1/28/2020

Episode 250 - Datasikkerhetens høyborg

Teknisk Sett-podcasten besøker NTNU i Gjøvik, epicenteret for cybersikkerhet i Norge, og snakker med Nils Kalstad, instituttleder for informasjonssikkerhet og kommunikasjonsteknologi. Norge rangerer høyt på cybersikkerhet, men trusselbildet er sammensatt med aktører fra enkeltpersoner til statlige aktører. Kalstad fremhever menneskelig feil som et viktig sikkerhetsproblem. Han nevner også viktigheten av øving og risikoanalyse. Podcasten diskuterer også fake-videoer, sosiale medier, og hvordan AI kan bidra til å forbedre cybersikkerhet. Kalstad er optimistisk om fremtiden, men understreker at vi aldri blir kvitt cybersikkerhetsproblemer helt.

00:00

Mennesker utgjør ofte det første forsvaret mot trusler innen industrispionasje og cybersikkerhet.

12:47

Vær bevisst på trusler fra både individer og stater, og unngå situasjoner som kan kompromittere din sikkerhet.

16:55

Instituttet fokuserer på relevant kunnskap og samarbeid med industrien, mens man håndterer utfordringer knyttet til teknologi og utdanning.

Transkript

Avhengig av hva målet er, enten man ønsker å drive industrispionasje, eller mellomstatlig spionasje, eller sabotasje på et eller annet nivå, så er det veldig ofte at det er mennesket som er det førstelinjeforsvaret som man går etter. Velkommen til Teknisk Sett, en podcast fra TU. Mitt navn er Jan Moberg, og jeg sitter her med Odd-Rikard Wallmoth. Hei Jan. Hei. Du, vi er fortsatt i Gjøvik. Det er vi. Jeg må nok en gang påpeke at jeg er imponert over netttilgangen på tog oppover. Det skal jeg litt imponere, ja. Men jeg ser på... Hvordan det var i Las Vegas, så er det veldig mye bedre. Jo, men jeg skrøter jo av togstilskapet her, men det ser ut som om jeg rir på din telefon. Gjør det det, ja? Ja, for jeg har jo prøvd det en gang før. Ja, det ser du, ja. Så det var ikke... Kanskje ikke, men der ser du hvor tilfeldig det er hvilken nett du er på og sånn. Ja, ja, ja, det ser du. En ting vi visste, vi kom til å finne når vi kom hytt opp til... Jeg burde ha tappet kontoen din, det skjønner jeg. Ja, det kan du bare drømme om. Men en ting vi skulle finne når vi kom hit til Gjøvik NTNU, det var jo dette med cybersecurity. Det visste vi. Ja, for det her er jo litt sånn epicenteret for cybersecurity i landet. Har du gått i fellene noen gang? Ja, jeg har det, men det er veldig mange år siden. Det var et sånt spredningsmekanisme rundt ILOBU-viruset, husker du det? Ja, jeg husker navnet. Det er lenge siden det. Det må jo være snart 20 år siden. Men det klarte jeg selvfølgelig å smitte noe vennlig med. Da gikk du på limpin. Da gikk jeg på limpin. Men det var siste gangen, tror jeg. Det kom jo inn på PC-en min og ødela alle jordpeggene og pdf-ene. Det var mye skapeverk som ble ødelagt da. Det var det. Men, men, sånn skjer. Sånn skjer. Jeg har fått noen sånne hendelser fra kolleger om å overføre penger i utlandet og sånt, men jeg føler meg ikke godt på limpin. Hadde du sendt meg penger hvis jeg hadde bedt om det? Det er ikke myntlig engang. Det er jo gæren. Men nå er vi litt ut på vinden her, fordi vi er jo her for å høre litt mer om dette her temaet. For å snakke om det, så har vi fått med oss instituttleder for informasjonssikkerhet og kommunikasjonsteknologi på NTNU, Nils Kallstad. Velkommen. Takk for det. Du hører Odd Rikardt har gått i fellet. Ja, ja, men jeg var litt spent på introen her når dere kom til den der togturen, for jeg tror det var kanskje farten på Gjøvikbanen dere var mest imponerte over, men de jobber vel også med den, akkurat som med nettilgangen. Ja, men du skjønner, vi tok toget til Gøteborg her for noen måneder siden, og... Oslo og Gjøvik var jo drømme i forhold. Ja, ja, ja. Så vi er veldig fornøyde med det. Ja, super. Men du må fortelle oss litt, hva jobber dere med på disse temaene? Ikke tog? Nei, på informasjonssikkerhet, ja. Vi har en ganske stor aktivitet, vi er litt over 100 ansatte på instituttet, og som jobber med alt fra informasjonssikkerhetsledelse, via sikkerhet i styrings- og kontrollsystemer, kryptologi, og fremtidens kommunikasjonsnett 5G. Men hva er... Hvilket trusselbilde er det egentlig vi står ovenfor i dag i Norge? Det er et sammensatt trusselbilde. Det er klart Norge befinner seg langt oppe i verden når det gjelder velstand og verdiskapning, og vi er et gjennomdigitalisert land. Det er kanskje noe av styrken til Norge at vi selv med litt bruket nasjonal topologi så er det godt nettverk, ikke bare langs Gjøvikbanen på