.

Dybde

Kunnskapsløp om datasikring

Nøkkelen for å sikre seg mot sårbar teknologi er mer kunnskap og kompetanse. Et forsknings- og utdanningsmiljø med hovedsete på Gjøvik er det største i Skandinavia.
  • Gunn Kvalsvik
  • Kenneth Kalsnes/Privat

Kunnskapsmiljøet, som er underlagt NTNU, har navnet Center for Cyber and Information Security (CCIS) og skriver sin historie tilbake til tidlig på 2000-tallet. Etableringen skjedde etter påtrykk fra flere store næringslivsaktører om et behov for mer kunnskap om data- og teknologisikkerhet, der flere åpnet pengeboken.

 

CCIS ledes i dag av direktør Sofie Nystrøm. Med utdannelse fra USA og erfaring både fra privat og offentlig sektor i Norge, sitter hun på toppen av en organisasjon som etter hvert skal bestå av hundre professorstillinger og hundrevis av studenter. Oppdraget er enkelt; å produsere og samle kunnskap om data- og informasjonssikkerhet.

 

– Vi vokser fort og er per i dag over 40 vitenskapelig ansatte og mange doktorgradsstudenter. Vi tilbyr både bachelor-, master- og ph.d.-program, forteller hun stolt.

 

USA lenge i front

Mange av ressurspersonene ved CCIS, inkludert direktøren, har sin bakgrunn fra USA. Det var nemlig USA som var først ute med å bygge kunnskap om datasikkerhet og forebygge dataangrep.

 

– USA har vært i forkant fordi de stadig har vært utsatt for angrep, men også på grunn av at det er politisk konsensus om å ta trusselen på alvor. Sikkerhet har en helt annen prioritet i USA. Det betyr at landet har bygget gode kompetansemiljøer som nå deler sin kunnskap videre, forklarer Nystrøm.

 

De siste årene har stadig flere nasjoner, bedrifter og enkeltpersoner blitt mer bevisst på sårbarheten i teknologi, noe som har gitt næring til fremveksten av fagmiljøer og nettverk over hele verden.

 

Direktøren for CCIS forklarer at organisasjonen hun leder, er heleid av NTNU og har forgreininger både i Ålesund og Trondheim. Finansiering får de både over statsbudsjettet, fra Forskningsrådet, fra partnere og fra andre aktører.

 

– Vi får for eksempel finansiert tre professorstillinger over ti år fra Politidirektøren, og en lignende ordning blir finansiert av Forsvaret. Totalt har vi 26 partnere som primært bidrar med en eller annen form for lønnskompensering, forklarer hun.

 

Breddefokus

Den raske fremveksten av teknologi krever stadig mer kunnskap om sikring. Kravene kommer både fra internasjonale sammenslutninger, nasjoner og bedrifter. Også enkeltpersoner har opplevd sårbarhet i bruken av dingser.

 

– Vi er i forkant når det gjelder å se utviklingen og de ulike scenariene, og de er mange. Utfordringene ligger i å forske frem gode løsninger og sikkerhetstiltak. De fleste ansatte ved CCIS har teknologisk fagbakgrunn, men vi jobber tett med økonomer, jurister, psykologer og leger. Når senteret vokser, vil flere og flere profesjoner tre frem. Tverrfaglighet er viktig, og før sommeren ansatte vi for eksempel vår første professor i personvern, sier direktøren.

 

Nystrøm, som også har sittet i regjeringens sårbarhetsutvalg, sier at en av konklusjonene utvalget kom frem til var at vi som nasjon sliter nettopp med manglende  kompetanse på hvordan vi skal sikre oss.

 

– Problemstillingene CCIS skal håndtere ligger tett opp til dette. Det er komplekst og blir mer innfløkt for hver dag som går, derfor må vi ta i bruk alle innganger. Vi klarer på langt nær å lene oss kun på egen kunnskap, og jobber derfor tett med mange instanser. I tillegg til rene forskningsmiljøer er vi tett knyttet opp mot viktige aktører som NATO, Europol og Interpol, forklarer hun.

 

I tillegg til teknologer og dataeksperter, består miljøet også av økonomer, psykologer, jurister og lingvister. Det finnes også noen samfunnsvitere og humanister.

 

– Feltet er så mangehodet at all kompetanse må bidra for å forstå konsekvenser og analysere sårbarheten teknologi påfører oss. Vi snakker om alt fra politiske valg og geopolitiske utfordringer til helse og selvkjørende biler og båter, sier Sofie Nystrøm.

 

Studenter og infrastruktur

Hvor mange forskere og studenter som i en eller form er knyttet til CCIS er vanskelig å fastslå, men miljøet vokser, og i tillegg til Gjøvik er flere studenter tilknyttet i Ålesund og Trondheim.

CCIS holder til ved NTNU i Gjøvik.

 

– Det er ikke lett å telle hoder slik universitetsstrukturen er bygget opp, men en rekke masterprogram ved NTNU har informasjonssikkerhet som en del av innholdet. Det jeg vet, er at vi er i god vekst, og at fagmessig vokser vi også i bredden, forklarer Nystrøm.

 

Direktøren understreker at det stadig løftes frem spennende kunnskap og problemstillinger. En gruppe studenter er for eksempel i startfasen med en mastergrad om biler og sikkerhet. En annen ser på hvordan pacemakere kan sikres. Flere analyserer eksempler på inngrep som har skjedd i utlandet og jobber med å utvikle system som gir innspill til hvordan vi her til lands kan møte lignende hendelser.

