Episode 5: Digitaliserings- og teknologistandarder
Episode 5: Digitaliserings- og teknologistandarder
Digitalisering og teknologistandarder Programleder: Ken Wasenius-Nilsen Gjest: Jørgen Dyrhaug, Seniorrådgiver i Nasjonal sikkerhetsmyndighet (NSM)
Tekstversjon
NDLA Industriteknologi VG2 - Episode 5: Digitalisering og teknologistandarder
I: Intervjuer
J: Jørgen Dyrhaug
I: Jeg er akkurat så gammel at jeg husker veldig godt da vi fikk internett hjemme. Jeg gikk da på ungdomsskolen, og fattern var en av de første i Moss som ordna seg internett, eller... Det var i hvert fall det fattern sa da. Når jeg tenker meg om så hevdet han jo at han var først ute i Moss til å gjøre nesten egentlig alt, men det er først som godt voksen at jeg har begynt å stille spørsmål ved dette her, for det finnes jo ikke noen beviser på det, men uansett, vi hadde fått internett, og jeg måtte putte ti spenn i et glass for hver time jeg brukte på nettet, for det var det fattern mente at det kostet. Og en dag så satt jeg og surret innpå der da, og så så jeg en video av en ape som klødde seg så hardt i rumpa at han falt ned fra et tre, og så gikk bare hele skjermen i svart. Og plutselig så kommer fattern hjem, og så viser det seg at det er jeg som har vært uforsiktig, da. For den siden med den rumpekløende apa, det var ikke en sånn side som man bare kunne gå innom uten å få virus, sa fattern da. Så nå måtte jeg for all del passe på at jeg ikke bare trykket på X på alle de masete varslingene fra McAfee Antivirus. Her måtte man følge med i timen, sa fattern. Og fattern han, han hadde nok rett han, som vanlig.
Velkommen til Nasjonal Digital Læringsarena sin podkastserie om standarder. Jeg heter Ken Wasenius-Nilsen, jeg er din vert i åtte episoder om nettopp standarder. Dette her er da femte episode, den skal handle om det som foregår blant annet på internett. Vi skal snakke om digitalisering, teknologistandarder og cybersikkerhet. Og for å bli littegrann klokere, så har jeg med meg seniorrådgiver i Nasjonal sikkerhetsmyndighet, Jørgen Dyrhaug, velkommen til deg.
J: Tusen hjertelig takk.
I: Sånn, aller først, hva gjør dere i Nasjonal sikkerhetsmyndighet?
J: Vi prøver å holde dette landet sikkert, ganske enkelt, ved å, innenfor det som kalles vår jurisdiksjon, altså det vi har lov til å gjøre, så kan vi gå inn og si «dette skal du som virksomhet gjøre, og du skal bruke dette utstyret og gjøre disse tingene». Og så er det veldig mye av Norge vi ikke har jurisdiksjon i, da går vi ut og sier «dette bør du gjøre». For dette vet vi veldig, veldig, veldig godt. Så dette bør du gjøre. Jeg kan ikke tvinge deg til å gjøre det, men du bør høre etter og gjøre det jeg faktisk sier.
I: Så dere kommer både med krav på en side, og anbefalinger på en måte på den andre siden? J: Yes. Litt avhengig av hvem som er mottaker av budskapet.
I: Kan du komme med noen konkrete eksempler på sånne type standarder som dere står for som passer på sikkerheten vår?
J: Ja, nå er vel kanskje, og siden vi da kanskje skal snakke mest om cyber, så er det vel kanskje denne ISO 27000-serien som er den mest kjente standarden for datasikkerhet.
Den kjenner vi veldig godt til, men vi har laget et eget rammeverk som vi har kalt grunnprinsippet for IKT-sikkerhet, som for så vidt da henger opp mot ISO 27000, kompatibelt med det, men som kanskje er litt mer konkret, litt mer brukbart, sånn ut av boksen, og som kan brukes av datafolk, og ikke nødvendigvis bare av sikkerhetsfolk.
I: Ja, ok. Hva slags type ting kan det være da, for eksempel?
J: Nei, det er jo helt klare prinsipper om at du må blant annet vite hva du har av utstyr for å kunne ta vare på det. Du klarer ikke å ta vare på noe du ikke vet er ditt. Du må være i stand til å oppdage at det skjer noe tull og fanteri i systemene dine. Du må være i stand til å håndtere det som skjer, og du må være i stand til å komme tilbake. Så det er egentlig ganske banalt.
Det er sunt bondevett, men det er systematisert og konkretisert ned til 115-120 tiltak som ligger under her. Så det er en kjempesuksess, brukes av veldig, veldig mange i Norge og det er rett og slett et gratis tilbud fra oss til dem som måtte finne på å bruke det. Det har vært en lykke for veldig mange norske virksomheter å faktisk kunne ta i bruk dette. Og det er liksom, se hva Nasjonal sikkerhetsmyndighet sier at vi faktisk trenger, og så er det ikke noen diskusjon om du trenger det eller ikke, for vi sier at «dette bør du ha».
I: Hvis man tar det ned til privatpersoner, vi har jo en del ting som passer på oss også. Jeg tenker sånn, hvis du bare tar smarttelefonen din da, så er det jo enten et passord eller et fingeravtrykk eller en ansiktsgjenkjenning som må inn der.
