Høytid er hacker-tid: Sju grep kan sikre virksomheten din

KUNNSKAP FRA KRISTIANIA: Cybersikkerhet, kunstig intelligens og ledelse

Vi har hørt det før: når folk tar ferie, jobber hackerne i høygir. Det er når vi er distrahert av badestrender eller julegaver, at vi er mest sårbare for phishing-mailer eller datainnbrudd. 

Det gjelder ikke bare privatpersoner, men i aller høyste grad virksomheter – også de små og mellomstore. 

I det siste alvorlige globale cyberangrepet, som også en god del norske virksomheter ble rammet av, er det igjen snakk om en såkalt «nulldagssårbarhet». Det gjelder altså en software-svakhet som ingen kjenner til, og som verken utviklere eller sikkerhetsekspertene har hatt mulighet til å oppdage og «patche».  

Rapporten «Nasjonalt digitalt risikobilde 2023», som kom i slutten av oktober, viser at trusselbildet endrer seg og at cyberangrepene blir stadig hyppigere, mer målrettede og mer profesjonaliserte.  

– Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser, sier direktør Sofie Nystrøm i Nasjonal sikkerhetsmyndighet (NSM) på nettsiden deres.   

Sikkerhet og automatiserte løsninger må med fra starten

De nye truslene krever en ny tilnærming til cybersikkerhet, et system vi gjerne kaller DevSecOps – development, security, operations. Det innebærer at sikkerhet inngår som en del av virksomhetens øvrige drift og strategi. For det første bygger man sikkerhet inn fra starten, og for det andre sørger man for delt ansvar i organisasjonen. Her spiller kunstig intelligens (KI) en viktig rolle, sammen med alle ansatte. Og ledelsen, naturligvis. 

Det er lett å tenke at hackere helst går etter banker, departementer eller store virksomheter. Men start-ups og små bedrifter er sårbare nettopp fordi man gjerne tror de er uinteressante. Og gjerne også fordi ledelsen ikke har tatt seg tid eller råd til å investere i gode sikkerhetsløsninger.  

Som oftest ligger en menneskelig feil bak sikkerhetsbrudd: en ansatt har klikket på en link eller brukt samme passord mange steder. Menneskelige feil skjer, og kunnskap om digital sikkerhet er en god start. God IT-infrastruktur er like viktig. 

I tillegg til at sikkerhetssytemet må være bakt inn helt fra IT-systemet utvikles, i stedet for at man bare «patcher» når man oppdager sårbarheter, må virksomhetene legge inn automatiserte løsninger for driftsstyring, overvåking, kontinuerlig sanering og kontrollfunksjoner. Brannmur, tilgangskontrollister og nettverkssegmentering kan bidra til å forhindre uautorisert tilgang.  

Målet er å skape et kulturskifte der sikkerhet er en integrert del av hele utviklingsprosessen.

Både hackere og sikkerhetseksperter bruker KI

Hackere og sikkerhetseksperter jobber på måter som ligner hverandre: begge søker etter sårbarheter i programmet. Begge bruker KI som et verktøy i arbeidet. Man kan bruke et så enkelt og tilgjengelig verktøy som ChatGPT for å finne svakheter og sikkerhetshull som gjør det mulig å gjennomføre et såkalt «tjenestenektangrep» der systemet bryter sammen på grunn av overbelastning eller fordi man skaper en feil. 

Det burde vel la seg gjøre å ligge i forkant av hackerne ved å bruke kunstig intelligens? 

Dessverre er det ikke bare enkelt.   

KI-modeller finner løsninger basert på all tilgjengelig informasjon og det de tidligere har lært. Slik kan de avsløre eksisterende svakheter. Men modellen kan ikke skape forsvar for et angrep som ennå ikke har skjedd – det skal godt gjøres å få en KI-modell til å fungere i alle tenkelige og hittil utenkelige situasjoner. 

Videre mangler modeller ofte «transparens», det vil si vi vet ikke alltid hva som ligger til grunn for valg de tar – vi ber om noe, får et svar, men hva KI-modellen har basert svaret på, er ikke gitt. Bruk av KI på etisk forsvarlige måter krever samhandling mellom menneske og maskin – vi som sikkerhetspersoner kan ikke overlate til KI-modeller å «tette sikkerhetshull» uten å holde et øye med hva modellen dermed gjør. 

Alle ansatte må med

Ansvar for cybersikkerhet må fordeles i organisasjonen og tverrfaglig arbeidsflyt må settes i system. Ved å sørge for at alle ansatte må gjennom godkjente sikkerhetkontroller på flere trinn, skaper man bedre sikkerhet og konsistens. Dessuten må sikkerhets- og administrasjonsverktøy fungere godt sammen.  

Vår oppfordring er at man bruker KI og maskinlæringsteknologi når sikkerhetsbeslutninger skal tas. Sørg for kontinuerlig trening av KI-modellene og systemet ved at nye cybertrusler og sårbarheter som er oppdaget, tas med i videre utvikling. Parallelt må det gjøres etiske vurderinger underveis. 

Man må altså sørge for at organisasjonen følger prinsipper om rettferdighet, pålitelighet, inkludering, sikkerhet og personvern – her kommer den viktige menneskelige faktoren inn. Med kunnskap og kloke valg kan teknologien hjelpe oss å ta kontroll. 

Tekst: Toktam Ramezanifarkhani, førsteamanuensis, School of Economics, Innovation and Technology, Kristiania, og Guru Prasad Bhandari, software-ingeniør og en av deltakerne i forskningsprosjektet ENViSEC, School of Economics, Innovation and Technology, Kristiania

• Prosjektet ENViSEC: Artificial Intelligence-enabled Cybersecurity for Future Smart Environments er finansiert av EUs åttende rammeprogram for forskning og innovasjon, Horisont 2020
• Prosjektet inngår i NGI POINTER, som er et program i Horisont 2020 som skal utvikle neste generasjons internett
• ENViSEC ledes av førsteamanuensis Andrii Shalaginov ved Avdeling for økonomi, innovasjon og teknologi på Høyskolen Kristiania
• Professor Tor-Morten Grønli ved Avdeling for økonomi, innovasjon og teknologi på Høyskolen Kristiania deltar som prosjektets ekspert på tingenes internett.
• Prosjeket utføres ved forskningsgruppen Mobile Technology Lab

En variant av denne teksten er publisert på digi.no den 2. november 2023 under tittelen "Hvem vinner kappløpet - hackerne eller sikkerhetsekspertene?"

Vi vil gjerne høre fra deg!     
Send spørsmål og kommentarer til artikkelen på e-post til kunnskap@kristiania.no.  

Hold deg oppdatert på nyheter fra Kunnskap Kristiania: 

• Nyhetsbrev
• Facebook