Du hører på Teknisk Sett, en podcast fra TU. Jeg sitter i Arndal sammen med Odd-Rikard Valmoth. Hei Jan. Du, Arndalsuka er i gang enda et år. Ja, fantastisk. Ja, vi er her, vi med podcastutstyret. Ja. Og nå skal vi snakke litt om datasikkerhet. Har du sikret dine data? Ja.
Jeg har en disk som ikke er koblet til nøttet. Ja, det kan være bra. Men for å få litt kompetanse inn i rommet, så har vi fått med oss en som faktisk har vært både etisk hacker og driver med stordata til daglig, nemlig
Head of Data ved HubOcean, og også, må vi nevnes, vicepresident i Tekna, Elisabeth Haugsbø. Velkommen. Takk for det. Er dette å ha en disk som er frakoblet av nettet, det er løsningen? Spørs om hvor oppdatert den er da. Det var jo jeg litt nysgjerrig på. Hva er oppdateringsfrekvensen på den disken der? Det er sjelden. Jeg legger inn en bunch med bilder av og til. Det kan jo komme mye rart da.
Men Elisabeth, før vi går inn på dette, jeg har nevnt at du har vært etisk hacker, men to ord om HubOcean, der du nå er head of data. Ja.
Høyborsen er en stiftelse innen AKR-paraplyen. Vi jobber blant annet med RevOcean og Cognite som skal bygge en dataplattform for å hantere havdata. Det er jo med mål om å lære mer om havet og forstå og kunne planlegge industri som skal benytte både ressursene vi har i havet og samtidig greie å beskytte livet som er der nå.
Og gitt din historie som etisk hacker, så er det jo naturlig å snakke litt med deg om datasikkerhet, for du har også lest Digi.no i dag. Ja, senest i dag. Nå er jo, i og med at vi skal ære neste dag, så er det jo 15. august i dag. Og senest i dag så stod det om et tysk energiselskap, ISTA, som har oppdaget at sine dokumenter er på ville veier.
Og de har jo tidligere innsett at de har blitt hacket og fått masse serverer kryptert, systemer der nede. Og nå begynner det jo altså sensitive dokumenter å dukke opp de verste plasser rundt omkring på internett. 370 gigabyte med disk og 3000 serverer kanskje, står det? Ja, står så. Men tenker du at dette er en sensasjon? Det er vel...
Jeg skulle jo ønske at det var en sensasjon, men det er det jo dessverre ikke. Det er jo kanskje ikke at en leser det hver dag i norske medier, men det er jo uheld hele tiden. Hver eneste dag er det noen som får datainnbrudd og får stjelt data, kryptert data, informasjon på avveier og dermed store tap for selskapet.
Og det har vi jo et eksempel på her i Norge også, ikke minst Hydro-saken. Ja, også Choice Hotel, Natura, A-media. Det at de hiver dokumenter ut på nettet, er det for å øke betalingsviljen da?
Det kan det jo være, men det kan de jo gjøre uansett. Og nå var jo dette her kryptering av, ja, det sto vel 3000, muligens 3000 serverer, og det er jo et pressmiddel i seg selv, og så hører han kanskje at han tenker at, ja, men vi kan jo bare la være å betale oss for hva som skjer, og så kan de jo da selge dokumenter på nett, men det kan jo hende at de gjorde det uansett.
Du har jo ingen garanti for at de ikke selger data eller deler data som de andre har lastet. Vet du hvor angrepet kommer fra? Det stod det ingenting om. Jeg har ikke noe mer informasjon enn det som stod der. En ting er å ikke...
Ikke betale, men da må du jo ha en tro på at du kan drive selskapet og virksomheten videre da. Enten ved å ha backupdata eller nok data til å drive videre. Dette er jo ikke lett. Nei, det er jo absolutt ikke lett. Men det tror jeg jeg kan virkelig si er at jeg må jo aldri bruke håp som virkemiddel for å være tryggere. Altså, jeg kan ikke begynne å tro og håpe at det skal være greit i morgen selv om noe skjer. En må jo vite, en må jo ha en plan. Men disse truslene, digitale truslene, utvikler seg også så
Eller gjør du ikke det så raskt at det du er trygg på i dag, det vet du jo ikke om du er trygg på i morgen? Absolutt ikke. Jeg liker jo å si at IT-sikkerhet eller sikkerhet er jo en reise. Det er ikke en destinasjon. Du kommer aldri fram. Du er aldri helt trygg. Men det du må tenke er jo hva kan jeg gjøre i dag? Hva kan jeg gjøre i morgen? Og hvordan jobber jeg med det for å ha mer kontroll? Fordi at den kan aldri komme til en plass der den er 100% trygg. Det vil den ikke kunne.
