Hvordan kan vi forbedre vår it-sikkerhet ved å høre på 11 åringer?

For kort tid siden holdt jeg et kurs om it og sikkerhet for sjetteklassingene på skolen Sælen Oppveksttun i Bergen. Noe som var ekstremt spennende, da jeg måtte utfordre meg selv ved å gjøre et komplekst tema forståelig for barneskoleelever. Mer spennende er det at spørsmålene fra elevene tvinger meg til å videreutvikle meg og tenke nytt. Faktisk har elleveåringene en så god teknisk forståelse at de kan lære meg og sikkerhetsansvarlige i vårt langstrakte land en hel del.

Duppedings

Men dette er egentlig ikke noe nytt. Et eksempel er da jeg som nyutdannet sivilingeniør i 1996 var i Tokyo i forbindelse med Hewlett-Packard sin satsning på digitale kameraer. Da la jeg merke til at alle elever fra videregående og ungdomsskolen hadde en liten duppedings med seg som blinket. Det viste seg å være et kommunikasjonssystem for å få nye venner.

Det som var kult var at alle kunne programmere den for å matche egen profil mot andres basert på for eksempel interesser. Når elevene tok toget hjem med tusenvis av andre, begynte enhetene å blinke. Blant tusenvis av andre elever på et overfylt tog, fant den en match. Og dette var i 1996!

Poenget mitt – som slo meg når jeg underviste elleveåringene i Bergen – er at 11-åringene bruker automasjon bevisst for få nye venner. Ved å ha å ha en app aktiv, og funksjonen stedstjenester på, får de beskjed når de treffer likesinnede – automatisk. Akkurat som duppedingsen i Japan for en halv mannsalder siden, så snakker appene sammen. Dette er jo egentlig en enkel form for automasjon. Noe vi snakker mye om i sikkerhetsverdenen.

Umulig manuelt

Vi er avhengig av automasjon for å hindre at en kompromittert laptop, eller hvilken som helst annen digital enhet, skal kunne spre en digital infeksjon i en bedrift. En jobb det er bortimot umulig å gjøre manuelt. Men automasjon funker ikke når enheter og applikasjoner ikke snakker sammen. Hackere bruker det fullt ut, og vi har ikke sjans til å følge med uten automatisering. Noe japanske ungdomsskoleelever visste allerede i 1996 – og noe bergenske sjetteklassinger vet i 2021.

Spørsmålet er om alle sikkerhetsansvarlige forstår det? Det er flere eksempler fra vårt langstrakte land på hvordan kriminelle utnytter sikkerhetshull. Angrep som kunne vært stoppet. Men det må gjøres før infeksjonen får slå rot. Dette gjelder alt! Programvare, skytjenester, datasentre... Det er her automasjon er uhyre viktig. Dessverre opplever jeg daglig at de rette forholdsreglene ikke er tatt når jeg snakker med små, mellomstore og noen av landets største bedrifter – offentlige som private. Hvordan er det egentlig mulig?

Årsakene kan selvsagt være mange. Men stort sett er det mennesket som er utfordringen. Mine generaliserte påstand er at it-avdelingen er blitt en siloorganisasjon og at sikkerhetsansvarlige ikke har nok myndighet eller en god nok overordnet strategi. Det er så enkelt som at dersom sikkerhetsstrategien ikke har nedfelt at it-relaterte produkter skal kunne snakke sammen, så låses ytterdøra mens bakdøra er vidåpen.

Generasjonsendring

Hvordan kan det ha seg at elleveåringer forstår automasjon bedre enn vår generasjon? Nicholas Carr oppsummerer det fint i boken The Big Switch fra 2008. “All technological change is a generational change. The full power and consequence of a new technology are unleashed only when those who have grown up with it become adults and begin to push their outdated parents to the margins…”

Det er endring som er selve utfordringen. Krevende men håndterbart. Lær av elleveåringene. Det gagner både næringslivet og samfunnet generelt.

Cato Evensen, administrerende direktør for Palo Alto Networks i Norge og Island