enkelte steder, men selv i de dype fjorer og på de høye fjell så er det brukbart nett her sammenlignet med andre land i Europa. Dette skaper en mulighet for vår industri til å digitalisere seg. Det skaper en mulighet for våre myndigheter til å drive digital saksbehandling og forvaltning. Og det gjør også at alle våre innbyggere er på nett. Med mange enheter. Ja. Eksempelvis så ser vi at på NTNU, mellom 40-50 000 brukere hver dag, alle har med seg den mellom 2-3 dingsebomser som er på nett. Det er det. Ja, men det er jo... Sånn er det. Men da, hvis du hadde vært oppe om, så hadde du dratt opp snittet, hadde du ikke? Jeg hadde dratt opp snittet, skal jeg love det. Jeg har med tre bare... Det er klart det er noen som har mer enn tre. Men Nils, hvordan... Nå har du vært inne på det, nemlig infrastrukturen og hvor mye vi har med oss vi nordmenn, men hvordan rangerer vi da på å være sikre? Vi er ikke så verst. Vi er... International Telecommunication Union, ITU, de har globale indekser på dette. Der ligger Norge høyt, både når det gjelder digitaliseringsgrad, faller litt på grunn av at det er færre og færre som har fast telefon. Det er en indeks. Men vi skårer høyt på mange andre parametre. Og når det gjelder cybersikkerhet så ligger vi også høyt. Vi ligger topp tre i Europa. Dette kommer av to hovedting, sånn som det oppsummeres i rapportene der. Det ene er at vi har gjort en sikkerhetskulturundersøkelse blant våre innbyggere. Det tyder på at vi har begynt å tenke på det her, at Alle og enhver har en rolle når det gjelder å sikre nasjon, og vi ligger også høyt oppe på grunn av det tillit som ligger mellom innbyggerne og våre myndigheter, og myndighetene, det tillitsforholdet som våre myndigheter har til våre naboer. Jeg blir nysgjerrig, hvem er sikkerhetste i Europa da? Sikkerhet i Europa. Estland tror jeg var høyest på den. Og faktisk franskmenn kom høyt ut. Ja. Franskmenn er det sikkert noen sære systemer. Ja, det er proprietære. Blodråper på en eller annen sensor. Ja, det er ikke litt prosent det der. Men vi må spørre. Sånn fra næringslivet så har vi hatt en wake-up-call de siste årene med Hydro. som ble utsatt for mega-hacking, i hvert fall sånn jeg ser det utenfra. Og som personer så har vi jo også noen eksempler, men hvilke trusler står vi egentlig overfor nå, som personer eller bedrifter eller samfunn? Ja, Hva skal man si? Trusselbildet er sammensatt. Hvem er det, og hva ønsker de å få ut av oss? Ofte er det vel økonomisk vinning, eller informasjonsmessig vinning som de ønsker. Og avhengig av hva målet er, enten man ønsker å drive industrispionasje, eller mellomstatlig spionasje, eller sabotasje på et eller annet nivå, eller at man egentlig bare ønsker å teste ut noe teknologi eller et skript, eller å se på en sårbarhet, altså fra motstanderens ståsted, så er det veldig ofte at det er mennesket som er det førstelinjeforsvaret som man går etter. Nå har jo flere og flere sett ut tjenesteleverandelsene når det gjelder for eksempel å drifte e-post og like ting, så det er jo ofte profesjonelle som tar seg av. Det er filtre, det er inntreningsdeteksjonssystemer, man håndterer hendelser og så videre, sett fra et teknisk perspektiv. Men mennesket er jo ikke alltid, du kan si at det er på vakt eller like... like oppmerksom på det som kommer, eller man kommer bare til å godkjenne noe, sånn som I love you trykker på videre send, eller man aksepterer noe, så er det gjort. Noen ganger tror du at du har gjort det riktig, men du har gjort det gærent likevel. Men det er jo interessant. Mange av oss har jo e-poster fra Gmail eller andre. Jeg ser jo at det kommer noe i spam-filtret der, men jeg har skjønt at de filtrerer ut veldig mye mer. Det aller meste kommer ikke i det synlige spam-filtret som du ser. Jeg ser bare minimum alle melder jeg egentlig får. Du ser toppen av isfjellet altså? Du ser toppen av isfjellet, spammen og IT-avdelingen som regel. Hvis du har en intern drift-epost, de vil filtrere bort 95% av trafikken før det kommer fram til deg. Det må jeg innrømme, det visste jeg ikke. Jeg visste at det var høyt, men ikke så høyt. Det er jo helt utrolig. Men, og det er jo veldig forskjellig selvsagt om noen skal ha noen kroner fra meg personlig, eller om det er sånn tyder og case da, men du var jo inne på det her før sendingen, altså disse angrepskjedene kan jo bli ganske komplekse da. Ja, både den digitale verdikjeden er kompleks. Det er mange interessenter og mange leverandører og mange steg i den. Også angrepskjedene