mnemonic security podcast

KraftCERT Threat Assessment 2024

mnemonic

KraftCERT trusselvurdering 2024 | In Norwegian only

In this episode, Robby is joined by Espen Endal and Bjørn Tore Hellesøy from KraftCERT/InfraCERT - the Norwegian CERT for the energy and petroleum sectors. 

The trio discuss the Threat Assessment report recently published by KraftCERT/InfraCERT, and the unique challenges the Norwegian energy sectors are facing. They touch into topics such as threat evaluation, insider threats, countermeasures, and the importance of maintaining robust security practices despite evolving digital landscapes. 

The conversation emphasises the contextualization of national threat assessments to be practical for energy production companies, stressing the balance between emerging technologies like AI and Digital Twins and their associated risks.

The Threat Assessment 2024 report is available at: https://www.kraftcert.no/filer/KraftCERT-ThreatAssessment2024.pdf

Speaker 1:

Teksting av Nicolai Winther destruktive attacker mot norsk infrastruktur over the next year. That being said, security measures, and especially culture, takes time to implement. So if the risk landscape changes in six months, you'll be too late if you haven't gotten started already. And a pro tip for that process avoid FUD As spreading fear, uncertainty and doubt. En pro-tipp for denne prosessen er å forhåndtliggjøre FUD For å sprede fyr. Uansettelse og død vil kanskje lede til at OT-sikkerheten blir unnøyd, og vi alle vet hva som skjer når sikkerheten er gammelt av samfunnet. Som mitt LLM sa, kreier av wolf vil lede til en forløp av kredibilitet. Forløp av kredibilitet, forløp av ressurser, større stress, døde, sammenheng og, siste men ikke minst, forløp av muligheter. Men det er også genuene risikoer som ikke er preventive, men kanskje ikke i de områder som er mest opptatt.

Speaker 2:

Så hva ser de ut som i 2024? Bjørn Tore Heiles. Så hva så det som så ut i 2024? Espen, og vi har to andre Espen også. Ja, oi, det er veldig bra, men det er ingen inflasjon. Du skal ikke ha det. Du kan ta en til, men nei, det er veldig fint å ha Espen hos oss. Vi sender han av. Jobber dere i samme team? Jobber mye sammen? ja, vi jobber jo mye med trusselvurdering, som det vi skal snakke om i dag, men også med tiltak som kommer i etterkant, som vi driver og jobber med nå i disse dager. Så vi skal snakke om deres nyeste truselrapport. Så jeg snakker norsk en gang i året og det er da du kommer på kontoret igjen. Sorry about that.

Speaker 1:

Det er det jeg som skal si sorry to the listeners, men fortell litt om kreftsart da, for vi hopper inn i det. Hvor mange er det om dagen?

Speaker 2:

Vi er vel 12. 12?, tre spener, som han sa, så høy andel. Nei, vi er jo sektorisert for olje og gassindustrien i Norge og elkraftindustrien i Norge. Det er jo startet med elkraft. Men det er de to vi har hovedansvar for. Men så har vi en del medlemmer som er både leverandører, produksjonsbedrifter og ikke minst da har vi noen medlemmer som er innenfor vann og avløp. Hvor mange medlemmer har du? Vi ser nå på Det er vel rundt 70, ikke sant? Ja, men det er flere enn medlemmerene. Så får vi en del av informasjonen fra oss og sånn da. Men du heter Infrasert nå, eller er det Kreftsert? Ikke spør Mest Kreftsert, mest Kreftsert.

Speaker 2:

Og så bruker vi begge når vi skal snakke til begge sektorene, og så skulle vi egentlig brukt Infrasert mot olje. Men det, det vil de ikke. Jo, de vil egentlig det, men det er vanskelig for oss. Det er når noe er innarbeidet. Så er det ikke så mye. Ja, ja, det er noe med kreft. Ja, det er bra. Norsk er litt bra. Men, bjørn Tore, du er på en måte ny her. Hvem er du? Ja, bjørn Tore, jeg jobber i kraftsert på Norge i fjerde året og har litt annen bakgrunn enn mange i IT-sektoren. Så det er mer psykologi og samfunnssikkerhet fag-type Og har jobbet litt tidligere i olje og gass og elkraft for så vidt og også for nasjonale sikkerhetsmyndigheter. Så det er en sånn miks. Der Er det mye psykologi, der ja mye forskjellig. Forhåpentligvis kommer vi litt inn på det i dag.

Speaker 1:

Så så deres rapport er mange sider.

Speaker 2:

Ja, nei altså, vi, vi leser jo mye rapporter og nyheter og tekniske ting i løpet av året, Med øynene eller med ei-ei, med øynene dine.

