INFORMATION QUARTERLY

Transkript

1 INFORMATION QUARTERLY ET MAGASIN FRA ATEA Konsernsjefen om organisasjonskultur Cyberangrep: En kontinuerlig fare

2 LEDER Er du helt sikker og forsikret? Vi leser nesten daglig om cyberangrep. Cybertrusselen er i endring, og en analyse fra politiet viser at kriminaliteten er i ferd med å flyttes over på nett. Hvor ofte hører vi om «tradisjonelle» bankran? Vi hører derimot om «moderne» bankran og identitetstyveri. En undersøkelse fra Datatilsynet bekrefter utviklingen: Sju av ti nordmenn mener at ID-tyverier utgjør den største trusselen mot vårt personvern. Over halvparten av norske bedrifter blir utsatt for alvorlig data kriminalitet. Trusselbildet innenfor IT-sikkerhet øker eksponentielt år for år, og utviklingen virker skremmende. Skremmende for dem som ikke har tatt grep. Atea overvåker trusselbildet tett, og vi kan bekrefte at våre kunder i økende grad opplever uønsket aktivitet i egne systemer. Et viktig grep for å møte det økende trusselbildet er å forsikre egen virksomhet. Vi lanserer i disse dager cyberforsikring. Forsikringen dekker håndteringen av sikkerhetsbrudd på en raskt og effektiv måte. Vi har i tillegg opprettet Atea Incident Response Team (IRT). Dersom en av våre kunder har blitt kompromittert eller er under angrep, mobiliserer vi denne enheten. IRT er spesialisert for å rykke ut til bedrifter, som får rask bistand til alt fra å begrense omfanget og stoppe angrepet til krisehåndtering. Vi møter utviklingen med å forberede oss på å yte god hjelp til våre kunder. Atea skalerer opp sin landsdekkende kompetanse for å hjelpe kundene med å skape en tryggere IT-hverdag. I dag har vi over 120 dyktige konsulenter som har IT-sikkerhet i fokus. Når du leser dette, er vi i ferd med å avslutte 14 arrangementer innenfor IT-sikkerhet, fra Alta i nord til Kristiansand i sør. Alt for å øke bevisstheten rundt trusselbildet hos våre kunder. Ta IT-sikkerhet på alvor. God og sikker lesning! Halvard Torsnes DIREKTØR PARTNER OG MARKED INNHOLD Hacking 4 Heartbleed 6 Portrettet 8 Krystallkulen 12 Sjøfartsdirektoratet 16 Kultur 18 Kvitter fra Twitter 21 Pedagogisk hjørne 22 Konsulentprofil 28 Helse 32 Atea Anywhere 36 Fra bloggen INFORMATION QUARTERLY

3 IQ «The Place to Be» Atea har en tydelig og uttalt visjon, om å være kraftsenteret i norsk IT-bransje vi skal være «The Place to Be». Visjonen er mye mer enn fire fine ord satt sammen. Den er og skal være levende i selskapet, og retningsgivende for alle våre valg. «Et bilde sier mer enn tusen ord» heter det vårt symbol på dette ser du her: Bildet er malt av Susann Newman og heter «The Place to Be». Dette var utstilt på The Museum of Modern Art i San Francisco (MoMA) da vi kjøpte det høsten IQ utgis av Atea AS Ansvarlig redaktør: Marie Jerpseth, marie.jerpseth@atea.no Redaksjon: Emma Furuseth, Marius Motrøen, Eline Furuseth, Hilde Kristoffersen, Terje Mathisen, Børre Thorstensen (Signatur), Yngve Aarøy (Signatur) Konsept, design og produksjon: signatur.no Atea AS og Atea ASA (hovedkontor) Postboks 6472 Etterstad, NO-0605 Oslo Telefon: , Telefaks /2015 Atea 3

4 HACKING Våre systemer er ikke av interesse «Våre systemer har ingen interesse for hackere» er en frase som mange i IT-bransjen møter i samtaler om informasjonssikkerhet med norske organisasjoner. Realiteten er at alle datamaskiner er av interesse. Selv kjøleskap og smart-tv er blitt brukt til å sende ut spam. Med økende IoT (Internet of Things) der enhetene står tilkoblet 24/7 uten oppdatering og gjerne også med default passord, vil disse bli et mer attraktivt mål for hackere. TEKST Kjetil Hauge, senior IT-konsulent, Atea Brian Krebs (journalist med websiden krebsonsecurity.com) lagde allerede i 2012 en oversikt over nytteverdien en hacket datamaskin kan ha for de som kontrollerer den. Der lister han opp flere bruksområder som blant annet filserver, spam-server, DDoS Zombie og Click Fraud Zombie. Med andre ord kan selv en gammel maskin hjemme hos Ola eller Kari Nordmann være av interesse. Vi har gjennom media blitt kjent med at flere norske bedrifter er blitt hacket. Mørketallsundersøkelsen 2014 viser at 50 % av virksomhetene tilknyttet NSM (Nasjonal sikkerhetsmyndighet) har vært utsatt for datainnbrudd. Hva er det som driver en hacker? Listen er lang. Det kan være blant annet være nysgjerrighet, et ønske om å forbedre noe, økonomi og politikk. Det var et ønske om gratis tjeneste som drev Bill Gates og Paul Allen til å hacke et firma i sin ungdom. Steve Jobs og Steve Wozniak på sin side lagde og solgte bluebox-er, en innretning som gjorde brukeren i stand til å ringe gratis. Felles for disse finner vi noen kjennetegn på en hacker. Evnen til å lage og utforske Software og Hardware. 4 Atea 2/2015

