Det er februar, og ute gjør hauger av asfaltgrå snø og is livet bitte litt vanskeligere for både gående og kjørende. Regn og snø har slåss om plassen i ukesvis. Det kommer stadig påfyll fra oven. Åtte pluss, fem minus, nullføre. Minus igjen. Sånn går nu dagan.

Inne i Startup-laben i Forskningsparken er matematiker og teknologiinvestor Silvija Seres midt i innspilling av podcasten «Learn», og i stolen tvers overfor henne sitter Elisabet Line Haugsbø. 32-åringen er etisk hacker i DNV GL, og nå forteller hun programlederen og lytterne om terrorbildet som det nevnte været utenfor kan spille en hovedrolle i.

– Tenk deg hvis noen klarer å stenge strømmen. I dag er det ti minus her i Oslo, førti i nord. Det blir fort kaldt hvis det ikke er strøm. Hvis noen klarer å hacke seg inn og stenge ned, og det tar lang tid å få det opp igjen, så har du jo terror på høyeste nivå.

Elisabet har lite beroligende å komme med. Et slikt scenario er mer sannsynlig enn vi skulle ønske.

– Det har mye å si for infrastrukturen hvis noen kan hacke seg inn for å stenge strømmen. Det er dessverre lukrativt …

Tyveri som industri

Bevisstheten om cybersikkerhet er på god vei oppover. I fjor høst sa DNB-sjef Rune Bjerke til Aftenposten at han frykter at den neste finansielle krisen kan utløses av et hackerangrep.

Og slike angrep kan ramme hvilken bransje som helst, som julekvelden på kjerringa, som lyn fra klar himmel – og andre metaforer for overraskelser. Finans, oljeindustrien, møbelindustrien, shipping… Men hvorfor?

– Cash is king, sier Elisabet med en selvfølgelig mine. For å understreke omfanget, refererer hun til en rapport Bromium har gjort, sammen med en rekke forskningspartnere, om hva cyberkriminalitet koster selskaper på verdensbasis:

«Global cybercriminal revenues hit $1.5 trillion annually», er tittelen på rapporten. Tallet har så mange nuller bak at det nærmest er umulig å henge med. Men la oss prøve en oversettelse: 12 944 099 899 430 norske kroner, sier valutakalkulatoren. Altså i overkant av 12,9 billioner.

– Hacking er business, stadfester Elisabet, og forklarer:

– Selvfølgelig har du også den ene hackeren som sitter i mørk hettegenser, han alle tror at hacking handler om. Men det finnes hele organisasjoner som ikke gjør noe annet enn å lete etter svakheter, såkalte «low hanging fruits», som de kan bruke som pressmiddel for å få inn penger eller selge informasjon, kreditt- og personopplysninger.

Elisabet trekker pusten før hun konkluderer.

– Alt handler om tjuveri.

Hvem som helst av oss kan rammes. Både selskaper og privatpersoner.

– En del selskaper jeg snakker med sier «vi er så små, ingen vet hvem vi er». Det har ikke noe å si. Som regel handler det om tilfeldigheter, at en hackerorganisasjon scanner et område. Et land, for eksempel.

Langsom «sport»

Med andre ord, flaks og uflaks kan avgjøre om du rammes. Eller Elisabet og hennes kolleger.

Hennes jobb er nemlig å forhindre disse angrepene, som koster bedrifter – og samfunnet – masse penger. Hun leter opp hullene før de med onde hensikter gjør det, avdekker svakheter og finner løsninger. Selv sammenligner hun det med å være et slags politi på nett. Det er det som er etisk hacking.

Kort fortalt bruker vi de samme metodene som hackerne, men hovedformålet er ikke å gjøre skade, men å avdekke svakheter i systemet eller nettverket. Bruke det «for good, not for bad».

– Hva gjør du for å alltid ligge to skritt foran de som vil gjøre skade?

– Det er ikke helt sånn. Hacking er ikke det du ser på TV, at du kommer inn på et system med én gang. Det er ikke sånn det fungerer.

Elisabet forklarer med rolig og pedagogisk stemme.

– Noen systemer kommer du inn på med en gang, men det kan ta et helt år for en hackinggruppe å komme inn på det de ønsker å komme inn på. Det går ikke veldig fort, så jeg trenger ikke nødvendigvis ligge to skritt foran en ukjent trussel. Det vil ikke være mulig.

Men å vite om alle disse svakhetene, det må jo kunne ta knekken på de fleste.

– Er du mer bekymret enn oss andre, fordi du vet hva som kan skje?

