Lytt og lær om sikkerhetsstyring - Tussa IKT
Vigleik Hustadnes er sikkerhetsleder i Tussa IKT, og forteller om sikkerhetskultur, Norges grønneste datasenter og IT-sikkerhet for vannkraftverk og husholdningsapparater. Programleder er Silvija Seres.
Mange ledere og styrer tror de kan legge inn en bestilling hos IT-sjefen om at de skal være godt dekket med tanke på sikkerhet, og lene seg tilbake og slappe av. Det er feil og farlig, forteller Hustadnes i denne episoden.
Tema i denne episoden:
Sikkerhetsledelse
Informasjonssikkerhet
ISO/IEC 27001 Information security management
Tekstsammendrag
Merk at Lørn.tech-episodene er laget for å bli hørt, ikke lest. Vi anbefaler å lytte til opptaket, som inkluderer følelser og vektlegginger som ikke kommer frem i tekst. Transkripsjonen kan avvike fra opptaket i en viss grad. Hvis du vil sitere, vær så snill å bruk opptaket som kilde.
Silvija: Fortell litt om deg selv, Vigleik.
– Jeg er sunnmøring og familiemann. Har jobbet i mange år med teknisk it og kommunikasjon og informasjonssikkerhet.
Hva gjør Tussa?
– Tussa er et kraftkonsern med flere datterselskaper. Tussa IKT, som jeg er en del av, leverer IKT-tjenester i bedriftsmarkedet og fiber med internett og TV til husholdninger
Hvor kommer navnet fra?
– En foss der de bygde ut et vannkraftverk, og det var slik selskapet startet. Så har ledelsen vært flinke til å kjøpe opp andre selskap og utvide virksomheten.
Tussa er altså et energiselskap som snur fra selge kilowatt pr time til å plutselig få ansvar for cybersec. Fortell om utviklingen.
– Fibernettutbyggingen ble gjort i forbindelse med kraftutbygging, og dermed fikk vi kunder i alle slags bransjer. Vi har Norges grønneste datasenter. Moderne kjøleteknologi og avanserte varmevekslere gjør at vi kan gjenbruke all varmen fra datasenteret til oppvarming. I første omgang blir varmen gjenbrukt i kontorbygget vårt. I neste omgang kan vi levere fjernvarme til bedrifter i nabolaget Strømmen vi bruker er 100 % fornybar vannkraft, hentet fra Sunnmørsalpene som omgir oss.
Du sa til meg at “Cybersec er gøy”. Argumenter!
– Det er viktig å formidle at sikkerhet slett ikke er kjedelig. Det handler om å gi en reell gevinst for hele bedriften ved å lede sikkerhetsarbeidet. Hvis du gjør det på riktig måte, så er det gøy.
Du starter fra toppen, og så går du nedover. Du må se på hva er det bedriften driver med, hvilke prosesser er det som er viktig for ledelsen at går fort og greit. Kvalitet og sikkerhet henger tett i hop. Når man leder sikkerhetsarbeid avdekker man suboptimal drift, at ting blir gjort på ulike måter forskjellige steder i bedriften, for eksempel. Når folk ser at du har gjort et tiltak for å optimalisere, og deretter ser at det funger, så er det gøy. Kanskje du kan fjerne behov for overtid. Du får kontroll og da får du også gjort mer.
Det er gøy å se at det blir resultat av noe. Når du får testet med ledelsen, kanskje styret også, og de forstår målet, å beskytte verdiene, da får de gevinstrealisering.
Hva er kostnaden med å ikke ha sikkerhet på plass?
– Sikkerhet skal støtte forretningen. Hos oss har vi generelt sett at en ting som er viktig å registerer avvik. Hvor mange hendelser er det i løpet av et år, feil, nedetid og sånn. Når man dokumenterer hendelser i løpet av et år, man man regne på tapt tid og kanskje til og med tapte kunder. Da er det lettere å få budsjett til å ha fokus på sikkerhet.
Det er ikke bare kostnader, men det er også god PR når kundene oppfatter også at vi har god kontroll. At vi blir kjent for det, det gjelder nok ikke bare for IT-selskap. Det er en positiv vinkling i forhold til økonomi.
Mangel på kunnskap er en stor om cybersec er en stor trussel, men vi kan ikke forvente at alle kan alt. Hvordan driver dere med dette? Hva må man lærer bort til ledere?
– Tradisjonelt har dette vært IT-avdelingens ansvar, og så har ledelsen tenkt at “disse er dyktige fagfolk, og de kan dette”, men det er å begynne i feil ende. Det er ledelsens ansvar å kartlegge hva som er forretningskritisk, gjøre en sikkerhetsanalyse og ta handlinger, og så gjøre bestillinger til IT-avdelingen ut fra dette.
Det er 3 bærebjelker innen cybersec:
Tilgjengelighet - at vi har tilgang til det vi trenger for å få jobben gjort
Konfidensialitet - at de som skal ha tilgang, får tilgang, men ingen andre. Korrekt informasjon er tilgjengelig for riktige personer til rett tid.
Integritet - at dataene er rett, at vi kan stole på informasjonen.
Hvordan lære bort på best mulig måte?