er sammensatt, og det er mye samarbeid som vi ikke ser. De spesialiserer seg på ulike ledd. Noen er gode på å finne sårbarheter i programvare som brukes mange steder. Noen er spesialister på passordatabaser, altså brukernavn- og passordkombinasjoner. Noen er gode på å kombinere denne informasjonen og nå frem, kjøre angrepet og sette ut et skadelig programvare, og noen er gode på å gjennomføre angrepet når det skal skje. Så du rett og slett kjøper deg konsulentjenester? Ja, det er en egen business. Lever fortsatt myten om den enslige hackeren på gutterommet? Ja, på gutt- og jenterommet så er det liksom noe lever der. Og en del kan skje derifra, men den profesjonelle hackeren, han går nok på jobb i en dress og slips eller drakt, akkurat som noen som jobber i bank eller finans, og har en dayjob et eller annet sted i verden, kanskje noe østover. Ja. Men der kommer vi jo inn på også en aktivitet som dere er involvert i, nemlig dette med øvingsfelt for cybersikkerhet. Hvordan øver man? Ja, øving er jo egentlig i vinden om dagen, holdt jeg på å si. Nasjonalsikkerhetsmålene er et tiltak som har vært gjennomført i mange år i Norge. Det er Norsk senter for informasjonssikring som er hovedkoordinator for det i Norge, og årets tema vil være øving. Da handler det om å øve på uønskede hendelser som skal oppstå, og hva skal vi gjøre da? I store bedrifter er det ikke så godt å vite at en hendelse detekteres nede i et monitoreringssenter, hvor de ser på trafikken. og det som skjer, og så skal dette rapporteres tjenestevei på et eller annet vis, og så skal du skape samhandling mellom ulike deler av virksomheten. Hvis det er en produksjonsbedrift, da, hvem er det som bestemmer om du skal stoppe en maskin eller ikke? Hvilke konsekvenser vil det ha? Når er det vi må stoppe hele driften? Hva kan vi gjøre? Hva kan vi ikke gjøre? Å gå gjennom litt sånn der scenarier, rett og slett, på de situasjonene som oppstår, det er øving. For å se på det har vi inngått et samarbeid fra instituttet vårt med Cyberforsvaret og Telenor, hvor vi bygger opp det du kan kalle for en øvingskapasitet, eller kanskje vi kan kalle det et øvingsfelt for å ta en analogi fra den fysiske verdenen. hvor vi både vil ha, hvor vi simulerer de tekniske systemene, og så har vi noe som ligner på et kontorlandskap rundt, eller flere kontorer ved siden av hverandre, hvor du kan sette inn organisasjonen og øve ulike deler av organisasjonen på ulike typer angrep. Ja, men jeg håper å si de deler øver for å oppdage, trener vel også? Det vil jeg tro. Den trener nok også. Hvordan er denne stillingskringen? Det er liksom våpenkappløp da. Vi har gått fra tradisjonelt krytt til atomvåpen og videre. Hvor er vi igjen i evolusjonen? Det er risikoanalyse, ikke sant? Og det her går ifra gitt hvor mye verdier du besitter. Enten du er et individ, eller en liten virksomhet, eller en stor virksomhet. Så må du vurdere din emne til å forsvare dette litt opp mot hvor interessert er det når noen vil være til å angripe deg. Så... Så for enkelt individet vil det jo variere stort ut fra hvilken livssituasjon du er i, om du har økonomiske problemer, om du har en arbeidsgiver som kan være av spesiell interesse for de som angriper. Mens for virksomhetene er det ofte hvilke bransjer og sektorer de er i. hvor bekymret vi skal være avhenger litt av hvilken verdi vi kan ha for de som mangler for oss rett og slett det er konsekvens sannsynlig etter konsekvens så jeg var inne på litt før skjedding det var noe med hvis du fyller ut lottokorpongen og så kjører du på butikken for å levere den og ikke leverer den på nett Så da er det kanskje høyere sannsynlighet for å bli utsatt for en trafikkulykke og bli skadet enn det er for å vinne den premien. Men likevel så leverer vi inn godt opp i kongen da. Ja, det er jo poeng det. Men de er på uttrykk etter enten penger eller informasjon, ikke sant? Ja, eller sabotasje kan jo også være da. Ja, filtrasjon av påvirkninger. Så det er en kjede fra gutteromshekkeren, via de som driver aktivisme, kan du si, til de som driver industrispionasje, økonomisk kriminalitet, og så har du det som kalles for ikke statlige aktører, men som ligger kanskje med en statlig aktør som støtter dem i bakgrunnen, og så har man statlige aktører på toppen. Fordi vi opplever nå stadig mer beskrivelse av hva som foregår. Det kan jo virke som noen statlige aktører kjøper tjenester fra den kompetansen i systemet. Kjøper eller støtter. Det er noen ulike måter å se på det. Men jobber dere