Cyberdoktoren:– Kan finne folk som er finansielt presset

Denne artikkelen ble først publisert hos Finansavisen / Kapital.

Et team fra NRK er allerede i gang med å intervjue et høyere befal i uniform når Kapital ankommer forsvarets bygg nr. 10 på Akershus festning i Oslo sentrum. Alle som kan kalles eksperter på trusselsituasjonen Norge nå står overfor, er brått blitt svært populære intervjuobjekter. Og tenker man kun på aktualitet, må man si at doktorgradsstipendiat Vivi Berrefjord ved Forsvarets høgskole har truffet godt med sine tematiske valg.

– Det er jo hyggelig å forstå at man faktisk skriver doktorgrad om noe folk bryr seg om. Det er ikke alle som blir oppringt av journalister som spør «hva driver du med?» Temaet kunne jo fort blitt litt sånn «nisjete» og smalt. Men sikkerhetspolitikk har kommet mye høyere på agendaen. I tillegg jobber jeg med kommersiell overvåkning, så kanskje treffer jeg to tidsstrømmer, funderer Berrefjord og legger til:

Sikkerhetspolitikk har kommet mye høyere på agendaen. I tillegg jobber jeg med kommersiell overvåkning, så kanskje treffer jeg to tidsstrømmer.

– Det siste handler om big data, og hva som kan utledes av det i et risikoperspektiv. Og så blir det jo i tillegg ganske nært, fordi det handler om denne her, smiler hun og vifter med mobilen. Tingen alle bærer med seg nesten over alt og lever deler av livet sitt gjennom. De digitale sporene du legger igjen overalt er til salgs og kan gjøre deg sårbar på ulike vis.

– Du forsker på skyggesidene ved digitaliserte samfunn?

– Du kan i alle fall oppsummere med at jeg er veldig fascinert av dualiteten. Altså hva man kan oppnå ved digitalisering som bedre prosesser, bedre informasjonsflyt og effektivisering. Men samtidig er det veldig viktig for meg at man også ser de nye sårbarhetene. Nye analysekomponenter. Min første masteroppgave handlet om organisert kriminalitet. Det er et veldig spennende hull å grave i. Litt på samme måte som dette her. Og så er det jo en tematikk som bare fortsetter å gi i den forstand at du aldri skal undervurdere hvor kreative folk er til å bølle med hverandre, utdyper Berrefjord og fortsetter:

– Gi mennesker verktøy; de kan enten bruke det til å bygge et hus eller til å slå hverandre i hjel. Den dobbeltheten er veldig fascinerende, synes jeg.

– Gi mennesker verktøy; de kan enten bruke det til å bygge et hus eller til å slå hverandre i hjel, sier forsker Vivi Ringnes Berrefjord. Foto: Eivind Yggeseth / Kapital

Overutdannet statsviter

Vivi Ringnes Berrefjord er statsviter. Overutdannet statsviter, fleiper hun.

39-åringen har to mastergrader og mye internasjonal erfaring. Vi kan nevne Data Protection Officer med spesialisering innen informasjonssikkerhet og GDPR. Hun er analytiker med lang fartstid innen risikovurdering, stakeholderanalyse og strategiutvikling. Pluss en erfaren konsulent med bred portefølje innen privat og offentlig sektor. Hun har takket ja til å bli spaltist og dessuten blitt en etterspurt foredragsholder. Siden 2021 har hun jobbet ved Institutt for forsvarsstudier ved Forsvarets høgskole, de siste årene som leder for Cyberprogrammet.

I fjor var hun en av to redaktører bak utgivelsen Cybermakt. En tverrfaglig innføring. I boken fyller 24 bidragsytere i alt 16 kapitler med ulike deler av et sammensatt bilde. I stort handler det om hvordan digitale våpen kan brukes til alt fra påvirkningsoperasjoner og overvåkning, til nettverksinnbrudd og sabotasje av atomreaktorer, luftvern og krafttilgang.

– Kan vi forvente flere slike angrep i fremtiden?

– Ja, altså ... Ukraina er jo på mange måter et fascinerende case. Fordi på den ene siden har man sett endel høyteknologisk krigføring. Innledningsvis var det jo en del store cyberangrep. Kollega Mass Soldal Lund har skrevet et godt bokkapittel på det. I forkant av krigen antok man også for eksempel at Russland hadde et ganske stort arsenal av ukjente sårbarheter i programvare – såkalte nulldagssårbarheter - og mange kompetente "cyberkrigere". Et forskningssenter ved Harvard rangerte dem eksempelvis som tredje mektigste cybermakten i verden, etter USA og Kina. Så kom krigen – innledningsvis med en høyintens periode, men med mindre sofistikerte metoder enn man kanskje hadde sett for seg. Så skjedde flere ting man kanskje heller ikke hadde forestilt seg på forhånd.