J: Ja, og det er klart at alle disse mekanismene har gjort det enklere å bygge bedre sikkerhet i komponentene, og for smarttelefonenes del så er det jo de store leverandørene, Apple og Samsung de facto, som jo da har satt disse kravene. Utfordringen er jo at vi er mye dårligere i PC-verdenen på å gjøre disse tingene. Vi er mye dårligere på å ha gode passord på alle tjenestene våre. Mennesket har en syk tendens til å bruke det samme dårlige passordet på uendelig mange løsninger, og mister du da kontrollen på et brukernavn-passord-sett, så vet røverne som sitter da med denne brukernavn-passord-kombinasjonen at statistisk sett så kommer denne kombinasjonen til å gi oss innpass i fryktelig mange andre tjenester. Du mister tilgangen til Facebook-kontoen din, og da vet de at den kan kanskje funke på Snapchat, på Messenger, på et hav av andre, fordi vi er late og litt dumme.
I: Ja, så det går såpass langt, vi er late og litt dumme? J: Ja, og nå er jeg veldig moderat.
(Latter)
I: Men vi er altså da bedre faktisk på smarttelefonen og kanskje da nettbrett, enn vi er på den faktiske Mac-en eller PC-en vår?
J: Ja, og mye av forklaringen på det ligger jo kanskje i at en mobiltelefon er en mye nyere konstruksjon. En PC er jo strengt tatt eldgammel filosofi, selv om vi kanskje har helt
moderne datamaskiner, men prinsipielt er jo en PC åpen, mens en moderne smarttelefon er jo lukket. Nå har vel Apple liksom akkurat fått beskjed om å åpne opp for andre app stores, så ikke sant det har vært et så lukket univers og de har jo da sittet med bukta og begge endene, og det er klart at det har kommet med en fordel for oss brukere, det er forferdelig mye vanskeligere å snike seg inn i en mobiltelefon, enn det er å snike seg inn i en PC.
I: Men var vi litt for dårlige da vi på en måte fikk PC-ene da, eller?
J: Jeg tror ikke vi var i nærheten av å forstå utrulleringen. Den der ideen om at kanskje en million PC-er ville være nok, holdt jo ikke vann, holdt jo ikke stikk. Og en annen utfordring er jo at alle fikk en datamaskin i lanken, med et klapp på skulderen og et lykke til, og det var det. Vi satte jo aldri noen kompetansekrav til å bruke noe av det mest avanserte, intrikate og ødeleggende som det en datamaskin faktisk er, hvis ikke du vet helt hva du driver med.
I: Ja, så du mener at det burde vært en slags førerprøve eller noe?
J: Ja, definitivt. Du får jo ikke kjøre bil på åpen norsk vei uten ganske grundig… Du blir jo holdt i ørene i hele prosessen. Du skal være gammel nok. Du skal være kompetent. Du skal være sertifisert. Du får ikke kjøre hva som helst på åpen norsk vei, det er regler for hvordan kjøretøyet skal være konfigurert. Det er krav om periodisk kontroll av bilen din, sånn
EU-kontroll. Du skal følge trafikkreglene. Vi kan trekke tilbake sertifiseringen. Vi kan avskilte bilen din. Og det er bare trafikk. Trafikk har ingen sånn global ødeleggende effekt. Det kan ikke skje noe i Afrika som får konsekvenser i Norge sånn trafikkmessig.
Datamessig? På et blunk. I: Ja.
J: Men vi har ingen intuitiv forståelse av farene med en datamaskin. I: Ok, så vi er for dårlig opplært i noe som vi bare kaster oss ut i da? J: Mhm.
I: Og det gjelder den dag i dag samtidig, sånn som det gjaldt på 90-tallet?
J: Ja, og det gjelder mer i dag enn det gjaldt i går, fordi det har kommet enda flere datamaskiner til, enda flere prosesser er digitalisert, enda flere systemer er avhengig av en datamaskin som fungerer, en internettlinje som faktisk er der, og, jeg holdt på å si, forferdelig mye funksjonalitet som ligger oppstrøms. For at du skal sitte på datamaskinen din og surfe på en eller annen nettside, så er du avhengig av at ekstremt mange systemer spiller på lag hvert millisekund. Hvis du kjører en sommermorgen oppover Riksvei 4 til Gjøvik, oppover bakkene til Lygna, så er ikke du egentlig avhengig av noen andre. Du kan være helt alene i verden, og det ville gått helt fint. Du er aldri alene på internett. Det er alltid forferdelig mange mennesker, virksomheter og systemer som må ha en god dag på sin jobb, for at du skal kunne gjøre det som du har lyst til å gjøre med PC-en din.
I: Nå har du allerede vært innom det, men hvorfor er det så viktig med cybersikkerhet?
J: For at den funksjonaliteten vi nå tar for gitt at datamaskinene skal gi oss, at det faktisk skal funke. Vi snakker om alt fra det vi sitter og gjør her nå, som er styrt av datamaskiner, til flymaskiner, til oljeproduksjon, til kommunikasjon, til helse, til velvære, til velferdsteknologi, til bilen din og bilen min, som jo strengt tatt etterhvert har blitt en svær, rullende datamaskin som står online hele tiden.
I: Har du noen gode eksempler på hvor skjørt dette her systemet egentlig er?
J: Ja, det er jo da så skjørt at for noen uker eller måneder siden så var det da en artikkel i min lokalavis om en brøytebil som hadde et litt feil stilt brøyteskjær som kapper da fiberkabelen i et industriområde. Alt er dødt.
I: Ja.
