Podcast

Bits and bytes for advokater: IT-sikkerhet i urolige tider

Publisert
Podkastens logo og bilde av Claus Hansen som foreleser
IT-sikkerhetsrådgiver Claus Hansen jobber i HortenDahl Advokatpartnerselskab, et av Danmarks aller største advokatfirmaer.

Han besøkte TechTorget for å snakke om grunnleggende sikkerhetsarbeid for advokatvirksomhet, og besøkte oss i studio for å dele sine tanker om IT-sikkerhet i en tid med store teknologiske og politiske omveltninger.

Du kan høre hele episoden på Spotify eller der du hører podkast.

Transkribert versjon av podkasten:

Du hører på Bits and Bites for advokater, en podcast om legal tech og kunstig intelligens fra advokatforeningen.
 Hei, i dagens episode så har jeg vært så heldig av å få besøk av en danske som heter Klaus Hansen,
 og som jobber som IT-sikkerhetsrådgiver i Hortendal Advokatpartnerselskap i Danmark.
 Det er et av Danmarks allers største advokatfirmer, og han er i Oslo for å snakke på tektorget,
 og da fikk vi også sørget for å huke han inn til vår podcast.
 Og som IT-sikkerhetsrådgiver så har jeg lyst å åpne ballen med å spørre,
 opplever du at det er store hull i IT-sikkerhet i advokatfirmer?


 Ja, for å svare på det spørsmålet så skal man nok tenke seg til hva addskiller et advokatfirma fra et annet firma.
 Og det er én primære ting som addskiller et advokatfirma fra andre firmer,
 det er at de tager i høy grad compliance seriøs, ofte fordi de selv rådgiver om compliance.
 Så det er, hvis jeg skal påpege noe, den eneste ting som IT-sikkerhetsmæssig,
 er en avvielse for alle andre firmer, fordi måden som IT-sikkerhet eksisterer på i et firma,
 er at det er et lag der ligger nede under den forretningen du driver.
 Og da er et rådgivningsfirma eller et advokatfirma ikke annerledes enn noen andre firmer.
 De laver deres rådgivning baseret på en plattform i IT.
 Så den signifikante ændringen, eller forskel, fra et advokatfirma og et vilsomhedsandt firma,
 er altså compliance-afdelingen.
 Så det vil si at det er den parameter hvor jeg ser en lille forskel.
 Så når du spør om advokatfirmer generelt er mer sikre enn andre firmer, som jeg forstod spørsmålet,
 så vil jeg si for det meste nei, men i noen tilfælde ja.
 Og la meg præsisere mitt svar litt.
 Der hvor jeg mener ja, da mener jeg ja i den forstand hvor compliance har formået å vise
 hvordan risikoer folder seg ut i en forretning.
 Compliance er ikke en nem disciplin.
 Og så skal man også lige forstå hva compliance er.
 For å forstå hvornår det har innflydelse på IT-sikkerhet,
 og hvornår det ikke har innflydelse på IT-sikkerhet.
 Så måden som et advokatfirma oppfatter compliance på,
 har betydning for hvor stor innflydelse compliance har på IT-sikkerhet.
 Hvis du i et almindelig firma ser compliance som en funksjon,
 som beskytter ditt firma mod udestående risici,
 i den form av at du ikke gider å tale om udestående risici.
 Det vil si at du oppfatter compliance som en checkmark øvelse,
 hvor du har noe business to business dialog med et annet firma,
 og skal overbryse det andet firma om at her går det godt.
 Altså vi oppfyller noen regulativer.
 Så har compliance ingen innflydelse på IT-sikkerhet.
 Og så gjør det ingen forskjell at man har god compliance i et firma,
 fordi du får ikke avdekket de fundamentale oversegnet til at IT-sikkerhetsbrister oppstår.
 Du skal ha en compliance funksjon som kan vise din ledelse
 at oversagen til at de her regulative forpliktigelser du har overfor din andre parter,
 om det så er staten eller om det er en annen forretning,
 de risici er indadvendige risici som kan udmønne seg i en brist inde i forretningen.
 Når compliance formår det, så gjør det en forskjell.
 Når jeg sier ja og nei til ditt spørsmål,
 og det gør nok et meget lagt svar,
 men jeg blir til å være detaljert når du spør sånn her,
 så ser jeg to ting.
 Når jeg taler med mit sikkerhetsforum, så ser jeg to ting i advokatbransjen.
 Jeg ser de firma i advokatbransjen som bruger compliance som en forsvar,
 og som hver derfor ikke har bedre IT-sikkerhed enn alle andre firmaer,
 og så ser jeg de firmaer i advokatbransjen som virkelig forstår tilbundt
 hva compliance har av implikasjoner indadrettet i dit firma,
 og ikke kun udadrettet oppfyllelse av forskellige forpliktigelser.
 De firmaer har en signifikant større IT-sikkerhedsresiliens, altså forsvar,
 enn andre virksomheder.
 Så jeg ser to typer i det spørsmålet du stiller,
 så derfor vil jeg at mitt endelige svar er så derfor en lille smule.
 Så advokatfirma har en lille smule bedre IT-sikkerhed enn andre firmaer.
 Men det må være innarbeidet i hele compliance-arbeidet, det er det som er det viktigste.