Speaker 1:

Med øynene bare.

Speaker 2:

Jeg er ikke så glad for ei-ei. Vi følger jo. Altså vi skal plassere oss mellom medlemmene, våre og de nasjonale vurderingene. For de nasjonale vurderingene, for de nasjonale vurderingene er ofte for overordnet til at de er mulige å omsette i praksis til sin kretsarbeid. Det blir mye sånn hver år våkne type tiltak som ikke er konkret nok til å kunne brukes, og vi prøver å plassere oss imellom der og sette det i kontekst for hva som er viktig for våre medlemmer. Når NSM og E-tjenesten og PST snakker, så snakker de ikke til produksjonsbedrifter, de snakker til hele samfunnet Og kanskje spesielt politikere og ledelse. Men vi prøver da å snakke til våre medlemmer og de som er beslutningstagere i våre sektorer. Det inkluderer jo også en del av myndighetene, nv og Havetil, som er oppdragsgivere også for oss. Og jeg så i reporten, det er ikke alt du er enig i som kommer fra nasjonale vurderinger heller. Nei, det er ikke det. Det er jo, som vi sier, litt av det som er fordelen med oss er, at vi ikke er avhengige av å dytte noe agenda for å overleve. Så det er jo som vi skriver i rapport det er mange som har interesse og nesten behov for å fortelle oss at alt er farlig og at det blir verre, men det er ikke sant. Altså, noe blir verre, noe blir bedre. Det er ikke så veldig mange konkrete ting vi nødvendigvis er så uenige med, men vi kanskje kan utfordre litt på å være litt mer konkret og klare i begrepene. og hvis de sier at dette er en utvikling, så hadde vi kanskje satt pris på å sette litt mer bakgrunn for ting. Men det er ikke bare myndighetsrapporter, men det er veldig mye rapporter som kommer fra vanvittig mange sikkerhetsselskap i det store utlandet.

Speaker 2:

Så det er masse ting vi går igjennom og jeg tror kanskje ikke AI nødvendigvis hadde utfordret det på akkurat samme måte som vi. Så vi tråkler oss gjennom mange ting og noen påstander føler vi skurrer litt og noen ganger er det motstridende. Et eksempel vi får i vek, tror jeg det var. Så var det en ISP, internet Service Provider fra UK som heter Beaming, som hadde et oppslag på at britiske virksomheter opplever et cyberangrep hvert 44. Sekund. Men hvis du ser på Enisa, som samler opp cyberangrep i EU i løpet av ett år Deres fjorårsrapport summerte opp til 2580 cyberangrep i EU Da blir det litt sånn hva menes med cyberangrep? For det kan jo ikke tenkes som det er helt sammen. Det er ikke bare en tellerøvelse, men det må du liksom gi litt mening. Og når vi snakker om trender og sånn, når vi prøver å analysere og identifisere de trendene som er viktige for våre medlemmer, så må vi egentlig være litt sånn ekstra kritiske lesere da. Sånn er det Keep it real.

Speaker 2:

Noen må gjøre det. Det kan ikke bli alltid farligere hvert eneste år. En ting er sikkert, og det er leverandører kommer aldri til å si at nei, det her går helt fint her, for det hjelper ikke dem å selge produkter.

Speaker 1:

Overordnet trusselvredninger.

Speaker 2:

Norge og Island.

Speaker 1:

Ja, flotte land.

Speaker 2:

Vi har vært der begge passer, og det er der medlemmene våre er, så det er liksom hovedpublikumet vårt. Så vi skriver naturligvis mest i den konteksten eller den avgrensningen. Også er jo internett og aktører som vi kikker på ikke så ikke opptatt av landegrenser og så videre, men likevel, vi har ikke stukket oss veldig ut da, heller ikke i Island. Så det er jo klart. Det er forskjell på virksomheter som er involvert i våpenhjelp eller hjelp til Ukraina, som er norske virksomheter eller en vanlig lite kraftselskap, så det. Så det er ikke for å liksom si at ja, nå går Island chillax, det er ingenting å gjøre med sikkerhet, bare å slippe alt. Det er heller for en forståelse av ok, sånn er det, nå Ting kan endre seg og da må vi fange opp det. Så det er jo en vurdering.

Speaker 2:

Cyberkriminelle har jo forskjellige mål. De som er utøvende penger vil sjelden gå etter mål som er relativt godt sikret, men som egentlig ikke har så mye ressurser. Og det gjelder egentlig Norge og Island, bortsett fra et par av medlemmene våre, så er selskapene våre relativt små. Det er ikke slåby å hente for cyberkriminelle, i tillegg til at vi har vært relativt flinke til å sikre det vi har, og vi har gode reguleringer, som gjør at vi er godt sikre, og det trekker jo ned trusselen fra dem. Så er det jo, som Tor er inne på, dette med trusselen fra nasjonalstater er litt annerledes, og der er det ofte vanskelig å vite hvilket mål de faktisk har.