5 IQ Økonomi I følge FBI var datakriminalitet større enn vinningskriminalitet allerede i Datakriminalitet er nå kun forbigått av narkotikaforbrytelser og trafficking i størrelse. En kan bestille de angrepene en vil mot de en måtte ønske. Russian Business Network var et slik nettverk der en kunne bestille malware skreddersydd for den virksomheten en hadde som mål. Det finnes også flere nettsteder som tilbyr «stress-testing» av servere for en billig penge. Her kan man kjøpe «test» av kapasiteten på webservere på alt fra noen timer til måneder. Kriminell eller? Jason Street, en amerikansk sikkerhetskonsulent/forfatter har gjennomført en spørreundersøkelse om hacking på sikkerhetskonferanser rundt i verden. På konferansen Nuit Du Hack 2014 i Frankrike holdt han presentasjonen «Around the world in 80 cons». Den generelle oppfatningen av hackere er negativ og på spørsmålet «Is hacking in your region seen as more for crime, hactivist, nation/state, other?» svarte de aller fleste crime. Media har vært med på å skape dette bildet. Men som nevnt tidligere er det forskjellige motivasjoner for å drive med hacking. De som er teknisk dyktige, men som driver med hacking primært i hensikt å forvolde skade, kalles Black-Hat hackere. Det er disse media ynder å skrive om. De som eksempelvis bryter seg inn i systemer uten å ha teknisk kompetanse til å lage egne verktøy kalles Script-kiddies. De står for hoveddelen av angrepene på systemer rundt om i verden. Det som kan ligge til grunn for deres aktiviteter er show-off. De bryter seg inn i systemer bare for å skryte av det. Men det kan også være personlig motivasjon bak handlingene. Mange angrep den siste tiden kommer i form av Denial of Service (DoS), angrep iscenesatt av Hactivister. Grupper som Anonymous og LulzSec har stått bak massive aksjoner der websider har blitt endret (defacing) eller tatt ned ved hjelp DoS-angrep. En liten gruppe sto bak et angrep som nådde en topp på over 300 Gbps mot Spamhaus. Dette var et «amplification-angrep» som benyttet 5-7 kompromitterte servere på 3 nettverk som tillot IP- spoofing til å generere trafikk fra i underkant av sårbare DNS-servere. Open Resolver Project anslo at det i 2013 at det var 28 millioner slike DNS-servere online. I dag er det 32 millioner. Mens Spoofer Project på MIT har funnet ut at omkring 25 % av nettverkene tillater spoofing av IP- adresser. Definisjoner Black-Hat hacker Disse er teknisk dyktige og bryter seg inn på maskiner med en hensikt om å forvolde skade eller i vinnings øyemed. White-Hat hacker Disse innehar samme tekniske nivå som Black-hat hackere, men de bryter seg inn i systemer med tillatelse fra systemeier. Script-kiddie Disse benytter seg av ferdige verktøy til å komme seg inn på målsystemer. De mangler den tekniske kompetansen til å lage egne verktøy. Hacktivist Politisk motivert hacker der målet er å markere et standpunkt, ofte gjennom defacing eller (D)DoS av websider. For å gjennomføre angrepet trengte man hverken botnets, høy teknisk kompetanse eller masse folk. På den helt lovlige siden har man White-Hat hackere. Forskjellen mellom Black-Hat og White-Hat er at sistnevnte har tillatelse fra systemeier til å hacke virksomheten. Tillatelsen inneholder hva de kan gjøre, hva som skal sjekkes og hva som skal unngås. Metodikk Uansett om en er Black-hat, White-hat, Script-kiddie eller Hacktivist vil en generell metodikk bestå av følgende faser: 1. Rekognosering (Reconnaissance) 2. Scanning 3. Innbrudd (Gaining access) 4. Opprettholde adgang (Maintaining access) 5. Fjerne spor (Clearing tracks) Rekognoseringen innhenter mest mulig informasjon om virksomheten. Mye av denne informasjonen er tilgjengelig via søkemotorer. Det er overraskende hvor mange lister over brukernavn en kan finne ved hjelp av eksempelvis Google. Stillingsannonser, blogger og forum kan gi en pekepinn på hva datasystemene består av. Social Engineering er også svært effektivt til å innhente informasjon. Når en har fått en oversikt over IP-adressene til virksomheten går en over til neste fase. Da scannes de offentlige adressene til målet for å avdekke hvilke som er i bruk. Derfra vil en hacker forsøke å finne ut hvilke enheter (servere, brannmur etc.), porter og tjenester som er tilgjengelige. Basert på denne informasjonen vil prosessen med å bryte seg inn starte. På dette stadiet sitter hackeren på svært mye informasjon om virksomheten og kan benytte flere metoder for å få fotfeste. En sak er å utnytte svakheter i for eksempel brannmur og webservere. Enkleste veien inn er gjennom Social Engineering. Phishing er en kjent metodikk og svært mange brukere er klar over hvordan den fungerer. Likevel går de i fellen gang på gang, linken i e-posten følges og innbruddet er et faktum. Fra den første maskinen vil en hacker jobbe for å få økt sine rettigheter og overtatt serverne. Som et ledd i denne prosessen blir ofte verktøy for å opprettholde tilgangen lagt inn på systemene. Avslutningsvis vil sporene etter innbruddet bli forsøkt fjernet. Da går hackeren etter systemloggene. 2/2015 Atea 5

6 HEARTBLEED På samme måte som du beskytter seg mot innbrudd på kontoret, bør du beskytte dine data. Ett år siden Heartbleed Hva har vi lært? I 2014 fikk teknologi- og sikkerhetsverdenen føle på noen av de mest ødeleggende sårbarhetene oppdaget i senere tid; Heartbleed og Shellshock. Omfanget var dramatisk, og selv etter iherdig patching av systemer har hendelsene etterlatt seg tydelige spor; et varsel om at noe tilsvarende kommer til å dukke opp igjen! Hvordan forbereder vi oss til «neste gang»? Hva har vi lært? Eller kanskje mer vesentlig; hvilke rutiner eller prosedyrer har vi endret for å imøtekomme fremtidige sårbarheter som dette? TEKST Thomas Ludvik Næss, Country Manager i Trend Micro 6 Atea 2/2015