– Hva da?

– For eksempel da jeg skrev om droner i 2014, snakket vi om de store amerikanske Predator-dronene og at ikke-statlige aktører ikke ville få tilgang til slike. Men nå var plutselig dronene mindre og delvis hjemmelagde. Fra et tech-perspektiv er det spennende å observere bredden og farten i menneskelig kreativitet når det virkelig er alvor.

Fra et tech-perspektiv er det spennende å observere bredden og farten i menneskelig kreativitet når det virkelig er alvor.

Den digitale slagmarken i Ukraina ble fylt av langt mer enn to stridende parter.

– I statsvitenskapen går man jo gjerne inn og ser på stat vs. stat. Men her har man en ny aktørdynamikk. Vi så TV-reportasjer hvor bestemor satt og skrudde sammen droner i garasjen. Store amerikanske tech-selskaper fikk helt sentrale roller, med de dynamikkene det innebærer. For eksempel den pågående kontroversen ved Elon Musk og Starlink, eller ved at statsledere må på frierferd til big tech når de blir angrepet av et naboland. I tillegg til mer eller mindre sivile cyberhærer kom aktivistgrupper, kriminelle organisasjoner og kommersielle partnere inn og tok del i kampen. Det ble jo en aktørmølje!

– I statsvitenskapen går man jo gjerne inn og ser på stat vs. stat. Men i Ukraina-krigen har man en ny aktørdynamikk. Det ble en aktørmølje! sier Vivi Ringnes Berrefjord. Foto: Eivind Yggeseth / Kapital

Hun skulle gjerne vært det foruten, men som forsker synes Berrefjord det et spennende fenomen.

– Og hva vil dette bety for vår egen beredskapsplanlegging? Det er jo et veldig stort forskningsprosjekt.

AI, en maktkomponent

Ved besøk på en russisk skole i 2017 sa Russlands president Vladimir Putin at den som mester AI vil dominere verden. Et spennende utsagn, men hva legger man egentlig i det, spør Berrefjord retorisk.

I likhet med cybermakt, kommer AI i veldig mange fasetter, påpeker hun.

– For eksempel i en krigssituasjon vil jo den som har best logistikk ha en ekstremt stor konkurransefordel, fordi man er avhengig av å få frem forsyninger til fronten. På samme måte som man er helt avhengig av å ha et godt vedlikehold for at krigsmateriell skal fungere når det gjelder. Men det er jo mye kjedeligere å snakke om AI brukt i slike sammenhenger, enn om man skal ha de aller mest sofistikerte og autonome våpensystemer, sier Berrefjord.

Hun mener ny teknologi møter de samme utfordringene - igjen og igjen. En ting er å finne opp noe smart, det er vanskelig nok i seg selv. Men så skal samfunn, organisasjon og ikke minst guard rails på plass slik at teknologien jobber mot det faktiske målet, ikke løper amok eller tar oss i feil retning.

– I dag kan man drukne i informasjon. Så hva skal foredles og hva skal forkastes? Dermed blir det å ha den beste algoritmen til å skille «skitt og kanel» potensielt en stor maktfaktor. Men jeg opplever jo at når man snakker om implementering av AI, så snakker man mindre om hvordan kunstig intelligens kan bistå til å gjøre HR-systemene bedre, og mer om hvordan vi skal forsvare grensene våre med AI.

I dag kan man drukne i informasjon. Så hva skal foredles og hva skal forkastes? Dermed blir det å ha den beste algoritmen til å skille «skitt og kanel» potensielt en stor maktfaktor.

Forskeren viser til at dette ikke er helt nytt, vi har hatt flere AI-bølger historisk.

– Og det er jo alltid en bekymring når man snakker om ny teknologi; hva er hype, og hva klarer man faktisk å gjennomføre? For én ting er teknologien, men man skal også ha en organisasjon som kan ta den imot. Alle som har prøvd å snu en organisasjon rundt, vet at man kan ikke bare si at "nå skal vi bort dit", og så blir alle med. Og Forsvaret er en veldig tung organisasjon på mange måter. Men det er veldig mange gode initiativer på gang, og jeg oppfatter at viljen er til stede.

– Hvis noen invaderer et annet land, så går de jo over grensa. Men i det digitale rom er geografi annerledes, sier Vivi Ringnes Berrefjord, leder Cyberprogrammet ved Institutt for forsvarsstudier og Forsvarets høgskole. Foto: Eivind Yggeseth / Kapital

– Så AI endrer ikke styrkeforhold på et blunk?