Speaker 2:

Altså, et angrepp på et vannverk trenger ikke å være for å ødelegge vannverket. Det kan bare være for å signalisere at vi er her og vi gjør noe. Blir skremt, ikke sant? Og det kan det nok hende. Vi vil se noe av, men vi har ikke noen indikasjoner på at det er større enn i andre land. Tvertom, Det får ikke lov til å si det kanskje, men det er det vi har sett i Norge da. Altså, vi har sett noe i Norge og også innenfor utpressingsangrep, også innenfor våre medlemmer. Så det er ikke det at det ikke eksisterer, det er bare at det er ikke på et voldsomt nivå, og det er vanskelig å si noen tall, da vi kommer stadig tilbake til den der hva er et angrep? Ja, og et eller annet sted mellom den britiske rapporten og Enisa så kan det nok hende det ligger, fordi Enisa sin rapport vil nok sannsynligvis være egentlig angrep som har en viss grad av vellykkethet.

Speaker 2:

Det er en grunn til å skrive det Det andre er på en måte forsøk, pinging av brandmur, stoppe millioner hver dag av angrep Og et eller annet sted mellom der. det tror jeg. Men når det gjelder våre sektorer, så har ikke vi sett noe for høye av trussel. Det har vi ikke. Vil du si at deres medlemmer er på en måte litt bedre sikret enn de fleste andre bedrifter i Norge? De fleste er underlagte reguleringer som gjør at de må ha personell som tenker på det og som jobber med det, og det gjør jo sitt. Hvis du ser til leverandørindustrien og spesielt da leverandører som selskapene våre bruker for eksempel elektrikerfirmaer, de har jo ikke de samme reguleringene og det skjer oftere med dem.

Speaker 2:

Du nevnte personell. Nå, du har en hel seksjon i rapport om det utnyttjinger av personell. Vi tenker at det da blandes litt begreper, for det er en ting er disse her utro tjener? innsider må ta penger eller stikke av med informasjon og så videre. Det er liksom en ting. Og så tror jeg det er ganske hensiktsmessig å skille det fra sånne hendelige uhelder som folk kan komme borti, være uheldig, og at det er nok annet enn en sånn oppdragsstyrt innsider fra en trusselaktør og virkemidlene som vi er inne på, da virkemidlene mot å forebygge og hindre disse to ulike truslene eller farene er ulike. Da tror jeg det blir litt vanskelig å jobbe med innsider som en trussel, disse som faktisk er på innsida av organisasjonen eller kommer seg via andre underleverandører og så videre, som opererer på en helt annen måte. Det er mye lettere å håndtere Ole som har samme passord overalt, enn Ole som ønsker å tjene penger eller gjøre noe vondt mot driften.

Speaker 1:

Har du sett, at deres medlemmer har?

Speaker 2:

insiderprogram som de jobber med. Må en ingeniør ha en politibakgrunnssjekk, for eksempel? De har bakgrunnssjekk i regelverket, informasjon, de har det ok På alle, eller Nei? det er de som skal jobbe med kontrollsystemer. Det er riktig Det er bra i hvert fall.

Speaker 2:

Det er bra. I hvert fall. Ja, men den er jo begrenset. Den bakgrunnssjekken Du får jo ikke sjekke politiregistret Den er vel i praksis Litt mer enn Bare sjekke av økonomien Og sjekke av sosiale medier Og den type ting Har du gjeld, har du et spilleproblem? Sånne type ting, og ikke nødvendigvis det som har med politiet å teste og gjøre Interesting. Det er noe som er ønskede og det kommer nok, men det tar tid å få gjennom. Men det er.

Speaker 2:

Vi har ikke grunn til å tro at det er mange innsidere i Norge, men så som vi er inne på litt i rapporten at det sier seg at det er en stor og kanskje økende. Da dras for eksempel frem at bedre seibersikkerhet fører til økt innsiderisiko eller trusselen fra innsideret øker fordi at du må på innsideret fysisk og med folk når du får bedre serbesikkerhet. Så vi følger på en måte litt den logikken. Men vi ser en stor interesse for personelsikkerhet som et slags fagfelt der ute og stor interesse for hvordan de kan gjennom gode prosesser ikke diskriminere men likevel ta noen sikkerhetsmessige krav også i ansettelse og i rolletildeling i virksomhetene. Men det er ganske vanskelig. Altså i USA, der er det jo litt ansleist på den fronten. Der har du for eksempel en sånn Insiders Red Mitigation Guide fra CISA.