7 IQ Faget sikkerhet er og blir en prosess. Og i denne prosessen er man avhengig av å kunne se alle aspekter som påvirker sikkerheten i organisasjonen; hva beskytter man? I hvilken grad skal man beskytte det? Hva kreves av menneskene og teknologiene som skal benyttes? La oss se litt på det tradisjonelle trusselbildet Dagens trusselbilde har eksplodert med 5 nye malware hvert sekund kreves det langt mer fra sikkerhetsprogramvaren enn noensinne. I tillegg ser vi at denne frekvensen bare øker. Vi vet at 99 % av alle nye malware infiserer færre enn 10 offer, og 80 % av alle nye malware kun infiserer ett offer. Dagens malware skrives for å til enhver pris unngå logiske sikkerhetsbarrierer. Målet med malwaren er primært å ha tilgang til nettverket for uthenting av verdifulle data (målrettede angrep), eller å benytte nettverksressurser til andre angrep (DDoS). Et annet godt eksempel er Ransomware som vi har sett (igjen) i vinter. Første gang vi så denne typen virus var i 1989 og det florerer ulike varianter av dem den dag i dag. Selv med oppdaterte sikkerhetsprogrammer kommer slike virus seg gjennom sikkerhetsløsningene ved å benytte legitime porter og protokoller. Dette skjer for eksempel når brukeren klikker på en link som i kulissene laster ned Ransomware som krypterer filene. Da er det kun to opsjoner: Full restore (du har jo selvfølgelig backup?) eller betale, og etterkomme kravet fra Ransomeware (nei!). Hvorfor kommer slike malware seg gjennom dagens løsninger? Først og fremst må sikkerhetsselskapene ha et eksemplar av malwaren for å kunne lage en signaturfil som identifiserer nettopp denne malwaren. Fra dette eksemplaret er mottatt benytter Trend Micro minutter på å analysere malwaren, og lage en signaturfil. Da har allerede malwaren blitt oppdatert til å unngå denne men vi har muligheten til å lettere spore Dagens trusselbilde har eksplodert med 5 nye malware hvert sekund kreves det langt mer fra sikkerhetsprogramvaren enn noensinne. «oppdateringene» og automatisere deteksjonen enda raskere. Hvert eneste døgn blokkerer vi 250 millioner nye trusler! Målet er å kunne ligge så tett på de nye truslene som mulig med nye deteksjonsmetoder. Det finnes teknologi Sandboxteknologi som kan analysere nye mistenkelige filer og avgjøre om dette er en ny malware eller ikke uten signaturfil. Dette er en utmerket metode til å avdekke nye trusler rettet mot malware som har til hensikt å infisere nettopp noen som deg. Dessverre kan ikke denne integreres direkte på klienter og servere i dag, grunnet ressursbruk på maskinvare. Disse løsningene kjører i nettverket mellom servere og klienter, og ser på webtrafikk og mailtrafikk. Hva bør man gjøre basert på hva vi har lært? Vi vet at Zero Day Attacks (slike som HeartBleed og ShellShock) stadig dukker opp basert på sårbarheter i programvare og OS man benytter noen mer alvorlige og utbredt enn andre. Disse kan man beskytte seg mot ved å gjøre midlertidige patchinger, slik at malware ikke kan utnytte sårbarheten inntil «fix» foreligger. Vi vet at det er strengt nødvendig å holde tradisjonelle anti-malware løsninger absolutt oppdatert, for å kunne ta nye malware så raskt som mulig. De skal gjerne være oppdatert før noen i ditt nettverk får viruset. Vi vet at Sandbox-teknologi «saves the day» disse løsningene er dog litt mer kostbare enn tradisjonell anti- malware men det er deres informasjon også! Ledelsen har et ansvar for informasjon som omhandler ansatte og virksomhet. Dette er roten til konkurransefortrinnet man har, og noen ganger ens eksistens. I følge risikorapporten til Nasjonal sikkerhetsmyndighet (NSM) for 2015, håndterte de/var involvert i over 5000 sikkerhetshendelser i Fordeler man dette på antall norske bedrifter med mer enn 25 ansatte i Norge er andelen selskaper som potensielt er angrepet uten å vite om det svært stor! Det er nesten selskaper i Norge med 25 ansatte eller flere. På samme måte som man beskytter seg mot innbrudd på kontorer med alarm, vektertjenester og videoovervåkning, bør man beskytte sine data. Både de som representerer det generelle økte trusselbildet, og trusler rettet direkte mot den enkelte. Alle har data og informasjon av verdi, er man lett sårbar vil noen hente ut data for å forsøke økonomisk gevinst på nettopp deres data. Kilder rapport-om-sikkerhetstilstanden/ nsm_risiko_2015-web.pdf /2015 Atea 7

