Studenter utvikler «blodprøve» for cyberangrep
Digitalisering har revolusjonert de fleste industrier. Men når alle systemer kobles på nett, blir også virksomheter mer sårbare for cyberangrep.
En gruppe på åtte studenter har, gjennom DNV GL sitt sommerprosjekt, vært med på å utvikle et produkt som enklere identifiser sikkerhetshull – helt automatisk.
– Det er veldig motiverende å jobbe med cybersikkerhet siden det ikke bare berører store selskaper, men også vårt dagligdagse liv. Nå er det først og fremst cybereksperter som leter etter sikkerhetshull i systemer. Men med «blodprøven» SCAI kan selskapet nå enklere finne ut om systemet deres er i form eller trenger behandling, sier Anders Bergfjord Fjellvikås, som til vanlig studerer økonomi ved Norges Handelshøyskole.
Sammen med syv andre studenter fra ulike fagdisipliner har han vært med på å utvikle SCAI (Scanning Artificial intelligence). SCAI bruker kunstig intelligens for å utføre enkle risikoanalyser på systemer som er koblet på nett. Diagnosen skal identifisere potensielle sikkerhetstrusler, enten det er en programvare som trenger en oppdatering, eller en ukjent enhet som er koblet på nettverket.
– Sikkerhetshull oppstår ofte på grunn av lite kunnskap eller uforsiktighet blant ansatte som bruker IT-systemet. For eksempel hvis mobilen din er koblet til et usikret gjestenettverk og du lader den gjennom en datamaskin som er koblet på et sikret nettverk, er ikke nettverket nødvendigvis så sikkert lengre. Derfor berører cybersikkerhet også vårt daglige liv, forklarer Fjellvikås.
Ansatte blir cyber-detektiver
SCAI utfører en skanning av utsatte systemer og produserer en rapport som viser hvilke sårbarheter som finnes. Tjenesten vil da avdekke feil og sikkerhetshull, slik at brukeren sitt IT-personell selv kan rette opp eller kontakte DNV GLs help desk for bistand.
DNV GL bistår til vanlig en rekke ulike kunder med IT-sikkerhet. Ifølge cyber security ingeniøren, som også leder sommerprosjektet på vegene av selskapet, Elisabet Line Haugsbø, er målet at SCAI skal kunne bidra til tettere kommunikasjon mellom DNV GL og deres kunder.
– Vi tror SCAI vil gjøre kundene tryggere gjennom tettere dialog med oss og hyppigere statussjekker. De automatiserte rapportene vil gi en økonomisk gevinst for de som bruker SCAI, ettersom de får gjort en større del av risikoanalysen på egenhånd, sier Haugsbø.
Haugsbø jobber til vanlig med såkalt etisk hacking, der hun hjelper selskaper med å avdekke sikkerhetshull før ubudne gjester får sjansen til å gjøre det samme.
– Teknologien blir stadig mer avansert, men vi håper at det å involvere ansatte i å finne sikkerhetshull kan bidra til å skape mer bevissthet rundt hvordan man bruker arbeidsplassens IT-systemene på en sikker måte, fortsetter Haugsbø.
Fører skipene trygt i havn
Sommeren 2017 ble eksempelvis danske AP Moeller-Maersk, verdens største containerrederi, rammet av et cyberangrep som kostet rederiet mellom 200 og 300 millioner dollar. Selv om SCAI skal kunne brukes i alle industrier, er et slikt produkt spesielt etterlengtet i maritim sektor, ifølge Haugsbø.
– Næringer som olje, gass og energi har vært ledende innenfor digitalisering i lang tid, mens maritim sektor kommer litt nølende etter. Klarer du å komme deg inn i IT-systemene til et rederi kan du få tilgang til både kontrollsystemer og konfidensiell informasjon. For et selskap som blir rammet kan dette i verste fall bety reparasjonskostnader i milliardklassen, sier Haugsbø.
Til daglig jobber Haugsbø med å hjelpe skip og rederier å sikre seg mot cyberangrep. Ofte innebærer dette at hun fysisk går ombord i skipene for å sjekke systemene. Men nye trusler oppstår hele tiden, og derfor er det bra at de ansatte selv kan være med på å sjekke status.
– Ordtaket “if it isn't broken, don’t fix it” gjelder ikke for cyberangrep. Datamaskiner og systemer som tilsynelatende fungerer fint kan være store sikkerhetshull hvis man ikke tar sikkerheten på alvor, forteller Haugsbø.
Topplederne lytter til studentene
«Alt» som er på nett har gjerne fjerntilgang, noe som åpner for mange veier inn i et system. Dette kan skape store sårbarheter og står derfor høyt på agendaen hos mange virksomheter. DNV GL arbeider aktivt med å utarbeide standarder og anbefalinger for ulike bransjer slik at selskaper unngår cyberangrep.
– I dag blir toppledere holdt ansvarlige for dette. Derfor er ikke cybersikkerhet bare et spørsmål for IT-avdelingen, men også for styret og ledelsen, sier Head of Section Cyber & Risk, Erling Hessvik.
DNV GL har kontorer i over 100 land rundt i verden. Onsdag 8. august presenterte studentene produktet SCAI for første gang. Presentasjonen ble live-streamet og sett av ansatte og andre nysgjerrige i hele verden.
DNV GLs HR Chief Human Resource Officer, Gro Gotteberg, er begeistret for årets sommerprosjekt: «DNV GLs sommerprosjekt er blitt et av de mest ettertraktede årlige sommerprogrammene i Norge. Studentene bringer ikke bare det ferskeste innen forskning og kompetanse, men de inspirerer også alle våre ansatte med sine ideer og nye perspektiv. Det er utrolig gøy å se at våre egne ansatte hvert år fyller den store salen ved DNV GLs hovedkontor på Høvik når studentene skal presentere. Vi ser også at det er stor interesse fra ansatte på kontorene utenfor Norge, og blant andre eksterne teknologisultne hoder. Området utvikler seg lynraskt, derfor er studentene viktige for oss. De har fersk og oppdatert kunnskap og kommer med nye ideer som er til inspirasjon for hele selskapet. Nå blir det mitt ansvar å ta SCAI til neste nivå.»
Summerprosjekt 2018
- Årets tema har utgangspunkt i den stadig økende trusselen cyberangrep representerer. Digitalisering og ny teknologi gir bedrifter et fortrinn, men medfører også en større risiko for å bli hacket.
- Hackere blir stadig smartere, og sikkerhetshull kan være vanskelig å oppdage før det er for sent. DNV GL bistår virksomheter med testing og rådgiving rundt cybersikkerhet, jobber for å øke bevisstheten rundt risiko og for å etablere gode rutiner blant alle ansatte.
- SCAI bruker kunstig intelligens for å forebygge cyber-angrep. Produktet avdekker sikkerhetshull i IT-systemer, slik at virksomhetens IT-avdeling selv kan rette opp feilen, eller kontakte spesialister i DNV GL for nærmere undersøkelse.
- DNV GL sitt sommerprosjekt arrangeres i år for 11. gang
- Årets team består av åtte masterstudenter fra NTNU, NHH og UiT.
- Prosjektet startet 27. juni og avslutningspresentasjon til ledelse, kollegaer og eksterne interessenter ble holdt 8. august i DNV GLs lokaler på Høvik.