 

CCIS-direktøren er fornøyd med progresjonen og utviklingen av miljøet og sier at det skjer mye positivt.

 

– Utfordringen er, og så langt finnes det ingen løsning på dette, at teknologi, all teknologi, er designet for en helt annen infrastruktur enn den enorme bruken vi har i dag. Retorisk bruker jeg å si at grunnmuren er dårlig. Dette elementet må sikkerhetstiltak hele tiden ta med som en premiss.

 

Usynlig og overalt

Det teknologiske «rotte-racet» fører altså med seg en hale av stadig nye miljøer som prøver å tette sårbare hull. Å prioritere hva som er viktigst er nesten umulig. Heldigvis foregår det en aktiv deling av informasjon og kunnskap, samt et massivt nettverksarbeid.

 

– Vi samarbeider med mange instanser, både nasjonalt og internasjonalt. EUROPOL, NATO og EU er tunge aktører. Siden utviklingen går så fort, handler det også om å utvikle gode rutiner på å dele kunnskap effektivt og hurtig. For tiden jobber vi mye med utfordringene rundt Bitcoin, den virtuelle pengeenheten, som også er aktivt brukt i kriminelle oppgjør.

 

– Er folk naive når det gjelder sårbarheten de utsetter seg for ved bruk av teknologiske produkter?

– Ja, mange er det. Som enkeltpersoner krysser vi for eksempel av for aksept på lange kontrakter for å få tillatelse for å koble oss på eller for å laste ned. Svært sjelden leser vi innholdet. CCIS har i sitt mandat at vi skal være synlige i samfunnsdebatten. Målet er at bedrifter og enkeltpersoner skal gjøres oppmerksomme på at det er risiko når man omgir seg med teknologi.

 

– Hvordan agerer bedrifter på oppfordringer om datasikring?

– Flere og flere bedrifter tar sikkerhet på alvor. Mens større organisasjoner har personer ansatt til å håndtere dette, har mindre virksomheter sikret seg ved å ha leverandører med gode rutiner. Poenget er at verktøykassa som brukes, må dekke alle eventualiteter. Alt fra manglende rutiner til slurv i rutinene som gjør oss sårbare.

 

Konsekvenser og trusselbilder

I motsetning til annen kriminalitet, skjer datakriminalitet uten at man trenger å være fysisk til stede. Det er også vanskelig å «ta» de som står bak. Nystrøm viser til IT-skandalen i Sverige i juli, der to ministre i regjeringen måtte gå som følge av at ikke-sikkerhetsklarerte IT-driftere i utlandet fikk tilgang til sensitiv informasjon fra blant annet Transportstyrelsens registre.

CCIS – Center for Cyber and Information Security

CCIS er et partnerskap og et nasjonalt senter for forskning, utdanning og kompetansebygging i cyber- og informasjonssikkerhet, etablert av sentrale offentlige og private aktører innen sikkerhet, næringsliv, personvern og akademia.

 

CCIS arbeider for:

  • å øke vår nasjonale evne til å møte langsiktige sikkerhetsutfordringer i en digital virkelighet
  • å utvikle kompetanse i norske etater, bedrifter og akademia
  • å være en faglig støtte for våre myndigheter i sine internasjonale diskusjoner og forpliktelser
  • å etablere en arena for effektiv kunnskaps-utveksling imellom bedrifter, etater og sektorer, og imellom spissforskning og anvendelsesmiljøene.
  • å bli en kunnskapsnode i Europa MÅL

 

Les mer om CCIS her.

 

– Vi vet ikke med 100 prosent sikkerhet om den svenske IT-skandalen, hvor den mest sensitive nasjonale dataen lå i Tsjekkia, har lekket til kriminelle eller fienden, men hendelsen holdt på å felle regjeringen. Det samme gjelder da deler av Ukraina mistet strømforsyningen. Ingen vet helt sikkert hvem som sto bak, men vi har antakelser basert på sannsynlighetsberegning. Det handler om alt fra trusselbilder, økonomi, sabotasje etc., sier Nystrøm og legger til:

 

– Det er mye å vinne på hacking, og siden det er så vanskelig å spore, blir man sjelden tatt.

 

– For ikke så lenge siden gikk serien «Valkyrien» på NRK. Her møtte vi blant annet en skikkelse som i fellesskap med noen få andre hadde laget en plan for hvordan han skulle agere dersom det kom et angrep som satte byen og landet ut av spill. Hvor realistisk er dette?

– Sårbarhetsutvalget pekte på tre områder som må vernes spesielt. Det er strøm, vann og avløp og elektronisk kommunikasjon. Klarer noen å hacke seg inn på en av disse komponentene, er vi ille ute. I scenariojobbing sier vi gjerne at inngrep i en eller flere av disse komponentene, i tillegg til et fysisk inngrep, vil betyr sjakk matt i løpet av svært kort tid.

 

– Men kunne dette ha skjedd i det virkelige liv?

– Ja. Både Russland, Kina, Nord-Korea og Iran har store miljøer. Hvorvidt de ønsker å gjøre det, er noe annet. Per i dag handler det om makt og balanse. Men altså, det å vite at det er billig å gjennomføre, og mulig, gjør at vi må jobbe på for å sikre både oss som nasjon og våre organisasjoner og innbyggere, avslutter Nystrøm.