Hva vet man i dag som norske selskaper, hvordan det fordeler seg mellom plan og håp da? Skal vi ta en studie på det kanskje? Dessverre så tror jeg at det er en del som baserer seg på håp enda. Dessverre. Men jeg håper jo at den begynner å komme til en plass der at den tar yttersikkerhet mer på alvor. For her er det jo, jeg tror at til nå så har det vært en veldig sånn distinkt
skillnad mellom for eksempel i styret da, mellom det som er forretningskritisk, altså ok, penger inn, penger ut, budsjett også sånn IT-sikkerhet det er sånn som han eller hun borte gjør når han holder på med det, det er ikke så viktig men det som skjer nå er at penger inn og ut og IT-sikkerhet er jo veldig tett koblet og det må en begynne å ta på alvor, og da må en begynne i styret, styret må ta det på alvor ledelsen må ta det på alvor, og så må en prioritere og tildele penger sånn at den faktisk kan gjøre noe med det
på en god måte. Også den enkelte medarbeider, kanskje? Selvfølgelig, men det er altså
De som har ansvar for å sikre et selskap er jo styret og ledelsen. Men det er jo klart at alle sammen har jo ansvar for å si ifra hvis det skjer noe. Men det er jo klart at hvis kulturen i selskapet ikke legger til rette for det, hvis det er sånn blame game som foregår, så er det jo ingen som sier ifra hvis det skjer noe. Og da er du jo helt i blinde da. Men du har jo selv vært etisk hacker først.
burde man håpe å si stressteste seg selv litt oftere. Selvfølgelig. Det er jo en grunn til at vi kjører brandøvelser. Ikke sant? Husker du hva som skulle gjøre ting? Hvor var det du hadde brandvarslene, eller brandslukkingsapparatet? Var det under vasken, eller var det på veggen? Hvordan var det til her? Hvor til sjekker du denne
spranslukkeapparatet ditt, har du ristet deg i det siste? Det er jo samme konseptet, en må trene på noe. For når
det brenner da. Det er mye håp der også, skal jeg si. Ja, det er mye håp der også, ansageligvis. Men si at når det brenner da, eller når du er under angrep, så har ikke du tid til å si, ja, hvor var det den prostituen var? Jeg tror den var, oi, ja, den var, ja, jeg har ikke sant det. Du har ikke tid til det. Du må jo ha trent på hvordan du skal agere, så må du vite hvem du skal ringe. Men er det mulig å kjøpe seg ut av problemet ved å, på en måte, legge alle dataene i en sikker sky og sørge for at de ansatte har vært på kurs og alt det der?
Ja, altså det å sørge for at de ansatte har vært på kurs, det er jo en fin ting å gjøre da. Men igjen da, så var det det med håp og vete. Ok, du har kjøpt et kurs, og så håper du at de skal ha brukt det, at de skal ha fulgt med, at de skal synes at det er viktig, at de skal forstå hvorfor de var der. For i og med det med å jobbe aktivt med noe, så er det ikke et problem du kan kjøpe deg ut av, rett og slett. Ja.
fordi at det er en del av selskapet ditt, det er en del av hverdagen din. Og det kan ikke du kjøpe deg ut av. Den må du ta på allvar, og den må være en del av selskapet. Det må være en del av stoltheten. Hvordan driver vi til at selskapet er? Jo, vi er opptatt av sånn og sånn, og så er vi opptatt av sikkerhet. Og sikkerhet, da inngår IT-sikkerhet.
Men en måte å sikre seg på, i hvert fall hvis man er en mindre bedrift, er jo å kjøpe kompetanse og kraft fra en leverandør. Og det er jo selvfølgelig så tenker man jo at ja, hvis jeg kjøper fra Amazon eller fra Microsoft eller en av de store, så har de rutiner som er mye bedre enn de jeg hadde, eller vi hadde i vår bedrift da.