Speaker 2:

Der står det jo ganske mye ting som vi i norsk arbeidslivssammenheng og tradisjon vil kanskje tenke at det er litt sånn Hardcore, weird, weird, ja, weird også weird. Det er litt autoritt, det er det det blir. Der det blant annet står, at virksomheten godt kan ha en sånn behavioral scientist ansatt for å skille ut disse kanskje voldelige, kanskje innsider og liksom Suspekt sjå over skuldra. Når jeg leser sånn så er det masse bra som kommer fra Caesar for all del. Men det passer ikke helt, tror jeg da. Så hvis jeg skulle oppsummere både rapporten og hva du har sagt, nå, det skjer ikke så veldig mye, vi skal ikke være så veldig redd. Men hva vil du at folk skal huske fra rapportene? Nei, for mine medlemmer vil jeg at de skal huske dette med driftsforstyrrelser Og da mener jeg ikke angrep med driftsforstyrrelse som mål, men jeg mener den effekten angrep kan få på produksjon Vi definerer jo driftsforskyldelse kanskje litt strengt, men det er jo at en leveranse stanser midlertidig, enten helt eller delvis, og innenfor helkraft så er det strømutfall, og det skjer jo ofte.

Speaker 2:

Hver gang det blåser, så kommer det jo driftsforskyldelser, så de er jo vant til å håndtere det. Så det jeg på en måte har lyst til å peke litt på da det er at nå, som det er så mange som kobler veldig mange systemer sammen med kontrollsystemet, så er faren for driftsforstyrrelse veldig stor og blir større Og bli større, og bli større, fordi at vi er ganske flinke til å beskytte det som er inne i kontrollsystemsona. Det har vi jobbet med i ja, de fleste har vel jobbet med det i 10-15 år nå og begynner å få ganske god kontroll. Men det er alle disse tingene du er avhengig av for at driften skal gå rundt, som ikke ligger inne i kontrollsystemsona, som kan være et problem å føre til driftsforstyrrelse. Og så, hvis man på en måte trekker det helt ut, så er jo en driftsforstyrrelse det å drifte på en ineffektiv måte, fordi du ikke kan bruke hverdata, for eksempel, eller at GPS-sporingen på montørene dine ikke virker, så du må snakke med dem på telefonen og gi dem adresser. Det er en driftsforstyrrelse, selv om det er en veldig liten effekt.

Speaker 2:

Dette her kaller vi for funksjonsavhengigheter, og det er veldig mange av dem, fordi kontrollsystemet må snakke med CRM-systemer for billing systemer, vi må snakke med fagsystemene som gjør endringer i selve driftene eller i produksjonen. I tillegg, så er det backup som sendes ut, og så er det jo det nye med dataprosessering som hos en del sendes rett til ski og prosesseres der ute. Hvis du da har den lupen som gjør, at du må ha datene inn igjen, så er du egentlig avhengig av en skytjeneste for å operere. Egentlig, i henhold til regelverket er det det da en del av driftskontrollsonen Og skal beskyttes deretter. Men det har du faktisk ikke sjans til.

Speaker 2:

Men er det? Jeg trodde at ski var helt sånn, ikke lov, har han Delvis? Men det er jo ikke det. Det er noen som har prøvd seg Med sånne hybrid clouds, løsninger eller on-prem clouds, men det er ikke kostnadseffektivt. Det er også medlemmer hos oss som forsøker å flytte en del av funksjoner som tidligere lå på bakken opp i skia, for eksempel administrasjon av infrastrukturen, som vi har fått en del spørsmål om og jobbet litt med utifra og sett på regelverket.

Speaker 2:

Kan vi det helt, at de gjør dette? Svaret er foreløpig nei, men det betyr ikke, at ikke presset er der, for det koster jo mindre. Det er jo det som er hovedårsaken til at de vil gjøre det, som er hovedårsaken til at de vil gjøre det. Litt av poenget som vi prøver å få fram er at det er fortsatt viktig at du kan levere det grunnleggende av det du leverer, altså olje og gass eller strøm eller vann av god kvalitet, selv om alt annet går åt skogen.