– Nei, AI er en akselerator og en forsterkende effekt. Og det forutsetter jo at man både har teknologien på plass og at man har et underlagsmateriale som man klarer å bearbeide på riktig måte. Det er nok av eksempler hvor man har kastet AI ukritisk inn i maskineriet - ofte med de beste intensjoner - og så har man kommet ut med enten store bias eller feilkilder.

Uklar grense for krig

Bortsett fra en meget kortvarig barndomsdrøm om å fly, har Berrefjord ingen militær bakgrunn. 39-åringen er for gammel til å ha opplevd allmenn verneplikt. Selv om bygningen hun jobber i myldrer av yrkesmilitære i grønt og blått, har ikke Berrefjord en gang uniform hengende i skapet. Tidvis underviser hun kadetter på Cyberingeniørskolen. Ellers forsker hun på hvordan krise og krig kan utmane seg i og gjennom det digitale rom. For krig er ikke lenger hva det en gang var.

– Terskelen for krig i et digitalt domene er jo vanskelig å stadfeste. Hvis noen invaderer et annet land, så går de jo over grensa. Men i det digitale rom er geografi annerledes. Ditt personell kan sitte på trygg avstand, og de kan være svært vanskelig å oppdage. I tillegg opereres det i skjæringspunktet mellom den såkalte statssikkerheten og samfunnssikkerheten.

Hvis noen invaderer et annet land, så går de jo over grensa. Men i det digitale rom er geografi annerledes.

– Så hva er krig i det digitale domenet?

– Jeg er av den oppfatning at jeg tror ikke man kommer til å se en ren digital krig. At Stat A og Stat B kun skyter digitale våpen på hverandre. I slike tilfeller vil de holde seg under terskelen; altså i nabolaget av hybrid krigføring og gråsoner. Jeg tror mer på ny sårbarhet, et til domene, et nytt verktøy i kassa.

Vivi Ringnes Berrefjord, leder Cyberprogrammet ved Institutt for forsvarsstudier og Forsvarets høgskole. Foto: Eivind Yggeseth / Kapital

– Kina hacket seg inn i Stortingets datasystemer to ganger ... hva kaller man det?

– Norske myndigheter var ganske tydelige på at dette var ikke greit, men spionasje er langt fra en krigserklæring. Det har jo vært mye diskusjon om hvor store konsekvensene må være for at noe skal anses som en ondsinnet handling. Hvis noen fiender hadde skrudd av strømmen på sykehusene i en time, ville jo det fått veldig store konsekvenser. Også for sivile.

Sårbar mobilbruk

Som doktorgradsstipendiat ved UiO Statsvitenskap skal Berrefjord levere fire artikler. To av dem er publisert allerede. Den ene heter "Kommersiell sporing - nasjonal risiko" og tar for seg hvordan dataavtrykket fra mobiltelefonbruk som vi legger igjen overalt, kan misbrukes av en ondsinnet aktør. Den siste heter “CSINT: friend or foe?” og handler om incentiv og snublefeller hvis statlige etterretningsaktører kjøper denne type informasjon for penger.

– Det har oppstått et kommersielt marked som er bra på å tilpasse seg behovene. Man kan kjøpe datasettene enten rå eller bearbeidet. Og man kan bestille ulike sårbarhetsprofiler. Slik kan man langt på vei finne mennesker som er finansielt presset, hvem som har et rus- eller gamblingproblem, eller hvem som antagelig er utro mot ektefellen, forklarer Berrefjord.

Hvis du graver deg ned i datasett kan du sannsynligvis finne noe møkk på ganske mange, ifølge Vivi Ringnes Berrefjord. Foto: Eivind Yggeseth / Kapital

I spionasjeøyemed kan det være et verktøy for å finne ut hvem som er mest mottakelig for påvirkninger, press eller sagt på en annen måte; hvem som mest sannsynlig vil «låse opp døren» for deg.

– Det er ikke nødvendigvis slik at alkoholiserte eller gamblingavhengige ansatte er villige til å gi deg hemmeligheter, men dette er sårbarheter en ser etter i sikkerhetsklareringer. Datasettene er billig og enkle, altså krever de mindre ressurser å både innhente og benytte. Og de inneholder informasjon som jeg tenker at man ikke skal la flyte rundt.

– Poenget med disse datasettene er at hvis du graver deg ned i dem, så kan du sannsynligvis finne noe på ganske mange. Og om det ikke er ordentlig møkk, så kan du kanskje «spinne» det med nok fakta til at det får en «ring of truth». Man trenger jo ikke å se lenger enn over dammen for å observere hva som kan skje når man har parallelle virkeligheter og stygge «drittpakker» på motstandere, sier forskeren.