Ja, men du har jo fortsatt ansvar for det du gjør. Nå er det jo snakk om for eksempel at du kjøper servetjenester eller noe sånt, så er det jo fortsatt dine data som du må ha tilgang til. Så du må ha en prosess for hvorleis du får tak i de dataene, hvorleis jobber du med systemene dine.
Og det må være internt. Og så har en jo kanskje sånn at en vil kjøre en risikoanalyse. Ok, kanskje en liten bedrift har jo ikke en dedikert person for det. Ja, men lege den konsulenten. Men følg med da når den konsulenten er der og forteller deg hvordan du skal gjøre ting. Ok, kan en delegere noe av det internt? For den må jo jobbe med det. Men tenker du at for mange bedrifter stoler på at de store har alt på sted? Ja, ja.
det hørte jeg jo ofte når jeg var ute og jobbet med IT-sikkerhet i DNV ja, men vi har en sånn IT-selskap som ordner det her og så snakker en med IT-selskapet ja, men dere har ikke bestilt det her så han har ikke oversikt over hva han egentlig har kjøpt så du har kjøpt deg ut av et problem og så har ikke du oversikt over hva problemet egentlig var
Ting var så mye enklere i gamle dager, Jan. Da var det bare å installere Norton for antivirus, og så var du sikker. Ja, eller før nettet kom, så var det jo bare flopp igjen. You can't hack pen and paper, kjenner du hva det heter? Ja, men Elisabeth, hvis du skal gi noen konkrete råd til ... Du har jo vært oppe og si på alle sider av bordet her, og du vet jo hvor vi er mest sårbare.
Eire, styre, ledelse, organisasjon, hva er liksom de tre viktigste tingene her?
Jeg må ta det på alvor. Det begynner i alle fall der. Det skjer ikke bare alle de andre, det kan skje oss også. Det skjer alle. Så jeg må rett og slett bare få oversikt. Hvem er du? Hvor leverer du ting hen? Kanskje den ikke leverer noe i det hele tatt. Hvem er den? Hvordan ser den ut? Hvordan ser den ut fra internett? Leverer du til andre? Leverer andre til deg? Hvem er deg? Hva er dine kritiske systemer? Rett og slett bli litt kjent med seg selv.
Og så må han finne ut at hva kan vi leve med, eller hva må vi ha, og hva kan vi leve uten. Ok, og så begynner du å snevre ned den der beskyttelseskretsen din. Dette er det som må være oppe og gå hele tiden. Og så må han også tenke på, ok, men hvis alt
Shit hits the fan. Hva skjer da? Hvordan gjør jeg det? Hvordan redder vi dette? Og hva sier du til dine kunder når noe har skjedd? Det er veldig mange som har glemt. De har kanskje startet jobben med å gjøre sikkerheten bedre, men så har de på en måte glemt aspekten av hvordan beskytter jeg omdømmet mitt når jeg må fortelle kundene mine at noe har skjedd? For det må du jo.
Det er jo da du får et godt omdømme, når de forstår at du hanterte det på en god måte.
Og så er det jo nettopp det med å bygge kompetanse internt, og det kan jo selvfølgelig være å få inn IT-kompetanse, eller legge inn IT-kompetanse, men også det å trene dine ansatte, og så bygge en kultur som gjør at det ikke er en sånn blame game. Her skal vi alle bidra til å beskytte selskapet, og så må de ansatte forstå hvorfor de skal gjøre ting. Du kan ikke bare sende dem på kurs og si, ja, les det her, og så forstår ikke de hvorfor de skal gjøre det. Hvorfor er det her viktig da? Hvem er jeg oppi alt dette her?