Speaker 2:

Og det står det faktisk i kraftberedskapsforskriften at man skal. Det er bud nummer en. Du skal alltid kunne levere. Men da tradisjonelt da, så har vi jo brukt det med dette, med øydrift, som det kalles, da at du kobler fra de andre systemene, sånn at du kan drifte på en tryggere måte. Det er island mode. Ja, og også husk på, at island mode har to forskjellige betydninger. Den ene er, at hver produksjonsenhet står for seg selv som en øy og produserer og du har mange av dem, for eksempel Mens den andre er, at du bare kobler fra eksterne nettverk, så du ikke når ut på internett eller VIT-systemene. Og dette skal man jo øve på, det er jo også regulert, og da må man øve på forskjellige scenarier, sånn at man får testet ut hvor lenge kan du faktisk drifte uten CRM-systemet ditt? Hvor lenge kan du drifte uten billing? Vi kommer tilbake til Colonial Pipeline, ofte fordi den er et kjerneeksempel på det. De stoppet produksjonen eller egentlig leveranse, fordi de fikk ikke betalt. Det er jo naturlig det. Så de slo den av på en måte, ja, de slo den av.

Speaker 2:

Så trusselaktøren slo den ikke av, de slo den av, fordi de ville ha penger, ja, men det er jo på mye mindre sexy ut enn det jeg egentlig trodde at de gjorde. Det er jo akkurat det. Og de fleste som klassifiserer som OT-angrep i dag har en eller annen sånn komponent. Det er jeg skal ikke si at det er bare, men det er i praksis. Så er det bare i Ukraina. Du ser angrep direkte, the real stuff, ja, kontrollsystemer, og det er jo også derfor vi har kommet ut og sagt at det er veldig eller meget lite sannsynlig at vi får se veldig ikke av destruktive angrep mot våre sektorer. Altså på kort sikt, da i et år pluss minus, fordi en, det er veldig vanskelig, det krever veldig mye ressurser Og to, det gir ikke på en måte den effekten som angriperen kanskje ønsker. For hvis vi husker på at da snakker vi ikke om kriminelle aktører som er ute etter penger, vi snakker om stater som har lyst til å ødelegge og vise at de kan ødelegge, og det er den aller viktigste årsaken til det er jo at de har ikke tid fordi de bruker ressursene sine andre steder, og det ser vi jo. Du skrev også i rapporten, om jeg husker riktig, at du antar at stater utsetter kapabiliteten sine til tredje part. Ja, at de kjøper kode eller andre tjenester. Det ser vi jo veldig innenfor kriminalitetsbildet. Men Mandiant-rapporten om Cosmic Energy-angrepet, som er det siste veldig kadistruktive angrepet i Ukraina, det viser jo det at det ser ut som det er kode som er levert fra noen i Rostelekom Solar. Det er et russisk selskap, og det kan jo tyde på at de ikke har alle ressursene selv eller bare at de vet at det finnes og da kan de heller bruke det i stedet for å bruke tid på å utvikle noe eget. Det kan være så enkelt, men, som sagt, det betyr ikke, at de ikke har kapabilitet til å utvikle ny skadevare, for det gjør de. Det ser vi jo. Så den finnes. Men samtidig så er det også en trend at ICS-skadevare har blitt enklere over tid.

Speaker 2:

Altså fra Industrial 1 i 2015 var det vel, den inneholdt jo mange forskjellige moduler, mange protokoller, den støtta, du kunne dytte inn informasjon om målet, alle sånne ting, mens Industrial 2 hadde bare to-tre protokoller, som den støtta. Målet var hardkoda, altså adresseringsinformasjon, ipr og sånne ting. Målrettet da, det er målrettet, ikke sant? Når det gjelder akkurat det angrepet det snakket vi kanskje om i fjor også så er det jo at vi siden den skadevaren heller ikke inneholdt noe skadevare for rekognosering, hvertfall ikke åpenbart.

Speaker 2:

Så antar vi, at de har den informasjonen fra før. Så enten så har de fått det fra en innsider eller så har de stålet den fra et annet sted. Og det er vi også litt inne på i rapporten at det er viktig at virksomhetene våre tar vare på den sikkerhetssensitive informasjonen sin og ikke deler den ut overalt, for den brukes til å bygge angrep. Og hva er definisjonen av det? Altså, vi bruker adressering og topologi-informasjon. Det er informasjon som brukes for å målrette direkte mot kontrollere eller skadet av systemer eller tilsvarende i kontrollsystemet. Men det er en mye snevere definisjon enn det som kalles kraftsensitiv informasjon fra forskriften, for det er bare en type ting, Mens det som er kraftsensitiv informasjon kan være alt mulig som kan brukes til å skade kraftsystemet, og det inkluderer også fysisk lokasjon, sånne ting for fysisk angrep, som vi ikke har noe med cyberhøyre.