J: Og det er ingenting du kan gjøre hvis ikke du har tenkt tanken på at det kan kanskje komme en brøytebil. Ikke sant, og det er de helt nære tingene, vi trenger kanskje ikke store cyberoperasjoner fra utlandet for å gå på en smell, det holder med en litt feiljustert brøytebil.
I: Ja, og så da kan man jo begynne å spørre om, fordi når man snakker om cybersikkerhet, så ser jeg jo for meg russiske og kinesiske hackere og hele den store cyberkatastrofen. Men du snakker jo om én person bak en brøytebil på Gjøvik et sted.
J: Mhm. Og det kan være nok. Samtidig så skal vi jo ikke, hva skal jeg si, se vekk fra at noen der ute også har lyst til å kikke deg i kortene.
I: Nei.
J: Definitivt, industrispionasje, nasjonal spionasje skjer hele tiden. Også i det digitale domenet. Så klart, det er jo lettvint, renslig, og du kan gjøre det fra hjemmekontoret. Du slipper å reise ut, ikke sant? Det er bare å prøve å snike seg inn digitalt et eller annet sted. Og så må vi heller ikke glemme at en cyberhendelse trenger jo ikke å merkes. Det er jo en reklame som går på TV nå fra en av de store mobilleverandørene i dette landet, som jo da sier at når en cyberhendelse skjer, så merker du ingenting, og det er en veldig, veldig god beskrivelse. Ingenting er borte, ingenting er fjernet, men du har mistet alt likevel. Det er noen andre som også sitter på det. Og det kan jo være forferdelig dumt i en sånn nasjonal sikkerhetskontekst, eller i en sånn industrikontekst. Ingenting er ødelagt, ingenting er borte, men konkurrenten din eller noen andre et annet sted på kloden, sitter med akkurat samme kunnskap om et eller annet tema som det du nå har brukt tid og penger på å fremskaffe.
I: Men altså, det er jo mange forskjellige ting oppi her. Vi har de elektroniske komponentene, du har det store internett, og så har du alle menneskene på en måte. Hvor mye her er bare en enkel feil fra et menneske, og hvor mye er den store hackingen og den store skandalen, hvis jeg klarer å stille spørsmålet riktig?
J: Ja, og det er et veldig godt spørsmål, for det er kanskje ikke veldig enkelt å se forskjellen. For har da den skumle hackeren der ute gjort et eller annet som får deg til å gjøre en dum manøver? Har jeg sendt deg en e-post som du i ettertid skjønner at du ikke burde ha klikket
på? Har du scannet en sånn QR-kode på veggen i en restaurant uten å tenke at du ikke aner hvor den QR-koden egentlig tar deg? Du er ikke i cybersikkerhetsbobla, du er sulten, og du må scanne QR-koden for å få tilgang til menyen, men jeg har vært der, og så har jeg satt opp et annet klistremerke. Er det deg som bruker som gjør en feil, eller er det da en hacker som har gjort noe? Ja, det kan vi diskutere, det er en sånn akademisk diskusjon for så vidt, men hovedbudskapet her må være at vi må bli mer innsiktsfulle knyttet til hvor kompleks den digitale verden er. Det er ikke bare tut og kjør. Vi skal bruke datamaskinene, det har gitt oss fantastiske muligheter, og vi skal aldri gå tilbake til 1975 til skrivemaskiner og flanellograf og den type ting, men vi må faktisk forstå hvilke muligheter for å trå feil som ligger der i datamaskinene våre. Og mobiltelefonene våre.
I: Jeg tror veldig mange mennesker ser på internett på litt samme måte som vi gjør med vind og sol og vær, altså at det er noe litt mystisk som vi ikke helt klarer å forklare.
J: Ja, vi kobler oss til internett som om det er en naturkraft, som bare er her, det er 4G her, det er luft i rommet, kjempegøy. Og så tenker man jo ikke på at dette er systemer som eies, forvaltes, driftes, kan ødelegges av andre mennesker. Og det er ikke gitt at det trådløse nettverket du sitter da på en restaurant eller på et hotell og kobler deg på, er det det utgir seg for å være. Det kan fint være da røvere som har satt opp et tilsvarende nettverk, og du har ingen mulighet til å avsløre om du er på det rette nettverket, eller på et falskt, illegitimt nettverk som heter det samme.
I: Så som mennesker så må vi slutte å kanskje se på den dingsen som noe litt sånn farlig og mystisk, som kan gjøre ting som er utenfor vår kontroll, og mer tenke sånn, dette må jeg faktisk vite litt mer om og klare å kontrollere.
J: Jeg tenker at du skal faktisk se på den som den litt skumle, farlige og mystiske dingsen, ikke som en sånn potteplante som er helt ufarlig og jeg kan bruke den akkurat sånn som jeg vil uten at dette får noen konsekvenser, for det er helt feil. Det er ekstremt komplekst. Det er egentlig forferdelig kunnskapskrevende å kunne navigere på en hensiktsmessig, trygg og effektiv måte i det digitale domenet.
I: Men kan vi egentlig kreve at alle mennesker skal klare dette da?
J: Ja, det kan vi, for alle mennesker har jo fått en dings i hånden, og det er klart at vi må egentlig kunne kreve at de er kompetente nok til å kunne håndtere dette på en god måte. Det burde vært et datakort.
I: Ja.
J: Ikke sant? Du burde kunne vist at, se her, jeg har lappen på stor PC og bredt bredbånd. Så jeg kan få unlimited nedlastingshastighet, for jeg er kompetent. Og hvis du ikke hadde det, så fikk du pad og disketter.