 Hva tenker du er det vanligste problemet, vanligste utfordringen?
 Det er veldig generelt, men hvis vi skulle plukke ut noen da?


 Det mest vanlige udfordringen er at generelt så tror folk at det er vanlige utfordringer,
 men så simpelt er det ikke.
 IT-sikkerhed er meget, meget simpelt.
 Jeg kommer også tilbake til det på tech-talket.
 Sammenlign det med at du skal gå over gaden.
 Det er helt naturlig for deg å kigge deg for inden du går over gaden.
 Og sånne evner har jeg tillert meg når jeg går rundt inde i et IT-miljø.
 Så ser jeg meg for til høyre og venstre inden jeg tar mitt næste skritt.
 Hva gjør et barn?
 Vi lager barn og agerer i trafikken.
 Men når du er voksen så finder du det helt naturlig.
 Så sætter du ikke spørsmålsteil ved det.
 Og det er de feil jeg ser som det mest vanlige feilet oppstår.
 Det er at forretningsansvarlige tror at det her er nemt.
 Hvor en fagperson instinktivt vil se at her er der en problemstilling.
 Du har ikke kigget deg til venstre og høyre inden du går videre.
 Men forretningsansvarlige ser det ikke en gang.
 På samme måte som et barn ikke ser seg for.
 Hvis de for eksempel har blitt trænet i å agere i trafikken og skal gå over veien.
 Så skyder de en bolt på gaden og whoops.
 Så lurer de efter den bolt.
 Det vil en voksen ikke gjøre.
 Men den voksne forstår ikke hvilken situasjon de står i.
 Det fulle aspekt av den beslutning som de laver.
 Fordi de kan ikke bevæge seg fra forretningsrummet ned til IT-rummet.
 De kan ikke flytte sit fokus hen i det her IT-rum.
 Fordi de kjenner ikke det her IT-rum.
 Og når du så tar beslutninger uden å konsultere en ekspert.
 Så går det rigtig, rigtig, rigtig, rigtig tit galt.
 Så å komme med et svar eller et udlæg.
 Alla 98% av alle data breaches kommer fra en e-mail.
 Jeg kan ikke bruke det til noe.
 Jeg kan ikke formidle det videre.
 Det kan godt være det er det.
 Men hvorfor kan de så formidle seg videre til et data breach?
 Det er fordi at de forsvarslinjer du har bag ved denne e-mailen.
 De er meget uttelt svarne.
 Du kan gå over veien alt for mange steder.
 Så det er slett ikke interessant at så mange angreb kan komme igennom en e-mail løsning.
 Det er slett ikke på innen.
 Det vil en spamfilter sælger utrolig gerne fortelle deg.
 At nå skal du bare ha det her luksus spamfilter.
 Fordi 98% av angrebene kommer igennom din e-mail.
 Men det er betydningsløst.
 For det det handler om er å kunne agere i trafiken innen i ditt it-miljø.
 For det stopper jo ikke ved en e-mail.
 Det går jo videre. Det beværer seg et sted hen.
 Så du kan kunne oppfylle den lovgivning der er i trafiken.
 Kan du agere der er i trafiken eller kan du ikke agere der er i trafiken?
 Så derfor er det rigtig, rigtig, rigtig viktig.
 At man for eksempel som i compliance når man laver ændringer i sin services,
 tilegner seg nye services, har den her lige,
 den her faste governance tiltro til at det gir rigtig, rigtig, rigtig,
 rigtig mye mening å lave en risikoanalyse.
 Både en data-risikoanalyse og en it-risikoanalyse.
 For det er den der fjerner dine blene vinkler.
 Det er den der fjerner dine hesteskyklapper.
 Hvor at der er risikoer som du var intet anende om.
 Fordi du er et barn i den trafik. Du er ikke en voksen.
 Altså du må ikke bilde deg selv inn at du som en fagperson i din forretning
 tror at du kan agere i IT. Du er et barn i IT.
 Altså det er den forståelse man skal ha.
 Derfor skal du la risikoanalyser. Derfor skal du overgi de her beslutninger
 til en ekspert som kan gi deg en rådgivning om om du skal gjøre det ene eller andre.
 Og så tar du så som eier den beslutning.
 Det er selvfølgelig deg som eier som beslutter ved å gå over veien eller ved å ikke gå over veien.