Speaker 2:

Men i vår definisjon så vil det forenkle. Hvis man har tilgangen på den informasjonen, så forenkler det angrepet veldig, fordi du allerede har det. Og det som er litt problematisk nå er at hvis vi kommer tilbake til det med funksjonsdyttinga utover i IT og i sky, er at da blir den informasjonen spredt mer. Den informasjonen finnes ganske mange steder. Hvis man tenker seg om, leverandører har den, fordi de har bygd kontrollsystemet eller deler av det. Digitale tvillinger har jo all den informasjonen. Alt som prosesseres av driftsdata kan inneholde metadata, som har den informasjonen. og hvis det da i tillegg ligger i sky og du ikke har kontroll på hvor det går, så er det ikke sånn at det kan være kryptert, fordi du kan ikke behandle kryptert informasjon når det prosesseres. Da ligger det åpent, da er det mulig å få tak i.

Speaker 1:

Hvis du tenker på de angrep du har sett De siste fem årene.

Speaker 2:

Vi har ikke sett noen av dem i Norge. Hvorfor er det så veldig mange OT-sikkerhetsselskaper der? Nei altså, jeg er ikke noe businessfyr, så det vet jeg ikke, for jeg tror det egentlig er en business, så det er en forretningsidé rett og slett. Hvorfor vi har sett så mange? det er jo fordi det før var veldig få, kan vi heller si det sånn da Før var det ingen som drev med det og all kompetanse satt hos selskapene selv, mens nå er det en del som har jobbet seg opp og leverer til flere. Da Det er jo samme som The Monarch, ikke sant? For 20 år siden så var det veldig få MSSP'er, kanskje nesten ingen. Nå er det ganske mange. Dere har et hardt marked nå, ikke sant? Og det er det samme innenfor hotet. Og det er ikke dumt. Det er ikke det jeg sier, jeg sier bare, det er. Det er en relevant observasjon, for jeg tror det er også lett å på et politisk nivå.

Speaker 2:

Alle snakker om digitalisering og ser at ting blir veldig mye mer systemavhengig, avhengig av digitale systemer. Da er det mange som ser en mulighet der, og så er det også litt interessant på et psykologisk plan at i disse DSB sine det er nok så etter befolkningsundersøkelse som liksom undersøker hva det norske befolkningen bekymrer over de neste, sier jeg, fem årene, fem årene fremover. Og der har cyberangrep på styringssystemer vært på topp, altså over krig, over terror, over ja, kun slått av pandemi et par år, men ganske stabilt siden sånn 2016, tror jeg. Og da også sier jeg noe om at det er ekstremt sjelden, vi har ikke opplevd noe med konsekvenser i Norge, men det er da og det er sånn ganske signifikant på topp. Så det er jo også litt interessant at det er noe utkjent ved det, som i seg selv gjør, at det blir litt sånn selvoppfyllende buzzword av det. Men vi, jeg vil i alle fall ikke sette på topp av mine bekymringer- Det er ingenting.

Speaker 1:

No scenario at strømmen går av alle steder i Norge, eller er det det?

Speaker 2:

Jo altså, det er mulig, det er teknisk mulig, men det krever ganske mye. Altså, hvis det er en ondsinnig handling, så krever det ekstremt mye ressurser, fordi på grunn av øvelse med Iron Mode for eksempel, og den måten Norge er delt inn i zoner gjør at det er veldig vanskelig å ta alt, og i tillegg så denne oppdelingen i mange forskjellige selskaper med forskjellig teknologi og sånn gjør at det skal veldig mye til. Og jeg tenker jo det, at hvis noen kommer på en måte å gjøre det på, så håper jeg det er oss, for da vil det komme tiltak ganske raskt. Jeg håper det er så. Det Og jeg ville. Det eneste jeg kan tenke meg rett fra bakhue, det er solstorm, og det får vi ikke gjort noe med. Solstorm er vanskelig. Det, det er solstorm, og det får vi ikke gjort noe med. Solstorm. Ja, det er jo helt annet, ikke sant? Det er ikke noe vits å bekymre oss over. Det får vi ikke gjort noe med. Ikke engang kraftsatt, eller Nei, ikke en ny mann i kveld.

Speaker 1:

Jeg trodde du skulle si at Microsoft går ned eller noe.

Speaker 2:

Men ja, da er det mange som ikke får gjort jobben sin, det er sant, og kanskje til og med også noen kontrollsystemer som sliter på grunn av disse funksjonsavhengighetene. Men de skal egentlig kunne greie seg selv. Om Microsoft går ned, for det er øvelig på, det skal de øve på, ja, og ikke bare være på, fordi at det kan være en trusselaktør som har gjort noe som forstyrrer. Men vi har jo hatt en sommer med ikke et særbar angrep på CrowdStrike sin systemoppdatering, men som har hatt, i hvert fall ingen liv gikk tapt, men det har nok kostet en del også for CrowdStrike. Men da sier jeg noe om at det der med at ting faller bort over en periode. Det er noe du bør anta og legge inn i planene.