I: Og disketter, ja?
J: Ja, ja, ja.
I: Vi skal tilbake dit igjen.
J: Vi skal helt tilbake til disketter. Diskettene står for en revolusjon. Men spøk til side, det er klart at du ville aldri ha brukt en rørlegger hvor gapet mellom den faktiske kompetansen og hva du egentlig forventet, var så stor som det er mellom den gjennomsnittlige PC-brukeren.
I: Men hvis vi går konkret til industri, hvorfor er det viktig med teknologiske standarder og cybersikkerhet der?
J: Nettopp som jeg også nevnte da i sted, at de fortsatt skal kunne opprettholde produksjonen sin, være sikre på at de maskinene de bruker i produksjon og utvikling og den type ting, gjør de tingene de skal, at de har kontroll på den informasjonen som blir generert, at de vet hvor informasjonen blir av, at den ikke havner på steder den ikke skal havne, at den kan brukes og er tilgjengelig for dem som skal bruke den og ha den tilgjengelig. Du kan ha vært utsatt for en cyberhendelse uten at noe er ødelagt, ting kan være stjålet uten at det er borte, og det er klart at det er en litt sånn mind twist, og det å skjønne at ting kan være der, men fortsatt være kompromittert, det er en greie du faktisk må ta inn over deg. Og så er det veldig ofte sånn at mange virksomheter i Norge sier til oss, jeg har ingenting å skjule, jeg har ingenting som noen andre er interessert i. Nei, er det helt sant? For det kan være at du har ting du er så interessert i, som er så viktig for deg, at hvis jeg tar de tingene fra deg så blir du litt desperat. Jeg som røver er ikke sånn nødvendigvis kjempeinteressert i det jeg har tatt, men jeg vet at du er det.
I: Så jeg må selge det tilbake igjen?
J: Så da selger jeg det tilbake. Det er jo sånn disse ransomware-hendelsene, altså sånn, man får virus på PC-en sin og så plutselig er alt stengt ned, og så må du betale noen bitcoins eller whatever.
I: Altså, disse standardene som man setter da, som jo først og fremst veldig mange av de er for sikkerhet i hvert fall, er det fremmende eller hemmende for utviklingen rent sånn industrielt? Tar det oss videre, eller står det i veien?
J: Jeg tror vel at hvis man hadde sett dette i virkelig fugleperspektiv, så tror jeg det er av et gode. Jeg tror dette sikrer ytre høyre og ytre venstre flanke, at du liksom ikke detter av sporet ditt. Så er det klart at man kan jo klare å ha to tanker i hodet samtidig. Og så kan man jo si at hvis vi da setter produksjonsanlegget vårt under en streng standard, så kan vi jo tillate noen på forsknings- og utviklingsavdelingen å få leke fritt. Men vi kobler ikke disse sammen, sånn at vi har en trygg sone og en utrygg sone, hvor ting kan gå, unnskyld fransken, rett åt helvete uten at det nødvendigvis sprer seg internt i virksomheten. Så igjen, altså kjør uten standard, men vit hva du driver med. Vær helbevisst på hva er på innsiden, og hva kan du tillate er på utsiden.
I: Du har vært litt innom bedriftshemmeligheter og sånn allerede nå. Hvis vi snakker litt om smarthjem.
J: Ja.
I: Så har jeg skjønt at det kunne man på en måte, altså det perfekte smarthjemmet da, kunne man ha fått til nå. Men så viser det seg at det er konkurrerende selskaper som lager ulike deler og sånn i det hjemmet. Så hvis du for eksempel har lyst til at du skal bare åpne garasjeporten og så skal kaffetrakteren slå seg på for eksempel da. Så har Amazon lagd den perfekte smart kaffetrakteren, men det er Google som har lagd smart garasjeporten for eksempel. Så snakker ikke de sammen.
J: Nei, og det er jo et eksempel på at standardiseringen ikke har gått helt gjennom. Men databransjen, datamaskinbransjen, er jo en bransje som til de grader har havnet på standardiseringskjøret. Det at vi fikk USB-A-pluggen, hvor hva som helst nærmest kunne kobles til med en USB-A-plugg og kameraet lyste opp eller printeren din fungerte eller strømforsyning, ikke sant? Det er jo et gnistrende godt eksempel og så har man jo da, som du nevner, disse smarthus-komponentene som vi fortsatt sliter litt med. Men hvis vi går vekk fra dette, tenk på klesproduksjon som ikke er standardisert i det hele tatt, størrelse XL er liksom ikke en standard, ikke sant? Så det er sånn... Denne er litt liten i størrelsen.
I: Ja, de sier ofte det.
J: Du går og skal kjøpe et eller annet. Den er litt kort i meteren. Det hadde jo ikke fungert i en teknisk verden, hvis vi snakket om at den USB-pluggen her er litt smal. Eller den er litt brei. Så du må ha en brei USB-A-plugg for å få den inn. Det ville jo ikke ha fungert. Så vi aksepterer det innenfor noen scenarier, og så vil det være helt utenkelig i andre, og da er kanskje teknikk og teknologi de stedene hvor standardisering definitivt har kommet lengst. Vi klarte å enes om sånn skru-tilkoblingsstørrelse på lyspærer, det er jo et gode, ikke sant, den E27-standarden og alle de andre. Så vi finner jo standardisering fryktelig mange steder, vi tenker jo ikke på det, men liksom, tenk hvor kronglete det hadde vært hvis hver produsent hadde sin sånn sokkelstørrelse på lamper. Det ville jo blitt et knotete system.