8 PORTRETTET Thomas Tømmernes Sikkerhet, sunn fornuft og folkeskikk Thomas Tømmernes (45) startet IT-karrieren med å jobbe gratis. I dag er han nasjonal salgssjef for IT-sikkerhet i Atea. Han spår at sikkerhet om noen år vil ligge til grunn i enhver utvikling av IT, men mener at ingen sikkerhetsløsning vil kunne revolusjonere sunn fornuft og alminnelig folkeskikk. TEKST Eline Furuseth, markedsrådgiver i Atea Når og hvorfor ble det akkurat data som fanget interessen din? Jeg «tryna» inn i IT-bransjen. Jeg startet å interessere meg for data da jeg ødela ryggen i en snowboardulykke som endte i en lang sykdomsperiode og flere år på krykker. I den perioden fant jeg ut at jeg burde roe ned aktivitetsnivået. Jeg hadde noen penger, og vurderte om jeg skulle kjøpe stereoanlegg eller datamaskin. Etter en diskusjon med en kompis falt valget på sistnevnte, og han hjalp meg med å bestille og sette opp min første PC. Etter kort tid foran denne, forstod jeg at jeg tok data ganske greit. Etter åtte uker tok jeg alle datakortene syv moduler på én dag. Jeg begynte å studere IKT på Noroff Høyskole, og sertifiserte meg på Linux, Novell og Windows. Etter det gjennomførte jeg et studium som het DSE (Digital Sikkerhet Etterretning), og gikk ut derfra med «laud». Jeg fant tidlig ut at de andre var bedre enn meg teknisk, men jeg var til gjengjeld god til å prate. Jeg så behovet for en som kunne hjelpe de tekniske ressursene med salgsbiten. Dette var veien min inn i salg. Ikke lenge etter sprakk dot com-boblen, og det var vanskelig å få jobb. Da fikk jeg igjen for å ha vært flittig deltager på seminarene til «Jeg ser på meg selv som gründer jeg liker å sette i gang nye prosjekter og se at det funker. Symantec. Symantec-gjengen kjente til meg, og satte meg i kontakt med Internet Security, som jeg tilbød meg å jobbe gratis for. Jeg startet som møtebooker og plutselig en dag måtte jeg ta et svært viktig kundemøte helt alene. Dette endte med mitt første salg, og etter hvert ble jeg selger. Kort tid etter ble jeg hentet til Watchcom, som jeg var med å starte. Jeg jobbet der i noen år som salgssjef, før jeg ble hentet til Crayon. Der var jeg med på å starte en bedrift som het Experion. Jeg synes det er kult å være med å starte ting fra bunnen av, og bidra med å få ting til å skje. Rastløs igangsetter Så, er du en litt rastløs type? Ja, det vil nok mange si. Jeg ser på meg selv som gründer jeg liker å sette i gang nye prosjekter og se at det funker. I 2007 ble jeg hentet til Check Point, hvor jeg fikk partneransvar for Umoe og Atea. Jeg jobbet med begge to et par år, før jeg «satset alle kortene mine» på Atea. Det ble en suksess, og da som en del av vinnerlaget, tok ikke lang tid før jeg ble ansatt i Atea. Jeg ble utfordret til å samle alt innen sikkerhet under én fane, noe jeg hadde veldig tro på. Til tross for 8 Atea 1/2015

9 IQ Thomas startet som møtebooker, og plutselig en dag måtte han ta et viktig kundemøte helt alene. Det endte med hans første salg, og etter hvert ble han selger. Om Thomas Alder: 45 Bor: Nordstrand Sivilstand: Gift med Gry, har to barn sammen Stilling: Nasjonal salgssjef IT-sikkerhet Ansatt i Atea siden: 1. august Favoritt-teknologidings: Ekko-lodd. Jeg er så glad i å fiske! Beste tiden av døgnet: Tidlig om morgenen, før resten av verden våkner. 2/2015 Atea 9

10 PORTRETTET dette, takket jeg faktisk nei til tilbudet to ganger. Jeg trivdes godt i Check Point og hadde ingen ambisjoner om å bytte jobb. Etter hvert konkluderte jeg likevel med at Atea var rett valg. Uansett hvor klisjé det høres ut: Atea er «The Place to Be» for meg. Sikkerhetsutvikling Hva er den største forskjellen på IT-sikkerhet i dag fra du startet å jobbe med det? Jeg startet i Forskjellen på sikkerhet da og nå, er at antivirus var skikkelig «hot». I dag er antivirus «melk og brød» det skal bare være der. Det var mange punktløsninger, sikkerhet spredt her og der. I dag må sikkerhet være en del av arkitekturen. Nå tenker de store leverandørene, som for eksempel IBM og Cisco, sikkerhet i alle ledd. Man må ha tjenester som gir status på hva som skjer i nettet ditt til enhver tid. Nå er løsningene integrerte og sikkerhet er en selvfølge i alt man kjøper. Hvordan er en typisk arbeidsdag for deg? Ingen dag er lik. Jeg kan holde et foredrag i Trondheim den ene dagen, og spille inn film i studioet vårt i Oslo Jeg har verdens enkleste jobb fordi jeg jobber med så mange kloke mennesker i sikkerhetsteamet. Audun (Risberg, red. anm.) for eksempel han fikser «alt»! Jeg føler meg utrolig heldig som har både han og resten av sikkerhetsgjengen med på laget. Hvor mye tid bruker du på å... Jobbe: timer på hverdager, 4 6 timer i helgene. Lese og oppdatere deg: Ofte en del av jobben. Deltar på turer, seminarer og kurs. Surfe på Internett: Leser kun aviser. Cirka en halvtime per dag. Logge helt av fra jobben: Sikkerhet er en livsstil og tilstand. Sover noen timer hver natt. Trening og fritidsaktiviteter: Svømmer 3 4 dager i uken. Bruker helgene i diverse idrettshaller med barna. Er det ikke kamper for dem, er vi på hytta til svigers hvor vi står på twintip og snowboard. Har jeg noen timer til overs på egenhånd finner du meg med fluefiskestangen i hånden. den neste. Fellesnevneren er lange dager og mye reising. Men det er ikke noe problem, så lenge det er positivt stress. Farfaren min sa en gang en veldig klok ting til meg; «Du blir rik den dagen du trives med det du gjør, og slutter å telle timer». Jeg kunne ikke vært mer enig. Jeg teller ikke timer, nettopp fordi jeg trives så godt med det jeg gjør. Det verste som kan skje Hva er det verste scenarioet dersom man ikke tar hensyn til IT-sikkerhet? Det verste som kan skje med bedrifter er at de går konkurs fordi uvedkommende får tak i «gullet» deres. Det verste for en privatperson er å miste kontrollen på egen identitet. Eksempler er stjålne kredittkort og falske profiler på sosiale kanaler. 10 Atea 2/2015