også inn mot type fake-videoer og sosiale medier og den type ting? Ja, det går. Vi har en forensisk gruppe og vi har en del andre som jobber også med bildedeteksjon, mønstergjenkjenning og noe på den siden. Hvis du skulle gitt noen råd nå, en enkle råd til vanlige folk med PC og mobil? Ja, det beste rådet er jo ikke å holde folk oppe om natta. Nei. Vi er ikke der. Men en sånn bevissthet om at vi er blitt ganske avhengig av de systemene som vi har rundt oss. Og så er det at hvis noe virker for godt til å være sant, så er det ofte det. Ja, du har ikke begynt å forholde seg litt sånn edrulig til det. Ja. Og om det her gjelder økonomi, eller det gjelder en del sånne sjekke-apper, dating-apper, umotståelige tilbud. En enka fra Nigeria. Og så er det litt sånn å sette unngå, og det er jo enkelt å si da for midt på dagen i arbeidstida, men også unngå å sette seg selv i litt sånn kompromitterende situasjoner. Det er et råd som jeg ofte gir til de som jeg snakker med. For det gamle med gambling, sex og prostitusjon, det kan dokumenteres artillig mye lettere nå enn før, og det er like mye brukt som før. Ja, det er jo et godt poeng, og der har jo det vært mye trusler også med disse kameraene, noen har en teplapp over kameraet sitt, og vi får sånn... Ja, vi får sånn smart hjem, ja. Det er veldig mye enklere å detektere og sende seg og få noe på noen, og det er jo det første steg innenfor. Enten så kan du lure noen, eller så kan du true dem. Og... Og det er ikke bare noe vi leser om i bøker eller ser på film. Det skjer. Ja, jeg håper dere får god informasjon om alt som skjer, selv om vi ikke kan snakke om alt med den posisjonen dere har fått. Ja, til å være en akademisk institusjon. Vi produserer jo åpen kunnskap og har en stor rolle i forhold til det å drive utdanningsprogrammer og forskningsaktivitet. Men i vårt fagfelt er det også veldig viktig å ha et godt forhold til industrien, til virksomhetene og til myndighetene. Det har vi etablert hos oss gjennom ulike samarbeidsrelasjoner. Det sikrer at vi formidler relevant kunnskap og produserer relevant kunnskap, men det gjør at vi må ha et tillitsforhold til de som vi samarbeider med. Hvis du ser inn i kristallkula nå til slutt, blir det kvitt det her problemet? Kommer AI og neuralenett og maskinlæring og alt dette nye gode stasje til å hjelpe oss til å bli kvittet. Vi blir ikke kvitt av det problemet. For de har det motparten av. Ja, det vil jeg si. Mennesket vil jo ikke bli kvitt. Og menneskets natur ligger der. Men litt adferdsendringer vil kunne ta ned risikoen. På sikt, gjennom generasjoner, da er vi vel inne gjennom Nå har vi den første generasjonen som er født digital, altså som har digitale foreldre, og som har noen muligheter til å veilede barna ut fra egen erfaring. Noe med hvordan mennesker har utviklet seg er jo hvordan man overlater kunnskap og erfaring fra generasjon til generasjon. Og det har ikke vært lett for den generasjonen som gikk på universitetet med regnestav Ja, vi har. Noen har vært der. Jeg har vært der, ja. Da jeg gikk på universitetet, så var det tidlig at hjelpemidler regneste av, men jeg hadde aldri sett en. Men det sto fortsatt i eksamen. Ja, det gjorde det. Og til de som i dag... Den kan jo knapt nok skrive uten tastatur, men den håndterer de digitale systemene. Kompetansen er hos den yngste generasjonen, og ikke hos den oppdragende generasjonen. Jeg tror at når den oppdragende generasjonen har vært gjennom dette, så vil vi i hvert fall ha gjort et steg. Og det er jo utdanningens rolle. Men Nils Karlstad, dette er jo fantastisk spennende, og vi må jo nevne også at dere på dette instituttet i dette lille landet har jo også EU-prosjekt i går med. Ja, vi har over lang tid hatt topp og god forskning som vår strategi. Vi har en god portefølje, og bare allerede denne uka i går fikk vi nyheter om at Kristoff på BIMETIL-labben, og Sjule som jobber med AI og sikkerhet, fikk inn hvert sin EU-prosjekt på tilsammen litt grann over en million euro, så det er veldig artig. Da må vi gratulere. Ja, det må vi gjøre. Takk for oss. Vi må bare si takk for oss, og så må vi minne om da at ja, vi har utfordringer med digital sikkerhet, men vi har blitt kvitt skapsprengeren og bankrameren i Høygrand. Ja, og jeg vet ikke om det er noen som savner han bankskapsprengeren? Nei da, det var jo nykkes titel en gang, så nå er det vel, om ikke offisielt, så er det jo relativt sjokk. Ja, jeg har ikke hørt om det på hver dag. Vi er over på fishing i stedet for. Takk for oss.

