Digital hjelp gir god cyberhygiene

nov 23, 2020

Tekst: Anne-Lise Aakervik
Foto: Geir Morgen/NTNU

Data på avveie, hacking og lagring av data på feil sted. Dette er noen eksempler på hva dårlig cybersikkerhet kan føre til. Da de to sikkerhetsekspertene ikke fant gode nok systemer for risikovurdering, utviklet de sitt eget verktøy.

Et fornøyd trekløver. – For første gang kommer det et kommersialiseringsprosjekt fra stab ved NTNU. Det synes Hege Tokerud, prosjektleder ved NTNU Technology Transfer er gjevt. Dette er et  produkt vi ser har store muligheter, sier hun. Utviklerne Gaute Wangen (midten) og Vebjørn Slyngstadli ser frem til å få på plass pilotkunder.

– Alle organisasjoner opplever sikkerhetsbrudd innimellom. Ofte er det mindre ting, men store angrep skjer også. Det koster penger. Likevel slurves det mye med risikovurdering av datasystemer, sier Gaute Wangen. Han skrev doktorgrad om cybersikkerhet i 2017, og ble ansatt ved NTNU for å jobbe med nettopp denne problematikken.

Sammen med kollega Vebjørn Slyngstadli ved NTNU Gjøvik jobber han i Seksjon for Digital Sikkerhet ved NTNU. – Hos oss jobber vi nok med mellom 6-800 forskjellige systemer, sier Slyngstadli.

Litt flåsete sagt bidrar vi til å løse Excel-marerittet som alle sikkerhetsfolkene av og til står overfor, sier seniorrådgiver Gaute Wangen, en av oppfinnerne av DIRI AS.  – Å gjennomføre risikovurdering for å finne sikkerhetshullene er en ting, men å rapportere forståelig på det er gjerne en utfordring. Her kommer DIRI til sin rett.

Avdekker sikkerhetshull
Mangel på gode nok verktøy som gjør det enklere for brukeren av systemet å gjennomføre en risikovurdering gjorde at de utviklet et eget verktøy; DIRI (Digitized Intelligent Risk Identification)

Dette programmet skal lose brukerne gjennom en prosess som sørger for å avdekke risikoene, og deretter foreslår hva som skal til for at datasystemet/programmet blir sikkert. Slik kan man unngå hacking eller at data kommer på avveie. Andre hendelser er identitetstyveri eller at man deler informasjon som ikke burde vært delt i det hele tatt. 

Det er gjerne standard problemstillinger som går igjen med hensyn til de fleste risikovurderinger, sier Vebjørn Slyngstadli, sikkerhetsarkitekt ved Seksjon for Digital Sikkerhet, NTNU. Det ga oss inspirasjon til å utvikle DIRI AS.

Gjelder alle
Utfordringer rundt cybersikkerhet gjelder alle typer organisasjoner fra universiteter, til helse-, kommunal- og finanssektoren blant annet.

– Ja, egentlig alle typer sektorer som har datasystemer og kundebehandling, sier Wangen.

– Til og med Stortinget har utfordringer, sier Slyngstadli og sikter til høstens hacking av e-postkontoer til flere Stortingsrepresentanter. – Det kan se ut som dårlig cyberhygiene var årsaken. Det kan f.eks. være to-faktorpålogging på innlogging.

I dag er det stort sett IT-eksperter som gjør slike risikovurderinger, men det synes ikke Wangen er nødvendig. – Det finnes rett og slett ikke mange nok eksperter i verden til å gjøre alle vurderingene. I bunn og grunn handler det om å sette ting i system, finne fellesnevnere og ting å rapportere på, sier Slyngstadli.

Standard og normer
Det bør alle kunne få til med litt hjelp mener grunnleggerne av DIRI AS. De har erfart at det er mange av problemstillingene som går igjen ved risikovurderinger som; Hvordan skal man håndtere brukerne sine, hvem skal få lov til å logge inn, hvem skal håndtere dataene, hvor skal du lagre dem etc.

Det kan sammenlignes med å bygge eller rehabilitere et hus.  Da slår en rekke normer og standarder inn, som f.eks. våtroms norm.  TEK 10 og 17 er to andre standarder som sier hvordan huset må bygges for at det skal bli godkjent.

– På samme måte har vi normer og sikkerhetsstandarder for bygging av digital infrastruktur, sier Gaute Wangen. – Men de blir dessverre ikke mye brukt.

Liten tue
– Programvaren fra DIRI skal hjelpe en bedrift å finne de tuene som kan velte store lass. Systemet er basert på unik forskning og utvikling ved NTNU, sier Hege Tokerud fra NTNU Technology Transfer.  – Basert på svarene du gir, utarbeides en risikomatrise og en rapport. En forståelig oppsummering av hva som er problemet, og hva man eventuelt bør gjøre for å hindre at det skjer. Det sitter mange frustrerte teknologer med dårlige verktøy til å formidle risiko til ledelsen. DIRI vil hjelpe de med å visualisere og kommunisere.

Første fra stab
På Gjøvik er det et tett og oversiktlig innovasjonsmiljø, og det går raskt å få svar.

Dette er det første kommersialiseringsprosjekt fra stab ved NTNU, sier Hege Tokerud stolt. Hun er prosjektleder ved NTNU Technology Transfer i Gjøvik.

Midlene vi fikk fra NTNU Discovery i oppstarten var helt avgjørende for oss. Uten dem hadde vi ikke kommet noen vei, da hadde vi fremdeles bare gått rundt og pratet om dette, sier Gaute Wangen.

Nok en gang utøser støtten fra NTNU Discovery i tidlig fase midler fra andre aktører. DIRI fikk 300 000 fra Gjøvik kommune ved etableringen, og 500 000 fra Forskningsrådet.

– Dette viser at tidlige midler fra NTNU Discovery er veldig viktig for mer støtte. TTO prioriterer dette fordi vi ser det kan nå et internasjonalt skalerbart marked i alle bransjer over hele verden, sier Tokerud. – Her snakker vi om kunnskap for en bedre verden innen alle bransjer.

Utviklerne er svært fornøyd med å ha laget et system og brukergrensesnitt som tydeliggjør hva som må tas tak i. Dette gir oversiktlighet også til de som skal ta beslutningene.

Førsteprioritet
Slyngstadli og Wangen jobber fremdeles med ferdigstilling av systemet, og anstrenger seg for å gjøre det enkelt og sikkert nok for brukeren. På sikt blir DIRI et selskap som både selger lisenser og driver med sikkerhetsrådgivning.
Og det er ikke bare forskningsverden og finanssektoren som har behov for slike verktøy. Energibransjen er interessant. De er på vei inn i reguleringene og har behov for å få grunnsikkerheten på plass. Det samme med kommunal sektor, der gjøres det mye likt, med varierende system og sikkerhetsnivået fra kommune til kommune.

– For er det en ting er vi sikre på, sier Wangen. – Så er det at cybersikkerhet må prioriteres mye høyere dersom man ønsker å være konkurransedyktig fremover og unngå alvorlige angrep.

 

Kontakt:

Prosjektleder
Jan Hassel
Epost: jan.hassel@ntnu.no
Telefon: 906 53 180
Kontor: Hovedbygget, sokkel

Håvard Wibe
Epost: havard.wibe@ntnu.no
Telefon: 41 47 37 68
Kontor: Hovedbygget, sokkel

Personvernerklæring

Brosjyrer og årsrapporter:

Årsrapporter