I: Men jeg lurer også på, det her høres kanskje litt rart ut for deg som sitter og jobber med dette her som på en måte er noe av det viktigste i verden, men når har sikkerhet gått for langt på en måte?
J: Åja. Sikkerhet har gått for langt i det øyeblikket du ikke får gjort jobben din.
I: Ja, for jeg tenker for eksempel nå da, som du har alle disse informasjonskapslene og cookiesene på smarttelefonen din, som du på hver eneste nettside må si nei eller ja til.
J: Ja, eller du må...
I: Sitte og jobbe med det. Det kan jo være litt i veien noen ganger, i hvert fall om det ikke er nødvendigvis helt i veien for jobben, så kan det være fryktelig irriterende. Så hvilke avveininger gjør man her?
J: Ja, nei, der kom det jo et krav da om at du faktisk skulle gi et opplyst samtykke, et aktivt opplyst samtykke, så dette er jo da GDPR i praksis som har gjort dette. Men det er klart at i
det øyeblikket sikkerhet blir en brems for jobben din, så har sikkerheten gått litt langt, og så kan du si hvor mye brems skal du faktisk akseptere for et større gode, igjen en sånn akademisk sak, men det går helt fint an å være altfor trygg, eller altfor sikker. Det sikreste ville jo vært å ikke gjøre noe, ikke ha hatt noen ansatte, ikke drive med noe av interesse for andre, aldri ha en datamaskin koblet til internett. Lite produktivt. Så sikkerhet er kompromissets kunst. Du skal være så sikker at den restrisikoen som er igjen for at noe ubehagelig skjer, er så liten som overhodet mulig. Samtidig skal den restrisikoen være forstått og være basert på realitetene og til å leve med. Og hvis en av disse ikke funker, så må du ta en ny runde. Ja, så enkelt og så vanskelig er faktisk det, men ja, du kan ha for mye sikkerhet.
I: Men la oss snakke litt om denne skyen, denne mystiske skyen. Man lagrer ting i skyen. Hva er det for noe?
J: Nei, det er i hvert fall ingen sky. Det er ingenting som har med himmel eller meteorologi å gjøre. Sky er jo bare blitt et begrep for noen andres datamaskin.
I: Ja.
J: Du har det ikke lenger hjemme, eller on-prem, on-premises. Du har det ikke selv. Det er et annet sted, og dette andre stedet aner vi ikke hvor det er. Vi kalte det i skyen. Men med internett, og med raske internettlinjer, så er jo da muligheten stor for at du kan sitte og jobbe på din datamaskin, men så skjer prosesseringen, liksom selve arbeidet skjer hvor som helst. Det kan skje på andre siden av jordkloden. Dette går nå så raskt med hyperraske fiberlinjer, at det spiller egentlig ingen rolle hvor selve prosesseringen skjer. Utfordringen er jo at du nå ikke lenger har det hjemme. Det er et annet sted, og det kan jo oppleves som veldig hensiktsmessig. Jeg kommer ikke til å si at sky er skummelt, eller at sky er kjempebra. Sky er en teknisk løsning, det finnes mange andre tekniske løsninger. Sky funker kjempefint til distribusjon, det at du kan ha en fil liggende i en skytjeneste og hente det ned til andre komponenter, fra en datamaskin til en annen, hvis du er på reise og ikke kan være koblet til ditt lokale nettverk, så er da sky en god løsning. Men sky er heller ikke liksom sånn gloria.
Det er klart at skyleverandøren din kan få problemer. Og hvis du har alle bildene dine på en skytjeneste levert av mobiltelefonleverandøren din, eller noen andre, og bare har det i sky, så er du avhengig av at skyleverandøren faktisk er der for deg hele tiden.
I: Men sånn sikkerhetsmessig da, det viktigste jeg har, la oss si at det er manuset til Avatar 3 som jeg har skrevet, har jeg nå her på PC-en min. Legger jeg det opp i sky, eller på min lokale lagringsplass, hvis jeg ikke vil at noen skal se på det?
J: Eller begge steder. I: Ja.
J: Og kanskje også på en separat minnepinne som du gjemmer i en brannsafe. Litt avhengig av hvor viktig denne komponenten er. Og så må man jo forstå at du bruker skytjenester, du bruker lokale tjenester, litt avhengig av hva som er viktig for denne klumpen med data. Hvis det er ditt manus av Avatar 3, så er kanskje ikke tilgjengelighet det viktigste, det er ikke viktig for deg at alle har tilgang til den, det er kanskje konfidensialitet, det at du alene har tilgang til den, og at bare du vet om dette, er kanskje det viktigste. Da ville jeg kanskje ha
tenkt mer lokal lagring enn distribuert lagring. Jeg holder veldig mange foredrag, for meg er da tilgjengelighet for disse foredragene desidert viktigst, ergo en skytjeneste, sånn at jeg kan låne meg en datamaskin, laste ned presentasjonen og få gjort jobben min. Det er ikke så farlig om alle som jobber hos den skyleverandøren sitter og blar i mine foredrag hvis de føler for det. Kanskje de lærer noe nytt.