11 IQ Atea ønsker å bidra til å forhindre at bedrifter blir utsatt for datakriminalitet, og har satt sammen et IRT-team (Incident Response Team). Dette er håndplukkede spesialister fra de ulike regionene, som reagerer straks en kunde opplever at noe skjer som bedriften ikke har kontroll på. Hvem er de viktigste aktørene innen utviklingen av IT-sikkerhet? Det er mange viktige aktører, men gode spillere er Cisco, IBM, VMware, Check Point, Symantec, Trend Micro, Fortinet og F5. De aller fleste leverandørene av IT i dag, tenker sikkerhet. Det er noe de må tilby. Tar man ikke høyde for IT-sikkerhet i dag, er man altfor naiv. Tidligere drev leverandørene med skremselspropaganda; «pass på så ikke du blir hacket». I dag er det annerledes, og vi bruker heller å si at det er to forskjellige «grupper»: De som vet de er hacket, og de som ikke vet det. Før eller senere blir man hacket på en aller annen måte. Ateas bidrag Hva bidrar Atea med i denne sammenhengen? Atea er den største sikkerhetsaktøren innen IT i Norge nå. Vi har et landsdekkende team og bidrar mye til å informere om IT-sikkerhet. Arbeidet vi gjør sammen med de dedikerte partnerne våre bidrar til at vi er med på å drive IT-sikkerhet i Norge fremover. I fjor arrangerte vi for eksempel 12 sikkerhetsdager (gratis heldagsseminarer hvor vi gir forklaringer og opplæring innenfor fagfeltet, red. anm.), i år blir det 14. Vi tar et samfunnsansvar og det er jeg stolt av. Hvordan tror du «sikkerhetsbildet» innenfor IT ser ut om ti år? Om ti år tror jeg det er flest store aktører igjen og at løsningene opererer som «self defending networks», ende-tilende sikkerhet i alle ledd i IT-løsningene. Jeg tror også det vil være mer sikkerhet i skyen, og mer automatikk. Synlighet er, og vil være, det viktigste. Virksomhetene må se hva som foregår i nettet deres. Når noe skal utvikles, vil sikkerhet ligge i bunn allerede i utviklingsfasen. Hvordan påvirker sikkerhet Big Datahverdagen vi lever i? Vi må bli mer bevisste, tenke to ganger før vi publiserer og deler ting. Sikkerhetsløsningene vil aldri revolusjonere sunn fornuft og folkeskikk, IT-sikkerhet kan ikke ta hensyn til alt. Jeg tror generasjonen som vokser opp med IT vil være mindre «redde», men samtidig ha et mer bevisst forhold til hva de publiserer i de ulike sosiale kanalene. Helt til sist: Hva er ditt beste råd? Jeg tror hvem som helst kan oppnå hva som helst, så lenge de er entusiastiske nok, og har nær familie og venner som heier på seg. Man må ikke gi opp! Være motivert til det man skal gjøre. Tryner du aldri, er du for safe. Et hverdagseksempel er at jeg alltid skryter av barna når de faller i slalåmbakken, for da har de «tøyd strikken» såpass mye at de har funnet ut hvor grensen deres er. Det er mye bedre å prøve nye ting, enn å lure på om noe kommer til å funke eller ikke. «Et nøkkelord for å lykkes med å delegere ansvar og sette sammen team, er å kjenne menneskene og vite hvilken kunnskap de besitter. Det er viktig å bruke mye tid på menneskene. Det er de som har kompetansen, og får ballen til å rulle. Om noen år vil sikkerhet ligge til grunn i enhver utvikling av IT, tror Thomas. 2/2015 Atea 11

12 KRYSTALLKULEN I en nyere undersøkelse gjennomført av AIG svarte 86 % at de var «svært» eller «noe» bekymret for cyberrisiko. Cyberangrep og systemfeil En reell og kontinuerlig fare Cyberrisiko fortsetter å dominere overskriftene, og selskaper blir stadig mer klar over sine potensielle tap enten de skyldes angrep eller systemfeil. TEKST Henrik Vignes Pettersen, Financial Lines Underwriter, AIG I nyere undersøkelser foretatt av forsikringsselskapet AIG svarte 86 % av de spurte at de var «svært» eller «noe» bekymret for cyberrisiko. Mens det historiske fokuset i cybermarkedet har vært knyttet til konsekvensene rundt tap av data har dette nå skiftet til nettverksavbrudd. Selskaper er i økende grad avhengige av eksterne og interne kommunikasjonsnettverk for å drive sine virksomheter, og hvis et angrep betyr at nettverket blir forstyrret eller satt ut av drift i perioder, vil da bedrifter lide økonomiske tap samt tap av omdømme. Hvor stort er egentlig problemet, og hvordan ønsker forsikringsbransjen å løse det? Ifølge de siste rapportene eksploderte antall 12 Atea 2/2015 Cyberangrep Cyberangrep kan føre til nedstenging av servere, tap av tillit eller tap av fortjeneste. Alle bedrifter er sårbare for dataangrep, uavhengig av størrelse og kompleksitet på bedriften. registrerte cyberangrep i 2014, med en økning på 48 % fra Konsulent selskapet PWC forventer at antall angrep vil stige til 42,8 millioner angrep eller omtrent angrep hver dag i AIG mottar i gjennomsnitt varsel om to forsikringstilfeller per virkedag. Typen tilfeller spenner vidt både når det gjelder årsak og sted, men noen nyere eksempler er: Et italiensk selskap gjennomførte arbeid med å oppgradere sine systemer da de opplevde en system svikt. Det tok åtte timer å gjenopprette systemet fullstendig og kundene fikk ikke tilgang, noe som førte til betydelig misnøye og tap av omdømme. I Asia utnyttet en hacker en svakhet i forsikrings takers utdaterte websystemer og brukte dette som en vei inn til det interne nettverket. Dette førte til at