 Det var på en måte mitt næste spørsmål.
 Her er du som en voksen person som er som et barn i trafikken
 Fordi IT ikke er din ekspertise, men du har likevel ansvar for det i din rolle i firma.
 Og så ser vi også at det er flere og flere som outsourcer alt fra IT til eksterne.
 Så det sitter ikke engang noen IT-rådgivere i firma fysisk.
 Så hvem er denne eksperten som skal hjelpe deg med risikoanalysen din?


 Jeg vil si at det har gått galt.
 I det øyeblikk du gjør det, så har du reddbevet deg ut på et sted hvor du ikke aner hvor du er.
 Du er ude på tørne is nu, og det er kun spørsmål om tid før du dropper igennom isen og så går det galt.
 Altså det er det.
 Altså mer tydelig kan jeg ikke si det.
 Så hvis du tar den beslutning, du outsourcer din IT-sikkerhedsrådgivning,
 altså fuldstændig komplett, og mener ikke selv at du har noe ansvar,
 men så er du på herrens mark.
 Det er du.
 Du kan sagtens outsource sikkerhedsrådgivning, men du skal sørge for å holde den rådgivning tætt.
 Altså det er jo også det man kaller en CSU, altså en sikkerhedsrådgivning som en service.
 Men det er helt vildt viktig at den tillid er blandt din leder,
 altså din sikkerheds- eller din forretningsansvarlig, og så denne sikkerhedsrådgivning.
 Ellers så har du bare trodde de er blinde, så har du sagt jeg ved bedre, og det gjør du ikke.
 Når du har din bil, la du service på din egen bil, skifter du dele i din egen bil hvis de går i stykker.
 Hvis en karborater har gått i stykker, skifter du den selv eller sender du den på værksted.
 Da er det ikke noen der er måske en ud av tusen, så skifter du den selv, men altså andre folk de ved godt at hvis de går noe galt så ryger garantien.
 Den logikk finnes desværre ikke hos alle forretningsarene når vi snakker i til sikkerhed.
 Hvis du bare laver en eller annen handling, så ryger den sikkerhedsfunksjon der måske var i det gamle miljø,
 har du sikret deg at den sikkerhedsfunksjon der var i det gamle miljøet følger med over i den nye service eller det forandret miljø som du har lavet.
 Når du har din bil, så har du pli til å overholde din garanti og din service for blikkdilelser, fordi du ved ude med et godt du er ikke mekaniker.
 Hvis du laver noe galt, det kan være bilen ikke kan køre, og det kan godt være at bilen ikke kan køre med det samme,
 men så går det måske 10-15.000 km, og så bræner motoren av, og hvis skylden er det så er det din egen, ønsker du å ta den risikoen på din egen forretning ved å pille i motoren?
 Nei, det er jo bare at man ikke gjør det.
 Vi sitter nå i en tid hvor den teknologiske utviklingen har gått veldig fort, vi har fått kunstig intelligens, LLM'er,
 alle skal kaste seg på tåget, ingen vet helt hvor det tåget går enda, men alle har skjønt at vi må være med på det,
 og da stilles det vel ekstra store krav til den sikkerhetstankegangen i hos advokatfirmaer også, eller alle som tar dette i bruk.