(Latter)
J: Så vi må hele tiden forstå at det er mange gode grunner for å bruke skytjenester, det er mange grunner til å la være å bruke skytjenester, og det er umulig å komme med én anbefaling som gjelder alle. Men det viktigste budskapet for sky: de kan også gå i stykker, så ikke gjør deg 100% avhengig av sky, for plutselig så blir det en litt slitsom onsdag når skytjenesten da slutter å funke, og det kan godt være at det er ikke skytjenesten som slutter å funke, kanskje du plutselig mister internett, og da har ikke du tilgang til skytjenesten din, for den ligger i andre enden av internettkabelen, og da er du jo egentlig like langt. Da får ikke du tilgang til det du har lagt i sky, for veien til skytjenesten er brutt.
I: Når du først er inne på dette her, hvor mye er det som egentlig må fungere for at vi bare skal leve en helt vanlig dag? En helt vanlig dag. Du jobber litt, du ser litt på TV, du hører litt på musikk, og så videre.
J: Ja, det... Hadde jeg visst det tallet, så hadde jeg sagt det, men jeg aner ikke. Jeg bare vet intuitivt at det er ekstremt mange mennesker i virksomheter og systemer som skal gjøre jobben sin, for at du skal kunne gjøre din. Vi har en avhengighet til disse systemene i sanntid, fra ett sekund til et annet, hvor ting bare må funke for at vi skal kunne gjøre jobbene våre.
Det er mer enn bare at strømmen ikke er der, for det er strøm over hele landet, over hele kloden. Det skal gå lys i disse fiberkablene mellom kontinentene, ikke sant? Det er mye som kan gå gærent.
I: Hva skjer når alt går gærent da, når alt dette faller?
J: Da blir det ganske stille og fredelig. Og i 2018 så kom DSB, Direktoratet for samfunnssikkerhet og beredskap, ut med en sånn liten pamflett, en sånn liten brosjyre, hvor de sa at hver og en av oss må liksom være i stand til å ta vare på oss selv i tre dager. Du skal ha vann og mat og brensel og alle disse småtingene. Men ikke sant, internett går det ikke an å ha noen beredskap for. Du kan ikke putte internett i en hylle hjemme i kjelleren.
I: Tredagers internett.
J: Tredagers internett på flaske som skal stå mørkt for at den ikke skal bli muggen. Internett er et samspill. Internett er nettopp det, det er et “inter nett”. Det er et nettverk av uendelig mange datamaskiner som faktisk skal ha en fin dag på sin jobb, for at du skal kunne funke på din egen.
I: Det finnes jo noe annet enn internett også, hvis man jobber et sted eller kanskje er på skole, så er det jo også noe som heter intranett som man da tenker på som et litt mer internt nett, men hva er egentlig forskjellen og kanskje spesielt sikkerhetsmessig?
J: Ja, og det er et godt spørsmål. Veldig mange tenker jo kanskje at intranett er trygt, sikkert og på innsida. Det trenger det jo ikke nødvendigvis å være. For meg er jo egentlig bare den praktiske forskjellen på internett og intranett, hvem har tilgang? Intranettet ditt kan jo fint være på internett, jeg kan jo sitte på mitt hjemmekontor og være på vårt intranett i Nasjonal sikkerhetsmyndighet. Jeg kan love deg at det intranettet ikke finnes liksom i min jobb-PC, det er jo i andre enden av internett, så det er jo et spørsmål om hvem som har tilgang her da, og det er klart at en del av internett som du bare gir noen tilgang til blir jo brått et intranett. Så sikkerhetsmessig så skal man ha guarden oppe også knyttet til intranett. Med mindre man vet at intranettet ditt faktisk bare er på innsiden av virksomheten din. Noe det jo stadig sjeldnere faktisk er. For det er jo et annet sted. Det er en skytjeneste, gjerne et eller annet sted fra en stor kommersiell aktør.
I: Altså, månedlig eller kanskje oftere så må man jo inn og si ja til en hel haug med greier på for eksempel iPhonen sin.
J: Ja, du tenker på disse cookiesene og alt dette?
I: Ja, og også den store som ofte kommer, bare sånn, er du enig i alt dette? J: Ja, brukerbetingelsene.
I: Ja.
J: End user license agreement.
I: Ja, brukerbetingelser. Det er flere hundre sider ofte. Først og fremst, forventer man at folk leser alt det som står der?
J: Dette får være min helt private oppfatning: nei. Nei. Samtidig så har du sagt at “Ja, jeg har lest det, og jeg godkjenner det som står der”. Ergo har du inngått en bindende juridisk avtale.
I: Hva er det jeg har bundet meg til når jeg sier ja til alle de tingene der?
J: At app-eier tillater seg mye eiendomsrett over det innholdet du produserer. Man bør gruble litt over det faktum at ingen av oss har betalt en krone for noen av appene og tjenestene til Meta, de som eier Facebook, Messenger og WhatsApp, samtidig har Mark Zuckerberg blitt en av verdens rikeste personer.
I: Ja, hvordan har det gått til?
J: Hvordan har det gått til? Hva har han solgt? Til hvem? Han har jo solgt oss. Og informasjonen om oss, som det da sannsynligvis står ganske klart beskrevet i sluttbrukeravtalen som du har signert på at du godkjenner at han faktisk kan tillate seg å gjøre. Og det er jo dette som er litt av problematikken. Vi skjønner jo egentlig ikke helt hvilke avtaler vi inngår, og så blir vi herja med da. Og så sitter vi der og tenker, ja, men i all verden, hvordan skjedde dette? Jo, det står jo i sluttbrukeravtalen at dette faktisk kan skje.