13 IQ PWC forventer at antall cyberangrep vil stige til omtrent angrep hver dag i hackeren kunne hente ut personopplysninger. Selskapet pådro seg betydelige kostnader ved å innhente en rettslig analyse og løse problemet, i tillegg til juridisk rådgivning og PR som ble nødvendig for å håndtere følgene. Et britisk foretak mottok krav om løsepenger på en bestemt sum, for at ikke hjemmesiden deres skulle krasje. Løsepengene ble ikke betalt og som en konsekvens ble et tjenestenektangrep iverksatt. Dette førte til at nettsiden krasjet flere ganger, og i løpet av bare ett av angrepene tapte forsikringstaker totalt ca. kr For de fleste bedrifter er det ikke et spørsmål om et angrep kommer, men når. I fremtiden forventer vi for eksempel å se en økning i utpressingskrav på nett, når kriminelle ser seg om etter flere måter å tjene penger på. I tillegg innebærer fremveksten av «Internet of Things» og avhengighet av tredjeparts leverandører av skyløsninger, at en rekke enheter som er koblet til Internett nå er utsatt for nye former for risiko. Dermed vil antallet avbrudd øke. En vei videre Høyprofilerte hendelser som tilsynelatende skjer stadig oftere driver utvilsomt opp etterspørselen etter cyberforsikring. Til tross for dette leter mange selskaper fortsatt i blinde etter mulige løsninger. Et av de viktigste spørsmålene er knyttet til kunnskap og forståelse. Det er fortsatt et betydelig antall selskaper og organisasjoner som ikke engang er klar over at cyberforsikring eksisterer, og blant de som gjør det, er mange usikre på hva og hvor mye de skal forsikre, ettersom de sliter med å vurdere hvor utsatte de er. Cyberforsikring har så langt hovedsakelig dekket databrudd, varslings kostnader, eksperter som begrenser skadene, kostnader til kreditt og ID- overvåking, etterforskningskostnader, erstatning overfor tredjepart og juridiske undersøkelser samt bøter og straff i «PCI» (Payment Card Industry). Flere og flere kjøpere ønsker imidlertid å utvide sin dekning til også å inkludere nettverksavbrudd. Disse utvidelsene dekker spesifikt inntektstapet fra systemsvikt enten fra sikkerhetssvikt, angrep eller virus, og kan også bli utvidet til å dekke intern systemsvikt for eksempel en opp datering som mislykkes. Det andre 2/2015 Atea 13

14 KRYSTALLKULEN bekymringsområdet man kan beskytte seg mot er eksponeringen mot skytjenester som gjøres utilgjengelige. Når et økende antall bedrifter benytter seg av eksterne tjenester (ofte fra tredjeparts - leverandører) er det et reelt behov for å dekke eventuelle driftsavbrudd. Det er noen interessante regionale forskjeller i kjøp av forsikringsdekning for nettverksavbrudd mellom USA og Europa. Mens mindre enn 20 % av AIG Cyber-forsikringstagere i USA velger dekning for nettverkavbrudd har over 70 % av EMEA-kundene valgt dette alternativet. Dette ser ut til å være drevet av forskjellen i lovverkene i de to verdensdelene. I USA innebærer statenes krav til varsling av datainnbrudd at amerikanske kunder er mer klar over de potensielle kostnadene og forpliktelsene som oppstår, og derfor ser behovet for forsikring. I EU er den foreslåtte reformen til databeskyttelsesdirektivet tidkrevende å utforme, og derfor er bedriftene foreløpig mer opptatt av hvor utsatt driften er for avbrudd. «For de fleste bedrifter er det ikke et spørsmål om et angrep kommer, men når. Og dette er i stadig utvikling. I mange tilfeller kjøper de relativt lave forsikringssummer, men etter hvert som erfaringen øker, vil trolig forsikringssummen de ber om øke tilsvarende. Det kan ikke være tvil om at cyberansvar er et problem ingen organisasjoner har råd til å ignorere, og nå er det tid for å tenke på hvilken eksponering bedriften virkelig har, både i form av kostnader og konsekvenser. En bedre forståelse av dette vil utvilsomt oppmuntre bedrifter til å kjøpe en cyberforsikring og oppmuntre forsikringsselskaper til videre utvikling. Løsningen ligger i at Risk Manager samarbeider med meglere og forsikringsselskaper for å forstå og uttrykke selskapets risikoprofil, slik at det kan få den beste beskyttelsen mot cyberrisikoer på markedet. 14 Atea 2/2015

15 IQ Jobb Privat La de ansatte bruke mobilen som de vil Fakturakontroll skiller enkelt mellom jobb- og privatbruk Slik fungerer det: Med tjenesten Fakturakontroll fra Telenor avtaler bedriften og den ansatte hvem som skal dekke de ulike kostnadene knyttet til mobilbruken. Tjenesten kan tilpasses hver enkelt avdeling og ansatt, og kostnadsfordelingen skjer automatisk. Fakturakontroll er rett og slett god business, enkelt og gir full kostnadskontroll for både bedriften og den ansatte. Kontakt Atea på tlf: eller mail: 2/2015 Atea 15