Mentioned in the episode

Gjøvik 

Stedet hvor podcasten er innspilt, og hvor NTNU har et cybersecurity-senter.

NTNU 

Norsk universitet med et senter for cybersikkerhet i Gjøvik.

ITU 

International Telecommunication Union, en organisasjon som lager globale indekser for digitalisering og cybersikkerhet.

Hydro 

Norsk selskap som ble utsatt for et stort cyberangrep.

ILOBU-viruset 

Et virus som ble spredt for mange år siden, og som Odd-Rikard Wallmoth ble smittet av.

Gmail 

En e-posttjeneste som filtrerer spam.

Cyberforsvaret 

Norsk militær avdeling som jobber med cybersikkerhet.

Telenor 

Norsk telekommunikasjonsselskap som samarbeider med NTNU om cybersikkerhetsøving.

Norsk senter for informasjonssikring 

Norsk organisasjon som koordinerer nasjonale tiltak for informasjonssikkerhet.

EU 

Den europeiske union, en organisasjon som finansierer forskningsprosjekter.

BIMETIL-labben 

En forskningslaboratorium ved NTNU som fikk EU-finansiering for et prosjekt.

Kristoff 

En forsker ved BIMETIL-labben som fikk EU-finansiering.

Sjule 

En forsker som jobber med AI og sikkerhet, og fikk EU-finansiering.

Høygrand 

Et sted i Norge, kanskje en by eller et område.

Teknisk Sett 

Podcasten som sender fra Gjøvik.

TU 

Teknisk Ukeblad, et norsk tidsskrift for teknologi og vitenskap.

Gjøvikbanen 

Jernbanelinje mellom Gjøvik og Oslo.

Gøteborg 

By i Sverige.

5G 

Fjerde generasjon mobilnett.

Estland 

Land i Europa som rangerer høyt på cybersikkerhet.

Frankrike 

Land i Europa som rangerer høyt på cybersikkerhet.

Nigeria 

Land i Afrika som ofte er knyttet til svindelforsøk.

AI 

Kunstig intelligens, teknologi som kan brukes til å forbedre cybersikkerhet.

Neuralenett 

En type kunstig intelligens som kan lære av data.

Maskinlæring 

En type kunstig intelligens som kan lære av data.

regnestav 

Et gammelt hjelpemiddel for beregninger.

Tastatur 

Enhet for å skrive inn tekst på en datamaskin.

fishing 

En type cyberangrep hvor man forsøker å lure folk til å gi fra seg personlig informasjon.

Participants

Host

Jan Moberg

Host

Odd-Rikard Wallmoth

Guest

Nils Kalstad

Lignende

Lastar