I: Hva kan man gjøre da, hvis man har lyst til å bruke Facebook, men ikke sende all informasjonen sin rundt omkring?
J: Nei, da må man jo rett og slett være en bevisst bruker. Da må man skjønne rammebetingelsene for å bruke Facebook på en måte som gjør at du ikke selger sjela di totalt da. Ikke ta bilde av sjela di og legg det ut på Facebook. Ha kontroll på den informasjonen.
Vite at det jeg faktisk legger ut på denne plattformen, Facebook, eller liksom, vi skal ikke bare herje med dem, men det gjelder jo veldig mange av disse appene, og spesielt hvis de er gratis. Da er det payback på noe annet, og det er da som regel deg. Da må du bruke disse appene på en sånn måte at det er greit at de videreselger den informasjonen du har servert dem.
I: Ja, for jeg er komfortabel med at den informasjonen blir videredelt.
J: Ikke sant? Og et veldig godt eksempel på dette er brukerbetingelsene til Snapchat. De er skrevet på strålende, god, lettforståelig norsk. Men det er ganske overraskende hva de tillater seg. Ja vel, vil du bruke den tjenesten, så må du liksom akseptere de vilkårene, men da må bruken din reflektere den realiteten, at de da kan tillate seg å bruke dette da i all overskuelig fremtid til hva de vil. Ja vel, det bildet du hadde tenkt å sende, sender du da kanskje ikke. Så får du heller ta et kjedeligere bilde da, som resonerer bedre med de virkelighetsbeskrivelsene de har servert.
I: Men selv du som har full koll på dette, har vel sagt ja til de, om ikke på Snapchat.. J: Ja, ja, ja, jeg bruker Snapchat også, jeg.
I: Ja, du gjør det?
J: Ja, ja,. Men bruken min er kanskje litt strammere, litt tightere, enn en ubevisst bruker. Definitivt, ja. Jeg kan jo ikke si nei til teknologien, men det er bruken av den. Forstå premissene for klok, trygg bruk. Det er dit vi må komme. Det er liksom ikke bare å vifte rundt med dette og tro at alt er greit, fordi det er så lettvint og så smart og det er gøyale filtre. Du må vite hva som skjer med det du serverer de store leverandørene, det er du som er offeret. Du har liksom all grunn til å sette deg inn i dette. Hvis ikke så blir du veldig overrasket en vakker dag.
I: Når man snakker om cybersikkerhet, så er det et ord som ofte dukker opp, og det er kryptering. Hva betyr det?
(Latter)
J: Kryptering er at man med matematiske formler roter til informasjonen, slik at den er helt uforståelig for en som står og ser på at denne informasjonen driver forbi. Og så vet da mottaker hvilken motsatt matematisk roteformel han eller hun skal bruke, og så blir dette lesbart. Det blir sånn Donald Hakkespettboka, kodeark, ikke sant? Det er en form for å lage en kode ut av en klartekst.
I: Nesten som det gamle røverspråket.
J: Litt som det gamle røverspråket. Det er en form for kryptering. Men hvis du snakker røverspråk til meg, så er forutsetningen at jeg kan “av-røverspråk-ifisere” det, eller så hadde det blitt forferdelig vrient. Så det er kryptering. Det som jo er interessant er at fenomenet kryptering brukes nærmest overalt i datatransmisjon. Når du trykker på bilnøkkelen din for å åpne bilen, den kommunikasjonen mellom nøkkel og bil, er kryptert.
I: Åja.
J: Og så endres den krypteringsnøkkelen slik at den koden er en annen kode neste gang du trykker på nøkkelen. Det har bilprodusentene gjort for at jeg da ikke skal holde en opptaker i nærheten og fange opp det signalet, og når du da går inn for å spise kjøttkakemiddag, så trykker jeg på knappen, så spretter alle dørene opp, og jeg kjører av gårde. Så brukes jo kryptering i transmisjon av data. Jeg husker jo ikke hvordan det er nå, men i gamle dager så kunne du se at det sto HTTPS://www.vg.no for eksempel. Da betyr det secure, da var det en indikasjon på at det var en kryptert linje på internett. Så har man et begrep som heter VPN, Virtual Private Network, som veldig mange tror løser alt. Det er en kryptert, en virtuell, altså en ikke faktisk eksisterende, men en sånn, vi bare leker at den er der, en virtuell kanal fra din datamaskin til mottakeren, som krypterer i transmisjon, altså når informasjonen sendes.
Problemet med VPN er at det løser bare utfordringen i transmisjon, du må fortsatt ha kontroll på PC-en din. Så hvis jeg kommer meg da inn i PC-en din før informasjonen blir kryptert i VPN-en, så er vi like langt.
I: Ja.
J: Så kryptering er da som sagt, det var jo det innledende spørsmålet, det er en måte å rote til informasjonen slik at den ikke blir forståelig for utenforstående. Rett og slett.
I: Hvor sikkert er det?
J: Kryptering, det er ikke sånn av eller på, det er grader av kryptering. Man kan ha liksom, enkel kryptering, man kan ha tung kryptering. Krypteringens utfordring er at det skal være forferdelig krevende, ressurskrevende og tidkrevende, å forsøke å regne seg tilbake til den opprinnelige teksten. Det skal ta så lang tid at i det øyeblikket du har klart det, så har det gått halvannet år, ikke sant? Det som sto der er helt meningsløst å bruke. Det som jo nå skjer er at vi foran oss har den såkalte kvanterevolusjonen, vi kommer til å få kvantedatamaskiner som fungerer på en helt annen måte enn dagens datamaskiner. Regner utenkelig mye raskere, som igjen betyr at de krypteringsløsningene vi har i dag, vil bli regnet ut og løst på et blunk.