Så det å få med de ansatte, da er den kommet et stykke på vei. Og så må en huske det som jeg liker å si, at IT-sikkerhet eller sikkerhet, det er ei reis og ikke en destinasjon. Ja, det er virkelig sant. Og jeg tenker jo litt, det er jo litt forskjellig type aktører man er utsatt for. Hvis du er en forretningsdrift og noen skal...
noen skal presse deg for penger, det er noe en ting, og så har vi jo spionasje som er en annen ting, og så har vi jo alt det vi egentlig ikke vet om. Jeg tenker på alle vi som sitter og føler oss trygge, kanskje er det noe på gang som vi ikke har sett? Er det mye av det? Ja, absolutt. Men har ikke alle sammen fått en e-post fra prinsen i Nigeria da? Jo.
Kanskje er ikke alle kjent med det? Jeg får en mail fra Rikard hvor han ber meg om å sende penger til ham. Det er vi kjent med. Vi har ikke så mye mer sofistikert nå. Ja, men den flere av dette her, likevel så fungerer det. Det er jo bare for noen, i fjor eller hvor det var, 20 prosent som fortsatt får sånne phishing-app også, som er ganske lite sofistikert. Du har jo stort spekter der også. Går fortsatt på det.
Så det er liksom den go-to angrepsmåten er fortsatt phishing. Vi sitter her i 2022, og det er phishing som er et av problemene våre fortsatt. Så kompetanse, trene, bli kjent med hvordan en gjør det, og hvordan skal en seie fra, og det gjelder jo alle sammen.
Vi alle er enkeltindivider, selv om du er en del av et selskap. Ja, og en ting er jo bedriftene våre og systemene våre på virksomhetsnivå, men vi har jo helsedata, vi har jo banksystemene. Nå blir vi virkelig digitalisert. Så hva tenker du nå i fremtiden, Elisabeth? Kommer det til å komme bomber her, eller tenker du at vi klarer å håndtere denne reisen godt nok?
Jeg tror nok at vi kommer til å oppleve en del bomber, var det du som sa det? Ja, ja. Men den trenger jo ikke gå lenger enn at den ser på NSM sin rapport. De har jo sett på alt som har skjedd i fjor og hittil i år, og så sier de at vi kommer til å se en tredobling fremover. Så vi er helt nødt å bli mer proaktive. NSM sier tredobling? Tredobling av angrep.
Ja, eller lese digg i dag. Det er jo en profesjonell bedrift i Tyskland. Der går det virkelig ille. Så jeg tenker at det er vanskelig å spå, men jeg tror at vi kommer til å gå på en del blemmer fortsatt fremover. Både fra enkelte individ, store selskap, små selskap. Men en kan jo ikke gå inn i en tilstand med apati heller. En må jo på en måte agere, en må gjøre noe. Jeg må...
Gå fra å håpe til å vete. Jeg tenker også så er en tredobling av angrep positivt eller negativt? For hvis det blir en tredobling, så blir jo folk mye mer oppmerksom på det også. Og kanskje de beskytter seg bedre. Men det betyr jo også at angrepet kommer til å endre seg hurtigere, fordi det er flere typer angrep og det er flere aktører med i bildet. Ja.
Og det er jo profesjonelle aktører, mindre profesjonelle aktører, statlige aktører. Så det er jo sånn, de statlige aktørene tror jeg vi bare kan si, det får du ikke beskytte deg mot. Men de er ikke så mange som de som er inne for å prøve å tjene litt penger på litt ransomware her og der, eller sånt da. Så jeg tenker, her må en skille mellom hva kan du jobbe med, og hva
kan du ikke jobbe med. Og vi har jo hørt om norske aktører som har blitt angrepet og faktisk har betalt seg ut av det. Så noen har jo faktisk kommet dit også. Ja, hva skal du gjøre da? Alle datene dine er borte. Altså, du har ikke noe. Enten så betaler du og håper på at du får det tilbake igjen, eller så går du konkurs. Jeg skjønner jo at det er et problem, men det som skjer når du betaler deg ut av det er jo at du finansierer neste angrep på neste mann.
Det å bruke det for beskyttelse, det er jo en gammel kjent teknologi. Helt mafia, jeg vet ikke det. Kosa Nostra. Elisabeth Haugspø, takk for at du kom innom oss. Her er det masse mer å snakke om, men vi får i hvert fall nå umiddelbart litt mer tanker om, oi, dette må vi sjekke ut litt mer for egen del også. Absolutt. Takk til Odd-Rikard Valmot, og mitt navn er Jan Moberg.