– Nei, jeg er ikke en spesielt bekymret person, sier 32-åringen.

Fra proteser til nettpoliti

Elisabet Line Haugsbø er fra Bygstad, en bygd i Sogn og Fjordane som er så liten at den, ifølge henne, ikke finnes på kartet en gang. En tilværelse temmelig langt fra jobben hennes i DNV GL og forebygging av trusler fra hele verden.

– Var det dette du drømte om som liten jente hjemme i Bygstad?

– Nei, sier Elisabet og ler litt.

– Jeg drømte om å jobbe med proteser. Derfor tok jeg medisinsk kybernetikk.

Veien inn som «nettpoliti» var mer tilfeldig.

Hacking er ikke det du ser på TV, at du kommer inn på et system med én gang. Det er ikke sånn det fungerer.

Elisabet Line Haugsbø

– Det er mye matte og programmering på faget. Etter studiene begynte jeg å jobbe for en bedrift som heter Marine Cybernetics, som gjorde tester av kontrollsystemer for maritim offshorebransje. Og så ble selskapet kjøpt opp av DNV GL i 2014 – det var akkurat da oljen bare …

Elisabet gestikulerer og lydsetter en fallende bevegelse. Hun lurte på hva hun skulle finne på. Løsningen fantes innenfor samme selskap. En liten avdeling som drev med cybertesting trengte folk. Elisabet var rett kvinne på rett sted, og i fjor havnet hun på listen over topp femti kvinner innen tech i Norge.

– Artig og stas å bli plukket ut, synes 32-åringen, men hun har ikke brukt det til stort annet enn «fun fact» og som veggpryd hjemme i Trondheim.

– Hva synes du er gøy med denne jobben?

–Det er aldri likt. Systemene er forskjellig, nettverkene er lagt opp forskjellig. Hver gang du går til en ny test, vil det være ulike typer ting du må håndtere. Du går aldri lei, og må være skjerpet hele tiden.

Elsker nøtter

Elisabets jobb begynner ofte med en telefon fra en kunde som ønsker test av et system.

– Det er veldig sjelden vi får beskjed om å hacke oss inn uten noe informasjon på forhånd. Det vil ta fryktelig lang tid, og det som gir verdi for kunden, er hvis du klarer å påpeke feil, mangler og svakheter som de kan få tilbakemelding på og fikse for å gjøre sikkerheten og systemene deres sterkere.

– Er det tålmodighetsarbeid?

– Ja, det også, men det er jo veldig artig å få hjelpe, gjøre en forskjell for noen andre. Og av og til får man en nøtt som man må gnage litt på, det er veldig motiverende.

Oppdragsgiver kan være selskaper innen ulike industrier, som et cruiseselskap, et oljeselskap eller møbelindustrien. Selv om jobben er foran en datamaskin, betyr det ikke at Elisabet stort sett ser en dataskjerm.

– Noen av testene kan vi gjøre fra kontoret, andre må vi reise til. Det kan være at det ikke er trygt å teste fra kontoret. Er systemene for eksempel ombord på en båt, er det ikke trygt eller aksesserbart fra kontoret, nettopp fordi systemene kan være veldig sårbare.

Ønsker seg flere kolleger

Nå håper Elisabet på mange flere kolleger i tiden fremover. Digitaliseringen krever påfyll av politi der ute på verdensveven.

– Digitalisering betyr mer effektivisering. Baksiden av medaljen er at vi er mer utsatte. Da må vi ha mer kompetanse, hvis ikke kan vi komme i både den ene og den andre kneika.

Alle næringer må etter hvert forholde seg til datasikkerhet, og det dukker stadig opp nye fag for de som ønsker en vei inn i cybersikkerhet. NTNU har avdelinger både i Trondheim og på Gjøvik, og både BI og NHH har finansrelaterte cybersikkerhetsfag. På Universitetet i Agder kan du ta en master i cybersikkerhet.

– Og så tror jeg veldig mange er selvlærte. I min avdeling har mange tatt kursing for eksempel gjennom SANS Institute, et amerikansk selskap som leverer en del sertifisering av ulike typer fagkunnskap om cybersecurity.

Alle kan lære av hverandre. Finans kunne lært litt hvis de brukte risikostyring i måten de jobber med cybersikkerhet.

Elisabet Line Haugsbø

– Hvilke egenskaper kreves?

– Stor nysgjerrighet og en god del pågangsmot. Når du prøver for ørtenhundreogførtiende gang og ikke får det til, kan du ikke gi opp. Det er kanskje ørtenhundreogførtiåttende gangen det går. Du må ha den lille driven.