Det er fornuftig å starte med hva som er kritiske prosesser i bedrifter. Mellomledere må ha IT-systemer for å løse sine oppgaver. Se på hvilken informasjon de behandler og hva de trenger. Vi gjør ofte en verdivurderingsøvelse. Det bør lages en opplæringsplan, eller et bevisstgjøringsprogram for å sørge for at alle ledere får samme opplæring, og det gjelder også alle tilsatte. Alle som jobber med IT-verktøy skal ha et minimum av opplæring av sikkerhet. Særlig med tanke på luring og sosial manipulering. Prinsippet er det samme. Alle må få opplæring i sin egen avdeling. Jeg mener ikke at man ikke skal ansette en sikkerhetssjef, men at det er felles ansvar. Den sikkerhetsfaglige eksperten skal ikke utføre alt, det må skje i kommandolinja.
Personvern og konfidensialitet er ulikt for ulike organisjoner. Et legekontor har lyst til at helsedata skal være trygge, men det er kanskje enda viktigere å få tak i disse dataene når det har vært en ulykke og det står om liv.
I år jobber jeg med å tilpasse styringssystemet vårt til ISO27001-standarden, som beskriver en standardisert måte å styre sikkerhetsarbeidet på.
Kan du nevne eksempler på medieoppslag om informasjonssikkerhet ?
Trump og valget i USA gjorde cyber-sikkerhet svært aktuelt. Her var det to saker. Den ene gjaldt at Russland brukte sosiale media til å påvirke valget i USA for å få Trump valgt. Den andre var at Trumps valgkampanje engasjerte Cambridge Analytica til å gjøre det samme. Cambridge Analytica samlet inn persondata om folk og brukte disse til å levere ulike budskap til demokrater og republikanere. Cambridge Analytica lager psykometriske profiler: de vet hva vi frykter, hva våre redsler er, politisk og sosialt, og bruker dette til sin fordel. Mange sier at de ikke har noe å skjule, men når de får vite hvor mye Google og andre vet om dem så blir mange bekymret.
Ellers så har Per Sandberg bidratt på sin måte. Fordi han har fått opp masse oppmerksomhet rundt hvor farlig det er å ta med seg mobilen til Iran, og det skaper debatt blant folk flest. Det er positivt.
Vi ser stadig mer at Internet of Things (IoT) rundt oss, og alt som har en chip i seg kan hackes. Dere sitter på samfunnskritisk infrastruktur - strøm. Hva tenker du om det?
– Mer blir digitalisert, og det blir mer sikkerhet rundt det. Alt er på nett, alt har en ip-adresse og kan sende informasjon. Enten om det er industri eller hjemme, privat, som i hus eller bil. I 2106 kom det ut at det ble pøst ut veldig mye utstyr som kan kobles opp mot nett. Dette kan brukes til å Denial of Service angrep, der mange hverdagslige enheter som kamera, temperaturmålere og kjøkkenet blir brukt som trafikkdriver mot utvalgte servere. Når trykket blir stort nok, kneler serveren. Sikkerhet er veldig viktig for IoT-utviklingen.
Hva gjør Tussa for at dette ikke skjer med strømnettverk?
– Det er strenge forskrifter for kraftberedskap fra NVE for kraftnett og kraftproduksjon.
Prøver dere å påvirke forskriftene?
– Ja. Selv om jeg jobber innen IKT og ikke infrastruktur eller strømnett, har jeg deltatt på konferanser og det skjer et godt arbeid der for at det skal bli mer sikkerhet. Ikke bare complience, men enklere.
Hva skjer i 2019, tror du?
– Det er vanskelig å spå. Men jeg tror at nå som mange kan låse døra si via en nettside, kan gjøre det bare ved hjelp av ett passord. Det er viktig at leverandører tenker sikkerhet, og krever to-trinns-autorisering, for eksempel.
Det vil helt sikkert komme medieoppslag om dårlig sikrede løsninger. Jeg tror det kommer til å komme saker om hackede hus.
Hvilke cybersec regler, eller bud, burde vi alle følge?
– To generelle råd til alle. Bruk to-trinnsautorisering og les gode råd på sikkert.no. Det handler om å være bevisst. Personvern er enkelt å ta tak i , det gjelder alle. Bedrifter må forstå at de ikke kan overlate ansvaret til andre. Ikke overlat det til it-sjefen alene, snakk om sikkerhet, bygg en sikkerhetskultur i organisasjoner. Da trenger du formidlere som kan gjøre dette interessant for folk. Hver leder må ta ansvar for sin avdeling.
Make cyber great again!
– “We have to get very very tough on cyber” er jo et godt sitat fra han.
—————————————————————————————————————-
Vi tok et par ord med Vigleik etter intervjuet og spurte:
Hva får Tussa IKT ut av å være deltagervirksomhet i iKuben?
– Vi lærer av hverandre og det er veldig givende. Det er svært interessant å snakke om IT-sikkerhet med Mette Holand, HR-sjef i Molde kommune, og Odd Tore Finnøy i Brunvoll, for eksempel.
Sikkerhetskrav og nødvendige tiltak er forskjellige i forskjellige bedrifter, fordi de har forskjellige verdier og forskjellig trusselbilde. Men alle kan bruke de samme metodene for å få oversikt og ta kontroll over sikkerhetsnivået.