16 REFERANSE 16 Atea 2/2015

17 IQ Sjøfartsdirektoratet: En ny møtehverdag! Sjøfartsdirektoratet i Haugesund oppgraderte et tyvetalls møterom med AV-løsninger fra Atea. Resultatet ble en enkel og intuitiv løsning for alle brukerne. TEKST Terje Mathisen, markedssjef i region Rogaland og Agder i Atea FOTO Sjøfartsdirektoratet Sjøfartsdirektoratet har tilsyn med norske skip og utenlandske fartøy i norsk farvann, med hjemmel i skipssikkerhetsloven. På direktoratets hovedkontor i Haugesund var møterommene preget av audiovisuelt utstyr som var i ferd med å bli utslitt, eller som ikke lenger fungerte. Møte rommene brukes aktivt hver eneste dag for eksempel til felles gjennomgang av saker og workshops i prosjekter. Valget stod mellom å investere i storskjermer eller projektor og lerret. Prosjektet var omfattende og innbefattet oppgradering av 16 ordinære møterom og en kantine. Viktige kriterier i prosessen var å gjøre møterommene enklere å bruke og minimere høye driftskostnader. - Da Atea foreslo projektorer basert på LED-laserteknologi, var vi umiddelbart interessert, sier Underdirektør IT, Sverre Rossebø. Teknologien gir omkring timer brukstid uten vedlikehold. Projektorene skrus på automatisk i det kabelen settes inn i PC-en, og den skrur seg av noen minutter etter at den tas ut igjen. Løsningen betyr også at vi slipper fordyrende driftskostnader som bytte av lamper og filter. - Selv om disse projektorene er dyrere i innkjøp, regner vi med at den samlede kostnaden over levetiden blir lavere, og vi slipper å leve med redusert ytelse i opp mot 1/3 av brukstiden. God billedkvalitet og lavt støynivå sto høyt på lista over våre kriterier, og dette blir tilfredsstilt med den nye teknologien. I tillegg kom Atea opp med et løsningsforslag som er svært enkelt i bruk, fortsetter Rossebø. Direktoratet valgte to forskjellige løsninger fra Atea. En standardløsning for vanlige møterom, og en utvidet løsning med styring for store, delbare rom. Alle møterom på hovedkontoret er nå oppgradert, og er mye enklere i bruk enn tidligere. At møterommene nå har samme oppløsning som PCskjermen, gjør det enklere å vise innhold uten å måtte bruke tid på tilpasninger. - Det er selvsagt heller ingen ulempe at bildene er bedre enn før selv om det er lyst i rommet. Vi vurderer nå også å oppgradere enkelte av våre regionsog tilsynskontorer med standard - løsningen, avslutter Rossebø. Leveranse Digitalisert alle møterom i Haugesund ca 25 stk. Panasonic Full HD LED Laser-projektor. Rammelerret Auto ON\OFF Barco ClickShare Vil du vite mer? Vil du vite mer om løsningen som ble valgt av Sjøfartsdirektoratet, kontakt Birger Isdal, per telefon , eller e-post birger.isdal@atea.no eventuelt din lokale Atea-representant. Sjøfartsdirektoratet Sjøfartsdirektoratet er et forvaltningsorgan underlagt Nærings- og fiskeridepartementet og Klima- og miljøverndepartementet med myndighetsansvar overfor norskregistrerte skip og utenlandske skip som anløper norske havner. 2/2015 Atea 17

18 KULTUR Konsernsjefen om organisasjonskultur De ansatte må ha frihet og sjefen kan ikke bestemme alt Steinar Sønsteby så for seg en karriere i oljebransjen, men er i dag konsernsjef for Nordens største leverandør av IT-infrastruktur. Veien dit har vært tøff, men også så viktig for Steinar at han tar med seg Ateas visjon til graven. TEKST Eline Furuseth, markedsrådgiver i Atea 18 Atea 2/2015

19 IQ Når startet din interesse for IT? Jeg ble aldri introdusert for IT som barn og har heller ikke studert IT. Første gang jeg brukte en PC var på starten av 80-tallet. I USA var vi tre studenter som spleiset på en Mac fordi det ikke var lov å levere håndskrevne oppgaver. Det som fascinerte meg mest med IT da, var måten vi kunne bruke det i studiene. Da jeg kom tilbake til Norge jobbet jeg i Offshore-bransjen med to av Norges aller største oljeprosjekter; Gullfaks C og Troll. Akkurat slik jeg hadde sett for meg da jeg studerte i USA. Etter hvert ble det mer og mer IT i prosjektene og Steinar forlot til slutt oljebransjen til fordel for IT-selskapet Skrivervik Data. I 1997 ble han spurt om å komme til Atea. På starten av 2000-tallet møtte Atea store utfordringer. Det endte med at jeg fikk offentlig sparken i januar Dette var en konsekvens av at jeg hevdet eierne kom til å kjøre bedriften konkurs, noe som viste seg å være svært nær sannheten sommeren Offentlig sparken til tross; ikke alle synes Steinar handlet feil. Kort tid etter denne episoden ble han kontaktet av Ib Kunøe, som i dag er Ateas største eier og styreformann. Steinar fikk ansvaret for Top Nordics forretning utenfor Danmark. De kjøpte opp mange bedrifter, deriblant Atea, og etter hvert fikk Steinar ansvaret for å lede Norgeskontoret. Opp gjennom årene har jeg holdt mange foredrag og presentasjoner, men den presentasjonen jeg skulle holde da jeg kom tilbake til Atea husker jeg godt. Da hadde jeg mange sommerfugler i magen. Mens situasjonen i de andre landene så bra ut, stod det dårlig til i Norge. Selskapet var nær konkurs, og kunne knapt betale ut lønninger. Da tok Steinar frem erfaringene fra studietiden i USA, om hvordan man motiverer mennesker. Det er jo det alt handler om. Jeg ønsket at Atea skulle bli drevet mer moderne. Vi skulle bli et selskap drevet av kultur, der det er morsomt å være ansatt og sjefen ikke styrer alt. En ny retning Selskapet trengte en ny retning og de ansatte ble invitert med til å stake ut kursen. Det resulterte i Ateas visjon og stolthet: «The Place to Be». Mange tror det var jeg som bestemte at Ateas visjon skulle være «The Place to Be». De som tror det har misforstått lederstilen min. Hele poenget var at de ansatte skulle involveres og få mulighet til å påvirke. De ansatte ble spurt om hva de ønsket at Atea skulle bli assosiert med om tre år. Haugevis av ord ble sendt inn. Etter en avstemming satt de igjen med seks-syv ord, som de brukte til å lage tre ulike setninger. «The Place to Be» vant med over 90 % av stemmene. I etterkant viste det seg at «The Place to Be» også er tittelen på et bilde av kunstneren Susan Newman, og hun har uttalt at bildet skal illustrere mangfold. Mangfold er alfa omega. Min mening er at organisasjoner med mennesker av begge kjønn, forskjellig bakgrunn og etnisitet skaper bedre resultater og får til mer, enn mer homogene organisasjoner. Bildet kunne dermed ikke passet bedre. Bildet ble hentet fra Museum of Modern Art i San Fransisco og henger nå i resepsjonen på Bryn. En sterk visjon Alle som kjenner til Atea vet at «The Place to Be» er viktig for bedriften. Steinar mener den sterke visjonen og den tydelige kulturen har gjort det mulig å lykkes med oppkjøp og vekst. - «The Place to Be» står sterkt i Atea. Vi opplever at selskaper vi kjøper ønsker å bli en del av denne visjonen framfor å «Mange tror det var jeg som bestemte at Ateas visjon skulle være «The Place to Be». De som tror det har misforstått lederstilen min. Hele poenget var at de ansatte skulle involveres og få mulighet til å påvirke. Kulturen og visjonen har aldri vært «nice to have» for oss, men avgjørende. 2/2015 Atea 19