I: Ja, så da må de forandres og da.
J: Så må de forandres. Så det er et stykke arbeid som vi i Nasjonal sikkerhetsmyndighet jobber med, altså da kvanteresistent krypto. Så vi må nå lage krypteringsløsninger som er så mye tyngre å knekke, at selv kvantedatamaskinene vil liksom puste og pese og bruke lang tid på å løse det, sånn at de liksom opprettholder sikkerheten i krypteringsløsningene.
I: Altså det går jo såpass fort fortsatt med teknologi. At de som prøver å lure oss, hvor mye bedre er de nå enn det de var i går?
J: De blir jo stadig bedre og det ser vi vel kanskje også nå på disse phishing e-postene som kommer. Det heter seg jo at man liksom kan avsløre dette ved dårlig norsk, og at den reelle avsenderadressen som ligger over en falsk avsenderadresse øverst i e-posten liksom avslører dette, og ofte gjør det det. Det er, for å være helt ærlig, litt dårlig håndverk. Det er flaks for oss at de gjør det såpass slurvete at det lar seg avsløre. For rent teknisk er det ikke noe problem å lage en e-post som er helt genuin. Men ser du en e-post som er nærmest for god til å være sann, så hopp over den. Men du kan teknisk sett få en helt ekte e-post som er falsk.
Det er fullt mulig.
I: Så det der er nesten så å si umulig å vite da?
J: Det er så å si umulig å vite. Da er det litt mer kontekst som kan avsløre. Hvis du får en hentemelding fra noe som ser ut som er posten.no, men du har ikke bestilt noe, så er det sannsynligvis ikke en genuin hentemelding. Så det krever veldig mye av bruker. Du har en egeninteresse, en formidabel egeninteresse av å ikke bli lurt, og det er ikke sikkert du har nok innsikt til å kunne avsløre alt dette.
I: Helt sånn til slutt da, for at folk kanskje skal få noen muligheter til å avsløre litt mer. Har du noen tips og råd til folk for å holde seg trygge på nett?
J: Ja, de viktigste rådene, og de er overraskende banale, det er å sørge for at datamaskinen din og mobiltelefonen din og appene er oppdatert. Det har ekstremt stor effekt, fordi veldig mange av de hendelsene som skjer på internett utnytter feil og mangler som allerede er tettet og løst. Fordi røverne der ute vet at folk er utrolig trege med å få på plass oppdateringer. Når denne podkasten spilles inn, så har Apple akkurat sluppet iOS 17.4. Det er ingen grunn til å sitte og vente på å dytte den inn i telefonen sin. Det er ingen grunn til å vente på å installere siste oppdateringen til Windows. Det er ingen grunn til å sitte og vente på noe som helst. Få det inn. Vær så trygg du overhodet kan. Et annet jækla godt tips er å ha gode passord. Og det betyr mange passord. Det betyr aller helst ett passord til hver løsning, altså brukernavn og et genuint, ekte passord. Grunnen til det er at hvis du mister kontrollen på en kombinasjon av brukernavn og passord et eller annet sted, så må ikke du da bytte alle brukernavn og passordene. Det hadde du heller ikke gjort. Så da er kombinasjonen av brukernavn og passord på avveie, og røverne der ute kan statistisk sett finne bruk av brukernavn og passord på andre løsninger. Så veldig mye av det man hører om som hacking, er ikke hacking. Noen har funnet en brukernavn-passord-kombinasjon, som de da bare snur seg og prøver i en annen digital lås, og voilà, det fungerte. Og vi sier jo da at et passord per tjeneste. Skriv passordene på en lapp og gjem den. Bruk en app på telefonen til å ta vare på passordene dine. La nettleseren ta vare på passordene dine. Alt dette er på ingen måte idiotsikkert, men det er bedre enn å bruke sommerkroppen2024 som passord på alle tjenestene dine.
I: For vi er ganske langt unna det passordløse samfunnet, fortsatt?
J: Ja, vi kryper jo stadig nærmere med biometriløsninger, med ansiktsgjenkjenning, som jo for så vidt også gjør ting mer smooth, men det er klart at på en mobiltelefon så kan du for eksempel sette ansiktsgjenkjenning på appen sånn at det ikke bare er å komme seg inn på
telefonen som krever pålogging, men også å komme inn på appene, så har du laget en barriere til. På toppen av dette, tofaktorautentisering, multifaktorautentisering, flerfaktorautentisering, kjært barn har mange navn, men det at du må gjøre en operasjon til, det holder ikke bare med brukernavn og passord, du må slå inn en kode som plutselig telefonen din ber deg om, eller et eller annet sånt noe. Det gir ekstremt mye mer sikkerhet sett i forhold til det bitte, bitte, bitte lille stykket merarbeid, som det er da å slå inn en kode eller et passord til. Bank-ID er jo et veldig godt eksempel på nettopp en sånn to-faktor-autentiseringsløsning. Og hvis man hadde vært flinkere til å bruke dette, så ville man sett betydelig færre hendelser, spesielt kanskje som privatpersoner, med at ting da ender opp på gale hender.
I: Seniorrådgiver i Nasjonal sikkerhetsmyndighet, Jørgen Dyrhaug, tusen takk for praten.
J: Bare hyggelig.