 Hvordan ser du på måte på sikkerhet og ki? Har vi kastet litt av den tankegangen ut for å være med på kapløpet, eller henger firmaene med?


 De henger ikke med. Jeg ser det på samme måte som de ting jeg har talt om her før, med at du skal ta motorummet seriøst i din bil.
 Det har ikke forandret seg den tankegang efter at AI er kommet.
 Så den risici som AI introducerer med den fart som AI-udviklingen har vil stige eksponentielt, i min helt klare logikk.
 Den gode nyheten er så at der skal ikke oppfinnes nye sikkerhedsteorier for å beskytte AI,
 jo, lige for noen specifikke tekniske ting, men de fundamentale sikkerhedsteorier er præcis de samme.
 Så man skal ta noen specielle forholdsregler når vi snakker kunstig intelligens,
 Unnskyld, jeg kommer stadig til IA-i.
 Og de forholdsregler, er det noen som er med på, og det er de her firmaer som tar IT-sikkerhed seriøst,
 og som tar compliance seriøst, og sørger for at det er inkorporeret de risikolne analyser i deres forretningsmodell,
 altså sikrer seg at de har en sikkerhedsgovernance bygget inn i hvordan de laver forretning.
 Det vil selvsynligvis gå godt for mange mennesker, inntil det ikke går godt, som man pleier å si.
 Vi ser også, vi lever en litt annerledes tid nesten nærmest i 2026 enn vi gjorde i 2025, føler jeg.
 Jeg tror mye av den teknologien vi bruker kommer fra USA, som har vært en av våre nærmeste allierte.
 Nå vet vi ikke helt det, hvem de er lenger.
 Så sitter vi da og har både programvare, skyløsninger, og alt mulig annet som kommer derfra.
 Nå har man jo begynt å tenke at kanskje vi er litt for avhengige av landet som er langt bort,
 og kanskje ikke er så vennelig sine det lenger som vi hele tiden har antatt.
 EU har jo vært litt frempå med sine forøydinger, men på langt nær nok, det brukes jo.


 Hvordan skal man som et lite eller mellomstort advokatfirma forholde seg til store politikk?
 Hvor skal man begynne? Hvordan skal man tenke?