Lyst til å ta etter- eller videreutdanning? Se Finansforbundets stipendordninger her, og kom i gang.

Bransjene må samarbeide mer

PWCs «Cyber crime survey» for 2018 viser at antallet virksomheter som har et dedikert budsjett for informasjons-/cybersikkerhet, eller har satt av penger til dette som en del av IT-budsjettet, har gått opp fra 67 prosent i 2017 til 80 prosent i 2018.

Finanssektoren har også stor tillit til at cybersikkerheten er ivaretatt. 69,7 prosent av de spurte i undersøkelsen, svarer at de «i stor grad» har tillit. 23,7 prosent har «i noen grad» tillit. Kommunal sektor skårer lavest. 49,1 prosent har bare «i noen grad» tillit, ifølge PWCs rapport.

– Finansbransjen har lenge vært best i klassen på cybersikkerhet. De er gode på overvåking av systemer. Olje- og gassbransjen er gode på risikohåndtering, og bruker risiko som en driver for hvordan de gjør en del av jobbene, sier hun.

Men det nytter ikke å være gode hver for seg. Elisabet ønsker seg mer deling av informasjon, både mellom bransjer og bedrifter.

– Alle kan lære av hverandre. Finans kunne lært litt hvis de brukte risikostyring i måten de jobber med cybersikkerhet.

Elisabet viser til Maersk, verdens største shippingselskap, som i 2017 «gikk ned» fordi de hadde en del utdatert Microsoft software. Et angrep på ukrainske myndigheter rammet tilfeldigvis Maersk, som akkurat gjorde en oppdatering.

– Det spredte seg. Ett lite hull én plass, fikk store og kanskje ikke helt forutsette utfall.

Tapet ble estimert til 300 millioner dollar. Maersk valgte å dele kunnskapen om angrepet. Til læring for andre.

Folk er folk

Tilbake til den norske vinteren – og terrortrusselen.

– Det er vel stor forskjell på stats- og individnivå, men hvor naive er vi egentlig?

Elisabet smiler lurt før hun svarer. Og svaret er dessverre ikke veldig beroligende.

– Bedrifter består fortsatt av folk. Stater består fortsatt av folk. Og folk…

Hun ler litt.

– Folk gjør mye rart. Det finnes mange som er utrolig gode på å tenke cybersikkerhet, og så er det mange som ikke vil, tør eller kan. Kanskje flest av dem.

Elisabet mener vi må få dette inn i rutinene våre. Inn i ryggmargen. Å tenke cybersikkerhet må være refleks.

– Du låser jo huset ditt! For det gjør du bare. Men skifter du passordet på ruteren når du får deg en ny? Eller passer du på at du ikke bruker det samme passordet på absolutt alle innloggingssteder?

Småting kan gjøre forskjellen for oss alle. Vi må utvikle god cyberhygiene.

Du blir aldri helt trygg. Men hvis du ikke har en grunnleggende forståelse av hva du skal gjøre eller ikke gjøre, så blir det vanskelig. Et sted må du sette grensen for hvor paranoid du skal bli, for du kan jo ikke bo i en bunker. Men litt naturlig skepsis er bra.

Elisabet kan ikke snakke om sannsynlighet, men om risiko.

– Jeg kan ikke spå om vi kommer ut for et angrep. Men jeg kan si noe om risikoen. Hvis det skjer, hva skjer da? Hvis noen greier å hacke seg inn på Statnett eller stenge ned flere av kraftverkene våre, sånn at flere husstander mister strømmen over en veldig lang periode, så vil en potensielt ha tap av liv. Det er jo den høyeste trusselbildet. Folk fryser ihjel.

Akkurat… Hva skal vi gjøre, da? Kjøpe vedovn?

– Bygg bunkers i hagen. Nei da, ha litt nettvett, nærmest trøster vår etiske hacker.

Vedovn i bestilling

Elisabet Line Haugsbø skal straks fly tilbake til Trondheim. Det er på tide å labbe ut i Været med stor V igjen, og satse på at Elisabet og kollegene hennes har kontroll. At den vedovnen kan vente.

Det piper i et pushvarsel fra VG. Visma er hacket. Noen peker på Kina, andre peker tilbake. Samma søren, hackingen er et faktum.

Nyhetsmorgen på NRK P2 20. februar: Microsoft avslører datainnbrudd på flere bedrifter i Europa.

Aftenposten, 20. februar: «Rike nordmenn er favoritten blant cyberkriminelle. Lettere å lure enn svensker og dansker, skal vi tro tyvene.».

Vinteren er ikke over ennå. «Bestiller vedovn».