Det andre elementet stammer, ifølge Berrefjord, fra en mer prinsipiell bekymring.

– Vi mennesker bør kunne eie vår egen informasjon og ha vårt eget rom. Jeg er en stolt personvernsentusiast. Det ligger mye demokratisk fostring i å få lov til å finne ut litt om hvem man er, og hva man vil, uten at man skal frykte at det blir holdt mot deg senere. De fleste har vel sagt noe dumt da de var 15 år, som de kanskje ikke står for i dag. Og hvis det avtrykket ligger der for alltid, så mener jeg at det innebærer noen utfordringer, sier hun og tenker med gru på generasjonene som er oppvokst med smarte dingser som nær følgesvenn. For hvem vet hvem som blir politisk leder, forsvarssjef eller får tilgang på skjermet informasjon, spør hun retorisk.

Vi mennesker bør kunne eie vår egen informasjon og ha vårt eget rom. Jeg er en stolt personvernsentusiast.

– Man kan vel skjerme seg noe ved å bruke personverninnstillingene?

– Jeg har sett studier som har sagt at nær 95 prosent av oss aldri har lest en personvernerklæring og min instinktive reaksjon var “Hva, er det hele fem prosent som har lest en!?”. Jeg har også hørt forskere som er mye dyktigere på statistikk enn meg si at det er lettere å anonymisere DNA enn dataavtrykket ditt.

Berrefjord sier hun ikke kan gå god for sannhetsgestalten i dette, men hvis det er i nærheten av sant så bør det gi grunn for ettertanke.

– Informasjonskontroll handler ikke om at man gjør noe lugubert, det handler om å eie sitt eget liv, sier Vivi Ringnes Berrefjord. Foto: Eivind Yggeseth / Kapital

– Å si at «jeg har ingenting å skjule» blir i overkant naivt, ingen vet hva fremtiden bringer. Alle låser eller lukker en dør. Ingen forteller «alt» til karen ved siden av seg på bussen. De færreste ville vært komfortable med at noen gikk bak deg i det fysiske rom og noterte alt du gjør, for å så selge informasjonen til «hvem som helst» som igjen kan bruke informasjonen din til formål du ikke har anelse om. Informasjonskontroll handler ikke om at man gjør noe lugubert, det handler om å eie sitt eget liv.

Trump - en perfekt storm

Ifølge Berrefjord ligger farene og tabbene på nett nærmest når man opererer på privat’n. På jobb har folk guarden mye mer oppe og bedrifter har sikkerhetsrutiner, men utenfor arbeid får følelsene mer spillerom.

– Hvis du for eksempel er kjempeinteressert i fotballklubben Manchester United, og har veldig lyst på billetter til å se en fotballkamp de spiller, så har jeg mulighet til å skreddersy det inn i min manipulasjon. Ved å bygge relasjon og legge på tidsnød, vil mange ta dårlige valg som for eksempel å trykke på en link.

– Men alle spor er vel ikke problematiske?

– Nei, jeg er komfortabel med at for eksempel Ruter kan fortelle meg hvor jeg er når jeg skal kjøpe meg en trikkebillett, men jeg er ikke komfortabel med at min lokalisasjonsdata selges til gud og hvermann. Tilsvarende kan jeg ha god nytte av en værapp eller lommelykt på telefonen, men hvorfor skal den ha tilgang på kontaktlisten min? Jeg skal vite hva jeg sier ja til, jeg skal få nytte, og informasjonen skal ikke forsvinne ut i det store intet.

Jeg er komfortabel med at for eksempel Ruter kan fortelle meg hvor jeg er når jeg skal kjøpe meg en trikkebillett, men jeg er ikke komfortabel med at min lokalisasjonsdata selges til gud og hvermann.

På spørsmål om Donald Trump kunne blitt valgt til president i USA uten sosiale medier, svarer hun slik:

– Jeg spurte faktisk kollega Anders Romarheim om det tidligere i dag. Og hans vurdering, hvis jeg skjønte det riktig, var at det er en litt sånn perfect storm. Du har Maga-bevegelsen og du har algoritmer og skreddersydde budskap. Uten en felles forståelse av sannhet, og så krigersk holdning til meningsmotstandere, så drukner det demokratiske prosjekt i en skrikekonkurranse uten en bunnplanke av folkeskikk og verdighet. Men for å ta på forskerhatten igjen: en ting som er fascinerende med Trump, er jo hvorfor det nettopp var han som klarte å kapitalisere på dette? Det er jo mange som har lyst til å bli amerikansk president. Men hvorfor var det han som klarte å bygge den personkulten?

– Det blir et sånn spørsmål som man kan spekulere seg grønn med. Og det synes jeg er kjempegøy!