 Først og fremst, så skal du forholde deg til det.
 Det er ikke teoretisk det her, det er dokumentert.
 Vi kan jo ta menneskerettighetsdomstolsagen, hvor USA har stoppet noe adgang til digital infrastruktur.
 Det vil si at den amerikanske regjeringen direkte involverer amerikanske firmer.
 I kjenner også FISA-lovgivningen, og i kjenner den dialog der har været mellom EU og USA
 om de forskellige sikkerhetsorganer som skulle være satt opp for å beskytte,
 også som personer, også som firmer, og de fungerer ikke.
 Det kan vi jo tydelig se.
 Så ja, det her er en rejel problemstilling.
 Digital suveranitet, kunsteintelligens, vantecomputer-mekanikk er en kjempe stor grutsk knude
 som vil udfølge seg herover de næste par årene.
 Men la oss lige koncentrere oss tilbake til digital suveranitet.
 Jeg ser ikke anden vei enn den som ble startet for en del år siden av fornuftige advokater
 i compliance-øye med, som Rob de Wagt de kan være her ved FISA i sin tid.
 De er så riktig.
 Vi ser nå at store serviceudøvere misbruger deres mandater.
 Senest, bare for et par dage siden, ble det opplyst at Microsoft hadde udleveret noen nøyler
 til krypteret harddiske, det vil si for eksempel den computer du sider med foran her.
 Det vil da ikke være særlig behagelig hvis du mener at din maskine var låst
 og så ble den bare udleveret av Microsoft den nøylet til å låse din harddiske opp med.
 Hvis du hadde slukket computeren og den stod stille osv.
 Hvis vi kikker på de faktuelle ting som reelt skjer, så skal vi gjøre noe.
 Vi skal gjøre de ting som Norge blant andet gjør.
 For ikke så lang tid siden ble det opplyst at det er nærmere netværk som Norge infrastrukturer skal bygges på.
 Der har man jo fremfaldt en amerikansk leverandør.
 Var det Nokia eller finsk firma der ble valgt, jeg kan ikke huske det.
 Det er det vi kan gjøre, og det er det vi skal gjøre.
 Det vil si at vi skal til og vende oss til en ny virkelighet.
 Vi kan ikke stolepue oss av.
 De har bevisst at vi ikke kan stole på dem.
 Vi er avhengige av dem. Det kan vi heller ikke gjøre noe på en kort bane.
 Så i mine øyne så er der ikke andet å gjøre enn å spise denne elefanten bid for bid.
 Og bruge desværre en masse investeringer på å bygge de her systemer opp selv.
 Hvor det var så nemmere i gamle dager hvor vi var venner.
 Og så kunne noen lave en ting, andre kunne lave en annen ting, og så kunne vi bytte kømand.
 De dager er desværre slut med USA.
 Vi kan ikke stole på dem som et statsorgang.
 Hva betyder konsekvenser?
 Det har helt avstindig store konsekvenser.
 Vi skal nu tida oppbygge en infrastruktur som vi er to og ti'er av bagud på å bygge den teknologi.
 Vi skal selvfølgelig ikke i EU bruke to og ti'er på å bygge det samme.
 Vi ved godt hvordan.
 Nå vet vi allerede at noen har bygget det, så vi kan måske bygge det på en tigende del av tiden.
 Men uomtvistelig kommer vi til å bruke en masse ressurser på det som ellers kunne vært brukt på å berige vårt hverdag.
 Og udvikle vårt hverdag til blot å være status quo på noen sikkerhetsfunksjoner.
 Hvor vi kan beskytte vores egne firmer, data og medborgare.
 

Det du sier er at nå er det en del overordnet som skjer på et høyere nivå enn firma nivå.
 Så man kan ikke forvente at du på firma nivå skal bytte ut alt av maskinvare og programvare over verden.


 Men at ved neste valg så må du ta noen langt mer blodeste valg enn du har gjort.
 Ta stilling.
 Og så har du selvfølgelig noen muligheter.
 Altså der er tekniske muligheter.
 Ulempen når du går på de tekniske muligheter som du har lige her i dag.
 For å beskytte deg når du er i et, måske litt hård å kalle det, et finteligt miljø.
 Men så er det et usikkert miljø.
 Hvor du ikke har tilliden til den personen eller service som er din servicepartner.
 Så kan du godt sette forskellige sikkerhetsfunksjoner opp.
 Så du kan bibeholde og bruke de services.
 Ulempen er at de tillidsfunksjoner du skal oppbygge krever organisering og investering.
 Det vil si at når du som en arbeidsgiver, som et firma der sælger en service.
 Så er du lige pludselig dårlig at stille enn andre.
 Fordi de behøves ikke å påtage seg de sikkerhedsinvesteringene for å sikre sine data.
 I det samme arbeidsmiljøet.
 Hvis du kan følge det.
 Ja, ja, ja.


 Dette er jo kaldusj å våkne til hvis du hører på den podcasten på vei til jobb.


 Ja, sånn er verden.
 Sånn er verden, og sånn er verden blitt kanskje.
 

Vi kunne jo snakket om dette kjempe lenge.
 Det romer dessverre ikke dette formatet.
 Men jeg føler at du har fått gitt et vis innblikk i hvordan man må tenke sikkerhet.
 Det skal være innbygget i hverdagen din helt fra start.
 Man må være våken og ekstra våken framover og ta noen veldig, veldig bevisste valg.
 Og gjøre risikoanalyser er vel kanskje det beste rådet man kan komme med.


 Ja, absolutt.


 Også tusen takk for at du tok deg tid til å komme og snakke på podcasten vår.
 Det var en fornøyelse. Takk for invitasjonen.