Speaker 1:

Systemavhengighet vil si, at du må ha en plan B Også fremover på en måte, også fremover på en måte men fremover det er Digital Twins, det er KI, det er hva er det nyeste tingene som gjør at det blir enda mer komplisert og kan introdusere nye sårbarheter da, ki er jo en av de tingene som vi diskuterer i rapporten, og det er klart.

Speaker 2:

Phishing blir jo bedre med KI. Det kan vi jo se. Og så kan man jo tenke seg at vi bruker KI for å oppdage KI-generert phishing, som jo er en litt spesiell ting, at vi må bruke masse strøm og ressurser på å stoppe noe. Vi bruker masse strøm og ressurser. Det er en veldig dårlig loop for meg. Men når det gjelder trusler, så er det. Det er en del som peker på at man kan. Ki skal på en måte hjelpe trusselaktører til å skrive kode, og for det så tror jeg, jeg tror ikke KI er modent nok til å kunne, i hvert fall ikke alene gjennomføre angrep. Det er det ikke godt nok til. For det er fordi at du, hvis du det merker du selv også, hvis du spør en AI om den samme tingen tre ganger, og hvis du spør en AI om den samme tingen tre ganger, så får du tre forskjellige svar. Det er lite deterministisk, og det gjør at det å kunne stole på at et angrep skulle kunne gå gjennom AI alene, det tror jeg, blir vanskelig. Men samtidig så er det jo mange som bruker det som en effektivitetsfaktor for å produsere mer kode, og spesielt på lavlevelskadevare, så kan det nok være en Økning. Men jeg tror faktisk den største trusselen er At vi bruker AI i vår kode, fordi at det blir ganske mye Sårbarheter som du egentlig ikke har oversikt over Når du bruker AI til å generere kode. Så det er en ganske stor trussel. Altså det gir Trusselaktører større muligheter til å angripe. Hvis jeg skjønte det direkte, nå det at en av de de medlemmer bruker AI en LLM, for eksempel, om de bruker intern, det er en. Det er en positiv ting. Hvis du bruker det for å oppdage ting som det menneskelige ikke klarer på grunn av mengde for det er det de i praksis er Mens de, hvis leverandører, for eksempel, bruker veldig mye KI-generert kode i sine produkter, så har de sannsynligvis dårligere oversikt over den koden.

Speaker 2:

Hva med Digital Twins? Det har vært snakket om en del år og det er jo i bruk. Det er jo ikke noe. Det er det faktisk. Det. Ja, det er noen som har tildels bra prosjekter på Digital Twins for overvåking. Men der, hvor jeg har sett det som hva skal vi si mest brukbart, sånn som jeg har sett det, det er i sikkerhets, altså i safety systemer, hvor man tester security level sealer, som det heter på norsk, safety integrity, for å teste dem Og det fungerer. Men det er ikke så utbredt som Industri 4.0 Egentlig lover enda. I hvert fall, det er det ikke. Det er jo at man skal kunne se hele prosessen Som en tvilling Og kunne agere på den, som er en god tanke På mange måter. Jo, at man skal kunne se hele prosessen som en tvilling og kunne agere på den, som er en god tanke på mange måter, og en større angrepsflate selvfølgelig. Så blir det en endtidsdag. Jeg håper at det er krav rundt de systemene og det er en crown jewel på en måte.

Speaker 2:

Jeg håper folk tenker på det at det skal det være. Det ligger veldig mye informasjon der. Har dere vært med å sikre de før Eller gjør det noe? Nei, vi har vært med på forskningsprosjekter som handler om digital tvilling og sånne ting, så vi har gjort masse de siste årene. Prøver å følge med, men det blir nok mer av det og mer bruk av det, vil jeg tro. Det er jo det CV-en. Hvis man er på leverandørenes konferanser, de pusher det ganske hardt mange ganger.

Speaker 2:

Hva tenker lederne hos deres medlemmer nå? Hva er de fokusert på? Er det de er opptatt av? Hvilken level tenker du påere de fleste cyberangrepet er det verste som kan skje og opptatt av det, men det gir ikke noe penger til. Mer penger til sikkerhet? Nei, men det er ikke helt sant. Altså, noen av dem gir faktisk ganske mye penger til sikkerhet nå. Så det har skjedd en stor endring der de siste ti årene, men det er klart ny risikoflate som de ikke har vært vant til før. Men nå tror jeg da jeg tror egentlig at det har vært så lenge nå at mange av dem begynner på en måte å skjønne hva dette går i og hvordan de skal behandle det på et så overordnet nivå At de på en måte får noe nyttig ut av det og heller stole på at de som jobber på gulvet klarer å gjennomføre de tiltakene som skal til. Der kommer jo reguleringsbiten inn. Jeg er veldig glad i de reguleringene, fordi de setter en minstestall der, og det må man på en måte ha på plass da Ja.

