Reisebrev fra kanskje Norges sikreste festival

Digitaliseringsminister åpnet Sikkerhetsfestivalen

Digitaliseringsminister Nikolai Astrup åpnet Sikkerhetsfestivalen i plenum med et tydelig budskap om at vi må ha en digital sikkerhet i alle ledd og at den digitale sikkerhetskompetansen må styrkes. Dette åpnet opp for foredraget til direktør for Simula Metropolitan og leder av Lysneutvalget I og II, Olav Lysne, som snakket om hvordan håndtere digitale verdikjeder og viktigheten av et rammeverk for å sikre den. Han snakket om outsourcing av kjernetjenester, kritisk infrastruktur og satte spørsmålstegn til hvor sikre virksomheters digitale verdikjeder er og at virksomheter kan arve sårbarheter fra sine leverandørkjeder. Nestemann ut var Bjørn Erik Thon som så tilbake på hans første foredrag som direktør i Datatilsynet i 2010 og hva som har skjedd frem til i dag. Som han sa er det vanskelig å summere opp nøyaktig hva som egentlig er annerledes i dag og det er flere av de samme debattene som fortsatt pågår. Data har blitt mektigere og blir brukt mer kommersielt, kunstig intelligens og algoritmer har blitt en del av personverndebatten og det offentlige bruker og oppbevarer enorme mengder data. Vi trodde det ble samlet inn mye data i 2010, men i 2019 er det enorme mengder data som blir samlet inn. Forskjellen nå er at vi har et eget regelverk, GDPR, i tillegg til at etikkdimensjonen er med på å forandre hele personverndebatten.

Internasjonale talere

Sikkerhetsfestivalen hadde også internasjonale talere. Lance Spitzner hadde foredrag om det menneskelige perspektivet, hvor han påpekte at mennesket ikke er det svakeste ledd, men mennesket er den primære angrepsfaktoren, i tillegg til at mennesker ikke er forutsigbare, vi er flinke der teknologien ikke er det ved at vi har evnen til å generalisere og være tilpasningsdyktige. Han viste også til utviklingen som har vært innenfor OS som gjør det vanskeligere for hackere å komme seg inn i miljøet og problemet med at mennesker ikke har hatt den samme utviklingen, så nå er det på tide at fokuset når det menneskelige perspektivet også. Ph.D.og co-founder for Berryville Institute of Machine Learning, Gary McGraw, brukte muligheten til å snakke om softwaresikkerhetens utvikling fra 20 år tilbake i tid til dagens dato. Han legger vekt på hvor viktig dette er blitt i dag, med nye metodikker for utvikling som DevOps og agile, og hvorfor det er viktig å integrere sikkerhet i utviklingsprosessen. Gary McGraw har vært med å skape «Building Security in Maturity Model» (BSIMM) hvor målet har vært å kartlegge og kvantifisere hvordan softwaresikkerhet håndteres i dag, for at utviklingsmiljøer kan lære av og dele med hverandre.

ID-tyveri

Per Thorsheim og Kjetil Nilsen holdt de avsluttende foredragene av dag en av Sikkerhetsfestivalen. CSO for Nordic Choice Hotels, og grunnlegger av PasswordsCon, Per Thorsheim, tok opp følgende problemstilling: Du bruker mobiltelefonen din for tofaktorautentisering for å bekrefte at du er du, men hvor sikker er egentlig mobilen din? De muligheter og konsekvenser av ID-tyveri med hjelp av mobiltelefon som Thorsheim kom med var tankevekkende og det er tydelig at det er blitt alt for enkelt å stjele identiteten til andre ved bruk av mobiltelefonen, som jo er et viktig nav i de flestes liv. Direktør i Nasjonal sikkerhetsmyndighet, Kjetil Nilsen, snakket om NSM og året 2019 som et milepælsår for dem med tanke på ny statsråd og departementstilhørighet, iverksetting av ny sikkerhetslov og etablering av nasjonalt cybersikkerhetssenter. Vi gleder oss til å følge utviklingen i NSM videre og kan samtidig røpe at Atea gjennom NSMs godkjennelse kommer til å være en av virksomhetene som har fast plass på det nye senteret.   

Digitale verdikjeder skaper nye trusler

Atea stilte mannsterkt med 11 personer, stand og også foredrag. Leder for vårt eget Incident Response Team, Vegard Kjerstad, delte erfaringer fra oppbyggingen av teamet, kompetansekrav, markedets etterspørsel og gevinsten av en implementert beredskapsplan og et tett samarbeid med virksomheter.  

Man kunne lære mer om den den nye sikkerhetsloven som har som formål å forebygge, avdekke og motvirke sikkerhetstruende virksomhet og hva som skal til for at private selskap kan risikere å havne under denne ved at man må sikre sikkerhetsgradert informasjon, hvor viktig det er at organisasjoner bør ha mer fokus på brukeropplæring, det menneskelige aspektet i virksomheten og ikke minst den digitale verdikjeden hvor virksomheter må investere i løsninger som gir innsikt og sporbarhet. Det eneste man kan si helt sikkert er at man må forberede seg på katastrofen som kan inntreffe. Like fullt er dette relevant innen digitalisering av industrielle systemer (Industri 4.0), som er relevant for stadig en større del av næringslivet.

Det viktigste sikkerhetstiltaket er samarbeid

Sikkerhetsfestivalen ble avsluttet i festsalen på Kulturhuset Banken hvor kunnskapsklyngen CyberLand hadde samlet et knippe sikkerhetseksperter med ulike roller fra forskjellige organisasjoner, med «Sikkerhet og samarbeid – slik takler vi de nye truslene» som overordnet tema. Vår egen Thomas Tømmernes deltok i i den høyaktuelle debatten og løftet frem viktigheten av private aktørers deltakelse i sikringen av IT, ettersom det er en ressursmangel på kompetanse. Paneldebatten viste at man er avhengig av et samarbeid mellom offentlige og private for å kunne takle de nye truslene.

Samarbeid er definitivt en av de viktigste nøkkelpunktene i kampen mot digitale trusler, både av  kunnskapsdeling til opplæring, åpenhet om hva som har skjedd, slik at vi kan detektere mønstre eller rett og slett at Norge ikke har mange nok fageksperter på feltet. Til dette var festivalen et svært egnet møtepunkt, og på vegne av gjengen i Atea, gleder vi oss til mulig treff allerede neste år.