Nappet kabel og reddet Norge

Nappet kabel og reddet Norge

John Arild Johansen går av som styreleder i ISF, og ser tilbake på 20 år med datasikkerhet.

Norsk Informasjonssikkerhetsforum (ISF) er en ideell organisasjon som jobber med informasjonssikkerhet for sine medlemmer, nemlig organisasjoner i privat næringsliv og offentlig forvaltning.

I år fyller organisasjonen 20 år, det er skifte i styrelederstolen, og det virker på sin plass å ta seg tid til et raskt blikk på sikkerhetsutfordringene da og nå, med nylig avtroppende styreleder i ISF, John Arild Johansen.

ISF fyller år

Organisasjonen ISF ble etablert i 1994, og er fortsatt i høy grad drevet av frivilliges innsats, og har ikke bare klart å beholde sin status som stedet der sikkerhetsekspertene møtes for å utveksle kunnskap, men har også vokst. Det på tross av at organisasjonen kIkke bedriver markedsføring eller annonsering for sine arrangementer.

- Vi går inn i vårt 20. år nå i 2014, og gjør så og si null i markedsføring. Likevel har vi 200 virksomheter som medlemmer, sier John Arild Johansen, inntil nylig styreleder i ISF, og i det daglige sikkerhets- og kvalitetssjef i Buypass.

Johansen har vært styreleder i ISF i åtte år, og skal fortsette som leder av valgkommiteen. Det er forresten sikkerhetsess Lillian Røstad fra Difi som tar over lederrollen. Alt i alt er han veldig fornøyd, både med tiden i ISF-styret og veien fremover.

- Styret består av veldig dedikerte mennesker, og det har ikke vært mange av dem som bare vil ha vervet på CV-en sin. Det er jo en del jobb, og jeg har vektlagt at alle skal være likeverdige i innsats og ansvar, sier Johansen.

Organisasjonen fyller jevnt omlag 100 medlemmer på medlemsmøter og godt over 200 på den årlige konferansen, og selv om den forrige generalforsamlingen ble avholdt samtidig med den store sikkerhetskonferansen Hackcon, så stilte 110 medlemmer opp, noe Johansen var glad for å se. Det betyr at organisasjonen fungerer slik den skal, mener han.

Johansen mener nemlig det er både viktig å bra å være med i en slik organisasjon, både for faglig påfyll men også viktig nettverking. For selv om han ikke vil kalle ISF for en stor og lykkelig familie, så er det viktig å ha fokus på det sosiale, sier Johansen.

- Det er veldig nyttig, for ofte er sikkerhetssjefens rolle ganske ensom. Men med et slikt nettverk går det an å ringe opp og snakke med andre om sikkerhetsarbeid, også konkurrenter. Dette oppfordrer jeg andre til å gjøre, sier han.

Det skal tross alt være både nyttig og hyggelig å delta i en slik organisasjon.

Sikkerhet ut i lyset

I løpet av de 20 årene ISF har eksistert har det skjedd mye i trusselbildet, så vel som i bransjen og samfunnet forøvrig. I og med nett- og mobilitetsrevolusjonen er også dette med sikkerhet blitt allemannseie. Det er ikke lenger i hovedsak bransjeaviser som Computerworld som følger med og rapporterer, men også de store dagsavisene som Aftenposten og Dagens Næringsliv, VG og Dagbladet.

- Det er jo bra for oss i bransjen med bred dekning, samtidig som trusselbildet går opp. Nå synes området mye bedre, påpeker Johansen.

Dette med sikkerhet blir stadig viktigere og mer synlig, og det gjør også hverdagen enklere for sikkerhetssjefen.

- Vi skal være klar over det vi som jobber i bransjen, at dette er noe som også vanlige folk synes er litt skummelt, og kanskje helst vil at andre skal fikse. Mens den tekniske siden må være så sømløs som mulig, er det viktig at publikum informeres grundig, mener Johansen.

- Selv om folk flest nok ikke har så lyst til å se denne «skumle demonen», legger han til.