Speaker 1:

Hva skal dere bruke?

Speaker 2:

tiden deres på fremover. Ja, nå blir det å jobbe videre med en sånn tiltaksbakke som vi skriver på Vi gjorde det i fjor også Levere en trusselvurdering før sommeren, og så skal medlemmene og andre interesserte få lese den og tenke selv, og så kommer det et sett med tiltak i lyset av den trusselvurderingen nå i høst. Så da er det egentlig neste milepæl, uten å avsløre det, hva ligger som regel, hva lå i fjor? sin rapport eller tiltakspakke? I fjor var det første gang vi gjorde det. Så vi har også en plan om at vi skal ha en slags tiltaksdatamase i bakgrunnen som vi kan plukke fra.

Speaker 2:

I fjor var det veldig mange tiltak, fordi det hadde vi ikke gjort det før, men i år vil vi nok plukke vekk en del av de og henvise til den forrige og heller de nye og de vi mener fortsatt er veldig aktuelle og ta med de. Så det blir nok et færre antall tiltak denne gangen Og litt mindre fokus på detaljerte tekniske tiltak for dem har vi relativt god kontroll på, og heller litt mer på overordnet og ting som går på øvelse og prosedyrer og sånt som du bør ha på plass. Men jeg sier ikke, at det ikke blir tekniske tiltak, for det blir det alltid.

Speaker 1:

Men det blir nok mange færre av dem vi gjør. Kan du gi meg et eksempel på en som er teknisk og en som ikke er teknisk?

Speaker 2:

Ja, altså en av de. Vi prøver å komme med et fornuftig tiltak på da, som ikke er teknisk. Det er å ha en policy for hvordan man agerer ved et løsepengeangrep Ja, det er det ikke så veldig mange som har. Nei, kanskje har jeg tenkt igjennom, før det skjer. Mens et teknisk tiltak er jo, for eksempel, la dette med å begrense nettverkstrafikk som kan gå ut fra bedriften, slik at ikke alt mulig står åpent, bare du er på innsiden. Det er et teknisk tiltak, god eksempel Det var bra Any final words.

Speaker 2:

Nei, altså det er mye jobb å lage en trivselvering. og jeg tror et råd til folk som må lese litt kritisk det som går med både fra myndigheter og fra sikkerhetsselskaper og andre, fordi at det er litt sånn problem i dag at det er lite definerte, standardiserte begreper. og hva mener de egentlig med cyberangrep, cyberoperasjon? Er det en phishing eller er det en fysisk konsekvens? de snakker om, blandes det sammen. er det en fysisk konsekvens? de snakker om Blandes det sammen, er det bra? Så det er litt sånn utfordring. og så skriver vi også i avslutninga på trusselvurderingen at vi må bli stadig flinkere til å dele informasjon og være litt mer sånn dele litt for mye enn litt for lite, fordi vi er jo en sånn informasjonshub eller deleaktør med våre bransjer.

Speaker 2:

Så da er det vel egentlig en oppfordring vi og andre stadig gjentar i sånne rapporter. Og så er det å huske at, som jeg sa helt innledningsvis, at denne skal ligge og andre stadig gjentar i sånne rapporter. Og så er det å huske at, som jeg sa helt innledningsvis, at denne skal ligge mellom dere og myndighetene. At vi kommer med denne betyr ikke at medlemmene selv må gjøre sin egen trustvurdering. Jeg håper de vil gjøre det litt enklere og gjøre det lettere å prioritere i hvert fall, men det og gjør det lettere å prioritere i hvert fall, men det må gjøres lokalt, for vi kjenner ikke terrenget helt inne hos medlemmene våre, eller hos noen av dem vet vi mer enn andre, men vi kjenner altså ikke til alle detaljene, og det er der dævelene ligger. sånn det er Takk for en god rapport, som var kort nok for at jeg leste med egne øy. sånn det er Takk for en god rapport, jo, som var kort nok for at jeg leste med egne øyne. Ja, så bra Uten KI.

Speaker 2:

For now, det var veldig bra, da ses vi neste år. Takk for nå.

Speaker 1:

Takk, for oss. Takk. Undertekster av Ai-Media.

People on this episode