Kai Røer (45) fra Drammen har jobbet med IT-sikkerhet i over 20 år og er en anerkjent foredragsholder innen sikkerhet og ledelse internasjonalt. Det er blitt flere fagbøker, kurs og foredrag i et 30-talls land.
Sikkerhetseksperter og bransjefolk digi.no har pratet med kaller ham en faglig tungvekter.
Likevel er han en godt skjult hemmelighet for de aller fleste.
Kryptisk
Han er kryptisk i svarene og liker strengt tatt ikke oppmerksomheten, men gikk med på å la seg intervjue.
- Jeg havnet i denne bransjen by accident. Det er ikke så mye mer å si om det. Jeg har alltid hatt en interesse og et skillset innen IT og mennesker. I skjæringspunktet mellom disse to er det blitt sikkerhetskultur, sier Røer.
Hvem er denne mannen som foreleser om datasikkerhet ved en rekke internasjonale høyskoler og universiteter, på RSA-konferanser eller Hackcon, og som er utnevnt til Fellow hos National Cybersecurity Institute ved Excelsior College i Washington DC?
Det vil han ikke svare på. I stedet ber han oss google ham. Den nevnte ærestittelen ser han på som en personlig anerkjennelse.
- Min bakgrunn er primært teknisk. Så har jeg jobbet mye med mennesker. Etter hvert har også akademisk tilnærming dukket opp, sier Røer som viser til at han studerer psykologi på Universitetet i Oslo.
Det meste om Røers bakgrunn og virke ønsker han ikke å dele med oss. Selv ikke antall reisedøgn. Han er kanskje det mest vriene intervjuobjekt vi har pratet med.
- Jeg bruker å si at jeg jobber i hodet mitt. Hvor kroppen befinner seg er ikke så viktig.
Fritt rammeverk
Sikkerhetskultur er tema for Røers neste bok som utgis på et utenlandsk forlag i mars. Et tema som i dag er viet bare tre knappe setninger i engelske Wikipedia.
Utgivelsen er basert på et rammeverk han har vært sentral i utformingen av. Rammeverket heter Security Culture og tilbys gratis for nedlasting fra Røers hjemmeside.
- Hva hjelper du kundene eller oppdragsgiverne dine med?
- Vi er hovedsakelig opptatt av det vi kaller sikkerhetskultur. I praksis betyr det at vi analyserer dagens situasjon, kommer med tiltak for å bedre situasjonen og måler resultatene hele veien.
Ifølge Røer er rammeverket en metode utviklet for hvordan man organiserer arbeidet med sikkerhetskultur. Det brukes av virksomheter i Norge, i Europa og USA.
Utbredt paranoia
Flere enn ham har vært med å skape verket, men frontpersonen selv ønsker ikke å røpe navnene. Hvem er disse «vi»?
- Kall det en liten gruppe mennesker i Norge, England og USA som har utviklet dette og jobber med det for kvalitetssikring og videreutvikling. De av bidragsyterne som godtar at andre vet hva de driver med kan man se. Utfordringen er at en del av de som jobber med sikkerhet er paranoide.
- Du har som foredragsholder valgt å holde en mer offentlig profil. Men er også du litt paranoid?
- Det er klart at noen karakteriserer oss som litt sjuke, men jeg prøver jo å ha en tilnærmet normal oppfatning av dette. Men vi tror vi forstår en del av teknikkene og metodene som ligger rundt. Dermed blir vi kanskje litt mer forsiktige enn normale folke. Du kan ikke regne med at jeg er blant de verste, sier Røer.
Det er mennesker og sikkerhetskultur som opptar ham. Han er etter eget utsagt «ikke den mer sexy, morsomme karen som viser fram hackemetoder eller mer fysiske ting». Det er ikke det han driver med.
- Hvor mange har lastet ned og bruker dette verktøyet?
- Vi blir stadig overrasket over at våre tall ser ut til å være ekstremt konservative, fordi dette er åpent og fritt tilgjengelig og ikke krever registrering for nedlasting. Det vi vet er at det brukes av alt fra ulike universiteter til globale institusjoner innen hosting, varehandel med aktiviteter i mange land, i tillegg til bank og finans og offentlige etater.
Mitnick og psykologi
Kulturen Røer snakker om får oss til å tenke på den notoriske datasnoken Kevin Mitnick, verdens kanskje mest berømte hacker med en rekke dommer bak seg. Mitnick sonet over fem år i fengsel etter å ha brutt seg inn i noen av USAs sikreste datasystemer. Hans metoder var mer preget av sosial hacking, bedrageri og det å lure informasjon ut av ofrene, enn rent tekniske innbrudd.
- Det er litt avhengig av hva du driver med, hvor og sånn ting, men det er klart at [social engineering] er et element av det vi ønsker å motvirke. Vi sier det ikke er så mye det teknologiske som er en utfordring når det gjelder sikkerhet. Den enkleste veien til ofrene er å få dem til å dele informasjon om seg eller gjøre ting som ender med at du får tilgang til systemene. I dette inngår social engineering. Det å forstå det som faktisk foregår, sier Røer og fortsetter:
- Mitnick var jævlig god på dette, men han kunne ikke forklare psykologien bak. Han var ikke opptatt av å forstå det. Han registrerte bare at det fungerte. Han er ikke alene om dette, mange gjør det. Det var stort sett guttestreker og det å teste grenser han drev med. Hvis det er ytterpunktet på en strek, så har du den andre enden med profesjonelle organisasjoner. Uten å nevne navn, så er det i de aller fleste land noen som driver spesifikk trening av aktører som forstår også de psykologiske aspektene, og bruker dette til innhenting av informasjon. Alt fra sånne som deg (journalister, red.anm), som lever av å samle inn informasjon, til selgere, markedsføringsfolk, til strengt hemmelige offentlige etater som du ikke vet at finnes.