Alt er avhengig av it

Den store forandringen, som egentlig ikke kan beskrives som én ting, men et sammensatt og svært komplekst bilde, er samfunnets avhengighet til it-infrastruktur. I dag er alt digitalt knyttet sammen til alt.

Ta et eksempel i Morris-ormen, en av de første aller dataormer som spredte seg selv over internett. Den ble sluppet løs på verden via MIT den 2. november 1988, og sendte de få som var på nettet den gangen løpende rundt i vil panikk, selv på tross av at ormen i seg selv ikke var utviklet for å gjøre skade, men for å kartlegge internett via svakheter i sendmail og rsh (remote shell).

Plukket man en av de store dagsavisene den 8. november samme år, fikk man se den norske internett-pionéren Pål Spilling avbildet med en kabel i hånda. Han hadde reddet datanorge fra den skumle Morris-ormen ved å nappe ut norges internettkabel, selve pulsåren til det store internett. Så enkelt var det å stoppe Morris.

- Det er jo drømmen til cyberforsvaret - «vi nappet ut kabelen og reddet Norge», humrer Johansen, og fortsetter:

- Å se dette i perspektiv er morsomt, men det finnes ikke lenger en Pål Spilling som kan redde Norge ved å nappe ut en kabel. Samfunnet er mer enn noen gang avhengig av it-infrastruktur, sier han.

Ansvaret hviler ikke lenger bare på ekspertene, sikkerhetssjefen og it-sjefen. Det er viktig å holde på en sikkerhetskultur, både hjemme og på jobben. For de fleste handler det rett og slett om å følge litt med i timen, og tenke seg litt om før man klikker.

Snusfornuften lenge leve

Johansen, som tross alt er sikkerhetsmann selv, har noen tips for god sikkerhet. Han mener det egentlig bunner ut i å være litt våken, og bruke sunn fornuft.

Befinner man seg for eksempel på et fremmed sted, og kobler seg på et nett som ser fint og sterkt ut, så er man uansett utsatt. Man er man litt på vakt, og kanskje slår av maskinen når den ikke er i aktivt bruk, så har man kommet langt, mener han.

- Jeg bruker egentlig bare litt common sense. Jeg sørger for å ta en ekstra sjekk på det trådløse nettet der jeg er, har oppdatert antivirus og patcher og sjekker for SSL, sier Johansen.

- Men jeg setter meg jo ikke ned hvor som helst og jobber, legger han til.

På jobben er det noen litt andre forhåndsregler det kan være greit å følge. I tillegg til å sørge for, så langt det er mulig i virksomheten, at antivirus og operativsystem er oppdatert, er det lurt å ikke prøve å omgå alle sikkerhetsmekanismene som er på plass.

Sikkerhet og teknologisk utvikling

Da Windows 95 kom ut, et reneste candy-OS i forhold til alternativene, var det flere som «snek» det nye operativsystemet inn i bedriften sin, under radaren til it-sjefen. Det kunne fort skape sikkerhetsutfordringer som it-avdelingene rett og slett ikke var klare for.

- Nå ser vi det igjen med nettbrett og smarttelefoner, hvor folk tar det med seg inn på jobb og prøver å få det opp og gå. Og de skal helst ha det !, sier Johansen.

Det er faktisk ikke bare for tull og tøys at it-avdelingen venter med å slippe til nye enheter, produkter og løsninger inn i virksomhetens it-systemer. Da er det viktig at sikkerhetssjefen tør å si nei, selv om lederen krever å ha de nyeste og kuleste dingsene i dresslomma.

- Teknologien har rett og slett blitt så avansert, i kombinasjon med at alle bruker det, hvor alt er koblet til alt, at det vokser mye raskere enn fokus på informasjonssikkerhet, sier Johansen.

- Jeg føler meg veldig gammel når jeg snakker om disse tingene, men det er ingen overraskelse at det kommer igjen og igjen. Det gjelder å følge med i timen, avslutter han.

Les om: