Høytid er hacker-tid: Sju grep kan sikre virksomheten din

Kvinne med briller ser på flere dataskjermer
Kunstig intelligens og automatiserte løsninger kan bidra til bedre datasikkerhet, men bør bygges inn helt fra systemet utvikles. Videre må ansvar for cybersikkerhet fordeles i organisasjonen og tverrfaglig arbeidsflyt settes i system, skriver artikkelforfatterne.Foto: istock / Laurence Dutton

KUNNSKAP FRA KRISTIANIA: Cybersikkerhet, kunstig intelligens og ledelse

Vi har hørt det før: når folk tar ferie, jobber hackerne i høygir. Det er når vi er distrahert av badestrender eller julegaver, at vi er mest sårbare for phishing-mailer eller datainnbrudd. 

Det gjelder ikke bare privatpersoner, men i aller høyste grad virksomheter – også de små og mellomstore. 

det siste alvorlige globale cyberangrepet, som også en god del norske virksomheter ble rammet av, er det igjen snakk om en såkalt «nulldagssårbarhet». Det gjelder altså en software-svakhet som ingen kjenner til, og som verken utviklere eller sikkerhetsekspertene har hatt mulighet til å oppdage og «patche».  

Rapporten «Nasjonalt digitalt risikobilde 2023», som kom i slutten av oktober, viser at trusselbildet endrer seg og at cyberangrepene blir stadig hyppigere, mer målrettede og mer profesjonaliserte.  

– Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser, sier direktør Sofie Nystrøm i Nasjonal sikkerhetsmyndighet (NSM) på nettsiden deres.   

7 tips for å bygge en robust IT-struktur:

For at IT-systemer til enhver tid skal være best mulig rustet til å møte nye trusler, kreves en løsning der sikkerhet er bakt inn helt fra IT-systemet utvikles. I tillegg må man legge inn automatiserte løsninger for driftsstyring, overvåking, kontinuerlig sanering og kontrollfunksjoner.

  • Kunstig intelligens må bakes inn i systemet og infrastrukturen helt fra start
  • Brannmur er en selvfølge
  • Forhindre uautorisert tilgang: legg inn tilgangskontrollister og nettverkssegmentering i systemet
  • Automatiser sårbarhetsanalyser: bruk kunstig intelligens til kontinuerlig å oppdage nye cybertrusler og sårbarheter – og sørg for at maskinlæringsteknologien hele tiden trener og utvikler seg
  • Alle ansatte må med: ansvar for cybersikkerhet må fordeles i organisasjonen
  • Tverrfaglig arbeidsflyt mellom ulike faggrupper må settes i system
  • Sikkerhets- og administrasjonsverktøy må fungere godt sammen

Sikkerhet og automatiserte løsninger må med fra starten

De nye truslene krever en ny tilnærming til cybersikkerhet, et system vi gjerne kaller DevSecOpsdevelopment, security, operations. Det innebærer at sikkerhet inngår som en del av virksomhetens øvrige drift og strategi. For det første bygger man sikkerhet inn fra starten, og for det andre sørger man for delt ansvar i organisasjonen. Her spiller kunstig intelligens (KI) en viktig rolle, sammen med alle ansatte. Og ledelsen, naturligvis. 

Det er lett å tenke at hackere helst går etter banker, departementer eller store virksomheter. Men start-ups og små bedrifter er sårbare nettopp fordi man gjerne tror de er uinteressante. Og gjerne også fordi ledelsen ikke har tatt seg tid eller råd til å investere i gode sikkerhetsløsninger.  

Som oftest ligger en menneskelig feil bak sikkerhetsbrudd: en ansatt har klikket på en link eller brukt samme passord mange steder. Menneskelige feil skjer, og kunnskap om digital sikkerhet er en god start. God IT-infrastruktur er like viktig. 

I tillegg til at sikkerhetssytemet må være bakt inn helt fra IT-systemet utvikles, i stedet for at man bare «patcher» når man oppdager sårbarheter, må virksomhetene legge inn automatiserte løsninger for driftsstyring, overvåking, kontinuerlig sanering og kontrollfunksjoner. Brannmur, tilgangskontrollister og nettverkssegmentering kan bidra til å forhindre uautorisert tilgang.  

Målet er å skape et kulturskifte der sikkerhet er en integrert del av hele utviklingsprosessen.

Både hackere og sikkerhetseksperter bruker KI

Hackere og sikkerhetseksperter jobber på måter som ligner hverandre: begge søker etter sårbarheter i programmet. Begge bruker KI som et verktøy i arbeidet. Man kan bruke et så enkelt og tilgjengelig verktøy som ChatGPT for å finne svakheter og sikkerhetshull som gjør det mulig å gjennomføre et såkalt «tjenestenektangrep» der systemet bryter sammen på grunn av overbelastning eller fordi man skaper en feil. 

Det burde vel la seg gjøre å ligge i forkant av hackerne ved å bruke kunstig intelligens? 

Toktam Ramezanifarkhani
Toktam Ramezanifarkhani er førsteamanuensis i cybersikkerhet. Hun forsker blant annet på informasjonssikkerhet, sårbarhetsanalyser og IoT, og deltar i forskningsprosjektet ENViSEC, som er finansiert gjennom EUs Horizon 2020-program for innovasjon.Foto: Privat

Dessverre er det ikke bare enkelt.   

KI-modeller finner løsninger basert på all tilgjengelig informasjon og det de tidligere har lært. Slik kan de avsløre eksisterende svakheter. Men modellen kan ikke skape forsvar for et angrep som ennå ikke har skjedd – det skal godt gjøres å få en KI-modell til å fungere i alle tenkelige og hittil utenkelige situasjoner. 

Guru Prasad Bhandari
Guru Prasad Bhandari er software-ingeniør og forsker i hovedsak på cybersikkerhet, maskinlæring og sikkerhet knyttet til IoT. Han er en av deltakerne ved Smart Security Lab og forskningsprosjektet ENViSEC ved Kristiania.Foto: Kristiania

Videre mangler modeller ofte «transparens», det vil si vi vet ikke alltid hva som ligger til grunn for valg de tar – vi ber om noe, får et svar, men hva KI-modellen har basert svaret på, er ikke gitt. Bruk av KI på etisk forsvarlige måter krever samhandling mellom menneske og maskin – vi som sikkerhetspersoner kan ikke overlate til KI-modeller å «tette sikkerhetshull» uten å holde et øye med hva modellen dermed gjør. 

Alle ansatte må med

Ansvar for cybersikkerhet må fordeles i organisasjonen og tverrfaglig arbeidsflyt må settes i system. Ved å sørge for at alle ansatte må gjennom godkjente sikkerhetkontroller på flere trinn, skaper man bedre sikkerhet og konsistens. Dessuten må sikkerhets- og administrasjonsverktøy fungere godt sammen.  

Vår oppfordring er at man bruker KI og maskinlæringsteknologi når sikkerhetsbeslutninger skal tas. Sørg for kontinuerlig trening av KI-modellene og systemet ved at nye cybertrusler og sårbarheter som er oppdaget, tas med i videre utvikling. Parallelt må det gjøres etiske vurderinger underveis. 

Man må altså sørge for at organisasjonen følger prinsipper om rettferdighet, pålitelighet, inkludering, sikkerhet og personvern – her kommer den viktige menneskelige faktoren inn. Med kunnskap og kloke valg kan teknologien hjelpe oss å ta kontroll. 

Tekst: Toktam Ramezanifarkhani, førsteamanuensis, School of Economics, Innovation and Technology, Kristiania, og Guru Prasad Bhandari, software-ingeniør og en av deltakerne i forskningsprosjektet ENViSEC, School of Economics, Innovation and Technology, Kristiania

  • Prosjektet ENViSEC: Artificial Intelligence-enabled Cybersecurity for Future Smart Environments er finansiert av EUs åttende rammeprogram for forskning og innovasjon, Horisont 2020
  • Prosjektet inngår i NGI POINTER, som er et program i Horisont 2020 som skal utvikle neste generasjons internett
  • ENViSEC ledes av førsteamanuensis Andrii Shalaginov ved Avdeling for økonomi, innovasjon og teknologi på Høyskolen Kristiania
  • Professor Tor-Morten Grønli ved Avdeling for økonomi, innovasjon og teknologi på Høyskolen Kristiania deltar som prosjektets ekspert på tingenes internett.
  • Prosjeket utføres ved forskningsgruppen Mobile Technology Lab

En variant av denne teksten er publisert på digi.no den 2. november 2023 under tittelen "Hvem vinner kappløpet - hackerne eller sikkerhetsekspertene?"

Smart Security Lab (SmartSecLab)

SmartSecLab's research and development is focused on new Artificial Intelligence-based cybersecurity methods towards safer, sustainable, and energy-efficient Smart Environments.
Les mer

Vi vil gjerne høre fra deg!     
Send spørsmål og kommentarer til artikkelen på e-post til kunnskap@kristiania.no.  

Hold deg oppdatert på nyheter fra Kunnskap Kristiania: 

  

Siste nytt fra Kunnskap Kristiania

  • Prisen vi betaler for bedre banktjenester, er dårligere datasikkerhet
    Kunnskap Kristiania

    Prisen vi betaler for bedre banktjenester, er dårligere datasikkerhet

    Teknologi og nytt regelverk gjør banktjenester enklere og billigere. Er løsningene trygge?
    Les mer
  • Hvordan kan sikkerhetseksperter ligge i forkant av hackerne?
    Kunnskap Kristiania

    Hvordan kan sikkerhetseksperter ligge i forkant av hackerne?

    Antallet cyberangrep øker raskt. Forskere må stadig finne nye metoder for å stoppe dem.
    Les mer
  • Er influensere underholdning, informasjon eller reklame?
    Kunnskap Kristiania

    Er influensere underholdning, informasjon eller reklame?

    Vi må være mer bevisste på hvordan vi lar oss påvirke av influensere.
    Les mer
  • I kampen mot grønnvasking, kan blokkjede-teknologi være løsningen 
    Kunnskap Kristiania

    I kampen mot grønnvasking, kan blokkjede-teknologi være løsningen 

    Blokkjede-teknologi kan gi pålitelig og sporbar produktinformasjon, og dermed bidra til bærekraftighet.
    Les mer

Meld deg på vårt nyhetsbrev

Kunnskap Kristiania er Kristianias kunnskapsmagasin. Vi gir deg nytt om forskning, fag, kunstnerisk utviklingsarbeid og aktuell samfunnsdebatt. Nyhetsbrevet sendes ut to ganger i måneden.
Abonnér