går i bare og bare skal ta det. Skal du lure Odd Rikardt så må du bare si at du har et revolusjonerende batteri til motorslag. Da klarer ikke han å la være å plekke. Jo, men altså poenget er litt fleit, men vi har alle våre soft spots da, regner jeg med. Og det er jo viktig å ikke sitte her og og tro at ikke jeg kan gå i bar også. Men det må jeg spørre deg om, Kai, du var inne på LinkedIn. Nå har det... Ja, det går jo nyheter nå daglig om Facebook, hvor det har vært såkalt skraping av telefonnummer det samme på klubba. Så du nevnte LinkedIn. Skal vi være overrasket? Nei, jeg synes ikke det. Det er rett og slett fordi teknologien, altså disse sosiale medieplattformene, de er jo laget med to formål for øye. Formål nummer en er jo selvfølgelig å generere profit for de som står bak det. Men formålet fra vårt sted som brukere, det er jo å få tilgang til og å dele informasjon om oss og våre interesser. Det er det disse plattformene brukes til. Fordi disse plattformene er en utvidelse av det offentlige rommet, og selv om du må logge på for å identifisere deg, så er all informasjon du deler tilgjengelig per definisjon for alle mulige andre mennesker. Og da blir jo da spørsmålet, La oss si at jeg vil vite noe om deg, Jan. Da kan jeg gjøre det manuelt. Da kan jeg gå inn på dine profiler, jeg kan søke litt på Google og sånt. Men la oss si da at scenariet mitt er at jeg sitter i et eller annet land som vi ikke nevner i dag, og så er jeg interessert i å finne sånne som deg. Jeg vil finne administrerende direktører i selskaper og bransjer der det er rimelig antatt at jeg kan få en utbetaling på en halv million kroner hvis jeg investerer litt av det. Lettlurt administrerende direktører? Nei, det handler ikke om lettlurt, det handler ikke om det. Det handler om at vi trigger deg til å gjøre ting vi vil uten at du merker det selv før det er for sent. Ja, nettopp. Og det er nøkkerne, da, ikke sant? Og det lille steget for langt uten at du egentlig reflekterer over det. Yes. Og det er den psykologiske siden. Men før jeg kommer dit, så må jeg finne ut hvem Jan skal jeg ta. Og da har man spearfishing, som Rikard mente. Da har jeg på en måte allerede identifisert deg, og så tar jeg deg. Men alternativ to, det er jo å kjøre inn et team i et lagkostland, og få dem til å bygge meg et lite skript som henter inn all informasjonen på kanskje en million mennesker, eller bare en halv milliard, var det det som var tallet. Og så kan jeg gå gjennom den dataen, og så kan jeg veldig fint, veldig rast, finne de 10 000 nyanene da. Og så kan jeg tilpasse en kampanje til og med skriptere slik at du får ting som er relevant for denne janen, og en annen jan får ting som er relevant for den andre. Og på den måten øker sannsynligheten for at jeg får avkastning på min investering. Eller sagt på noen måte, sannsynligheten for at jeg klarer å lure deg til å gjøre det jeg vil at du skal gjøre. Det er jo egentlig veldig enkelt når du beskriver det, og som du var inne på her, er det jo da en industri som sitter ute internasjonalt, villig, tar oppdrag, har jeg skjønt? Ja, dette kan du kjøpe. Du kan kjøpe alltid fra datalistene til team som sitter og vasker dem, til team som går gjennom, og ja, nå har vi napp på et eller annet her, ja, da er det et nytt team som tar over. Alt dette her er tjenester som du kan få tak i i dag. Vi kunne holdt det gående lenge, Kai. Vi er nødt til å avslutte. Jeg tenkte helt til slutt at vi skulle ta opp et tema som Odd-Rikard og jeg har diskutert mye, nemlig det vi beskriver som passordhelvete. Hva er fremtiden der? Det er jo helt håpløst i dag å håndtere alle passordene, og jeg tror de aller fleste ikke gjør det riktig her, nemlig å ha komplekse passord som de bytter ofte på alle steder. I rapportene som vi akkurat produserte, så tar vi blant annet opppass over problematikk. Og en av de tingene som vi skriver der, det er jo hvordan vi som bransje, altså sikkerhetsbransjen og tidligere IT-bransjen, har omtrent annenhvert år kommet med nye råd til hva du skal gjøre for noe. Og i hvert fall hvert femte år kommet med råd som er på tvers av det vi prøvde å lære deg opp for fem år siden. Og det betyr at vi som bransje har jo da bytt oss selv i foten. Og det er et problem som jeg tror vi må ta tak i. Det andre er at vi må forstå hva er problemet egentlig, hvorfor bruker vi passord, hva trenger vi dem til? Og så kan man begynne å se på alternativer. Og det finnes masse gode forslag og ideer til hva man kan gjøre for noe for å bli kvitt passord. Men ingen av de kommer til å være på plass i en skala som gjør at de fleste av oss kan bruke dem på tvers av de flatene vi er på. De neste er i hvert fall ikke fem år, antageligvis ti om ikke lenger. Det betyr at i mellomtiden må vi hvert enkelt foretak finne en løsning som vi kan akseptere. Den løsningen heter password management, det vil si en eller annen form for software som du bruker til å generere og lagre unike, helst lange, avanserte passord for hver tjeneste du bruker. Og om ikke du klarer å lage lange avanserte, pass i hvert fall på at du gjør dem unike. Du har jo slike tjenester i dag, slik som LastPass og sånt, og det er mange flere også. Da kan du jo tromme inn utrolig lange passord, og så huskes de for det. Men hvor sikre er det egentlig? Det er mye sikrere enn hodet ditt. Ja, det tror jeg da. Når du snakker om unike passord, så mener du unikt passord per tjeneste. Helt korrekt. Og det betyr jo at jeg ønsker å redusere antallet klubber og medlemsprogrammer jeg er med i, for det går jo helt i ball. Jeg kommer jo ikke til å klare det. Det er ikke menneskelig å klare det. Nei, alternativt så bruker du da en password manager som gjør at du klarer det. Altså ansatte i småbedrifter, og da snakker vi amerikansk størrelse, så opp til 250 ansatte cirka, må bruke i en normal arbeidssituasjon mellom 60 og 80 passord i jobbsituasjonen sin. Vi har ikke begynt å telle, men det skal vi gjennomgjøre. Kai Roer, vi kunne holdt på lenge. Jeg foreslår at vi bare avtaler å møtes igjen, for her må vi snakke mer. Dette er jo både viktig og interessant. Tusen takk for at du stilte opp hos oss. Takk til Odd-Rikard Valmått, takk til vår produsent Sebastian Hagemå, og mitt navn er Jan Moberg. Dersom du ønsker å konsumere enda mer innhold fra oss i TUNO og DGNO, anbefaler vi at du blir abonnent. Det vil gi deg tilgang til alt vårt innhold innen energi, elektrifisering, forsvar, fly, samferdsel, byggenæring, industri, maritime næringer, karriere og mye, mye mer fra vår kjendige redaksjon. Du vil da også få tilgang til alle sakene Odd Rikard skriver om sine 687 favorittområder. Vi har også egne avtaler for bedriftsabonnement, og, som om ikke det var nok, medlemmer av NITO og Tekna for halvpris.