Sosial manipulasjon
Mennesker bruker sosial manipulasjon i de aller fleste sosiale relasjoner, mener han. Og da er det bare helt naturlig at metodene også anvendes til å få tak i informasjon du ikke ønsker å dele med andre.
Noe av utfordringen med sikkerhetskultur er at det ikke oppfattes som særlig spennende, ikke i nærheten av teknisk hacking, digitale innbrudd der noen for eksempel tar seg inn i en bank og stjeler penger.
- Det vi driver med er hvordan lære opp mennesker på en best mulig måte. Hvordan håndtere angrep, hva svarer du hvis noen prøver å fritte deg ut for passord. Hva er systemene for å fange opp dette i virksomheten? Er det sånn at sjefen din skjeller deg ut i etterkant eller håndterer man dette på en positiv måte for virksomheten, sier Kai Røer.
Hovedmotivet for å gi bort rammeverket er ifølge ham at de oppfatter dette som et svært viktig område, som det finnes altfor lite kunnskap om. Så gir han, kolleger og partnere råd til alt fra små- og mellomstore til digre multinasjonale selskaper. Røer selv jobber nesten utelukkende med de store.
Nye tanker
Hvordan står det egentlig til med sikkerhetskulturen rundt omkring? Røer vil ikke svare fordi han ikke ønsker å si noe negativt eller henge ut noen.
Generalmajor (p) Roar Sundseth kan derimot svare. Han er tidligere sjef i Cyberforsvaret og nå seniorrådgiver strategisk kybersikkerhet i datasikkerhetsfirmaet Watchcom.
- I dag vil jeg hevde at det står heller dårlig til med sikkerhetskulturen i norske virksomheter! Da snakker jeg først og fremst om sikkerhetskultur i forhold til kyber- og Informasjonssikkerhet.
Sundseth mener vi trenger et fundamentalt skifte i hvordan vi tenker.
- Selv om så og si alle seriøse aktører i sikkerhetsbransjen er enige om at det å fullstendig stoppe en inntrengning er nærmest umulig, er det få sikkerhetsplaner som er utarbeidet som er bygget rundt en erkjennelse av at uansett hvor mye man bruker av ressurser og hvor sofistikert forsvarsmekanismene er, en tålmodig og målbevisst angriper vil til slutt finne og utnytte en sårbarhet som muliggjør kompromittering, skriver Sundseth i en e-post til digi.no.
Lederne må på banen
For å ta dette på alvor må det ifølge ham utvikles sikkerhetskultur som bygger på det å utvikle, øve og vedlikeholde en robust og helhetlig håndtering av hendelser.
Les også Sundseths kronikk på digi.no som tar opp mye av det samme.
- Norske virksomheter må slutte å se på ressurser som avsettes til IKT sikkerhetsarbeid som bare en utgiftspost på driftsbudsjettet, det er også en investering for virksomheten. For å få dette til må sikkerhetskulturen preges av ledelsesinvolvering. Den er for svak i dag. Sikkerhetskulturen som vi må strebe etter å få etablert må være bygget på erkjennelsen av at cyber- og informasjonssikkerhet er en del av alle virksomheters kjernevirksomhet. Det er ikke et område som bare kan overlates til IT-sikkerhetsavdelingen, hvis den avdelingen da i det hele tatt finnes, skriver Sundseth.
Han har lest manuskriptet til Røers kommende bok og er således ikke objektiv, men sier at sikkerhetskultur er noe som opptar ham mye.
- Det er et tema det ikke legges stor nok vekt på. Kai hjelper godt til med å forsterke søkelyset på nødvendigheten av å tenke kultur og kulturendringer, sier Sundseth.
Det er et problem at virksomheter altfor lett velger teknologiske løsninger og tror at det er nok for å ivareta eller bedre sikkerheten.
- Så enkelt er det ikke, fastslår generalen.
NSM: - Positivt tiltak
Når digi.no ringer fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet (NSM), så viser det seg at også han har vært involvert i Røers bokutgivelse, som veileder og med noen kommentarer.
- Rammeverket er et veldig positivt tiltak som mange kan ha nytte av. I seg selv er ikke rammeverket revolusjonerende – det sier jeg ikke for å være negativ på noen måte, men her er det noen som har satt det i system. Selv som fagdirektør i NSM sliter jeg av og til meg å forklare hva sikkerhetskultur er. Det er på mange måter alt og ingenting. Til syvende og sist er det organisasjonskultur det handler om, sier Thon.
Heller ikke fagdirektøren kjenner til alternative rammeverk. NSM bruker for øvrig også Røer som instruktør i et kommende kurs.
Tilbake til forfatteren. Synes han Norge eller norske virksomheter har noe å skamme seg over, eller er vi flinke på området?
- Hvis vi tar utgangspunkt i landene som ligner mest på oss, så er vi verken noe bedre eller dårligere. Det varierer litt avhengig av hvilken statistikk vi ser på. Hvis vi derimot sammenligner oss med land som ikke har kommet så langt, for eksempel Columbia, så ligger vi stort sett milevis foran, sier Kai Røer.
Sikkerhetskultur favner også bredere enn informasjonssikkerhet. Det er en underart av organisasjonskultur, om du vil, mener han. Det omfatter alt fra informasjonssikkerhet til kybersikkerhet, personellsikring, fysisk sikkerhet og så videre.
- Jeg tror ikke du kan unne deg luksusen med å skille ut bare et lite område og tenke «dette er sikkerhet for oss». Da glemmer du at hvis du ikke hindrer uautorisert adgang til datahallen, så betyr det ingenting hvor god brannmuren din er.