20 KULTUR videreføre kulturen og visjonen de har med seg inn. Jeg mener derfor at kulturen vår er grunnen til at vi er den suksessen vi er nå. Kulturen og visjonen har aldri vært «nice to have» for oss, men avgjørende. Motivasjon I tillegg til en tydelig visjon noe å strekke seg etter er Steinar opptatt av at de ansatte er motiverte for å dra på jobb. Han mener motivasjonen styrkes ved å ha noe å engasjere seg i utover det daglige arbeidet. Atea er godt kjent for sitt sykkelengasjement og sykling har blitt et symbol på kulturen i selskapet. Før jul kunne Finansavisen fortelle at sykkel initiativet har ført til at Ateas sykefravær har sunket fra åtte prosent til om lag to prosent. Jeg tror ikke sykefraværet i Atea, først og fremst, er påvirket av at vi er friskere (selv om det hjelper). Jeg tror sykefraværet i Atea er lavt fordi vi er motiverte, vi blir tatt på alvor, vi blir sett og vi har stor frihet. Teamfølelsen her er så viktig! Derfor er jeg opptatt av at vi må holde liv i sykkelengasjementet i Atea; ikke fordi jeg er så opptatt av å sykle, men fordi vi må ha større tilknytning til hverandre enn bare jobben. Stort sykkelengasjement til tross, ikke alle i Atea er glade i å sykle. Derfor har vi også et prosjekt med jenteskoler i Sierra Leone, noe som i stor grad engasjerer de ansatte. Det å ha initiativ som dette som en del av arbeidsplassen gjør Atea mer «The Place to Be» og mindre et sted de ansatte stempler inn og ut. Let s face it, i Norge har vi det svært godt. Derfor er det ekstra viktig at vi klarer å motivere de ansatte, gi dem oppgaver de liker, og sørge for at de blir sett og hørt. I tillegg er vi nødt til å gi mye frihet og eget ansvar. Det er 1600 ansatte i Atea. Er det ikke naivt å tro at ingen utnytter stor frihet på arbeidsplassen? Det er mulig noen utnytter det, men det ville de gjort uansett. Vi ser at alt fungerer i det store bildet. Hvis det «Let s face it, i Norge har vi det svært godt. Derfor er det ekstra viktig at vi klarer å motivere de ansatte, gi dem oppgaver de liker, og sørge for at de blir sett og hørt. I tillegg er vi nødt til å gi mye frihet og eget ansvar. Moderne ledere må ikke ta seg selv så høytidelig... blir opplagt at friheten går utover ansvarsoppgavene tar vi selvsagt grep. Jeg har gang på gang sett at når man får ansvaret for helheten «det er ditt ansvar at vi alle har det bra», så tenker man på fellesskapet og leverer deretter. En god oppskrift Steinar mener han har funnet en oppskrift som fungerer godt, og til tross for en lang og til tider kronglete vei angrer han ikke på at han tok jobben som leder i Atea. Jeg angrer ikke på at jeg har tatt noen av lederstillingene her i Atea. Året vi nå har lagt bak oss var det beste året i Ateas historie på over 45 år. Å få lov å lede selskapet gjennom et slikt år har vært en drøm, etter flere år med mange utfordringer. Når det er sagt, å være leder på et høyt nivå fører med seg veldig høy arbeidsbelastning, høy stressbelastning og ikke minst stor reisebelastning. Dette til tross for meg er det verdt det. Den dagen jeg skal ligge under en gravstein, skal det stå «The Place to Be» på den... Er det noen episoder fra lederkarrieren du husker spesielt godt? Det er vanskelig å trekke frem én enkelt episode. De situasjonene jeg husker handler om menneskers glede av å oppnå noe. Det kan være å sykle Lillehammer - Oslo, eller ansiktene på de ansatte da fem jenter fra Sierra Leone kom opp på scenen på landstreffet, eller når ansatte får muligheten til å prøve seg i jobber som de nesten aldri hadde drømt om. Det å se mennesker som føler at de tilhører «The Place to Be» betyr mye for meg, og de øyeblikkene er det mange av. Hvem har vært din største inspirasjon på veien? Jeg har vært så heldig å få jobbe med noen av de mest markante skikkelsene i norsk IT-bransje opp gjennom årene; Helge Skrivervik, Tom Adolfsen og Ib Kunøe. Helt til slutt, hva er ditt aller beste råd til lederspirer som ønsker å oppnå det du har gjort? Tålmodighet. Enkelte er for utålmodige når det gjelder å få nye oppgaver og nytt ansvar. Da pleier jeg å si «vær tålmodig, det kommer». Hvis du er dyktig nok og tålmodig, så kommer stadig nye og større muligheter. 20 Atea 2/2015